L'essentiel Les points de vigilance

La Commission nationale informatique et libertés (Cnil) est chargée d'assurer le contrôle national de l'application du RGPD. Elle a notamment pour rôle  :

  • d'informer sur les droits et obligations en matière de protection des données personnelles
  • de veiller à ce que les traitements de données à caractère personnel soient mis en œuvre conformément aux dispositions légales et réglementaires ainsi qu'au droit de l'Union européenne.

Dans ce cadre, elle est amenée à traiter des réclamations, pétitions et plaintes. Elle peut également procéder à des vérifications portant sur les traitements de données à caractère personnel.

Pour ce faire, elle dispose d'agents de contrôle habilités. Ceux-ci sont astreints au secret pour tous les faits, actes ou renseignements dont ils peuvent prendre connaissance dans le cadre de leurs fonctions , art. 10 L. nº 78-17, 6 janv. 1978, art. 11.

Comment la Cnil choisit-elle les entreprises qu'elle va inspecter ?

Le contrôle de la Cnil peut être exercé auprès de toutes les entreprises, quelle que soit leur taille :

  • qui traitent des données personnelles (c'est-à-dire, par exemple, qui les collectent, les stockent, les modifient, les conservent, etc.)
  • et qui disposent d'un établissement en France, ou qui traitent des données concernant des personnes résidant en France .

La mise en œuvre des contrôles par la Cnil dépend notamment du programme annuel des contrôles défini chaque année par la Cnil. En 2022, les thématiques prioritaires de contrôle sont  :

  • la prospection commerciale
  • le cloud informatique en nuage
  • la surveillance dans le cadre du télétravail.

Les autres contrôles sont menés suite à :

  • des réclamations et signalements visant un organisme
  • des sujets révélés dans l'actualité
  • des procédures de contrôle clôturées, des mises en demeure et des sanctions notifiées, le contrôle intervenant, dans ce cas, dans le cadre d'une vérification de mise en conformité et de respect de la mesure prononcée.

Exemple

En 2020, la Cnil a réalisé 247 contrôles dont 72 sur place, 82 en ligne, 74 sur pièces. Ces contrôles ont été réalisés pour :

  • 40 % suite à des plaintes ou signalements. En 2019, la Cnil a reçu plus de 14 000 plaintes (contre 11 000 plaintes en 2018)
  • 32 % à l'initiative de la Cnil
  • 15 % en application du programme annuel de contrôle de la Cnil
  • 10 % sont liés aux contrôles mis en œuvre dans le cadre de la lutte contre le Covid-19
  • 3 % à la suite de mises en demeure ou de procédures de sanction.

Quels sont les types de contrôles que la Cnil peut effectuer ?

La Cnil peut être amenée à effectuer quatre types de contrôles, qui peuvent d'ailleurs se cumuler  :

  • le contrôle sur place : il se déroule au sein de l'entreprise
  • le contrôle sur convocation : l'employeur peut être entendu sur convocation des agents de la Cnil, lesquels ont la possibilité d'entendre toute personne susceptible de lui fournir tout renseignement ou justification utile
  • le contrôle sur pièces : les agents demandent communication d'un certain nombre de documents et informations
  • le contrôle en ligne : les vérifications sont faites directement dans les locaux de la Cnil et portent sur les services de communication au public en ligne (site internet, application mobile par exemple) lorsque des données y sont directement accessibles ou rendues accessibles, y compris par imprudence, négligence ou fait d'un tiers.

L'employeur peut-il refuser l'entrée de l'agent de contrôle de la Cnil ?

Oui. L'employeur peut s'opposer au contrôle sur place de la Cnil, sauf si celle-ci dispose d'une autorisation spécifique du juge (voir ci-dessous).

