Comment se passe un contrôle de la CNIL ?

05 janvier 2016

La CNIL a le pouvoir d’effectuer des contrôles auprès de l’ensemble des organismes qui traitent des données personnelles. Les entreprises privées, les associations ou encore les organismes publics peuvent ainsi faire l’objet d’un contrôle de la CNIL.

Ces contrôles peuvent se dérouler sur place, sur pièces, sur audition ou en ligne. Ces missions d'investigation sont un moyen d’action indispensable pour vérifier le respect de la loi Informatique et Libertés modifiée et du règlement européen sur la protection des données (RGPD) du 27 avril 2016 par les responsables de traitement et les sous-traitants. Elles permettent aussi d'apprécier concrètement les enjeux émergents en matière de protection des données personnelles.


Qui la CNIL peut-elle contrôler ?

La CNIL peut effectuer des contrôles auprès de tout organisme traitant des données personnelles disposant d’un établissement en France, ou concernant des personnes résidant en France.

Ces missions peuvent être effectuées dans le cadre d’une coopération avec d’autres autorités de protection des données si l’organisme dispose de plusieurs établissements dans l’UE et/ou traite les données personnelles de plusieurs personnes concernées dans l’UE.

Le RGPD permet par ailleurs à la CNIL d’effectuer des vérifications auprès des prestataires sous-traitants, en charge de la mise en œuvre d’un traitement, pour le compte d’un organisme responsable de traitement (ex : hébergement, maintenance).


Comment la CNIL décide-t-elle de faire un contrôle ?

Les missions de contrôle effectuées durant l’année par la CNIL peuvent avoir, de manière équilibrée, des origines différentes :

  • Le programme annuel des contrôles : chaque année, la CNIL décide de porter son attention sur des grandes thématiques identifiées notamment en raison de leur impact sur la vie privée de nombreuses personnes. Ces thématiques sont portées à la connaissance du grand public et conduisent la CNIL, à l’issue du programme annuel, à communiquer sur les pratiques constatées lors des contrôles réalisés.
  • Les réclamations et les signalements : la CNIL est destinataire de réclamations (plaintes) et de signalements (parfois anonymes) qui portent à sa connaissance des faits dont la conformité aux règles relatives à la protection des données personnelles est en question. Des contrôles sont ainsi réalisés pour vérifier ces pratiques et s’assurer, le cas échéant, du respect des droits des plaignants.  
  • Les initiatives : des investigations peuvent être menées dans le cadre de thématiques, identifiées notamment au regard de l’actualité, qui sont susceptibles de présenter des problématiques et des enjeux relatifs à la protection des données personnelles.  
  • Les dispositifs de vidéoprotection : au titre du code de la sécurité intérieure (CSI), la CNIL est compétente pour contrôler les caméras qui filment des lieux ouverts au public (ex. : centre commercial, musée, etc.) et réserve chaque année une partie de son activité de contrôle à la vérification de ces dispositifs.
  • Les procédures de contrôle clôturées, les mises en demeure et les sanctions : des investigations peuvent être menées à la suite d’une procédure de contrôle clôturée, d’une mise en demeure ou d’une sanction, notamment pour vérifier les mesures de mise en conformité adoptées par les organismes.     

Quelle forme un contrôle de la CNIL peut-il prendre ?

Sur décision de son président, la CNIL peut effectuer des contrôles pouvant prendre 4 formes différentes :

  • Le contrôle sur place : une délégation de la CNIL se rend directement au sein des locaux d’un responsable de traitement ou d’un sous-traitant afin de mener des investigations portant sur des traitements de données personnelles.
  • L’audition sur convocation : un courrier est adressé au responsable de traitement ou au sous-traitant afin que des représentants de l’organisme se présentent, à une date donnée, dans les locaux de la Commission. Ces représentants devront répondre à des questions portant sur le(s) traitement(s) objet des vérifications et, le cas échéant, rendre possible un accès aux ressources informatiques de l’organisme.
  • Le contrôle en ligne : les agents de la CNIL effectuent des vérifications, depuis les locaux de la CNIL, en consultant notamment des données librement accessibles ou rendues accessibles directement en ligne, y compris par imprudence, négligence ou du fait d’un tiers. Ces vérifications sont effectuées à partir d’un service de communication au public en ligne (par exemple, sur un site internet, une application mobile ou un produit connecté) et peuvent, le cas échéant, être réalisées sous une identité d’emprunt.
  • Le contrôle sur pièces : les agents de la CNIL adressent un courrier accompagné d’un questionnaire destiné à évaluer la conformité des traitements mis en œuvre par un responsable de traitement ou un sous-traitant. L’organisme visé par le contrôle doit communiquer à la Commission ses réponses en y joignant tout document utile permettant de les justifier. .

