Comment réagir en cas de contrôle de la CNIL ?

En sa qualité d’autorité nationale chargée de veiller à la protection des données, la CNIL dispose du pouvoir d’effectuer des contrôles auprès de tout organisme implanté en France ou traitant les données de résidants français.

Ces contrôles sont réalisés à son initiative, sur décision de son président, et peuvent conduire à l’adoption de différentes mesures, y compris répressives. Les contrôles opérés peuvent prendre les formes suivantes :

• le contrôle sur convocation : des personnels de l’organisme sont convoqués dans les locaux de la CNIL pour être interrogés sur les traitements de données faisant l’objet de vérifications ;
• le contrôle à distance : la CNIL effectue des contrôles depuis ses propres moyens informatiques sur les données librement accessibles en ligne ;
• le contrôle sur pièces : la CNIL adresse à l’établissement un questionnaire destiné à évaluer la conformité de ses traitements  ;
• le contrôle sur place : des contrôleurs de la CNIL se rendent au sein des locaux pour mener des vérifications sur la conformité de l’organisme à la réglementation.

De manière concrète, il s’agit pour la CNIL d’obtenir l’ensemble des informations techniques et juridiques permettant d’apprécier les conditions dans lesquelles sont mis en œuvre les traitements de données à caractère personnel tout en s’assurant que l’organisme contrôlé applique le principe de responsabilisation prévu par le RGPD.

Les agents de la CNIL amenés à réaliser des missions de contrôle font ainsi l’objet d’une décision d’habilitation publiée au journal officiel de la République, ils sont astreints au secret concernant les documents et informations dont ils obtiennent connaissances au cours d’un contrôle et disposent des pouvoirs suivants :

• le droit de se voir communiquer tous les documents et renseignements utiles à l’exercice de leur mission ;
• le droit d’accéder à tous les lieux et locaux servant à la mise en œuvre d’un traitement de données personnelles.

Réagir à un contrôle

Il est essentiel pour tout responsable de traitement de savoir comment réagir en cas de contrôle, en particulier lorsque celui-ci intervient sur place puisque ce type de contrôle nécessite une réactivité importante et intervient généralement de manière inopinée.

En premier lieu, et indépendamment du type de contrôle, il est recommandé de s’assurer de la présence de l’ensemble des documents devant être transmis par la CNIL dès lors qu’une procédure de contrôle est notifiée, à savoir :

• la décision du président de la CNIL de procéder au contrôle qui précise notamment l’objet des vérifications ;
• l’ordre de mission des contrôleurs indiquant leur identité et leur qualité.

Lors d’un contrôle sur place, ces documents sont notifiés directement sur le lieu du contrôle tandis qu’en cas de contrôle en ligne, ces éléments ne sont adressés qu’après le déroulement des opérations.

En cas de contrôle sur place, l’établissement concerné veillera donc en premier lieu à bien effectuer ce travail de vérification et à s’assurer de l’habilitation et de l’identité des contrôleurs, notamment en sollicitant leurs cartes professionnelles.

Enfin, une attention particulière devra être portée sur l’objet du contrôle tel que précisé dans la décision du président de la CNIL avant que ne débutent les opérations de vérification.

Dans le cadre d’un contrôle sur place, l’organisme contrôlé dispose :

• du droit de se faire assister par un conseil, même au cours des auditions (avocats, conseillers en protections des données, etc.) ;
• du droit de s’opposer à la visite. Le cas échéant, une visite ultérieure ne pourra se dérouler qu‘après autorisation du juge des libertés et de la détention. En réalité, il est vivement recommandé dene faire usage de ce droit que sur motif légitime et impérieux puisque tout exercice infondé de celui-ci pourrait s’avérer préjudiciable par la suite ;
• du droit de ne pas divulguer d’informations protégées par le secret applicable aux relations entre un avocat et son client ou par le secret médical, à moins que la délégation ne soit accompagnée d’un médecin.

A contrario, tout établissement faisant l’objet d’un contrôle est tenu de coopérer avec les contrôleurs, notamment en communiquant l’ensemble des documents sollicités dans des délais raisonnables et en fournissant des réponses complètes et loyales.

En vertu des dispositions de l’article 226-22-2 du code pénal, toute entrave à l’action de la CNIL est susceptible d’être punie d’un an d’emprisonnement et de 15 000 € d’amende. Le délit d’entrave pourrait notamment être caractérisé en cas de dissimulations de documents ou s’il s’avère que certains éléments ont fait l’objet de modifications avant leur transmission aux contrôleurs.

