RGPD : la charte des contrôles de la CNIL

Actualité
RH RGPD

La CNIL s’est dotée d’une charte des contrôles afin d’assurer une plus grande transparence sur les contrôles relatifs à l’application du RGPD.

RGPD : la charte des contrôles de la CNIL
Publié le
Télécharger en PDF

Cet article a été publié il y a 4 ans, il est donc possible qu'il ne soit plus à jour.

Les contrôles sur le traitement des données personnelles

La CNIL a plusieurs missions et pouvoirs, dont la possibilité de contrôler et de sanctionner des organismes qui ne respectent pas le Règlement général sur la protection des données (RGPD) ou la loi Informatique et Libertés.

Ces contrôles permettent également d’apprécier des enjeux émergents en matière de protection des données et de vie privée des personnes.

Les vérifications sont particulièrement encadrées.

Elles peuvent s’effectuer sur place, sur convocation dans ses locaux, en ligne ou sur pièces.

300 contrôles ont ainsi été réalisés en 2019, dont 53 contrôles en ligne et 45 contrôles sur pièces.

Si les plaintes et réclamations sont une source importante de contrôles (43 % en 2019), la CNIL peut également effectuer des investigations de sa propre initiative, par exemple en réponse à l’actualité.

En outre, elle établit chaque année un programme des thématiques prioritaires pour les contrôles à venir.

L’objectif de la charte des contrôles

En raison des enjeux particulièrement forts de ces contrôles, il est essentiel que les organismes concernés comprennent le déroulement de ces investigations et sachent comment la CNIL peut intervenir.

La charte des contrôles de la CNIL a ainsi pour objectif de rappeler, aussi précisément que possible, les droits et obligations des organismes faisant l’objet d’un contrôle, au regard notamment de la loi Informatique et Libertés et du RGPD.

La CNIL précise également le déroulement et les suites d’un contrôle, quel qu’en soit sa forme, ainsi que les principes de bonne conduite à suivre dans ce cadre.

Les pouvoirs des agents de la CNIL

La CNIL rappelle que ses agents ont notamment la possibilité :

  • D’accéder à tous lieux, locaux, enceintes, installations ou établissements servant à la mise en œuvre d’un traitement de données personnelle ;
  • De se faire communiquer tous renseignements ou documents utiles.

Les agents de la CNIL ont aussi des obligations : respect du secret professionnel, de principes de bonne conduite, etc…

Les droits et obligations des entreprises contrôlées

La charte de la CNIL rappelle les droits et obligations de l’entreprise contrôlée et rappelle notamment que :

  • L’employeur ne peut pas refuser un contrôlemais il a la possibilité, dans le cadre d’un contrôle sur place, de s’opposer à la visite de ses locaux par la CNIL, sauf si cette visite a été autorisée par un juge des libertés et de la détention.
  • L’employeur peut se faire assisterpar tout conseil de son choix lors d’un contrôle sur place ou d’une audition sur convocation.

Le déroulement du contrôle

Généralement, l’employeur n’est pas prévenu du contrôle.

La CNIL décrit le déroulement des différents types de contrôle.

Ainsi, par exemple, un contrôle sur place se déroule de la manière suivante :

  • Entretiens destinés à recueillir des informations relatives à l’entreprise et aux traitements mis en œuvre ;
  • Constats et recueils des pièces permettant d’apprécier la conformité à la loi Informatique et Libertés et au RGPD des traitements de données mis en œuvre ;
  • Etablissement d’un procès-verbal, indiquant notamment les informations communiquées et les constatations opérées, que l’employeur signera en y formulant le cas échéant des observations ;
  • Une copie du PV est remise en mains propres à l’employeur à la fin du contrôle.

Pendant la phase d’instruction, qui peut se dérouler sur plusieurs mois, un échange s’instaure entre la CNIL et le responsable du traitement. Ainsi, par exemple, la CNIL demande des informations complémentaires, le responsable peut lui en adresser.

L’issue du contrôle

La procédure est close :

  • Si aucun manquement n’est établi ;
  • Si des manquements sans gravité sont constatés, la présidente de la CNIL faisant alors des recommandations à l’entreprise pour qu’elle y remédie.

Si un ou des manquements sont constatés, la présidente de la CNIL peut mettre en demeure l’employeur de se conformer aux dispositions du RGPD et de la loi Informatique et Libertés.

S’il ne s’y prête pas dans le délai imparti (entre 24 heures et 6 mois), la procédure peut déboucher sur une sanction administrative.

La CNIL peut infliger une amende administrative, dont le montant peut s’élever jusqu’à 20 millions d’euros ou 4 % du chiffre d’affaires annuel mondial.

Quelle que soit l’issue du contrôle, un nouveau contrôle est toujours possible.

Téléchargement de la charte

https://www.cnil.fr/sites/default/files/atoms/files/cnil-charte_des_controles.pdf