Fiche thématique
11 min de lecture
9 décembre 2022
Si la CNIL frappe à votre porte, mieux vaut être préparé ! Au-delà du risque des sanctions financières, l’impact sur l’image et la réputation des opérateurs concernés est de taille. Il est donc fortement conseillé d’élaborer une procédure de gestion de contrôles mettant l’accent sur le rôle du DPO. Connaître le déroulement et les suites de la visite permet d’affronter plus sereinement cette épreuve.

Sommaire

Se préparer à un contrôle de la CNIL

Charte des contrôles

La CNIL a publié au mois d’août 2020 une Charte des contrôles afin « d’assurer une plus grande transparence et de favoriser le bon déroulement des investigations ». Elle a pour objectifs de rappeler les droits et obligations des organismes qui font l’objet d’un contrôle, au regard de la loi Informatique et libertés et du RGPD. Une nouvelle version de la charte est disponible depuis juin 2022 (Charte des contrôles de la CNIL, 27 juin 2022).

Procédure d’anticipation d’un éventuel contrôle sur place

Le DPO doit anticiper et mettre en place dans l’organisme une procédure à suivre en cas de contrôle inopiné de la CNIL. Cette procédure devrait, si possible, figurer sur l’intranet, en particulier en l’absence du DPO. Le DPO peut être le responsable des lieux, c’est-à-dire la personne qui est habilitée au sein de l’organisme à représenter le responsable du traitement ou le sous-traitant et accompagner les agents de la CNIL lors du contrôle. Ainsi, lors de sa prise de fonction, le DPO devrait obtenir une délégation de pouvoir en ce sens. De plus, il doit sensibiliser les membres du personnel aux dispositions du RGPD et de la loi Informatique et libertés par le biais de formations, notamment sur le déroulement d’un contrôle.

Exemple de procédure

Exemple de document à faire figurer sur l’intranet

Prévenir immédiatement M. ou Mme X, DPO de l’entreprise – Toutes ses coordonnées figurent sur l’intranet.

Vérification par le DPO ou en son absence par un représentant légal de l’entreprise, de l’identité des agents de la CNIL via leur carte professionnelle et/ou la délibération de la CNIL les nommant.

Conduire les agents habilités de la CNIL dans la salle dédiée aux visites CNIL – salle no X/Autorisation d’utiliser cette salle à tout moment pour les contrôles de la CNIL.

Le DPO ou un représentant légal de l’entreprise doit accompagner les contrôleurs tout au long de leur mission en mettant si possible en exergue le respect de la réglementation relative à la protection des données dans l’entreprise.

Lire attentivement l’ordre de mission et le document relatif au droit d’opposition (à signer).

Bien cadrer l’objet du contrôle et bien identifier les documents demandés par les contrôleurs.

Répondre aux questions posées si connaissance de la réponse à apporter.

Lorsque le contrôle nécessite l’accès aux données médicales, demander la présence d’un médecin parmi les contrôleurs pour délivrer une information sensible.

Noter toutes les questions de la CNIL et les réponses apportées lors du contrôle. Conserver une copie de tout ce qui est remis aux agents de la CNIL. Le DPO effectuera un compte-rendu pour le responsable du traitement ou le sous-traitant.

Vérifier le procès-verbal à signer par le DPO ou représentant légal de l’entreprise. Possibilité d’émettre des observations ou réserves.

Remarque

Depuis 2010, l’AFCDP met à la disposition de ses membres un document intitulé « Comment se préparer (sereinement) à un éventuel contrôle sur place de la CNIL » (http://www.afcdp.net).

Maîtriser le déroulement d’un contrôle sur place

La présence du DPO lors d’un contrôle de la CNIL est un atout pour l’organisme concerné. En effet, le DPO qui connaît les problématiques liées aux données à caractère personnel va assister et mettre en exergue auprès de la CNIL les mesures prises au sein de l’entreprise pour assurer le respect de la législation en vigueur.

Contrôle de l’identité des agents de la CNIL

En premier lieu, en cas de contrôle de la CNIL, le DPO doit vérifier l’identité des agents via leur carte professionnelle et/ou la décision d’habilitation de la CNIL désignant nommément les agents pouvant procéder à des missions de vérification (L. n° 78-17, 10 janv. 1978, art. 10 ).

Cette décision donne lieu à une délibération publiée au Journal officiel, actualisée et figurant sur le site internet de la CNIL (Délib. n° HAB-2022-006, 3 nov. 2022 : JO, 11 nov.). L’habilitation est délivrée en principe pour une durée de 5 ans renouvelable, à condition que l’agent concerné n’ait pas fait l’objet d’une condamnation à une peine correctionnelle ou criminelle inscrite au bulletin no 2 du casier judiciaire ( D. no 2019-536, 29 mai 2019, art. 16 et 17 : JO, 30 mai).

