La CNIL intervient afin de procéder à des contrôles auprès des organismes pour s’assurer de leur conformité.
À l’issue de ce contrôle, l’organisme peut faire l’objet de sanctions en cas de manquement constaté.
La CNIL est, en premier lieu, un acteur de sensibilisation sur les sujets de protection des données et a pour rôle principal d’accompagner et d’informer les professionnels à ce sujet. Elle n’exerce de pouvoir de contrôle et de sanction qu’en dernier recours.
Qu’est-ce que la CNIL ?
La Commission nationale de l’informatique et des libertés est chargée de veiller à la protection des données personnelles. Il s’agit d’une autorité administrative indépendante (AAI) créée par la loi informatique et libertés du 6 janvier 1978. Les AAI sont des organismes publics agissant au nom de l’Etat sans être sous son autorité. Elles ne reçoivent aucune instruction de la part de l’Etat et sont indépendantes dans leurs prises de décisions.
Cette loi fonde la protection des données personnelles en matière informatique. Le rôle de la CNIL consiste ainsi à préserver les droits de l’homme et sa vie privée dans le milieu informatique. Cette autorité s’assure que l’informatique ne porte pas atteinte à l'identité des citoyens.
La CNIL dispose de plusieurs missions : conseil, alerte, information du public, contrôle et sanction. Ces missions sont exercées dans l’unique but de protéger les données à caractères personnelles des personnes physiques (utilisation, enregistrement, transmission, etc).
Depuis l’entrée en application du nouveau règlement européen le 25 mai 2018, toutes les entreprises qui collectent des données concernant des citoyens européens doivent être en conformité avec les règles édictées par ce règlement. Datant du 27 avril 2016, il porte sur la protection des données personnelles.
Les pouvoirs de sanction de la CNIL et des autorités des autres pays européens ont ainsi été renforcés. A ce titre, la CNIL peut contrôler les entreprises à tout moment désormais. Elle peut également infliger une amende de 2 à 4 % du chiffre d’affaires annuel mondial de l’entreprise. D’autres prérogatives en matière de sanction lui sont octroyées telles que la mise en demeure ou encore le rappel à l’ordre, par exemple.
La CNIL est composée de 18 membres dont :
- des membres de l’Assemblée nationale (deux députés) ;
- des membres du Sénat (deux sénateurs) ;
- des membres des Hautes juridictions (deux conseillers de la Cour de Cassation, deux conseillers d’Etat et deux conseillers de la Cour des comptes) ;
- des membres désignés par ces institutions (un membre désigné par le Président de l’Assemblée nationale, un membre désigné par le Président du Sénat, trois membres désignés par décret) ;
- du président de la Commission d’accès aux documents administratifs.
Que contrôle la CNIL ?
L’objectif principal du contrôle de la CNIL est de vérifier la conformité des données informatiques avec la loi Informatique et liberté ainsi que le RGPD (Règlement général de protection des données).
Ainsi, la mission de la CNIL consiste à vérifier que le traitement informatique en question ne porte aucune atteinte aux droits et libertés des personnes concernées.
Le contrôle de la CNIL porte également sur la mise en place d’un registre recensant l’ensemble des traitements mis en place ainsi que l’analyse des impacts liés à la protection des données.
En somme, la CNIL contrôle les éléments suivants :
- l’objectif final du traitement des données personnelles ainsi que la base légale ;
- la nature de toutes les données collectées ;
- les modalités d’information des personnes concernées par la collecte des données ;
- les durées de conservation des données personnelles ;
- les modalités de protection des données et leur transfert, etc.
La CNIL peut être amenée à contrôler tout organisme concerné par le traitement des données personnelles même si le traitement n’a pas lieu en France. En effet, la CNIL est compétente pour contrôler le traitement des données des personnes résidant en France, même si la structure n’est pas établie sur le territoire français.
Le contrôle peut également être opéré chez des sous-traitants (par exemple, un hébergeur) d’un organisme gérant des données personnelles.
Enfin, les décisions de contrôle de la CNIL peuvent avoir différentes origines :
- les thématiques de contrôle choisies chaque année ;
- les plaintes et réclamations reçues ;
- des initiatives ponctuelles de la CNIL ;
- la vérification des dispositifs de vidéoprotection ;
- à la suite d’une procédure de contrôle clôturée ou d’une mise en demeure.
Qui procède au contrôle ?
Les contrôles de la CNIL sont effectués par des agents de service de la commission ayant reçu une habilitation ou par des membres désignés pour réaliser cette mission.
