Comme nous vous en avons déjà fait part, la Commission Nationale de l’Informatique et des Libertés est entrée dans ce qu’elle qualifie elle-même d’année de répression.
En effet, le nombre de plaintes décuplé depuis l’entrée en vigueur du RGPD il y a plus d’un an désormais ne peut que laisser place à plus de contrôles de la part de l’autorité administrative.
Nous nous sommes donc dit qu’il était bon de faire un petit rappel sur le déroulement de ces derniers.
D’où commencent les contrôles effectués par la CNIL ?
Dans un premier temps, il faut savoir que la Commission effectue des centaines de contrôles par an. Cependant, ces derniers ne sont pas tous à l’initiative de l’autorité administrative elle-même.
Certes, chaque année, la CNIL définit plusieurs grandes thématiques qu’elle surveillera de près, et effectuera des contrôles si elle suspecte quoi que ce soit, et ce de sa propre initiative.
En guise de piqûre de rappel, les trois grandes thématiques de cette année 2019 sont :
- Le respect des droits des personnes : lorsque les citoyens effectuent une demande auprès d’une entreprise (comme par exemple : le droit d’effacement, de rectification ou d’accès à ses données personnelles), cette dernière se doit d’y répondre sous un délai donné. Ici la CNIL assure donc qu’une réponse claire et complète soit donnée aux citoyens.
- Le traitement des données des mineurs
- La répartition des responsabilités entre responsables de traitements et sous-traitants : avant, seuls les responsables de traitements pouvaient être sanctionnés par la Commission. Depuis l’arrivée du RGPD, les sous-traitants ont aussi leur part de responsabilité, ce qui permet une répartition plus juste des sanctions en cas de problème.
En revanche, les réclamations et signalements d’individus lambda comme vous et moi sont aussi à l’origine d’énormément de contrôles. Lorsqu’un organisme est cité un certain nombre de fois, la sonnette d’alarme est tirée et la CNIL risque fortement de se pencher sur le cas en question.
Ajoutons à cela les dispositifs de vidéo-protection ainsi que les investigations faites à la suite de procédures clôturées pour voir si une mise en conformité a bien été adoptée de la part des organismes sanctionnés, et vous aurez une vue d’ensemble des facteurs déclenchant un contrôle de la CNIL.
Qui peut être la cible d’un contrôle de la CNIL ?
Pour faire simple, l’autorité administrative a le droit de contrôler tout organisme qui serait amené à traiter des données à caractère personnel, ce qui inclut donc bon nombre d’établissements sur le territoire national.
Quelles sont les différentes formes possibles d’un contrôle ?
Lorsque la Commission le décide, elle peut donc effectuer des contrôles et ces derniers se divisent en 4 types :
- Les contrôles sur place : des représentants de l’autorité administrative se rendent au sein des locaux de l’établissement visé, et procèdent à une enquête concernant le traitement des données de l’entreprise.
- Les contrôles en ligne : ici, les agents de la CNIL effectuent donc un contrôle à distance, observant les données libres d’accès qu’ils peuvent trouver en ligne. En cas de manquement visible à distance, la Commission pourra bien évidemment procéder à un procès-verbal.
- Les contrôles sur convocation : à l’inverse des contrôles sur place, ce sont cette fois-ci les dirigeants des établissements ciblés qui doivent se déplacer suite à une convocation envoyée par courrier. L’objectif reste cependant le même, effectuer une vérification quant au traitement des données par le biais de questions ou bien en demandant directement un accès aux ressources informatiques de l’entreprise.
- Les contrôles sur pièces : pas de rencontre physique pour ces derniers, simplement un courrier envoyé à un responsable de traitement ou un sous-traitant, accompagné d’un questionnaire qui a pour but d’évaluer la conformité des traitements mis en œuvre par les concernés. Ce questionnaire est généralement accompagné d’une demande de documents qui viendront appuyer la véracité des réponses obtenues.
Chacun de ces contrôles nécessite la rédaction d’un procès-verbal afin que les agents de la Commission relatent de manière factuelle les informations dont ils ont pris connaissance, à l’exception du contrôle sur pièces.
Ces 4 formes de contrôles peuvent être effectuées de manière indépendante, mais peuvent tout aussi bien être complémentaires. Alors, l’autorité administrative peut tout à fait initier ses démarches par un contrôle en ligne, puis effectuer un contrôle sur pièces suivi d’un contrôle sur place si elle l’estime nécessaire.