Remarque

La désignation d’un agent habilité des services de la CNIL pour procéder à une vérification auprès d’un organisme ne peut avoir lieu que si l’agent ne détient pas, ou n’a pas détenu au cours des 3 années précédant cette vérification, un intérêt (direct ou indirect) ou un mandat au sein de cet organisme et s’il n’exerce pas ou n’a pas exercé, au cours des trois années précédant cette vérification, une activité professionnelle au sein de cet organisme ( D. n° 2019-536, 29 mai 2019, art. 18).

A noter que les membres de la CNIL peuvent également être désignés pour procéder à ces missions de contrôle (L. n° 78-17, 10 janv. 1978, art. 19, I).

Certains contrôles nécessitent des habilitations particulières. Les agents qui procèdent à des vérifications portant sur des traitements de données à caractère personnel qui concernent la sûreté de l’État, la défense, la sécurité publique ou qui ont pour objet la prévention, la recherche, la constatation ou la poursuite des infractions pénales, l’exécution des condamnations pénales ou des mesures de sûreté, doivent bénéficier d’une habilitation spécifique délivrée par le Premier ministre (Déc. du Premier ministre 4 févr. 2022 : JO, 6 févr.). De même, les agents appelés dans le cadre de l’exécution de leur mission, à prendre connaissance d’informations classifiées au titre de la protection du secret de défense nationale, doivent y être habilités par le Premier ministre dans les conditions fixées par le code de la défense ( D. no 2019-536, 29 mai 2019, art. 23).

En pratique, la délégation de la CNIL comprend a minima un informaticien et un juriste.

Remarque

Le personnel d’accueil devrait être sensibilisé aux procédures des missions de contrôle de la CNIL. Il doit informer sans attendre le responsable désigné du site et/ou le DPO (qui le représente) de l’arrivée des agents de la CNIL. Quelles que soient les circonstances, ces derniers doivent être accueillis courtoisement.

Le DPO va ensuite conduire les agents de la CNIL à l’intérieur des locaux dans une salle dédiée afin de connaître les raisons du contrôle, et ce conformément à la procédure d’anticipation mise en place au sein de l’organisme.

Remarque

La CNIL a émis en juillet 2017 un communiqué d’alerte sur son site internet pour indiquer que les organismes doivent être vigilants et ne pas communiquer d’informations sur leur organigramme au vu de faux appels téléphoniques passés au nom de la CNIL. De la même manière, les organismes doivent vérifier l’identité des agents de la CNIL en cas de contrôle sur place avant la communication d’informations.

Informations délivrées par la délégation de contrôle de la CNIL

De leur côté, les agents de la CNIL vont, conformément à leur procédure, indiquer au DPO la raison de leur venue par la communication de l’ordre de mission et la décision du président de la CNIL relative à cette mission de contrôle. Le DPO interne à l’organisme peut être assisté de son équipe et/ou de son avocat lors du contrôle.

Les agents de la CNIL doivent également informer le responsable des locaux et/ou le DPO (qui le représente) de son droit d’opposition à cette visite. Cette information se matérialise par la signature d’un document d’information.

Remarque

La CNIL a dû revoir sa procédure à la suite d’un arrêt du Conseil d’État du 6 novembre 2009 qui avait estimé que le responsable des locaux devait être informé par la CNIL de son droit de s’opposer aux visites ( CE, 6 nov. 2009, no 304300 ).

Enfin, la CNIL doit informer le responsable du traitement ou le sous-traitant lorsque le contrôle est effectué à la demande d’un de ses homologues européens. La Commission doit aussi les informer du fait que les informations recueillies ou détenues par elle sont susceptibles d’être communiquées à cette autre autorité de contrôle dans le cadre du mécanisme de contrôle de la cohérence prévu par le RGPD et ce, que le contrôle ait été effectué à la demande d’une autre autorité de contrôle ou à la demande de la CNIL ( D. no 2019-536, 29 mai 2019, art. 30 : JO, 30 mai).

Pouvoirs des agents habilités de la CNIL lors d’un contrôle

Les membres et agents habilités de la CNIL peuvent :

  • demander communication de tous documents nécessaires à l’accomplissement de leur mission, quel qu’en soit le support, et en prendre copie (L. n° 78-17, 10 janv. 1978, art. 19, III) ;
  • recueillir sur place tout renseignement juridique ou technique, toute justification utile leur permettant d’apprécier le respect des dispositions en matière de protection des données personnelles ;
  • accéder aux programmes informatiques et aux données, et en demander la transcription ;
  • demander copie de contrats tels que les contrats de sous-traitance informatique, de formulaires, de dossiers papiers, de bases de données, etc. ;
  • échanger avec les membres du personnel (DPO, chef de service, informaticien, etc.).

