RGPD – L’essentiel à savoir sur les contrôles & sanctions de la CNIL

RGPD : Comment se déroule un contrôle de la CNIL ?

En France, c’est la CNIL qui est chargée de vérifier que les organisations respectent bien le RGPD. Tous les organismes publics et toutes les organisations privées faisant du traitement de données personnelles sur des résidents français (entreprises, associations…) peuvent faire l’objet d’un contrôle. La décision d’effectuer un contrôle est prise par le Président de la CNIL sur proposition des agents de la CNIL.

Les contrôles sont effectués par des membres de la CNIL experts en droit de la protection des données personnelles. Le contrôle de la CNIL peut prendre quatre formes différentes :

• Le contrôle sur place : Les membres de la CNIL (au nombre de deux en général) se déplacent dans les locaux de l’organisation et réalisent des investigations de terrain pour analyser la manière dont sont effectués les traitements de données personnelles. Les membres de la CNIL peuvent venir accompagnés d’experts lors du contrôle : par exemple un médecin si le contrôle porte sur des traitements de données médicales. Si la CNIL craint que l’entreprise détruise ou dissimule des documents avant le contrôle, elle peut se présenter pour un contrôle sans en avoir informé l’organisation en amont – à condition d’avoir obtenu l’autorisation préalable du juge des libertés et de la détention.
• Le contrôle sur audition : La CNIL peut convoquer dans ses propres locaux des représentants de l’organisation contrôlée (des responsables des traitements ou des sous-traitants) afin de procéder à des auditions. Les convocations sont remises aux personnes concernées au moins 8 jours avant le jour du contrôle, soit par courrier remis contre signature, soit par remise en main propre voire par un huissier de justice.
• Le contrôle en ligne. La CNIL peut aussi réaliser des vérifications sur internet. Ce type de contrôle a été institué par la Loi Hamon de 2014.
• Le contrôle sur pièces : la CNIL envoie par courrier un questionnaire d’évaluation avec une liste de documents justificatifs à retourner.

Sur quoi portent les contrôles de la CNIL ?

Les contrôles portent sur les traitements que réalise l’entreprise sur les données personnelles : Comment les données sont-elles collectées ? Quelle est la nature des données collectées ? Y a-t-il des données à caractère sensible ? Comment les données sont-elles stockées / conservées dans le système d’information ? Comment sont-elles utilisées ? Etc.

Il y a des points qui font l’objet d’un contrôle minutieux par la CNIL :

• Le respect des droits des personnes. Est-ce que l’entreprise garantit aux personnes les droits consacrés par le RGPD : droit à l’oubli, droit de rectification, droit de portabilité des données, etc. ?
• Les traitements portant sur les données sensibles, en particulier les données sur les personnes mineures.
• Les relations contractuelles entre les responsables des traitements et les sous-traitants.

Que se passe-t-il suite à un contrôle de la CNIL ?

Il faut distinguer deux cas. Si aucun manquement important n’a été relevé par la CNIL, si votre entreprise est conforme au RGPD, vous recevrez un courrier indiquant que votre dossier a été clôturé. Ce courrier peut présenter quelques observations.

Lorsque des manquements graves au RGPD ont été constatés, la CNIL envoie un courrier de mise en demeure signé par le Président de la CNIL. Ce courrier précise les mesures à prendre pour mettre en conformité l’organisation et fixe un délai de réalisation pouvant aller de 10 jours à 6 mois. La mise en demeure équivaut à un avertissement. Ce n’est donc pas une sanction.

Par contre, si les mesures demandées par la CNIL ne sont pas prises dans le délai imparti, la CNIL se réserve le droit d’infliger une sanction financière. Cette sanction peut atteindre jusqu’à 20 millions d’euros ou 4% du chiffre d’affaires mondial de l’entreprise en infraction. Comme on peut le constater, ces sanctions sont particulièrement lourdes. C’est pour cette raison qu’en général la CNIL commence par envoyer un rappel à l’ordre ou une injonction sous astreinte avant de prendre une décision de sanction financière.

La décision de la CNIL (rappel à l’ordre, injonction sous astreinte ou sanction pécuniaire) dépend :

• De la gravité des manquements au RGPD constatés.
• De la manière dont se comporte l’entreprise : sa bonne foi, son niveau de coopération…

RGPD : Est-il possible de s’opposer à un contrôle de la CNIL ?

L’article 44 de la loi Informatique & Libertés prévoit les conditions dans lesquelles peut s’exercer un droit d’opposition au contrôle de la CNIL. Le responsable des traitements doit indiquer les motifs de son opposition au contrôle dans le procès-verbal d’opposition. Ce procès-verbal est ensuite remis par la CNIL au juge des libertés et de la détention. Celui-ci dispose de 48h pour autoriser ou non la CNIL à effectuer le contrôle.

Ce qu’il faut retenir : en cas de refus de contrôle, c’est in fine le juge qui décide d’autoriser ou non le contrôle. Il faut que l’entreprise ait un motif légitime de s’opposer au contrôle de la CNIL pour pouvoir l’éviter. Exemple de motif : la violation du secret professionnel.

Il y a délit d’entrave au contrôle de la CNIL dans trois cas :

• L’organisation entrave le contrôle sur place de la CNIL lorsque celui-ci a été autorisé par le juge des libertés et de la détention.
• L’entreprise refuse de communiquer des documents utiles au contrôle, les dissimule ou les détruit.
• L’organisation modifie des informations.