Point sur les contrôles de la CNIL : contrôle de la mise en oeuvre des traitements
Dans l'univers numérique, la Commission Nationale de l'Informatique et des Libertés (CNIL) est le régulateur des données personnelles et ce, depuis sa création avec la loi Informatique et Libertés du 6 janvier 1978. Elle accompagne ainsi les professionnels dans leur mise en conformité et aide les particuliers à maîtriser leurs données personnelles et exercer leurs droits.
La CNIL a présenté une charte des contrôles dans le but d’aider les responsables de traitements de données à caractère personnel à comprendre comment elle mène à bien sa mission de protection et quelles sont ses méthodes d’intervention.
Nous vous présenterons dans ce premier article les points clés à retenir dans le cadre d’un contrôle de la mise en oeuvre des traitements des données personnelles.
N’hésitez pas à consulter nos autres articles sur les contrôles de la CNIL - notamment sur les droits et obligations des acteurs, et les points à retenir !
Petit rappel:
Rappelons dans un premier temps que le traitement des données personnelles, selon la CNIL, correspond à:
“toute opération ou tout ensemble d'opérations portant sur de telles données, que le procédé utilisé soit automatisé ou non, et indépendamment du nombre de données traitées. Le traitement est ainsi constitué, par exemple, par la collecte, l’enregistrement, l’organisation, la conservation, la modification, l’extraction, la consultation, l’utilisation, la communication, le rapprochement ou bien encore l’effacement de données”.
Comme il a été dit précédemment, la CNIL s’assure que toute personne manipulant des données à caractère personnel, le fait en ne portant pas atteinte aux droits et libertés des personnes concernées.
En d’autres termes, tout traitement de données personnelles mis en oeuvre peut donner lieu à un contrôle, qu’importe que ledit traitement se fasse sur le territoire français ou à l’étranger dès lors que l’organisme détient une activité en France.
La CNIL pourra également exercer son contrôle dans le cadre du RGPD lorsque le traitement mis en oeuvre concerne des personnes résidant en France, que l’organisme soit ou non situé en France. La CNIL peut également intervenir auprès des prestataires sous-traitants en charge de la mise en œuvre d’un traitement pour le compte d’un organisme responsable de traitement.
Les organismes doivent être vigilents et répondre du principe de responsabilisation (“accountability”) qui implique la mise en place d’un registre recensant les traitements mis en œuvre et lorsque c’est nécessaire, une analyse d’impact relative à la protection des données.
Lorsqu’elle va effectuer son contrôle, la CNIL va prendre en compte un panel de paramètres telles que la finalité et la nature des données collectées ainsi que leur durée de conservation. Naturellement, les organismes devront témoigner de la sécurisation des données collectées qui en a été faite.
L'initiative d’un contrôle peut résulter de plusieurs possibilités :
De thématiques prioritaires annuelles de contrôle jugées sensibles en raison de leur impact sur la vie privée de nombreuses personnes. Elles sont déterminées à l’avance chaque année et publiées sur le site web de la CNIL ;
De réclamations et de plaintes adressées à la CNIL concernant des défauts de conformité aux règles relatives à la protection des données personnelles (elles représentent à elles seules plus de 40% des contrôles effectués) ;
Des initiatives suite par exemple à un phénomène d’actualité en lien avec la protection des données et qui est susceptible de poser problème ;
Des dispositifs de vidéoprotection qui sont contrôlés par la CNIL qui a compétence d’après le Code de la sécurité intérieure (il s’agit des caméras de surveillance filmant les lieux ouverts au public) ;
Les procédures de contrôle clôturées, les mises en demeure et sanctions nécessitent souvent une investigation ultérieure afin de contrôler la mise en conformité effective des organismes.
Quelle forme peut prendre un contrôle ?
La CNIL peut opérer un contrôle sur place, par audition sur convocation, directement en ligne depuis ses locaux ou encore organiser un contrôle sur pièces par le biais d’un questionnaire envoyé par voie postale à l’organisme.
