Appelez-nous au Mission RGPD, le logiciel RGPD de référence 04 28 70 91 81
Connectez-vous

Comment se déroule un contrôle CNIL ?

Voici en introduction le bilan des contrôles pour l’année 2019 de la CNIL :

CONTRÔLES

EN LIGNE

SUR PIÈCE

Avec 42 mises en demeures et 8 sanctions pour un montant total de plus de 51 millions d’euros d’amende.

L’objectif d’un contrôle est de vérifier que les traitements mis en œuvre par l’organisme sont conformes aux dispositions de la loi du 6 janvier 1978 modifiée et du RGPD.

Le programme des contrôles pour 2020 s’axe sur 3 thématiques :

01

Les données de santé

02

Les données de géolocalisation

03

Les cookies et autres traceurs

Qui est visé
par un contrôle CNIL ?

Tout organisme traitant des données à caractère personnel disposant d’un établissement en France, ou concernant des personnes résidant en France.
Ces missions peuvent être effectuées dans le cadre d’une coopération avec d’autres autorités de protection des données.
Le RGPD permet par ailleurs à la CNIL d’effectuer des vérifications auprès des prestataires sous-traitants.

Les différentes
formes de contrôle

  • Le contrôle sur place
  • L’audition sur convocation
  • Le contrôle en ligne
  • Le contrôle sur pièces
  • Une délégation de la CNIL se rend directement au sein des locaux d’un responsable de traitement ou d’un sous-traitant afin de mener des investigations portant sur des traitements de données à caractère personnel.
  • Les agents ont vocation à prendre copie de toute information, technique et juridique, pour apprécier les conditions dans lesquelles sont mis en œuvre les traitements de données à caractère personnel.
  • La délégation de la CNIL peut demander communication de tous documents nécessaires à l’accomplissement de sa mission, quel qu’en soit le support, et en prendre copie.
  • Les agents de la CNIL peuvent s’entretenir avec tout personnel susceptible de détenir des informations utiles pour apprécier la conformité des traitements de données à caractère personnel.
  • Un courrier est adressé au responsable de traitement afin que des représentants de l’organisme se présentent, à une date donnée, dans les locaux de la Commission. Ces représentants devront répondre à des questions portant sur le(s) traitement(s) objet des vérifications et rendre possible un accès aux ressources informatiques de l’organisme.
  • Les agents de la CNIL effectuent des vérifications, depuis les locaux de la CNIL, en consultant des données librement accessibles ou rendues accessibles directement en ligne, y compris par imprudence, négligence ou du fait d’un tiers. Ces vérifications sont effectuées à partir d’un service de communication au public en ligne (par exemple, sur un site internet, une application mobile) et peuvent, le cas échéant, être réalisées sous une identité d’emprunt.
  • Les agents de la CNIL adressent un courrier accompagné d’un questionnaire destiné à évaluer la conformité des traitements mis en œuvre par un responsable de traitement ou un sous-traitant. L’organisme visé par le contrôle doit communiquer à la Commission ses réponses en y joignant tout document utile permettant de les justifier.

À la suite
d'un contrôle de la CNIL

A la suite du contrôle, la CNIL reprend le procès-verbal de contrôle et examine les documents dont une copie aura été effectuée pour apprécier les conditions de mise en œuvre des traitements de données à caractère personnel.

Lorsque les constatations effectuées n’appellent pas d’observations particulières, la procédure de contrôle est clôturée par un courrier du Président de la CNIL. 

Lorsque les investigations menées conduisent à établir que les pratiques de l’organisme contrôlé sont constitutives de manquements peu significatifs, la procédure de contrôle est clôturée par un courrier du Président de la CNIL accompagné d’observations (ex. : modification des durées de conservation, des mesures de sécurité, procéder à l’information des personnes, etc..) 

Lorsque les vérifications opérées conduisent à caractériser des manquements plus significatifs, le Président de la CNIL peut décider de mettre en demeure l’organisme d’adopter des mesures, dans un délai imparti, pour se mettre en conformité et/ou transmettre le dossier à la formation restreinte de la CNIL qui peut prononcer les sanctions prévues.

La mise en demeure peut, selon les circonstances (ex : nombre important de personnes concernées, impact sur la vie privée des personnes élevé, etc.), être rendue publique.

En cas d’absence de réponse à la mise en demeure ou de non-respect de ses injonctions, le dossier peut également être transmis à la formation restreinte de la CNIL, qui peut prononcer des sanctions.

Les conseils
de Mission RGPD

Lors de la mise en place de procédure RGPD il ne faut pas négliger la procédure concernant un potentiel contrôle. Les organisations doivent avoir sensibilisées les collaborateurs face au risque de contrôle et les préparer. Par exemple, les personnes se trouvant à l’accueil doivent savoir réagir lorsque les enquêteurs de la CNIL viennent pour un contrôle.

Nous vous conseillons également de tirer les enseignements et valoriser l’expérience à la suite d’un contrôle. Vous pouvez mettre en avant auprès de vos partenaires ou clients le résultat d’un contrôle qui n’a pas relevé de manquements.

Je diagnostic la conformité RGPD de mon entreprise