Si l'employeur s'oppose au contrôle :

  • la Cnil doit saisir le juge Il s'agit du juge des libertés et de la détention pour lui demander d'autoriser la visite sur place malgré le refus de l'employeur
  • le juge doit statuer dans les 48 heures, il se prononce notamment sur les heures pendant lesquelles le contrôle sur place peut avoir lieu
  • l'ordonnance du juge doit être notifiée au moment de la visite à l'employeur qui en reçoit une copie et est informé des recours dont il dispose :
    • l'ordonnance peut faire l'objet d'un appel devant le premier Président de la cour d'appel, dans les 15 jours suivant sa notification. L'appel n'a pas d'effet suspensif : le contrôle de la Cnil peut donc quand même avoir lieu
    • l'employeur a également la possibilité de saisir le juge qui a rendu l'ordonnance, afin de lui demander de suspendre ou arrêter la visite ordonnée. Cette saisine n'a pas non plus d'effet suspensif
    • l'employeur peut enfin, à l'issue des opérations de contrôle, effectuer un recours devant le premier Président de la cour d'appel contre le déroulement des opérations de visite ordonnées par le juge. Ce recours doit être formé dans les 15 jours suivant la notification du procès-verbal de la visite
  • la visite se déroule sous l'autorité et le contrôle du juge, en présence de l'employeur qui peut être assisté de son avocat, ou en présence de deux témoins qui ne sont pas placés sous l'autorité des personnes chargées du contrôle .

Remarque

Si l'employeur n'est pas présent, ces informations peuvent être portées à sa connaissance dans les 15 jours suivant le contrôle.

Astuce

Si l'employeur n'est pas informé de son droit à s'opposer à la visite, la procédure de contrôle est irrégulière. Toute décision prise sur le fondement de ce contrôle peut alors être annulée

L'employeur ne peut pas s'opposer au contrôle de la Cnil lorsque celle-ci a obtenu une ordonnance du juge préalablement au contrôle :

  • en cas d'urgence, de gravité des faits à l'origine du contrôle ou de risque de destruction ou de dissimulation de documents, la Cnil peut saisir le juge des libertés et de la détention d'une demande d'autorisation préalable de visite qui, lorsqu'elle est délivrée, permet aux agents de contrôle de mettre en œuvre la visite sans que le responsable des lieux n'en ait été informé et qu'il puisse s'y opposer , 8 janv. 1978, art. 19)
  • l'employeur peut former un recours devant la cour d'appel, dans un délai de 15 jours suivant la notification de l'ordonnance d'autorisation de visite. Il peut également saisir le juge d'une demande de suspension ou d'arrêt de la visite, et former un recours auprès du premier président de la cour d'appel contre le déroulement des opérations de contrôle .

Quand et comment la Cnil peut-elle opérer un contrôle sur place ?

Les agents de contrôle de la Cnil peuvent effectuer un contrôle dans les locaux de l'entreprise entre 6 heures et 21 heures . Ils n'ont pas l'obligation de prévenir préalablement l'employeur .

Au plus tard à son arrivée sur place, la Cnil doit informer le responsable des lieux ou son représentant  :

  • de l'objet des vérifications qu'elle entend entreprendre
  • de l'identité et de la qualité des personnes en charge du contrôle
  • et du droit dont il dispose de s'opposer à la visite.

Remarque

Pour pouvoir accéder aux parties des locaux qui seraient affectées au domicile privé, la Cnil doit demander une autorisation préalable au juge.

Comment la Cnil opère-t-elle des contrôles en ligne ?

La Cnil peut consulter les données librement accessibles en ligne ou rendues accessibles, y compris par imprudence, par négligence ou par le fait d'un tiers, à partir d'un service de communication au public en ligne, comme par exemple, un site internet ou une application mobile, ou un produit connecté .

Le contrôle en ligne peut être réalisé sous une identité d'emprunt. En revanche, les agents de contrôle de la Cnil ne peuvent pas inciter à commettre une infraction .