L’ensemble de ces modes de contrôle, excepté le dernier, nécessite la rédaction d’un procès-verbal qui fera état des informations collectées par les agents de la CNIL ainsi que de leurs observations.
Attention, les missions de vérifications s’effectuent généralement sans que les organismes ne soient prévenus à l’avance de la tenue d’un tel contrôle.
Le déroulement d’un contrôle sur place en 3 étapes :
Des entretiens ont lieu afin de recueillir des éléments d’information relatifs à l’organisme contrôlé et aux traitements mis en oeuvre ;
Des constatations sont établies et les pièces qui permettent d’apprécier la conformité à la loi et au RGPD sont recueillies ;
Le procès-verbal est soumis à la relecture et à la signature du responsable des lieux et des agents de contrôle de la CNIL (le responsable pourra également faire des observations écrites).
Lorsque le contrôle a été autorisé par une ordonnance du juge des libertés et de la détention, ce dernier peut autoriser la CNIL à se faire assister de la force publique. En pratique, cela signifie que les contrôleurs de la CNIL peuvent être accompagnés d’agents de la police ou de la gendarmerie afin de constater, le cas échéant, une entrave au bon déroulement de la mission de contrôle telle qu’autorisée par le juge.
Un recours est possible contre une telle ordonnance devant le premier président de la cour d’appel mais n’étant pas suspensif, cela n’empêchera pas l’exécution dudit contrôle.
Lorsqu’il s’agit d’un contrôle en ligne, des conditions spécifiques sont mises en place pour garantir l’authenticité et l’intégrité des éléments recueillis lors de l’investigation. Notamment, un poste informatique et une connexion internet dédiés aux seules opérations de contrôle en ligne sont mis à disposition des contrôleurs. Leur objectif premier étant la récolte d’éléments techniques et juridiques permettant d’évaluer les conditions dans lesquelles sont mis en œuvre les traitements. Dans le cas d’un contrôle en ligne réalisé à la suite d’un signalement d’une violation de données, celui-ci a également pour objet de constater l’existence et l’étendue de la violation de données.
Ainsi, comme tout internaute, les agents de la CNIL peuvent compléter des formulaires en ligne, tester des liens de désinscription ou des procédures permettant l’exercice des droits. Les agents de contrôle peuvent faire usage d’une identité d’emprunt pour les opérations de contrôle en ligne. À la fin, un procès verbal sera dressé.
Pour un contrôle sur audition, un courrier de convocation est adressé à l’organisme au moins 8 jours avant la date de l’audition (indiquant l’objet du contrôle, la date, l’heure et le lieu de l’audition ainsi que le droit de l’organisme de se faire assister d’un conseil de son choix). L’audition se déroule, en principe, dans les locaux de la CNIL à Paris. Puis, le déroulement du contrôle est le même que le contrôle sur place (cf. les 3 étapes).
Enfin, s’agissant du contrôle sur pièces, il consiste en l’envoi d’un questionnaire à l’organisme visé, par courrier recommandé avec avis de réception. Le questionnaire est adressé à l’organisme avec un courrier qui indique l’objet du contrôle, le délai imparti pour répondre au questionnaire et transmettre les documents demandés, au format demandé, ainsi que la possibilité pour l’organisme d’envoyer toute autre documentation utile. La copie de la décision de contrôle et l’ordre de mission sont joints au courrier. Deux moyens pour adresser sa réponse : par lettre recommandée avec accusé de réception ou par voie électronique ou via un support numérique (clé USB, DVD-ROM).
N’hésitez pas à consulter nos autres articles sur les contrôles de la CNIL - notamment sur les droits et obligations des acteurs, et les points à retenir !
Si vous avez des questions relatives à la conformité du traitement de vos données au RGPD ou à la loi Informatique et Libertés, n’hésitez pas à nous contacter !
Article rédigé par Manon Coste, septembre 2020 / Photo de couverture : John Schnobrich sur Unsplash