Les habilitations sont accordées pour une durée de cinq années renouvelables sous conditions. Quant aux désignations, elles ne peuvent porter que sur des agents ne présentant ou n’ayant présenté durant ces trois dernières années aucun intérêt direct ou indirect avec l’organisme concerné par le contrôle.
Comment se déroule un contrôle de la CNIL ?
Au début de chaque mission de contrôle, les agents de la CNIL doivent délivrer les informations suivantes :
- l’identité et la qualité des agents de contrôle ;
- la copie de la décision prise par le président de la CNIL ;
- la copie de la désignation des agents de la CNIL effectuant le contrôle ;
- l’objet du contrôle ;
- les informations précisées à l’article 19 de la loi Informatique et Libertés et L 253-3 du Code de la sécurité intérieure ;
- la notification à l’organisme visé de son droit d’opposition à la visite.
Durant leur mission, les agents se saisissent de toutes les informations permettant de vérifier les conditions de traitement des données personnelles (informations juridiques, techniques, etc.).
Ils sont en mesure de demander tous les documents nécessaires à l’exercice de leur mission. Ils peuvent également s’entretenir avec les membres du personnel détenant des informations en lien avec la conformité du traitement des données.
Par ailleurs, ils ont également accès aux données et peuvent demander la transmission de différents supports d’information : contrats de sous-traitance, bases de données, etc.
Enfin, les agents peuvent être assistés d’experts.
Il existe différentes formes de contrôle :
- le contrôle sur place consistant pour les agents à se rendre au sein des locaux de l’organisme afin d’y mener des investigations sur les traitements de données personnelles. La décision de procéder au contrôle est prise par le président de la CNIL et est notifiée en début de contrôle à l’organisme concerné par les investigations. Le procureur de la République est également informé des coordonnées du contrôle (date, heure, etc.) 24 heures avant son début. L’organisme concerné peut être amené à fournir au préalable certains documents ;
- le contrôle sur audition se traduisant par l’envoi d’un courrier à l’organisme invitant ses représentants à se présenter dans les locaux de la CNIL à une date donnée pour répondre à des questions ou accorder l’accès aux ressources informatiques de l’organisme. Le courrier de convocation doit être adressé au moins 8 jours avant la date fixée ;
- le contrôle en ligne consistant pour les agents à vérifier, depuis les locaux de la CNIL, les données librement accessibles ou rendues accessibles en ligne (volontairement ou par négligence). Ce contrôle s’effectue à partir d’un service de communication public en ligne (par exemple, un site internet) ;
- le contrôle sur pièces se traduisant par l’envoi d’un courrier accompagné d’un questionnaire d’évaluation de la conformité des traitements mis en place par l’organisme concerné.
Plusieurs contrôles peuvent être effectués de manière complémentaire : un contrôle sur place complété d’une audition, par exemple.
À l’issue du contrôle, un procès-verbal est établi faisant état de l’ensemble des informations obtenues. Ce document est signé et relu par le responsable des lieux. Font exception à l’obligation de rédaction d’un procès-verbal les contrôles sur pièces.
Le procès-verbal précise l’identité des agents de contrôle et peut mentionner les pièces complémentaires devant être adressées à la CNIL. Une annexe contenant les pièces recueillies durant la mission de contrôle est jointe au document.
La CNIL reprend le procès-verbal établi et examine l’ensemble des documents fournis.
A l’issue de cette vérification, plusieurs hypothèses sont présentées :
- la procédure est clôturée par courrier du président de la CNIL en cas d’absence d’observations ;
- la procédure est clôturée par courrier du président de la CNIL accompagné d’observations en cas de manquements peu significatifs ;
- une mise en demeure est effectuée par le président de la CNIL pour enjoindre l’organisme de se mettre en conformité dans un délai impartis en cas de manquements importants ;
- une sanction peut être infligée par le président de la CNIL en cas d’absence de réponse à la mise en demeure ou de non-respect des injonctions. Une dénonciation au parquet peut être également réalisée.
Quelles sont les sanctions à l’issue d’un contrôle de la CNIL ?
Plusieurs sanctions peuvent être prononcées par la CNIL :
- un rappel à l’ordre ;
- l’injonction de se mettre en conformité pouvant assortie d’une astreinte ;
- une limitation du traitement ou son interdiction (temporaire ou définitive) ;
- le retrait d’une certification ;
- une amende administrative de 2 à 4 % du chiffre d’affaires de la structure.
Ces décisions peuvent faire l’objet d’une publicité.
Par ailleurs, pour les dossiers de faible gravité, il existe une procédure de sanction simplifiée. Les sanctions ne font pas l’objet de publicité ni d’une audience publique. Elles sont limitées à un montant de 20 000 euros. Le président statue seul dans cette procédure.