Les contrôles de la Cnil peuvent être effectués auprès de tout organisme public ou privé traitant des données personnelles.
Ces investigations permettent à la Cnil de vérifier que les données sont traitées par l’organisme en conformité avec la réglementation applicable en matière de protection des données personnelles, et de le sanctionner en cas de non-conformité.
En septembre 2020, la Cnil a publié une Charte des contrôles afin d’assurer une plus grande transparence de cette activité et le bon déroulement de ses missions.
Les pouvoirs de contrôle de la Cnil
Les contrôles de la Cnil sont particulièrement encadrés.
Les missions de contrôle de la Cnil sont ainsi déclenchées sur décision de la Présidente de la Cnil à la suite d’une réclamation ou d’un signalement, d’une alerte parue dans la presse, ou de sa propre initiative.
Avant le début de la mission, la délégation notifie à l’organisme la décision de la Présidente de la Cnil.
Les contrôles de la Cnil peuvent être réalisés :
- sur place (directement au sein des locaux d’un responsable de traitement ou d’un sous-traitant) ;
- sur convocation (un courrier est adressé au responsable de traitement ou au sous-traitant afin que des représentants de l’organisme se présentent, à une date donnée, dans les locaux de la Cnil) ;
- en ligne (la Cnil consulte des données librement accessibles ou rendues accessibles directement en ligne à partir d’un service de communication au public en ligne) ;
- sur pièces (l’organisme visé par le contrôle doit communiquer à la Cnil ses réponses à un questionnaire adressé par elle, dans un délai déterminé en y joignant tout document utile permettant de les justifier).
Les modalité de contrôle
En 2019, la Cnil a procédé à 300 contrôles dont 169 contrôles sur place, 53 contrôles en ligne, 45 contrôles sur pièce et 18 auditions sur convocation.
Les agents de la Cnil font l’objet d’une habilitation et sont soumis au secret professionnel.
Par ailleurs, pour l’exercice de leurs missions, la délégation de contrôle peut accéder à tous locaux de 6 heures à 21 heures, sans informer au préalable l’organisme contrôlé. L’accès à des locaux affectés au domicile privé ne peut se faire que sur autorisation du juge des libertés et de la détention.
En outre, la délégation de contrôle de la Cnil peut demander communication de tous documents ou renseignements utiles à l’accomplissement de leur mission, à l’exception des informations protégées par l’un des secrets professionnels cités à l’article 19 (III) de la loi Informatique et libertés.
Enfin, les contrôleurs peuvent également accéder aux programmes informatiques et aux données ainsi qu’en demander la transcription mais doivent toutefois veiller à minimiser les données collectées, que celles-ci soient des données personnelles ou non.
Les droits et obligations des organismes contrôlés
A l’occasion de la publication de sa Charte des contrôles, la Cnil a rappelé qu’il est notamment essentiel que « les organismes concernés comprennent le déroulement de ces investigations et sachent comment elle peut intervenir ».
La Charte des contrôles a notamment pour objectif de rappeler les droits et obligations des organismes faisant l’objet d’un contrôle de la Cnil.
L’organisme contrôlé dispose du droit de s’assurer de la validité du contrôle, notamment en vérifiant l’habilitation des agents de la Cnil .
Cependant, en principe, l’organisme ne peut s’opposer à un contrôle de la Cnil. Au contraire, il est tenu à une obligation de coopération envers la Cnil et doit prendre toutes mesures utiles afin de faciliter le déroulement des opérations. Le délit d’entrave à l’action de la Cnil est passible d’une peine d’emprisonnement d’un an et d’une amende de 15 000 €.
L’organisme peut s’opposer à un contrôle sur place de la Cnil uniquement si la visite de ses locaux n’a pas fait l’objet d’une autorisation par le juge des libertés et de la détention.
L’organisme peut être assisté par un conseil.
Conformément à l’article 19, III de la loi Informatique et libertés, le secret ne peut être opposé à la Cnil, à l’occasion d’une mission de contrôle, sauf concernant les informations couvertes :
- par le secret professionnel applicable aux relations entre un avocat et son client ;
- par le secret des sources des traitements journalistiques ou ;
- dans la limite du deuxième alinéa du même article, par le secret médical. Les données médicales individuelles peuvent être communiquées sous l’autorité et en présence d’un médecin accompagnant la délégation.
Lorsque le secret professionnel est opposé aux agents de la Cnil, il en est fait mention dans le procès-verbal qui sera dressé à la fin du contrôle.
Le déroulement et les suites d’un contrôle
La Charte des contrôles de la Cnil expose la procédure suivie pour chaque contrôle et détaille les principes de bonne conduite à suivre afin que le contrôle se passe au mieux.
Il est notamment attendu de l’organisme contrôlé qu’il :
- réponde aux questions posées par les contrôleurs avec loyauté et coopère avec les contrôleurs ;
- communique les pièces et explications demandées dans des délais raisonnables ;
- conserve une attitude neutre, professionnelle et courtoise.
Les opérations de contrôle sont retranscrites dans un procès-verbal. Ce procès-verbal est signé par les agents de la Cnil et, dans le cas de contrôles sur place et sur convocation, par le représentant de l’organisme contrôlé qui peut formuler toutes observations qu’il juge utiles. Ces observations peuvent également être adressées après le contrôle. Le procès-verbal est notifié par lettre recommandée avec demande d’avis de réception au responsable du traitement, dans un délai de 15 jours à compter du contrôle.
À l’issue du contrôle, la Cnil procède à une analyse des éléments recueillis afin de déterminer le niveau de conformité de l’organisme aux dispositions du RGPD et de la loi Informatique et Libertés.
La procédure de contrôle peut être clôturée sans observations, en l’absence de manquement, ou avec observations dans le cas contraire.
La formation restreinte de la Cnil peut engager une procédure de sanction en cas :
- d’absence de réponse à une mise en demeure ;
- d’absence de mise en conformité dans le délai imparti par une mise en demeure ;
- de manquements significatifs constatés
À l’issue de la procédure contradictoire, la Cnil peut prononcer une sanction (pécuniaire ou non) ou une relaxe.
Virginie Bensoussan-Brulé
Marion Catier
Alexandra Guermonprez
Lexing Contentieux numérique
Références
Charte des contrôles de la Cnil, Version du 5 août 2020.
Eric Bonnet, « La Cnil publie une Charte des contrôles », Alain-Bensoussan.com du 15-09-2020.
« La Cnil publie son rapport d’activité 2019 », Cnil.fr du 09-06-2020.
Eric Bonnet, « La Cnil publie son rapport annuel pour 2019 », Alain-Bensoussan.com du 10-06-2020.