A partir du moment où votre organisme traite des données à caractère personnel en France ou concernant des résidents en France, il est susceptible de se faire contrôler par les agents de la CNIL. Ces contrôles peuvent également se faire auprès des prestataires sous-traitants en charge de la mise en œuvre d’un traitement pour le compte de votre organisme.
Vivre un contrôle des agents de la CNIL peut être traumatisant si vous n'y êtes pas bien préparé.
Sommaire
LE CONTRÔLE DES AGENTS DE LA CNIL - POURQUOI ?
Les contrôles peuvent avoir lieu à la suite de plaintes ou de signalements reçus par la CNIL ou simplement parce qu’elle décide de se saisir d’un cas particulier. Les suites de ce(s) contrôle(s) peuvent aller jusqu’à la clôture, la mise en demeure ou la sanction financière. Les entreprises privées, les associations et même les organismes publics peuvent faire l’objet d’un contrôle. Celui-ci est primordial pour vérifier le respect du Règlement Général sur la Protection des Données – RGPD et de la loi Informatique et Libertés.
LES FAITS GENERATEURS DU CONTRÔLE
L'actualité
La CNIL peut mener des investigations suite à des thématiques, identifiées selon l'actualité, susceptibles de présenter des difficultés significatives pour la protection des données à caractère personnel.
Le programme annuel de la CNIL
La CNIL élabore annuellement un programme annuel portant sur des thématiques identifiés, telles que la sécurité des données de santé, la mobilité et les services de proximité ou encore, le respect des dispositions applicables aux cookies ou autres traceurs. La CNIL n'est pas liée à son programme.
L'instruction des plaintes
La CNIL intervient pour vérifier les pratiques des responsables de traitement et s'assurer que les droits des personnes concernées par la collecte de leurs données sont respectés.
Les suites d'une mise en demeure et les sanctions
Lorsqu'une procédure de contrôle est clôturée, une mise en demeure envoyée ou une sanction prononcée, la CNIL peut investiguer sur les suites qui y sont données et, notamment, vérifier les mesures de mise en conformité adoptées par les organismes.
COMMENT S'EFFECTUE UN CONTRÔLE DES AGENTS DE LA CNIL ?
- Sur place
- Sur pièces
- Sur audition
- En ligne
Le contrôle sur place
Lorsque la CNIL décide de se rendre dans les locaux d'un responsable de traitement ou d'un sous-traitant pour mener son enquête, elle en informe :
- préalablement par écrit le Procureur de la République au plus tard 24h avant la date à laquelle doit avoir lieu le contrôle. Cet avis précise la date, l'heure, le lieu et l'objet du contrôle;
- au plus tard lors de son arrivée sur place, le responsable des lieux ou son représentant de l'objet des vérifications qu'elle compte entreprendre ainsi que de son droit d'opposition à la visite.
L'ordonnance du Juge des libertés et de la détention ayant autorisé la visite est exécutoire et mentionne qu'il peut être saisi d'une demande de suspension ou d'arrêt de cette visite et peut faire l'objet d'un appel. La visite des lieux par l’agent de la CNIL se fait en présence du responsable des lieux qui peut se faire assister de son conseil. Les contrôles peuvent s’opérer de 6h à 21h.
Le contrôle sur pièces
Les agents de la CNIL adressent un courrier accompagné d’un questionnaire destiné à évaluer la conformité des traitements mis en œuvre par le responsable de traitement ou un sous-traitant. L’organisme soumis au contrôle doit adresser ses réponses en y joignant tout document utile permettant de les justifier.
Le contrôle sur audition
Les agents de la CNIL adressent une convocation par lettre remise contre signature, ou remise en main propre contre récépissé ou acte d’huissier, qui doit intervenir au moins 8j avant la date d’audition, à toutes personnes susceptibles d’apporter des éléments pour l’accomplissement de leur mission. La personne convoquée a le droit de se faire assister par un conseil de son choix.
Le contrôle en ligne
Les agents de la CNIL peuvent effectuer des vérifications, depuis les locaux de la CNIL, en consultant notamment les données librement accessibles ou rendues accessibles directement en ligne, y compris par imprudence, négligence ou du fait d’un tiers (détermination des failles de sécurité). Les agents peuvent utiliser une identité d’emprunt pour réaliser toute opération en ligne nécessaire à l’exécution de leur mission. Ces contrôles sont particulièrement utilisés pour détecter les failles de sécurité des traitements de données librement accessibles sur Internet.
Prochainement
Préparez-vous à un contrôle CNIL