Point sur les contrôles de la CNIL : les suites d'un contrôle !
Dans l'univers numérique, la Commission Nationale de l'Informatique et des Libertés (CNIL) est le régulateur des données personnelles et ce, depuis sa création avec la loi Informatique et Libertés du 6 janvier 1978.
La CNIL a présenté une charte des contrôles dans le but d’aider les responsables de traitements de données à caractère personnel à comprendre comment elle mène à bien sa mission de protection et quelles sont ses méthodes d’intervention.
A la suite de nos deux premiers articles sur la charte de la CNIL, notamment sur le déroulement des contrôles et ses différentes formes et ensuite sur les pouvoirs, les droits et les obligations de la CNIL, les agents de cette dernière ainsi que la société faisant l’objet d’un contrôle, nous vous présenterons dans cet article les points clés à retenir à la suite d’un contrôle de la CNIL - et notamment nos suggestions pour les “best practices'“.
LES SUITES D’UN CONTRÔLE
A la suite d’un contrôle effectué par la CNIL, un procès-verbal est notifié au responsable de traitement de l’organisme concerné et ce dans un délai de 15 jours à compter du contrôle par courrier recommandé avec accusé de réception.
La CNIL va ensuite procéder à l'analyse des pièces récoltées afin de déterminer le niveau de conformité de l’organisme aux dispositions de la loi Informatique et Libertés et au RGPD.
L’organisme pourra pendant la phase d’instruction ou postérieurement au contrôle, adresser à la CNIL des observations et la tenir informée d’éventuelles modifications apportée à leur manière de traiter les données personnelles.
À l’issu d’un contrôle, la CNIL peut décider soit de clôturer la procédure, soit ordonner des mesures correctrices et sanctions. Dans tous les cas, elle pourra procéder ultérieurement à des vérifications auprès de l’organisme concerné.
L’article 58 du RGPD confère à la présidente de la CNIL la possibilité de rappeler à l’ordre un responsable de traitement ou un sous-traitant, que les opérations de traitement qu’il envisage de mettre en oeuvre sont susceptibles de violer les dispositions des textes précités.
Elle pourra également, en cas de manquements significatifs, mettre en demeure l'organisme de se conformer à la législation en adoptant telles ou telles mesures. Le délai imparti pour se conformer varie généralement entre 24 heures (en cas d’extrême urgence) et 6 mois.
Suite à cela, l’organisme mis en demeure devra apporter une réponse étayée et fournir les justificatifs appuyant ses propos pour démontrer l’effectivité de sa mise en conformité.
Lors d’une procédure contradictoire, la Présidente peut désigner un rapporteur qui saisira la formation restreinte de la CNIL afin de prononcer des sanctions (pécuniaires ou non) ou une relaxe.
Cette formation peut prononcer diverses mesures telles qu’un rappel à l’ordre, une injonction de mise en conformité qui peut être assortie d’une astreinte dont le montant ne peut excéder 100,000 euros par jour de retard et dans certains cas, une amende administrative peut être encourue par l’organisme (dont le montant peut s’élever jusqu’à 20 millions d’euro ou 4% du chiffre annuel mondial en cas de non-respect des principes fondamentaux du RGPD, du droit des personnes etc.)
Les 3 cas dans lesquels une procédure de sanction peut être déclenchée :
Si l’organisme ne répond pas suite à une mise en demeure ;
En cas d’absence de mise en conformité dans le délai imparti par la mise en demeure ;
En cas de manquements significatifs constatés (ici, une procédure de sanction peut être engagée sans mise en demeure préalable).
QUE RETENIR ?
Les principes de bonne conduite lors d’un contrôle de la CNIL sont les suivants :
Répondre aux questions posées par les contrôleurs avec loyauté et coopérer avec ces derniers
Communiquer les pièces et explications demandées dans des délais raisonnables
Conserver une attitude neutre, professionnelle et courtoise pendant la durée du contrôle.
Si vous avez des questions relatives à la conformité du traitement de vos données au RGPD ou à la loi Informatique et Libertés, n’hésitez pas à nous contacter !
Article rédigé par Manon Coste @ Gerrish Legal, septembre 2020 / Photo de couverture : Daniel Fazio sur Unsplash