Contrôle CNIL

Comment se passe un contrôle RGPD de la CNIL ?

La CNIL a le droit d’exercer un contrôle RGPD sur toutes les institutions qui traitent des données personnelles. De cette manière, les entreprises privées, les associations et même les organismes publics peuvent être contrôlées par la CNIL. Ces examens peuvent être effectués sur place, sur des documents, lors d’audiences ou sur Internet. Ces tâches d’enquête sont le principal moyen de vérifier si les responsables de traitement et sous-traitants respectent la loi révisée du 6 janvier 1978 et le règlement européen sur la protection des données (RGPD) du 27 avril 2016.

Qui est concernés par un contrôle RGPD de la CNIL ?

La CNIL peut contrôler toute organisation traitant des données personnelles en France ou au sujet de personne résidant en France. Ces contrôles RGPD peuvent se réalisés dans le cadre d’une coopération avec d’autres autorité de protection des données, si l’organisation a plusieurs entreprises dans l’UE et / ou traite les données personnelles de plusieurs personnes concernées dans l’UE. Le RGPD permet également à la CNIL de mener une due diligence pour le compte des institutions en charge du traitement (ex: hébergement, services). Mais aussi pour celle des prestataires externes en charge du traitement.

Comment la CNIL décide-t-elle de faire un contrôle RGPD ?

Les missions de surveillance que la CNIL mène tout au long de l’année peuvent avoir un cadre diversifié :

– Le plan de contrôle RGPD annuel.
La CNIL décide de se concentrer sur les principaux enjeux identifiés chaque année. Et notamment leur impact sur la vie privée de nombreuses personnes. Ces questions attireront l’attention du public et la CNIL sera tenue de rendre compte en fin de plan annuel des méthodes observées lors de l’audit.

– Les réclamations et signalements.
La CNIL est destinataire des réclamations (déclarations) et réclamations (parfois anonymes). Celles-ci attirent l’attention sur des faits et les règles de protection des données personnelles remettent en cause leur respect. Le cas échéant, veuillez respecter les droits du demandeur.

– Les initiatives.
Des enquêtes peuvent être menées dans le cadre d’une attaque. Et notamment pour des événements actuels susceptibles de poser des problèmes liés à la protection des données personnelles.

– Les matériels de vidéosurveillance.
Conformément au «code de sécurité intérieure (CSI)», la CNIL a le droit de contrôler les caméras qui tournent des vidéos dans les lieux publics (tels que les centres commerciaux, les musées, etc.). D’ailleurs, elle se réserve chaque année une partie de leurs activités de surveillance.

– Les procédures de contrôles clôturées, mise en demeure, et sanctions.
Des enquêtes peuvent être menées après des procédures de contrôle RGPD fermées, des mise en demeure ou des sanctions. Et notamment pour vérifier les mesures de conformité RGPD prises par l’entreprise.

Quelle forme un contrôle RGPD de la CNIL peut-il prendre ?

La commission peut choisir quatre formes différentes de contrôles à la discrétion de son président :

– Contrôles RGPD sur place.
Envoyer les délégations de la CNIL directement aux responsables du traitement ou aux sous-traitants. Ces délégations traitent les demandes de renseignements sur le traitement des données à caractère personnel.

– Déclencher l’audition RGPD.
Une lettre est envoyée au responsable de traitement ou au sous-traitant demandant à un représentant de l’organisation de se présenter dans les locaux de la CNIL à un moment donné pour répondre aux questions sur la méthode de traitement examinée et leur permettre d’accéder si nécessaire aux ressources informatiques de l’entreprise.

– Le contrôle CNIL en ligne.
La CNIL réalise un contrôle RGPD à distance, sur les données librement disponibles sur Internet, y compris par négligence ou données fournies par un tiers. Ces contrôles peuvent se faire sur des sites internet, applications mobiles ou produits connectés.

