Afin de s’y préparer convenablement, ce guide des contrôles Cnil présente comment ceux-ci se déroulent, quels sont les pouvoirs de la Cnil et quels sont ses obligations vis-à-vis des personnes contrôlées.
Guide des contrôles Cnil : qui est concerné ?
Le contrôle porte sur tout traitement de données à caractère personnel mis en œuvre, en tout ou partie, sur le territoire français, même lorsque le responsable du traitement est établi sur le territoire d’un autre Etat membre de l’Union européenne (L. 78-17 du 6-1-1978 relative à l’informatique, aux fichiers et aux libertés, modifiée, art. 48).
Le responsable de traitement est le représentant légal de l’entreprise alors que le responsable des lieux est la personne habilitée, au sein des locaux contrôlés, à représenter l’organisme responsable du traitement, par exemple du fait d’une délégation de pouvoir.
Guide des contrôles Cnil : qui en a l’initiative ?
C’est la Cnil qui a l’initiative du contrôle, sur décision de son Président après proposition des services de contrôle, qui peut faire suite à :
- Une déclaration, une demande d’avis ou d’autorisation de traitement.
- Une plainte, une réclamation, une pétition, une alerte d’un tiers même pas lettre simple.
- La demande d’une autorité exerçant des compétences analogues aux siennes dans un autre Etat membre de l’Union européenne.
- La demande d’une autorité exerçant des compétences analogues aux siennes dans un Etat non membre de l’Union européenne dès lors que celui-ci offre un niveau de protection adéquat des données à caractère personnel.
- Lorsque l’organisme en question est inscrit dans le programme annuel thématique des contrôles de la Cnil.
Guide des contrôles Cnil : que peut-elle vérifier ?
L’objectif de la Cnil est de vérifier que la règlementation Informatique et libertés et bien respectée par les entreprises contrôlées. Ces dernières sont passibles de sanctions administratives (prononcées directement par la Cnil) et pénales.
Guide des contrôles Cnil : comment se passent-ils ?
Selon l’article 44 de la loi du 6 janvier 1978, il existe trois types de contrôle :
- Le contrôle sur place
- L’audition sur convocation
- Le contrôle en ligne (nouveauté de la loi « Hamon » du 17 mars 2014).
Guide des contrôles Cnil : comment en être informé ?
Conformément aux articles 61 et suivants du décret n° 2005-1309 du 20 octobre 2005 (modifié) pris pour l’application de la loi n°78-17 du 6 janvier 1978, la Cnil doit informer de :
- L’objet du contrôle.
- L’identité et la qualité des personnes contrôlées.
- Le cas échéant le droit d’opposition.
La Cnil doit donner ces informations aux personnes suivantes :
- Le Procureur de la République territorialement compté au plus tard 24h avant la date du contrôle sur place (D. 2005-1309, art. 61).
- Le responsable du traitement au plus tard au début du contrôle sur place ou, en cas d’absence, dans les huit jours suivant le contrôle. L’information préalable du responsable du traitement est une décision prise en opportunité par la Cnil (D. 2005-1309, art. 62).
- Le responsable du traitement, lorsque le contrôle se déroule sur audition, doit être convoqué au moins 8 jours avant la date du contrôle, par lettre remise contre signature ou remise en main propre contre récépissé ou acte d’huissier (D. 2005-1309, art. 66).
- Lorsque le contrôle de la Cnil est effectué à la demande d’une autorité de contrôle d’un Etat membre de l’Union européenne, en application de l’article 49 de la loi de 1978, le responsable du traitement doit en être informé ainsi que du fait que les informations recueillies ou détenus par la Cnil sont susceptibles d’être communiquées à cette autorité (D. 2005-1309, art. 63).