La coopération avec les agents de la CNIL s’avère en tout état de cause primordiale pour garantir le bon déroulement et la sérénité du processus.

Au cours des vérifications, les contrôleurs recueillent l’ensemble des éléments d’informations et documents utiles pour apprécier les différents traitements opérés par l’organisme et son fonctionnement. Des entretiens avec certains personnels de l’établissement sont également menés.

Dans le cadre de ces échanges, le responsable de l’organisme et le délégué à la protection des données ou la personne en charge de ces questions seront des interlocuteurs privilégiés.

A la fin du contrôle, les agents de la CNIL procèdent à des constatations qu’ils dressent sur un procès-verbal soumis à la relecture et à la signature du responsable de la structure.

Il est à cet égard indispensable de bien prendre connaissance de ce document pour formuler d’éventuels commentaires et observations, bien que cette faculté soit également possible ultérieurement.

En tout état de cause,les constations et observations qui figurent au sein du procès-verbal devront être prises en compte dans les meilleurs délais.

Les suites

Une fois le contrôle terminé, le dossier est instruit par les services compétents de la CNIL pour analyse du niveau de conformité à la réglementation de l’organisme.

Dans le cadre de l’instruction du dossier, des demandes de précisions ou de pièces complémentaires peuvent être adressées à l’établissement contrôlé, lequel peut également fournir à la CNIL des informations sur les mesures réalisées suite au contrôle pendant toute la durée de l’instruction.

A l’issue de la procédure d’instruction, deux sortes de suites peuvent être données :

• une clôture de la procédure éventuellement assortie de recommandations lorsque des manquements peu graves ont été constatés ;
• une mise en demeure de l’organisme de mettre en œuvre des mesures correctrices, voire l’adoption de mesures de sanctions.

Lorsque des manquements sérieux sont constatés, le président de la CNIL peut en effet :

• émettre un avertissement ou un rappel à l’ordre à l’encontre de la structure concernée ;
• mettre en demeure l’organisme de se conformer à la réglementation dans un délai imparti, à charge pour celui-ci de démonter l’effectivité des mesures mises en œuvre ;
• enclencher une procédure de saisine de la formation restreinte de la CNIL qui dispose de pouvoirs étendus, en particulier en matière de sanctions puisqu’elle est à même de prononcer des amendes administratives pouvant s’élever jusqu’à 4 % du chiffre d’affaires.

A titre d’exemple, un sous-traitant informatique d’officines de pharmacie a ainsi récemment été mis en demeure par la CNIL de se conformer au RGPD suite à la réalisation de deux contrôles successifs et à la constatation d’importantes failles de sécurité.

Anticiper les contrôles

Au regard de l’importance des enjeux, il est nécessaire de se préparer à la survenance d’un contrôle de la CNIL dont le nombre connaît une augmentation croissante depuis plusieurs années.

Pour ce faire, il est recommandé de préparer une procédure à communiquer aux personnels susceptibles d’interagir avec les contrôleurs. Un tel processus pourrait notamment décrire :

• les modalités de déroulement d’un contrôle sur place (recueil des pièces, organisation d’entretiens, constatations et rédaction d’un procès-verbal) ;
• les prérogatives des agents de la CNIL, en particulier s’agissant de leur droit d’accès aux documents, informations et aux moyens informatiques ;
• les obligations qui incombent à la structure en pareille situation et le périmètre de chaque acteur.

Enfin, il pourrait être utilement joint à cette procédure un inventaire de l’ensemble des éléments attestant de la conformité de l’organisme et des documents susceptibles d’être sollicités en cas de contrôle (registres RGPD, procédures internes, contrats de sous-traitance, preuves du recueil du consentement lorsqu’un traitement est fondé sur cette base légale, etc.).

En cas de contrôle, il est effet indispensable d’avoir une vision globale de la conformité de la structure et de pouvoir mobiliser rapidement tous les documents et contrats susceptibles d’être vérifiés.

Enfin, des exercices ou des mises en situation peuvent être mises en œuvre pour évaluer la réaction des personnels qui manipulent des données à caractère personnel ; la meilleure manière pour être prêt en pareille hypothèse restant évidemment de s’être inscrit dans une démarche de mise en conformité dynamique et permanente pour assurer une protection des données continue.