Comment se passe un contrôle de la CNIL ?


La CNIL a le pouvoir d’effectuer des contrôles auprès de l’ensemble des responsables de traitement. Ils peuvent se dérouler sur place, sur pièces, sur audition ou en ligne. Ces missions d'investigation sont un moyen d’action indispensable pour vérifier l'application de la loi informatique et libertés sur le terrain. Elles permettent aussi d'apprécier concrètement les enjeux émergents en matière de protection des données à caractère personnel.

Le cadre légal

Les missions de contrôle sont encadrées par les articles 11-2°- f et 44 de la loi du 6 janvier 1978 modifiée le 6 août 2004, et par les articles 61 à 69 du décret du 20 octobre 2005 modifié par le décret du 25 mars 2007. L’article 21 de la loi précise que les ministres, autorités publiques, dirigeants d’entreprises publiques ou privées, responsables de groupements divers et plus généralement les détenteurs ou utilisateurs de traitements ou de fichiers de données à caractère personnel ne peuvent s’opposer à l’action de la commission ou de ses membres et doivent au contraire prendre toutes mesures utiles afin de faciliter sa tâche.

 Ce cadre évoluera à compter de l'entrée en vigueur du règlement européen sur la protection des données, en mai 2018. Le règlement prévoit notamment la réalisation d’opérations de contrôle conjointes par plusieurs autorités européennes de protection des données. 


Qui la CNIL peut-elle contrôler ?

Sont soumis à la loi du 6 janvier 1978 modifiée, tous les traitements de données à caractère personnel dont le responsable dispose d’un établissement sur le territoire français ou qui recourt à des moyens de traitement situés sur ce territoire.

En outre, l’article 48 de la loi du 6 janvier 1978 prévoit que les pouvoirs de contrôle de la CNIL peuvent être exercés à l’égard des traitements dont les opérations sont mises en œuvre en tout ou partie sur le territoire national.

Ainsi, la CNIL peut contrôler une société qui, sans être établie en France, recourt à des moyens de traitement sur ce territoire (par exemple : utilisation d’équipements participant au traitement ou dépôt de cookies et autres traceurs sur les terminaux des utilisateurs). Un contrôle sur place ne peut néanmoins se dérouler qu’auprès d’un établissement situé sur le territoire français.

 


Ce qui se passe avant un contrôle de la CNIL

  • La décision de procéder à une mission de contrôle est prise par le Président de la CNIL, sur proposition du service des contrôles.
  • La décision de prévenir, ou non, le responsable de traitement visé par un contrôle sur place est prise en opportunité. Lorsque le contrôle se déroule sur audition, la convocation doit parvenir à la personne auditionnée au moins 8 jours avant la date du contrôle.
  • Il peut être demandé au responsable de traitement visé par un contrôle de communiquer préalablement des documents (ex. : moyens informatiques utilisés, organisation générale de l’organisme contrôlé).
  • Lorsque le contrôle se fait sur place, la décision du Président de la CNIL est notifiée au début du contrôle au responsable des lieux où se situe le ou les traitements qui font l’objet des vérifications. De même, le procureur de la République territorialement compétent est informé de la date, de l’heure et de l’objet du contrôle 24 heures avant que celui-ci ne débute.
  • Lorsque le contrôle est effectué à la demande d’un homologue d'un Etat membre de l'Union européenne, la CNIL en informe le responsable du traitement. Elle l’informe que les informations recueillies ou détenues par la CNIL sont susceptibles d’être communiquées à cette autorité.
  • Les agents de la CNIL participant aux contrôles sont habilités dans les conditions prévues à l’article 19 de la loi et par les articles 57 à 60 du décret du 20 octobre 2005 modifié. Ils peuvent être assistés d'experts. Certains contrôles nécessitent des habilitations particulières, notamment pour les fichiers couverts par le secret défense.