Et si je décide de m’opposer à un contrôle de la CNIL ?
Je ne saurais évidemment que trop vous conseiller de ne pas partir sur ce terrain semé d'embûches…
Au mieux, s’opposer à un contrôle ne fera que retarder ce dernier. La Commission devra demander une permission de poursuivre ce contrôle au juge des libertés et de la détention (JLD), qui autorisera à coup sûr la poursuite de ce dernier.
En revanche, il est aussi possible que la CNIL ait décrété qu’une situation soit qualifiée d’urgente de par la gravité des faits à l’origine du contrôle ou bien le risque de destruction et/ou dissimulation de documents. Toujours en demandant au préalable au JLD, l’autorité administrative se verra dans la possibilité d’effectuer son contrôle sans même avoir à prévenir le responsable de l’établissement contrôlé, rendant de fait l’opposition impossible.
A noter tout de même qu’en plus de ne pas échapper à un contrôle, toute personne tentant de s’y opposer peut se voir punie d’une année d’emprisonnement ainsi que de 15.000€ d’amende, pour motif d’entrave à l’action de la CNIL.
S’opposer au bon déroulement de l’exercice des missions de la Commission lorsqu’une visite a été autorisée par un juge est donc considéré comme de l’entrave, mais aussi :
- Le refus de communiquer, la dissimulation ou destruction de renseignements utiles au contrôle
- La communication d’informations non-conformes au contenu des enregistrements tel qu’il l’était au moment de la demande de la CNIL
Et enfin, que se passe-t-il à la suite d’un contrôle de la CNIL ?
Soit il n’y a pas ou peu d’observations, auquel cas le dossier est clôturé et un courrier est envoyé.
Soit il y a un manquement sérieux, et dans ce cas deux situations sont possibles :
- La présidente de la CNIL peut prononcer une mise en demeure. Dès lors, l’organisme devra se mettre en conformité dans un délai défini par la CNIL. S’il y a toujours un manquement, une sanction sera prononcée.
- La formation restreinte (organe de la CNIL chargé de prononcer les sanctions) peut, sans mise en demeure, directement adresser une sanction à l’organisme en question.
Dans les deux cas, la sanction peut être non-pécuniaire, et prendre forme sous un simple rappel à l’ordre, une injonction sous astreinte… Ou pécuniaire, dans ce cas, le montant peut aller jusqu’à 4% du CA global de l’entreprise, ou 20 millions d’euros.
Enfin, la Commission peut décider à terme de ses décisions prises, de rendre publique ou non la sanction, par le biais d’un article sur son site par exemple.
On vous l’accorde, tout ça ne semble pas très joyeux si ça vous tombe sur le bout du nez… Cependant, il existe une manière simple pour éviter de telles sanctions : la mise en conformité bien évidemment, et ça chez Axeptio, on en fait notre affaire !
Tester gratuitement la solution axeptio
Ne partez pas si vite
Séisme dans le monde des CMP : le protocole TCF de l’IAB est déclaré illégal !
La décision du 02 février 2022 rendue par l'APD belge est un vrai cataclysme pour l'IAB et le protocole TCF ! Christophe Landat, avocat et DPO d'Axeptio, en présente le contenu.
Mise à jour septembre 2022 : Condamnée par l'Autorité de Protection des Données (CNIL Belge) pour violation du RGPD, notamment à une amende de 250 000€, la division européenne de l’Interactive Advertising Bureau a fait appel de cette décision.
5 conseils pour réussir la mise en conformité RGPD de votre mairie
Maxime JAILLETVotre mairie doit intégrer les exigences du RGPD et de la directive ePrivacy et ce, compte tenu de risques croissants liés à votre activité. Ca vous effraie ? Pas de panique car la tendance est à la mutualisation des ressources : le Data Protection Officer comme les outils IT. Et pour gérer la conformité de votre site web, il suffit de faire comme dans la vraie vie.
Cybersécurité, données de santé et cookies, priorités de la CNIL en 2021
Maxime JAILLETLa CNIL a dévoilé son programme de contrôles pour 2021. Quels seront les thèmes prioritaires ? La sécurité IT des sites web ; le traitement des données de santé (ce qui concernera les acteursdu secteur de la santé mais pas seulement) et les cookies. On vous dit tout.