Chacune de ces modalités de contrôle peut être utilisée de manière complémentaire. Ainsi, la CNIL pourra par exemple initier ses vérifications en ligne et les poursuivre sur place. Un contrôle sur pièces pourra également être opéré préalablement à un contrôle sur place.

Tout contrôle, à l’exception du contrôle sur pièces, nécessite la rédaction d’un procès-verbal au sein duquel les agents de la CNIL consignent, de manière factuelle, l’ensemble des informations qui ont été portées à leur connaissance pendant le contrôle ainsi que les constatations qu’ils ont effectuées.


Qui réalise les missions de contrôle de la CNIL ?

L’habilitation délivrée par la CNIL aux agents de ses services

  • L’article 19 de la loi Informatique et Libertés modifiée prévoit que les agents des services de la CNIL qui sont appelés à participer à la mise en œuvre des missions de contrôle sont habilités par la CNIL. Les membres de la CNIL peuvent également être désignés pour procéder à ces missions de contrôle.
  • L’habilitation est accordée pour une durée de cinq ans renouvelable à condition que l’agent concerné n’ait pas fait l’objet d’une condamnation à une peine correctionnelle ou criminelle inscrite au bulletin n° 2 du casier judiciaire.
  • La désignation d’un agent habilité des services de la CNIL pour procéder à une vérification auprès d’un organisme ne peut avoir lieu que si l’agent ne détient pas, ou n’a pas détenu au cours des trois années précédant cette vérification, un intérêt direct ou indirect avec cet organisme.

Délibération n° HAB-2024-002 du 4 avril 2024 habilitant des agents de la Commission nationale de l’informatique et des libertés à procéder à des missions de vérification

Les habilitations délivrées par le Premier ministre aux agents de la CNIL

  • Les agents qui procèdent à des vérifications portant sur des traitements de données personnelles qui concernent la sûreté de l’État, la défense, la sécurité publique ou qui ont pour objet la prévention, la recherche, la constatation ou la poursuite des infractions pénales, l’exécution des condamnations pénales ou des mesures de sûreté, doivent bénéficier d’une habilitation spécifique délivrée par le Premier ministre.
  • De même, les agents qui sont appelés à prendre connaissance d’informations classifiées au titre de la protection du secret de défense nationale, dans le cadre des missions de contrôle, doivent y être habilités par le Premier ministre.
  • La décision de procéder à une mission de contrôle est prise par le président de la CNIL, sur proposition des services. Lorsque le contrôle se fait sur place, la décision du président de la CNIL est notifiée au début du contrôle au responsable des lieux où se situent le ou les traitements qui font l’objet des vérifications.
  • Lorsque le contrôle se déroule sur audition, la convocation doit parvenir à la personne auditionnée au moins 8 jours avant la date du contrôle. Cette convocation rappelle notamment à la personne convoquée qu’elle est en droit de se faire assister d’un conseil de son choix.
  • Dans le cadre d’un contrôle sur place, le procureur de la République territorialement compétent est informé de la date, de l’heure et de l’objet du contrôle 24 heures avant que celui-ci ne débute.
  • Il peut être demandé à l’organisme visé par un contrôle de communiquer préalablement des documents (par ex. : moyens informatiques utilisés, organisation générale de l’organisme contrôlé).
  • Les agents de la CNIL participant aux contrôles sont habilités dans les conditions prévues à l’article 19 de la loi et par les articles 57 à 60 du décret du 20 octobre 2005 modifié. Ils peuvent être assistés d'experts, comme par exemple des médecins. Certains contrôles nécessitent des habilitations particulières, notamment pour les fichiers couverts par le secret défense.