- Lorsque le Président de la Commission saisit le juge des libertés et de la détention, sur le fondement de l’article 44, II de la loi du 6 janvier 1978 afin que celui-ci autorise la visite sur place, le juge statue dans un délai de 48h. L’ordonnance, qui doit comporter l’adresse des lieux à visiter, le nom et la qualité de ou des agents habilités, ainsi que les heures auxquelles ils sont autorisés à se présenter, est notifiée sur place du moment de la visite au responsable des lieux ou à son représentant. En leur absence, l’ordonnance est notifiée, après la visite, par lettre recommandée avec demande d’avis de réception. A défaut de réception de la lettre recommandée, il est procédé à la signification de l’ordonnance par acte d’huissier de justice (D. 2005-1309, art. 62-1).
Il peut, en outre, être demandé au responsable du traitement visé par un contrôle de préparer tous documents de nature à faciliter son déroulement (Règlement intérieur de la Cnil, art. 54).
Guide des contrôles Cnil : peut-on s’y opposer ?
Droit d’opposition. Conformément à l’article 44, II de la loi du 6 janvier 1978, le responsable des lieux contrôlés est informé de son droit à s’apposer à ce contrôle. S’il exerce ce droit :
- Les motifs de son opposition sont portés au procès-verbal dressé par les agents de la Cnil.
- Les opérations de contrôle ne peuvent intervenir qu’après autorisation du juge des libertés et de la détention compétent, qui dispose de 48h pour accepter ou refuser la demande.
Opposabilité du secret professionnel. Le responsable des lieux peut s’opposer au contrôle sur le fondement du secret professionnel. Dans ce cas, il doit indiquer les dispositions législatives ou réglementaires sur lesquels il s’appuie, ainsi que la nature des données qu’il estime couvertes par le secret professionnel. Le secret professionnel ne peut concerner que les fichiers comportant des éléments confidentiels. La mention de l’opposition, son fondement textuel, ainsi que la nature des données couvertes par le secret professionnel figurent sur le procès-verbal (D. 2005-1309, art. 69).
Exception. En cas d’urgence, de risque de destruction ou de dissimulation de documents, ou lorsque la gravité des faits le nécessite, le contrôle peut intervenir sans information du responsable des lieux et sur autorisation préalable du juge des libertés et de la détention compétent. Le responsable des lieux n’est alors pas en mesure de s’opposer au contrôle.
Guide des contrôles Cnil : en cas d’autorisation judiciaire
Si le contrôle a dû être autorisé par le juge, il est placé sous son autorisation et contrôle. Il doit alors avoir lieu en présence de l’occupant des lieux ou de son représentant qui peut se faire assister d’un conseil de son choix ou, à défaut, en présence de deux témoins qui ne sont pas placés sous l’autorité des personnes chargées de procéder au contrôle (L. 78-17, art. 44, II). Attention, les personnes chargées du contrôle n’ont aucune obligation d’attendre l’arrivée de l’avocat pour effectuer les opérations de contrôle.
L’ordonnance ayant autorisé le contrôle mentionne que le juge peut être saisi à tout moment d’une demande de suspension ou d’arrêt de la visite. Elle indique également le délai et la voie de recours (appel devant le premier président de la Cour d’appel) (L. 78-17, art. 44, II).
Guide des contrôles Cnil : peut-on s’y opposer ?
Conformément à l’article 51 de la loi du 6 janvier 1978, le délit d’entrave à l’action de la Cnil est puni d’un an d’emprisonnement et de 15 000 euros d’amende. Ce délit est constitué par :
- Le refus de se soumettre à l’exercice de vérifications malgré l’autorisation du juge des libertés et de la détention.
- Le refus de communiquer aux membres et agents habilités de la Cnil les renseignements et documents utiles à leur mission en les dissimulant ou en les faisant disparaitre.
- La communication d’informations non conformes au contenu des enregistrements tel qu’il était au moment où la demande a été formulée ou qui ne présentent pas ce contenu sous une forme directement accessible.
Guide des contrôles Cnil : où et quand ont-ils lieu ?
Conformément à l’article 44 de la loi du 6 janvier 1978, les membres et les agents habilités de la Cnil peuvent procéder à des opérations de contrôle de traitement dans les locaux du responsable entre 6 heures et 21 heures.
