RGPD – L’essentiel à savoir sur les contrôles & sanctions de la CNIL

Le règlement général sur la protection des données personnelles, plus connu sous son acronyme RGPD, est entré en vigueur en mai 2018. Il impose de nouvelles obligations aux entreprises en matière d’utilisation et de sécurisation des données personnelles. La CNIL est l’organisme chargé de s’assurer que les entreprises ont pris les mesures nécessaires de mise en conformité. Elle peut exercer des contrôles et infliger des sanctions financières en cas de manquements. Voici l’essentiel de ce qu’il faut connaître sur les pouvoirs de contrôle et de sanctions de la CNIL.

Sommaire :
Trouver un DPO
Vous êtes à la recherche d'un "Data protection officer" ?

RGPD : Comment se déroule un contrôle de la CNIL ?

En France, c’est la CNIL qui est chargée de vérifier que les organisations respectent bien le RGPD. Tous les organismes publics et toutes les organisations privées faisant du traitement de données personnelles sur des résidents français (entreprises, associations…) peuvent faire l’objet d’un contrôle. La décision d’effectuer un contrôle est prise par le Président de la CNIL sur proposition des agents de la CNIL.

Les contrôles sont effectués par des membres de la CNIL experts en droit de la protection des données personnelles. Le contrôle de la CNIL peut prendre quatre formes différentes :

  • Le contrôle sur place : Les membres de la CNIL (au nombre de deux en général) se déplacent dans les locaux de l’organisation et réalisent des investigations de terrain pour analyser la manière dont sont effectués les traitements de données personnelles. Les membres de la CNIL peuvent venir accompagnés d’experts lors du contrôle : par exemple un médecin si le contrôle porte sur des traitements de données médicales. Si la CNIL craint que l’entreprise détruise ou dissimule des documents avant le contrôle, elle peut se présenter pour un contrôle sans en avoir informé l’organisation en amont – à condition d’avoir obtenu l’autorisation préalable du juge des libertés et de la détention.
  • Le contrôle sur audition : La CNIL peut convoquer dans ses propres locaux des représentants de l’organisation contrôlée (des responsables des traitements ou des sous-traitants) afin de procéder à des auditions. Les convocations sont remises aux personnes concernées au moins 8 jours avant le jour du contrôle, soit par courrier remis contre signature, soit par remise en main propre voire par un huissier de justice.
  • Le contrôle en ligne. La CNIL peut aussi réaliser des vérifications sur internet. Ce type de contrôle a été institué par la Loi Hamon de 2014.
  • Le contrôle sur pièces : la CNIL envoie par courrier un questionnaire d’évaluation avec une liste de documents justificatifs à retourner.

Bon à savoir : Ces contrôles peuvent être réalisés de manière complémentaire. Par exemple un contrôle sur pièces peut être mené en amont d’un contrôle sur place.

Sur quoi portent les contrôles de la CNIL ?

Les contrôles portent sur les traitements que réalise l’entreprise sur les données personnelles : Comment les données sont-elles collectées ? Quelle est la nature des données collectées ? Y a-t-il des données à caractère sensible ? Comment les données sont-elles stockées / conservées dans le système d’information ? Comment sont-elles utilisées ? Etc.

Découvrez notre guide complet sur l’audit RGPD, première étape du projet de mise en conformité.

Il y a des points qui font l’objet d’un contrôle minutieux par la CNIL :

  • Le respect des droits des personnes. Est-ce que l’entreprise garantit aux personnes les droits consacrés par le RGPD : droit à l’oubli, droit de rectification, droit de portabilité des données, etc. ?
  • Les traitements portant sur les données sensibles, en particulier les données sur les personnes mineures.
  • Les relations contractuelles entre les responsables des traitements et les sous-traitants.

Que se passe-t-il suite à un contrôle de la CNIL ?

Il faut distinguer deux cas. Si aucun manquement important n’a été relevé par la CNIL, si votre entreprise est conforme au RGPD, vous recevrez un courrier indiquant que votre dossier a été clôturé. Ce courrier peut présenter quelques observations.

Lorsque des manquements graves au RGPD ont été constatés, la CNIL envoie un courrier de mise en demeure signé par le Président de la CNIL. Ce courrier précise les mesures à prendre pour mettre en conformité l’organisation et fixe un délai de réalisation pouvant aller de 10 jours à 6 mois. La mise en demeure équivaut à un avertissement. Ce n’est donc pas une sanction.

Par contre, si les mesures demandées par la CNIL ne sont pas prises dans le délai imparti, la CNIL se réserve le droit d’infliger une sanction financière. Cette sanction peut atteindre jusqu’à 20 millions d’euros ou 4% du chiffre d’affaires mondial de l’entreprise en infraction. Comme on peut le constater, ces sanctions sont particulièrement lourdes. C’est pour cette raison qu’en général la CNIL commence par envoyer un rappel à l’ordre ou une injonction sous astreinte avant de prendre une décision de sanction financière.

La décision de la CNIL (rappel à l’ordre, injonction sous astreinte ou sanction pécuniaire) dépend :

  • De la gravité des manquements au RGPD constatés.
  • De la manière dont se comporte l’entreprise : sa bonne foi, son niveau de coopération…

Découvrez notre article complet sur la certification RGPD.

RGPD : Est-il possible de s’opposer à un contrôle de la CNIL ?

L’article 44 de la loi Informatique & Libertés prévoit les conditions dans lesquelles peut s’exercer un droit d’opposition au contrôle de la CNIL. Le responsable des traitements doit indiquer les motifs de son opposition au contrôle dans le procès-verbal d’opposition. Ce procès-verbal est ensuite remis par la CNIL au juge des libertés et de la détention. Celui-ci dispose de 48h pour autoriser ou non la CNIL à effectuer le contrôle.

Ce qu’il faut retenir : en cas de refus de contrôle, c’est in fine le juge qui décide d’autoriser ou non le contrôle. Il faut que l’entreprise ait un motif légitime de s’opposer au contrôle de la CNIL pour pouvoir l’éviter. Exemple de motif : la violation du secret professionnel.

Attention, il faut bien distinguer ce droit d’opposition du délit d’entrave. En vertu de l’article 51 de la loi Informatique & Libertés, entraver l’action de la CNIL est un délit passible de 15 000 € d’amende et d’un an de prison.

Il y a délit d’entrave au contrôle de la CNIL dans trois cas :

  • L’organisation entrave le contrôle sur place de la CNIL lorsque celui-ci a été autorisé par le juge des libertés et de la détention.
  • L’entreprise refuse de communiquer des documents utiles au contrôle, les dissimule ou les détruit.
  • L’organisation modifie des informations.
 

Vous avez reçu un courrier de la CNIL vous informant de sa décision de contrôler la conformité de votre entreprise au RGPD ? Sachez que vous pouvez vous faire assister par un avocat le jour du contrôle de la CNIL. Nous vous recommandons de faire appel à un avocat expert en protection des données personnelles.

FAQ : Divorce, droit de la famille

Cette procédure peut conduire à des condamnations sous astreinte et des  amendes allant jusqu’à 20 000 000 € ou 4% du chiffre d’affaires annuel, avec le montant le plus élevé retenu. En outre, la CNIL peut décider de rendre la décision publique ce qui peut être dévastateur.

Cette procédure réservée aux cas peu complexes, mais qui peut être prononcée par un seul membre de la CNIL désigné à cet effet, peut amener à des sanctions de mise en conformité sous astreinte et une amende maximale de 20 000 €