Ils peuvent être assistés par des experts désignés par la CNIL.

Point de vue de l’AFCDP

L’AFCDP recommande qu’un collaborateur de l’organisme visité tienne un journal du déroulement intégral du contrôle sur place et y relève les heures d’arrivée et de départ journaliers des contrôleurs, toutes les demandes formulées par les agents de la CNIL, les réponses ou les moyens mis à leur disposition, les documents communiqués, les copies faites, la transcription des entretiens, la liste des locaux visités, les applications auxquelles ont accédé les agents, etc. Si les agents de la CNIL se dispersent sur le site, il faut veiller à ce que chacun d’entre eux soit accompagné et que chaque accompagnateur tienne un tel journal.

Gérer les suites du contrôle effectué

Procès-verbal du contrôle

En fin de contrôle, un procès-verbal est dressé par les agents de la CNIL (L. n° 78-17, 10 janv. 1978, art. 19, III ; D. no 2019-536, 29 mai 2019, art. 31 : JO, 30 mai).

Il est dressé contradictoirement en cas de contrôle sur place ou sur convocation, c’est-à-dire que le responsable des lieux ou son représentant (DPO) peut émettre des observations ou réserves.

Ce procès-verbal énonce la nature, le jour, l’heure et le lieu des contrôles effectués. Il précise également l’objet de la mission, les membres présents, les personnes rencontrées, leurs déclarations, les demandes formulées par les agents de la CNIL et les éventuelles difficultés rencontrées. L’inventaire des documents dont les agents de la CNIL ont pris copie est annexé au procès-verbal.

Lorsque le contrôle n’a pas pu s’effectuer, il est fait mention dans le procès-verbal des motifs ayant empêché ou entravé son déroulement, ainsi que, le cas échéant, des motifs de l’opposition du responsable des lieux ou de son représentant.

Le procès-verbal est signé par les contrôleurs de la CNIL et par le responsable des lieux ou son représentant (le DPO). En cas de refus ou d’absence de signature, il en est fait état dans le procès-verbal.

Ensuite, le procès-verbal est notifié au responsable des lieux (DPO) et au responsable des traitements ou au sous-traitant par lettre recommandée avec demande d’avis de réception. Le DPO a la possibilité de préciser certains points à la suite du procès-verbal, et ce notamment quand il n’a pas pu y assister.

Le DPO devra ensuite récupérer les documents demandés et fournir des explications supplémentaires dans un courrier. Il peut profiter de cette réponse pour clarifier une situation qui n’avait pas pu l’être lors du contrôle, en particulier en son absence.

Cette étape de la procédure est très importante car elle peut conditionner une clôture de dossier ou au contraire, en l’absence de documents et explications, une poursuite de la procédure.

Point de vue de l’AFCDP

Après le départ des agents de la CNIL, l’AFCDP recommande de réunir immédiatement les collaborateurs ayant participé au contrôle et d’établir un compte-rendu détaillé, qui sera adressé au responsable du traitement et au DPO. Le journal du déroulement du contrôle est immédiatement relu, commenté et enrichi ; il est annexé au compte-rendu.

Clôture du contrôle

Lorsque les constatations effectuées lors du contrôle n’appellent pas d’observations particulières ou lorsque les manquements observés par les contrôleurs ne justifient pas l’engagement d’une procédure contentieuse, il est procédé à la clôture du contrôle (CNIL, Règl. int., art. 58). Cette clôture s’effectue par courrier simple du président ou du vice-président délégué de la CNIL. Cette lettre peut contenir des recommandations (ex. : modification des durées de conservation des données, des mesures de sécurité, etc.).

Avertissement et rappel à l’ordre par le président de la CNIL

Le président de la CNIL peut avertir un responsable de traitement ou un sous-traitant que les opérations de traitement qu’il envisage de mettre en œuvre sont susceptibles de violer les dispositions du RGPD (L. n° 78-17, 10 janv. 1978, art. 20, I).Le président peut également rappeler à l’ordre un responsable de traitement ou un sous-traitant (L. n° 78-17, 10 janv. 1978, art. 20, II, 1er al.).

Ces mesures constituent ainsi, pour les manquements les moins graves, une alternative au prononcé d’une mise en demeure.