Toujours conformément à l’article précité, pour l’exercice de leurs missions, les membres et agents habilités de la Cnil ont accès aux lieux, locaux, enceintes, installations ou établissements servant à la mise en œuvre d’un traitement de données à caractère personnel et à usage professionnel, à l’exclusion des parties de ceux-ci affectées au domicile privé. Il en ressort qu’un local à usage professionnel situé dans un domicile peut faire l’objet d’un contrôle et que seuls les locaux à usage exclusivement privatif demeurent hors du champ d’intervention des membres et agents habilités de la Cnil.
Guide des contrôles Cnil : quelles sont les personnes habilitées ?
Par délibération, les membres et agents de la Cnil reçoivent habilitation pour procéder à des opérations de contrôle sur place (L. 78-17, art. 19). Une carte professionnelle leur est remise à cet effet et leur permet d’attester qu’ils ont été habilités à effectuer lesdits contrôles.
Cette habilitation est valable pour une durée de cinq ans renouvelable (D. 2005-1309, art. 57). Toutefois, elle peut faire l’objet d’une suspension pour une durée maximale de six mois, voire d’une suspension définitive lorsque la personne n’exerce plus les missions concernées (D. 2005-1309, art. 60).
L’habilitation et l’ordre de contrôle de mission des agents chargés de procéder aux opérations de contrôle sur place doivent pouvoir être présentés sur demande (D. 2005-1309, art. 62).
Guide des contrôles Cnil : quels pouvoirs ont les agents ?
Une mission de contrôle vise prioritairement à obtenir copie du maximum d’informations, techniques et juridiques, pour apprécier les conditions dans lesquelles sont mis en œuvre des traitements de données à caractère personnel.
Dans le cadre des opérations de contrôle, les membres et agents habilités (L. 78-17, art. 44, III) sont autorisés à :
- Obtenir communication et copie de tout document, quel qu’en soit le support, leur permettant d’apprécier les conditions dans lesquelles des traitements automatisés de données à caractère personnel, notamment en termes de sécurité, d’information des personnes, de modalités de collecte des données, sont mis en œuvre. Il peut s’agir de :
- Contrats (location de fichiers, sous-traitance informatique etc.),
- Formulaires,
- Dossiers papiers,
- Bases de données informatiques, etc.
- Accéder aux programmes informatiques et aux données.
- Demander la transcription de tout document directement utilisable pour les besoins du contrôle.
- Recueillir tout renseignement technique ou juridique ou toute justification utile à l’accomplissement de leur mission.
La Cnil peut également, dans le cadre de sa mission de contrôle, convoquer toute personne dont l’audition lui parait utile et nécessaire (dans les conditions fixées par l’article 66 du décret 2005-1309).
Sur autorisation du Président de la Cnil, les membres et agents habilités peuvent se faire adjoindre des experts (dans les conditions fixées par les articles 67 et suivants du décret 2005-1309).
Guide des contrôles Cnil : le nouveau contrôle en ligne
Enfin, la Cnil dispose, depuis la loi « Hamon » de mars 2004 (L. 2014-344 du 17-3-2014 relative à la consommation) d’un nouveau moyen de contrôle lui permettant de procéder à des constations en ligne depuis ses propres locaux, hors la présence du responsable du traitement. Ce nouveau pouvoir s’applique aux données librement accessibles ou rendues accessibles en ligne, y compris par imprudence, négligence ou par le fait d’un tiers (1) et peut-être complémentaire à un autre contrôle.
Guide des contrôles Cnil : le procès-verbal de constatation
Le procès-verbal de constatation est établi sur la base des éléments recueillis lors du contrôle et contient, conformément à l’article 64 du décret du 20 octobre 2005 :
- L’objet de la mission de contrôle,
- La nature du contrôle,
- Le jour et l’heure des opérations de contrôle,
- Le lieu de vérifications ou des contrôles effectués,
- Les membres présents lors du contrôle,
- Les personnes rencontrées,
- Les contrôles effectués,
- Les éventuelles difficultés rencontrées,
- Le cas échéant, l’opposition au contrôle du responsable des locaux sur le fondement du secret professionnel, les dispositions législatives ou réglementaires sur lesquels il s’appuie, ainsi que la nature des données qu’il estime couvertes par le secret professionnel.