Que se passe-t-il pendant un contrôle de la CNIL ?

  • L’objet d’un contrôle est de vérifier que les traitements mis en œuvre par l’organisme sont conformes aux dispositions de la loi Informatique et Libertés modifiée et du RGPD. Le contrôle peut également avoir pour but de vérifier la conformité d’un dispositif de vidéoprotection, en application du CSI, ainsi que celle des traitements mis en œuvre dans le cadre de la prospection commerciale, au moyen de système automatisé de communications électroniques, en application du code des postes et des communications électroniques (CPCE).
  • A l’occasion d’une mission de contrôle, les agents ont vocation à prendre copie de toute information, technique et juridique, pour apprécier les conditions dans lesquelles sont mis en œuvre les traitements de données personnelles.
  • La délégation de la CNIL peut demander communication de tous documents nécessaires à l’accomplissement de sa mission, quel qu’en soit le support, et en prendre copie.
  • Les agents de la CNIL peuvent s’entretenir avec tout personnel susceptible de détenir des informations utiles pour apprécier la conformité des traitements de données personnelles (par exemple, échanger avec un chef de service, un opérationnel, un informaticien).
  • Les contrôleurs peuvent accéder aux programmes informatiques et aux données, et en demander la transcription pour les besoins du contrôle.
  • La délégation peut demander copie de contrats (par ex. : contrats de location de fichiers, contrats de sous-traitance informatique), de formulaires, de dossiers papiers, de bases de données, etc.
  • Un procès-verbal est établi à l’issue du contrôle et fait état de toutes les informations recueillies par la délégation et des constations qu’elle a réalisées. Il répertorie en annexe tous les documents qui ont été copiés dans le cadre du contrôle.

Lorsque la CNIL est empêchée de contrôler...

Dans le cadre d’un contrôle sur place, lorsqu’un responsable des locaux contrôlés s’oppose à la visite de la délégation, le président de la CNIL peut demander l’autorisation de poursuivre le contrôle au juge des libertés et de la détention (JLD) du tribunal judiciaire territorialement compétent.

Par ailleurs, lorsque l’urgence, la gravité des faits à l’origine du contrôle ou le risque de destruction ou de dissimulation de documents le justifie, le président de la CNIL peut demander au JLD du tribunal judiciaire territorialement compétent une autorisation préventive pour effectuer le contrôle, sans que le responsable des locaux en ait été informé et ait eu la possibilité de s’y opposer.

L’article 226-22-2 du code pénal punit d’un an d’emprisonnement et de 15 000 € d’amende l’entrave à l’action de la CNIL.

L'entrave à l'action de la CNIL est réalisée en cas :

  • d'opposition à l’exercice des missions confiées aux membres ou agents habilités lorsque la visite a été autorisée par le juge des libertés et de la détention ;
  • de refus de communiquer, de dissimulation ou de destruction des renseignements et documents utiles à la mission de contrôle ;
  • de communication d'informations non conformes au contenu des enregistrements tel qu’il était au moment où la demande de la CNIL a été formulée ou présentation d'un contenu sous une forme qui n’est pas directement accessible.

Les secrets opposables aux agents de la CNIL

Dans le cadre des investigations menées, l’organisme ne peut pas opposer aux contrôleurs de la CNIL le secret professionnel pour justifier notamment un refus de leur laisser accéder à des programmes informatiques ou leur communiquer des documents, sauf si les données relèvent de correspondances entre un avocat et son client, ou sont couvertes par le secret des traitements journalistiques. Les contrôleurs de la CNIL ne peuvent par ailleurs accéder aux données médicales individuelles couvertes par le secret médical qu’en présence et sous l’autorité d’un médecin.

Le secret professionnel des agents de la CNIL

Les agents de la CNIL sont astreints au secret professionnel pour les faits, les actes ou renseignements dont ils ont pu avoir connaissance en raison de leurs fonctions, sous peine de poursuites pénales (article 20 de la loi du 6 janvier 1978 modifiée).