Mise en demeure pour les manquements constatés

Si les agents de la CNIL qui instruisent le dossier de contrôle constatent que le responsable du traitement ou le sous-traitant n’a pas répondu ou que les réponses apportées confirment le manquement, une procédure de mise en demeure peut être décidée par le président de la CNIL. La mise en demeure caractérise le ou les manquements du responsable de traitement ou du sous-traitant, précise le délai pour qu’il se mette en conformité ainsi que les conséquences de son non-respect (L. n° 78-17, 10 janv. 1978, art. 20  ; D. no 2019-536, 29 mai 2019, art. 38 : JO, 30 mai ; CNIL, Règl. int., art. 59 et 60).

Remarque

Le président de la CNIL peut fixer un délai de mise en conformité de l’organisme. Ce délai peut être fixé à 24 heures en cas d’urgence.

Même si la mise en demeure n’est pas en soi une sanction, elle semble l’être dans les faits en raison de sa publication sur le site de la CNIL pouvant porter atteinte à l’image de l’organisme et entraîner une perte de confiance des clients.

Si l’organisme répond à la CNIL en prenant des mesures pour se conformer aux prescriptions du RGPD et de la loi Informatique et libertés dans le délai imparti, une clôture du dossier pourra être envisagée et cette décision de la CNIL pourra être rendue publique (CNIL, Règl. int., art. 60).

Remarque

Il peut s’agir d’une mise en demeure de satisfaire aux demandes présentées par la personne concernée en vue d’exercer ses droits, de mettre les opérations de traitement en conformité avec les dispositions applicables, de communiquer à la personne concernée une violation de données à caractère personnel (à l’exception des traitements qui intéressent la sûreté de l’État ou la défense), de rectifier ou d’effacer des données à caractère personnel, ou encore de limiter le traitement de ces données.

En revanche, en cas d’absence de réponse à la mise en demeure ou de non-respect de ses injonctions, le dossier peut également être transmis à la formation restreinte (l’organe de sanction de la CNIL), qui peut prononcer des sanctions administratives en fonction de la gravité du manquement. Cette transmission à la formation restreinte n’est pas exclusive d’une dénonciation au parquet comme le prévoit l’article 40 du code de procédure pénale.

Conservation de documents obtenus lors du contrôle

Les données et documents dont il a été pris copie lors du contrôle sont conservés dans des conditions garantissant leur authenticité, leur intégrité et leur confidentialité, quel qu’en soit le support. Ils sont détruits en principe un an après la clôture du contrôle, sous réserve d’éventuels contentieux (CNIL, Règl. int., art. 57).

ChatGPT, révolution ou gadget technologique sans intérêt ?

Retrouvez dans cet article l'analyse de 2 spécialistes, Guillaume Jagerschmidt, avocat en droit des nouvelles technologies et Zacharie Laïk. avocat au barreau de New York, sur l’impact de l’utilisation de ChatGPT pour le métier des avocats en 2 points : pour une utilisation raisonnée de ChatGPT et faire monter les exigences et les compétences des juristes

Aller plus loin
Code de la cybersécurité 2024 annoté et commenté
Prévenir le risque cyber, défendre son activité et son patrimoine immatériel.
79,00 € TTC
Code de la cybersécurité 2024 annoté et commenté
Questions fréquemment posées

Qu’est-ce que la Cnil ?

La commission nationale de l’informatique et des libertés est l’autorité française chargée de veiller à la protection des données personnelles contenues dans les fichiers et traitements informatiques ou papiers, aussi bien publics que privés.

La Cnil a un rôle d'alerte, de conseil et d'information mais dispose également d'un pouvoir de contrôle et de sanction.

Quelles sanctions peut prononcer la Cnil ?

Lorsque des manquements au RGPD ou à la loi sont portés à sa connaissance, la Cnil peut : prononcer un rappel à l’ordre ; enjoindre au responsable de traitement de mettre ce traitement en conformité ; limiter temporairement ou définitivement un traitement ; suspendre les flux de données ; ordonner de satisfaire aux demandes d'exercice des droits des personnes ; prononcer une amende administrative. Pour les infractions les plus graves, le montant de l’amende prononcées par la Cnil peut s’élever jusqu’à 20 millions d’euros ou, dans le cas d’une entreprise, jusqu’à 4 % du chiffre d’affaires annuel mondial.

Les dernières actualités dans ce thème
Violation du RGPD, fondement possible de l'action pour concurrence déloyale
Droit des affaires
Protection des données personnelles (RGPD)
Violation du RGPD, fondement possible de l'action pour concurrence déloyale
28 oct. 2024