Vous traitez des données personnelles dans le cadre de votre activité ? Sachez que la CNIL (Commission nationale de l’informatique et des libertés) a le pouvoir d’effectuer des contrôles pour s’assurer que vous êtes bien en conformité avec le RGPD. Mais à quels types de contrôle peut-on s’attendre concrètement ? Et quelles sanctions la CNIL peut-elle prononcer en cas de non-conformité ? Je vous dis tout !
La CNIL : quel est son rôle ?
La CNIL joue le rôle de régulateur des données personnelles. À cet effet, ses missions sont multiples :
- Accompagner : Son objectif prioritaire est d’accompagner et conseiller les différents organismes dans leur mise en conformité avec le RGPD.
- Contrôler et sanctionner : La CNIL est habilitée à effectuer des contrôles et à prononcer des sanctions en cas de manquement.
- Informer et protéger : La CNIL protège les droits des particuliers en les informant, ainsi qu’en les aidant à maîtriser leurs données et à exercer leurs droits. Tout particulier peut ainsi saisir la CNIL et lui adresser une plainte en cas de difficulté à faire valoir ses droits.
- Anticiper et innover : La CNIL contribue aux débats sur le numérique et constitue un point de dialogue avec les écosystèmes d’innovation, afin de mettre en place des solutions technologiques qui protègent au mieux la vie privée.
Comment se passe un contrôle RGPD de la CNIL ?
Les contrôles peuvent être initiés sur décision de la Présidente de la CNIL, suite à des plaintes ou au regard de l’actualité, en fonction des grandes problématiques dont la CNIL est saisie. Pour l’année 2021, il s’agit par exemple de la cybersécurité des sites web, la sécurité des données de santé et l’utilisation des cookies.
Un contrôle peut s’effectuer :
- Sur place, c’est-à-dire directement dans les locaux de l’organisme contrôlé
- Sur convocation dans les locaux de la CNIL
- En ligne : la CNIL consulte alors les données librement accessibles en ligne
- Sur pièces, via un questionnaire que l’organisme doit remplir, accompagné de documents justificatifs
Avant le début de la mission, la délégation de contrôle notifie à l’organisme la décision de la Présidente de la CNIL. Les vérifications auxquelles elle procède auprès des responsables de traitement de données personnelles sont particulièrement encadrées. Elles sont détaillées dans la charte des contrôles de la CNIL, qui expose aussi précisément que possible les droits et obligations des organismes concernés, au regard de la loi Informatique et Libertés et du RGPD. Elle y précise également le déroulement et les suites d’un contrôle, ainsi que les principes de bonne conduite à suivre dans ce cadre.
Les agents de la CNIL affectés aux missions de contrôle sont habilités et soumis au strict secret professionnel. Si vous faites l’objet d’un contrôle sur place, ils sont autorisés à accéder à vos locaux de 6 heures à 21 heures, sans vous informer au préalable. L’accès à des locaux relevant du domicile privé ne peut en revanche se faire que sur autorisation du juge des libertés et de la détention.
Peut-on s’opposer à un contrôle de la Cnil ?
La réponse est non. Les organismes contrôlés sont tenus à une obligation de coopération. Ils doivent en ce sens prendre toutes les mesures facilitant les vérifications. Le délit d’entrave à l’action de la CNIL est passible d’une peine d’un an d’emprisonnement et d’une amende de 15 000 €. Sachez que les contrôles RGPD de la CNIL, ça n’arrive pas qu’aux autres ! Ainsi, pour l’année 2020, elle a réalisé pas moins de 6500 en quêtes et 247 procédures formelles de contrôle, dont certaines ont donné lieu à des sanctions.
Contrôles RGPD de la CNIL : Quelles sont les sanctions ?
La CNIL dispose de tout un panel législatif pour rappeler à l’ordre ou sanctionner les organismes qui manquent à leurs obligations au regard du RGPD. En premier lieu, l’avertissement. Il ne s’agit pas d’une sanction mais d’une mesure préventive destinée à éviter le déploiement de dispositifs de traitement de données non conformes aux RGPD, avant même leur mise en place. Ensuite, la mise en demeure : elle oblige les organismes à se mettre en conformité sous un délai imparti. Selon la gravité des manquements, elles peuvent être rendues publiques. Enfin, la sanction à proprement parler. Il peut s’agir d’une :
- Injonction à mettre les traitements des données en conformité,
- Limitation temporaire ou définitive d’un traitement,
- Suspension des flux de données,
- Obligation de satisfaire aux demandes d’exercices des droits des particuliers,
- Amende administrative.
Les sanctions pécuniaires peuvent s’élever jusqu’à 20 millions d’euros ou, pour les entreprises, jusqu’à 4 % du chiffre d’affaires annuel mondial. En 2020, la CNIL a prononcé 49 mises en demeure, 6 injonctions sous astreinte et 14 sanctions dont 11 amendes d’un montant total de 138 489 300€.
Par exemple :
- Une sanction de 250 000€ assortie d’une injonction sous astreinte à un commerce en ligne, pour manquement au principe de minimisation des données, à la durée de conservation, à l’information des personnes et à l’obligation d’assurer la confidentialité des données.
- Une injonction sous astreinte à une société de prestations de garde d’enfants à domicile, pour les mêmes motifs.
- Une sanction de 150 000€ à une coopérative de commerçants-détaillants pour un manquement relatif à l’obligation d’assurer la sécurité des données.
- Une de 6000€ à un médecin pour manquement relatif à l’obligation d’assurer la sécurité des données et à l’obligation de notification d’une violation de données.
- Une autre de 3000€ à une société de transports de voyageurs par taxi pour défaut de coopération avec les services de la CNIL.
Quelles sont les voies de recours ? À compter de la date de notification de la décision de la CNIL, l’organisme mis en cause dispose d’un délai de deux mois pour former un recours devant le Conseil d’État contre la décision de la CNIL.
Méfiance donc, votre entreprise pourrait elle aussi faire un jour l’objet d’un contrôle de la CNIL et, le cas échéant, de sanctions pouvant être lourdes de conséquences. Pour éviter cela, le meilleur moyen est encore d’éviter de manquer à vos obligations au regard du RGPD. Je suis à votre écoute pour vous conseiller et vous accompagner dans votre mise en conformité !