En annexe doit figurer l’inventaire des pièces et documents dont les personnes chargées du contrôle ont pris copie. S’agissant de la mise sous scellé des différents éléments saisis, la loi est silencieuse.
Guide des contrôles Cnil : la portée du procès-verbal
La loi prévoit que le procès-verbal doit être établi contradictoirement par les agents de la Cnil et le responsable des lieux. A cet égard, le responsable des lieux ou son représentant a la possibilité d’émettre des réserves et des commentaires.
Le procès-verbal est signé par les personnes chargées du contrôle qui y ont procédé et par le responsable des lieux ou son représentant. En cas de refus ou d’absence de celles-ci, mention en est portée au procès-verbal.
Le procès-verbal est notifié au responsable du traitement et au responsable des lieux par lettre recommandé avec accusé de réception.
La loi ne prévoit pas la nullité du procès-verbal en cas d’absence de l’une des informations précitées. En outre, elle ne prévoit aucune restitution des copies des documents et données. Toutefois, leur conservation ultérieure fait l’objet d’une procédure particulière définir par le service des contrôles afin d’en garantir la confidentialité, l’authenticité et la sécurité.
Pour finir, les membres et agents de la Cnil ayant procédé au contrôle sur place sont soumis à une obligation de confidentialité.
Guide des contrôles Cnil : que se passe-t-il ensuite ?
A la suite du contrôle, la Cnil examine les documents dont copie a été réalisée pour apprécier si les dispositions de la loi Informatique et libertés ont été respectées.
Lorsque l’examen n’appelle pas d’observations particulières, un courrier est adressé par le Président de la Cnil au responsable de traitement. Ce courrier peut contenir des recommandations telles que les modifications des durées de conservation ou des mesures de sécurité.
Lorsque l’examen fait ressortir des manquements sérieux, le dossier est transmis à la formation contentieuse de la Cnil, transmission non exclusive d’une dénonciation au parquet. En effet, conformément à l’article 40 du code de procédure pénale, la Cnil a le devoir d’informer sans délai le procureur de la République des infractions dont elle a connaissance suite au contrôle. A cet égard, le Conseil d’Etat a précisé que les faits devant être portés à la connaissance du procureur de la République devaient lui paraitre suffisamment établis et porter une atteinte caractérisée aux dispositions dont elle a pour mission d’assurer l’application (2).
Guide des contrôles Cnil : quelles sont les voies de recours ?
Selon l’article 62-3 du décret du 20 octobre 2005, le premier président de la Cour d’appel connait des recours contre le déroulement des opérations de visite autorisée par le juge des libertés et de la détention.
Il s’agira, dans les autres cas, d’un recours administratif contre la Cnil.
Guide des contrôles Cnil : quelques conseils
Les principaux conseils que l’on peut donner, à la fois en prévision et lors d’un contrôle Cnil :
- Anticiper un contrôle en s’interrogeant sur le respect, par ses traitements, de la règlementation Informatique et libertés.
- Mettre en place une procédure interne applicable en cas de contrôle de la Cnil, afin que ce dernier se déroule dans les meilleurs conditions possibles tant pour le responsable que pour les agents de la Cnil.
- Former et informer son personnel.
- Vérifier, lors du contrôle, que le cadre légal est respecté (information, conditions horaires du contrôle, habilitation des agents de contrôle, établissement du procès-verbal etc.).
Virginie Bensoussan-Brulé
Lexing Contentieux numérique
(1) « ils peuvent notamment, à partir d’un service de communication au public en ligne, consulter les données librement accessibles ou rendues accessibles, y compris par imprudence, par négligence ou par le fait d’un tiers, le cas échéant en accédant et en se maintenant dans des systèmes de traitement automatisé de données le temps nécessaire aux constatations ; ils peuvent retranscrire les données par tout traitement approprié dans des documents directement utilisables pour les besoins du contrôle », selon le nouvel article 44, III de la loi 78-17.
(2) CE 27-10-1999 n°196306 : RJDA 4/00 n°498.