Les contrôles de A à Z

La CNIL a le pouvoir d’effectuer des contrôles auprès de l’ensemble des responsables de traitement.

Ces missions d'investigation sont un moyen d’action indispensable pour vérifier l'application de la loi informatique et libertés sur le terrain, cela permet aussi d'apprécier concrètement les enjeux émergeant en matière de protection des données à caractère personnel.

Les pouvoirs de la CNIL

Les missions de contrôle sont encadrées par les articles 11-2°- f et 44 de la loi du 6 janvier 1978 modifiée le 6 août 2004, et par les articles 61 à 69 du décret du 20 octobre 2005 modifié par le décret du 25 mars 2007. L’article 21 de la loi précise que les ministres, autorités publiques, dirigeants d’entreprises publiques ou privées, responsables de groupements divers et plus généralement les détenteurs ou utilisateurs de traitements ou de fichiers de données à caractère personnel ne peuvent s’opposer à l’action de la commission ou de ses membres et doivent au contraire prendre toutes mesures utiles afin de faciliter sa tâche.

• La décision de procéder à une mission de contrôle est prise par le président de la CNIL, sur proposition du service des contrôles.
• La décision de prévenir, ou non, le responsable de traitement visé par un contrôle est prise en opportunité.
• il peut être demandé au responsable de traitement visé par un contrôle  de communiquer préalablement des documents (ex. : moyens informatiques utilisés, organisation générale de l’organisme contrôlé).
• La décision du président de la CNIL est notifiée au début du contrôle au responsable des lieux où se situe le ou les traitements qui font l’objet des vérifications.
• Le procureur de la République territorialement compétent est informé de la date, de l’heure et de l’objet du contrôle avant que celui-ci ne débute.
• Lorsque le contrôle est effectué à la demande d’un homologue d'un Etat membre de l'Union européenne, la CNIL en informe le responsable du traitement. Elle l’informe que les informations recueillies ou détenues par la CNIL sont susceptibles d’être communiquées à cette autorité.
• Les agents de la CNIL participant aux contrôles sont habilités dans les conditions prévues à l’article 19 de la loi. Ils peuvent être assistés d'experts. Certains contrôles nécessitent des habilitations particulières, notamment pour les fichiers couverts par le secret défense.

• Une mission de contrôle vise prioritairement à obtenir copie du maximum d’informations, techniques et juridiques,pour apprécier les conditions dans lesquelles sont mis en œuvre des traitements informatiques.
• La délégation de la CNIL peut demander communication de tous documents nécessaires à l’accomplissement de sa mission, quel qu’en soit le support, et en prendre copie.
• Les contrôleurs peuvent accéder aux programmes informatiques et aux données, et en demander la transcription pour les besoins du contrôle.
• La délégation peut demander copie de : contrats (ex.: contrats de location de fichiers, contrats de sous-traitance informatique), formulaires, dossiers papiers, bases de données, etc.
• Un procès-verbal de fin de mission est établi à l’issue du contrôle, pour préciser notamment la liste des documents dont une copie a été effectuée.

Si la CNIL n'a pu exercer son contrôle normalement, l’article 51 de la loi punit d’un an d’emprisonnement et de 15 000 € d’amende l’entrave à l’action de la CNIL.

L'entrave à l'action de la CNIL est réalisée en cas de :

• opposition à l’exercice des missions confiées aux membres ou agents habilités en application du dernier alinéa de l’article 19 de la loi ;
• refus de communiquer, dissimulation ou destruction des renseignements et documents utiles à la mission de contrôle ;
• communication d'informations non conformes au contenu des enregistrements tel qu’il était au moment où la demande de la CNIL a été formulée ou présentation d'un contenu pas directement accessible.

A l’issue du contrôle, la CNIL examine les documents dont une copie aura été effectuée pour apprécier les conditions de mise en œuvre des dispositions de la loi informatique et libertés.

• Lorsque les constatations effectuées n’appellent pas d’observations particulières, le contrôle est clôturé par un courrier du président de la CNIL qui peut contenir des recommandations (ex. :  modification des durées de conservation, des mesures de sécurité, etc.).
• Lorsque les manquements relevés sont sérieux, le dossier est transmis à la formation contentieuse de la CNIL, qui peut prononcer les sanctions prévues à l’article 45 de la loi. Cette transmission à la formation contentieuse n’est pas exclusive d’une dénonciation au Parquet (article 40 du code de procédure pénale).

Les sanctions de A à Z