Ce qui se passe pendant un contrôle de la CNIL

  • Une mission de contrôle vise prioritairement à obtenir copie du maximum d’informations, techniques et juridiques, pour apprécier les conditions dans lesquelles sont mis en œuvre des traitements de données à caractère personnel.
  • La délégation de la CNIL peut demander communication de tous documents nécessaires à l’accomplissement de sa mission, quel qu’en soit le support, et en prendre copie.
  • Les contrôleurs peuvent accéder aux programmes informatiques et aux données, et en demander la transcription pour les besoins du contrôle.
  • La délégation peut demander copie de : contrats (ex.: contrats de location de fichiers, contrats de sous-traitance informatique), formulaires, dossiers papiers, bases de données, etc.
  • Un procès-verbal de fin de mission est établi à l’issue du contrôle, pour préciser notamment la liste des documents dont une copie a été effectuée.

Lorsque la CNIL est empêchée de contrôler ...

Dans le cadre d’un contrôle sur place, lorsqu’un responsable des locaux contrôlés s’oppose à la visite de la délégation, le Président de la Commission peut  demander l’autorisation de poursuivre le contrôle auprès du juge des libertés et de la détention du Tribunal de Grande Instance.

L’article 51 de la loi punit d’un an d’emprisonnement et de 15 000 € d’amende, l’entrave à l’action de la CNIL.

L'entrave à l'action de la CNIL est réalisée en cas :

  • d'opposition à l’exercice des missions confiées aux membres ou agents habilités lorsque la visite a été autorisée par le juge des libertés et de la détention ;
  • de refus de communiquer, dissimulation ou destruction des renseignements et documents utiles à la mission de contrôle ;
  • de communication d'informations non conformes au contenu des enregistrements tel qu’il était au moment où la demande de la CNIL a été formulée ou présentation d'un contenu sous une forme qui n’est pas directement accessible

Le contrôle en ligne : un nouveau pouvoir de la CNIL

Le pouvoir de la CNIL de réaliser des investigations en ligne a été transposé dans l’article 44 de la loi du 6 janvier 1978 modifiée par la loi Consommation du 17 mars 2014.

  • Cette loi autorise les agents de la CNIL habilités à réaliser des vérifications à partir d’un service de communication au public en ligne (par exemple, un site internet). Ces contrôles peuvent être complémentaires d’un contrôle sur place, sur pièce ou sur audition. Ils permettent le traitement de thématiques identifiées telles que le dépôt de cookies et d’autres traceurs, les mentions d’information à l’attention des utilisateurs ou la sécurité du site internet, notamment dans le cadre de la collecte de données à caractère personnel.
  • Les contrôles en ligne s’effectuent au sein de la CNIL à partir d’une plateforme et d’une connexion internet dédiées. Les constatations en ligne sont précédées de vérifications techniques de l’environnement de contrôle.
  • Ces contrôles se limitent à la consultation des données librement accessibles ou rendues accessibles, y compris par imprudence, négligence ou du fait d’un tiers.

Comme pour les contrôles sur place ou sur audition, le contrôle en ligne débouche sur la rédaction d’un procès-verbal de constatations. Copie de ce procès-verbal est envoyée au responsable du site contrôlé avec, le cas échéant, une demande d’information complémentaire.


Ce qui se passe après un contrôle de la CNIL

A l’issue du contrôle, la CNIL examine les documents dont une copie aura été effectuée pour apprécier les conditions de mise en œuvre des dispositions de la loi informatique et libertés.

  • Lorsque les constatations effectuées n’appellent pas d’observations particulières, le contrôle est clôturé par un courrier du président de la CNIL qui peut contenir des recommandations (ex. :  modification des durées de conservation, des mesures de sécurité, etc.).
  • Lorsque les manquements relevés sont sérieux, le dossier est transmis à la formation restreinte de la CNIL, qui peut prononcer les sanctions prévues à l’article 45 de la loi informatique et libertés. Cette transmission à la formation restreinte n’est pas exclusive d’une dénonciation au Parquet (article 40 du code de procédure pénale).

Les mots clés associés à cet article