Remarque

En pratique, ce type de contrôle permet notamment de vérifier la présence de cookies, de traceurs, et de s'assurer que l'obligation d'information sur la collecte des données est bien respectée. Le plus souvent, après signalement, la Cnil réagit très rapidement en procédant à la constatation de la violation et en contactant l'auteur de cette violation dans les heures suivant le signalement (Rapport d'activité de la Cnil, 2019).

À quelles informations les agents de contrôle peuvent-ils avoir accès ?

Les agents de contrôle peuvent :

  • demander la communication de tous les documents qui sont nécessaires à l'accomplissement de leur mission, quel qu'en soit le support. Ils peuvent d'ailleurs en prendre une copie
  • accéder aux programmes informatiques et aux données et en demander la transcription dans des documents directement utilisables pour les besoins du contrôle
  • s'entretenir avec les membres du personnel pour obtenir tout renseignement et toute justification utiles et nécessaires à leur mission. Ces échanges peuvent se faire sur place, mais également sur audition.

L'employeur ne peut pas refuser à la Cnil l'accès à des données en invoquant la confidentialité, sauf toutefois à invoquer :

  • le secret professionnel applicable aux relations entre un avocat et son client
  • le secret des sources des traitements journalistiques
  • le secret médical pour les informations contenues dans les traitements relatifs à la médecine préventive, la recherche médicale, les diagnostics médicaux, l'administration de soins ou de traitements, ou la gestion de services de santé. La communication des données médicales individuelles ne peut alors se faire que sous l'autorité et en présence d'un médecin .

Comment se termine le contrôle de la Cnil ?

À l'issue du contrôle, l'agent de contrôle de la Cnil doit dresser un procès-verbal portant sur les vérifications et visites menées .

Ce procès-verbal mentionne :

  • la nature, le jour, l'heure et le lieu des vérifications ou des contrôles effectués
  • l'objet de la mission et les agents de contrôle
  • les personnes rencontrées et, le cas échéant, leurs déclarations
  • les demandes formulées par les agents de contrôle
  • les éventuelles difficultés rencontrées.

Un inventaire des pièces et documents dont les agents de contrôle ont pris copie doit être annexé au procès-verbal.

Lorsque les vérifications et visites sont effectuées sur place ou sur convocation, le procès-verbal est dressé contradictoirement. Il est signé par les agents ayant réalisé le contrôle et par l'employeur ou son représentant. En cas d'audition, il est signé par l'agent de contrôle et la personne entendue. Il mentionne, le cas échéant, le refus ou l'absence de signature.

Quand l'employeur peut-il être sanctionné pour entrave à l'action de la Cnil ?

Il y a entrave à l'action de la Cnil lorsque l'employeur :

  • s'oppose à l'exercice des missions confiées aux membres de la Cnil ou aux agents de contrôle habilités, lorsque la visite a été autorisée par le juge des libertés et de la détention ()
  • refuse de communiquer aux membres de la Cnil ou aux agents de contrôle les renseignements et documents utiles à leur mission, dissimule ces documents ou renseignements, ou les fait disparaître
  • communique des informations qui ne sont pas conformes au contenu des enregistrements, tel qu'il était au moment où la demande a été formulée, ou qui ne présentent pas ce contenu sous une forme directement accessible .

La personne commettant une entrave encourt un an d'emprisonnement et 15 000 € d'amende . L'entreprise, elle, encourt 75 000 € d'amende ainsi que des peines complémentaires telles que l'interdiction d'exercer une ou plusieurs activités professionnelles ou sociales, ou encore une fermeture définitive ou temporaire d'établissement ainsi que l'exclusion des marchés publics .

Pour afficher ce contenu :
créez votre compte gratuitement !
Pour afficher ce contenu :
créez votre compte gratuitement !
Astuce

Si l'employeur n'est pas informé de son droit à s'opposer à la visite, la procédure de contrôle est irrégulière. Toute décision prise sur le fondement de ce contrôle peut alors être annulée