– Le contrôle des documents.
L’agent de la CNIL envoie un courrier avec un questionnaire pour apprécier la conformité des traitements effectués par le responsable du traitement ou le sous-traitant. L’organisme doit apporter une réponses en joignant des documents utiles qui justifient leur validité. Chacune de ces méthodes de contrôle peut être utilisée de différentes manières. Ainsi, la CNIL peut, par exemple, commencer son examen en ligne et continuer à le mener sur site. Cela peut également être fait avant l’inspection sur place. En plus des contrôles documentaires, tout contrôle doit préparer des rapports, dans lesquels les agents de la CNIL enregistrent effectivement toutes les informations qu’ils connaissent déjà.

Qui réalise les missions de contrôle de la CNIL ?

L’habilitation délivrée par la Commission aux agents de ses services

Conformément à l’article 19 de la loi du 6 janvier 1978, les représentants de la CNIL invités à participer à la mission de contrôle RGPD ont été autorisés par la commission à effectuer ces tâches de surveillance. Si l’agent désigné n’a pas été condamné aux sanctions pénales inscrite à l’article 2 du casier judiciaire, la période d’approbation est de cinq ans. Ce n’est que si l’agent n’a aucun intérêt direct ou indirect dans l’organisation dans les trois ans précédant l’examen que l’agence peut réaliser des contrôles RGPD sur l’organisation.

L’approbation des agents CNIL par le Premier ministre.

Les fonctionnaires de la Commission chargés du contrôle des données à caractère personnel liées à la sécurité nationale, à la défense nationale et à la sécurité publique, ou les personnes dont le but est de prévenir, enquêter, surveiller ou poursuivre des infractions pénales, appliquer des jugements pénaux ou des mesures de sécurité dans le cadre de la tâche de contrôle, protéger les informations confidentielles, doivent être autorisée par le Premier ministre. A partir du 6 novembre 2020, certains agents de la CNIL sont autorisés à effectuer des accès ou des contrôles CNIL liés aux opérations de traitement conformément à l’article 31 de la loi Informatique et Libertés.

Que se passe-t-il avant le contrôle RGPD de la CNIL?

Le président de la CNIL décide de réaliser la mission de contrôle RGPD. Quand le contrôle RGPD est réalisé sur place, la décision du président de la CNIL en informera le responsable des lieux. Sur audition, l’auditionné doit recevoir l’assignation au moins 8 jours avant la date de la révision.En particulier, cette assignation rappelle au défendeur qu’il a le droit de choisir l’avocat de son choix. Dans le cadre d’un contrôle par le procureur de la répblique, l’heure et le but de la surveillance est précisés 24 heures avant le lancement du contrôle CNIL. L’agent CNIL participant à l’inspection est habilité dans les conditions prévues à l’article 19 de la loi révisée et à l’article 57-60 de l’arrêté du 20 octobre 2005 . Vous pouvez obtenir de l’aide d’experts tels que des médecins. Certains contrôle RGPD nécessitent des autorisations spéciales, en particulier pour les fichiers protégés par des secrets de sécurité.

Que se passe-t-il pendant le contrôle CNIL ?

Le but de la revue est de s’assurer que le processus de traitement est lié à l’organisation et à la mise en œuvre du RGPD et loi Informatique et Liberté de 1978.

Lors de l’exécution des contrôles RGPD, les agents doivent emporter avec eux des copies de toutes les informations techniques et juridiques afin d’évaluer les conditions de traitement des données à caractère personnel. La délégation de la CNIL peut demander le transfert de tous les documents nécessaires à la mise en œuvre. Les agents de la CNIL peuvent rencontrer tout collaborateur disposant d’informations utiles pour apprécier son respect des règles régissant les données personnelles (par exemple, par communication avec des managers, des opérateurs ou des experts en informatique). Les agents de contrôle RGPD peuvent accéder aux programmes informatiques et aux données et demander leur décryptage pour contrôle RGPD. Les délégations peuvent demander des copies de contrats (par exemple, contrats de location, contrats d’externalisation informatique), formulaires, documents papier, bases de données, etc.