Seuls les agents de la CNIL ayant besoin d’en connaître dans l’exercice de leur mission sont habilités à accéder aux documents recueillis au cours de la procédure de contrôle.


Que se passe-t-il après un contrôle de la CNIL ?

À la suite du contrôle, la CNIL reprend le procès-verbal de contrôle et examine les documents dont une copie aura été effectuée pour apprécier les conditions de mise en œuvre des traitements de données personnelles au regard des dispositions de la loi Informatique et Libertés, du RGPD, du CSI et du CPCE. Au regard de l’analyse effectuée par la CNIL, différentes suites peuvent être apportées au contrôle :

  • Lorsque les constatations effectuées n’appellent pas d’observations particulières, la procédure de contrôle est clôturée par un courrier du président de la CNIL.
  • Lorsque les investigations menées conduisent à établir que les pratiques de l’organisme contrôlé sont constitutives de manquements peu significatifs, la procédure de contrôle est clôturée par un courrier du président de la CNIL accompagné d’observations (ex. : modification des durées de conservation, des mesures de sécurité, procéder à l’information des personnes, etc.).
  • Lorsque les vérifications opérées conduisent à caractériser des manquements plus significatifs, le président de la CNIL peut décider de mettre en demeure l’organisme d’adopter des mesures, dans un délai imparti, pour se mettre en conformité. La mise en demeure peut, selon les circonstances (par ex. : nombre important de personnes concernées, impact sur la vie privée des personne élevé, etc.), être rendue publique.
  • En cas d’absence de réponse à la mise en demeure ou de non-respect de ses injonctions ou alternativement à la mise en demeure, le président de la commission peut engager une procédure de sanction contre l’organisme.
  • Dans l’hypothèse d’une affaire peu complexe ou de faible gravité, le dossier peut être transmis au président de la formation restreinte, qui peut prononcer l’une des trois mesures prévues par l’article 22-1 de la loi Informatique et Libertés (procédure de sanction simplifiée). Dans les autres cas, il sera transmis à la formation restreinte de la CNIL, qui peut prononcer les sanctions prévues aux articles 20 et 21 de la loi Informatique et Libertés et 83 du RGPD (procédure de sanction ordinaire).
  • L’engagement d’une procédure de sanction par la CNIL n’exclue pas une dénonciation au Parquet (article 40 du code de procédure pénale).

 

Le cadre légal

Le RGPD et la loi Informatique et Libertés

Le règlement européen sur la protection des données (RGPD), entré en application dans tous les pays de l’Union européenne (UE) depuis le 25 mai 2018, prévoit que chaque autorité de protection des données peut réaliser des missions d’investigation (article 58-1), seule, ou conjointement avec d’autres autorités de contrôle (article 62).

Les missions de contrôle sont également encadrées par les articles 8-2°)g) et 19 de la loi Informatique et Libertés afin d’être mise en conformité avec le RGPD, et par les articles 61 à 69 du décret du 20 octobre 2005 modifié le 1er août 2018. 

L’article 21 de la loi précise que les membres du gouvernement, autorités publiques, dirigeants d’entreprises publiques ou privées, responsables de groupements divers et plus généralement les détenteurs ou utilisateurs de traitements ou de fichiers de données à caractère personnel ne peuvent s’opposer à l’action de la commission ou de ses membres et doivent au contraire prendre toutes mesures utiles afin de faciliter sa tâche.

Le code de la sécurité intérieure (CSI)

La CNIL est compétente pour contrôler la mise en œuvre d’un système de vidéoprotection qui comprend des caméras qui filment des lieux ouverts au public (article L253-2). Le contrôle vise à s’assurer que le système est utilisé conformément à l’autorisation délivrée par le préfet et, selon le régime juridique dont le système relève, aux dispositions du CSI ou à celles de la loi Informatique et Libertés.

Le code des postes et des communications électroniques (CPCE)

Le CPCE prévoit que la CNIL veille, pour ce qui concerne la prospection directe utilisant les coordonnées d’un abonné ou d’une personne physique, au respect des dispositions de l’article L34-5 en utilisant les compétences qui lui sont reconnues par la loi Informatique et Libertés.

Document reference

Document à télécharger