A l’issue de l’audit, un rapport sera rédigé et toutes les informations collectées par la délégation et ses résultats seront enregistrés. Dans le cadre d’un contrôle RGPD sur place, si le responsable du site s’oppose à la visite de la délégation, le président de la commission peut demander au juge des libertés et de la détention de poursuivre le contrôle. Par ailleurs, si l’urgence du contrôle CNIL, la gravité des événements, ou le risque de détérioration ou d’ambiguïté des documents le justifient, le président de la CNIL peut demander au JLD du TGI territorialement compétente d’exercer une autorisation préventive pour mener des activités hors du périmètre de contrôle sans que le responsable de l’entreprise ait été informé. L’article 51 de la loi du 6 janvier 1978, dans sa version actuellement en vigueur, présente que si l’ouverture d’un contrôle CNIL est entravée, un an d’emprisonnement et une amende de 15 000 euros seront prononcés. L’entrave à procédure CNIL représente dans les situations suivantes : refus de contrôle CNIL sous autorisation du juge des libertés et de la detention; refuse d’échanger avec la CNIl, cache ou détruit les informations et documents utiles à la tâche de contrôle RGPD, transmission d’informations non conformes au contenu des enregistrements tel qu’il était au moment où la demande de la CNIl a été réalisée, ou présentation d’informations qui ne sont pas accessible.

Dans le cadre des investigations menées, l’organisme ne peut pas opposer aux contrôleurs de la CNIL le secret professionnel pour justifier notamment un refus de leur laisser accéder à des programmes informatiques ou leur communiquer des documents, sauf si les données relèvent de correspondances entre un avocat et son client, ou sont couvertes par le secret des traitements journalistiques. . Les représentants de la CNIL sont tenus de respecter le secret professionnel de tous les faits, actions ou informations auxquels ils peuvent avoir accès lors de l’exercice de leurs fonctions sous peine de poursuites pénales (article 20 de la loi du 6 janvier 1978 modifiée).

Que se passe-t-il après le contrôle RGPD de la CNIL ?

Après vérification, la CNIL consulte le rapport d’inspection et inspecte les copies des documents pour évaluer les conditions des traitements selon la loi Informatique et Liberté, le RGPD, le CSI et le CPCE. Concernant l’analyse menée par la CNIL, plusieurs actions de suivi peuvent être prises :

– Si il n’y a pas d’observation particulière, la procédure de suivi se termine par une lettre du président de la CNIL ;

– Dans le cas d’une infraction mineure la procédure de contrôle se termine par un courrier du Président de la CNIL avec des préconisations et observation à mettre en place rapidement.

– Si les contrôles RGPD effectués indiquent qu’il y a des violations plus graves, le président de la CNIL peut décider la mise en demeure, en informer formellement l’entreprise afin qu’elle puissent, dans un délai limités, se mettre en conformité, mettre en œuvre des sanctions conformément aux articles 45 et 46 de la loi sur la liberté de l’information et à l’article 83 du RGPD. En l’absence de réponse à une mise en demeure ou à une décision de justice, le dossier peut également être adressé à la formation restreinte de la CNIL pour sanction supplémentaire. Cette transmission à la formation restreinte n’est pas exclusive d’une dénonciation au Parquet (article 40 du code de procédure pénale)

Vous pouvez aborder sereinement votre contrôle avec Mission RGPD, pour en savoir plus : https://www.mission-rgpd.com/controle-cnil/

Ne perdez plus de temps, c’est si simple !

Author

Thibaut Vergne

Product Manager chez Mission RGPD

Votre diagnostic RGPD en 5 min 🚀

Êtes-vous sûr de votre conformité ? 

Pour savoir où vous en êtes, faites votre diagnostic gratuit en ligne, en répondant au questionnaire, pour obtenir votre niveau de maturité RGPD et les recommandations de nos experts.