Mission 4 - Contrôler et sanctionner


La CNIL peut contrôler les organismes. En cas de manquements constatés, elle peut décider de les mettre en demeure ou de les sanctionner.

Sanction et contrôler - Chiffres 2020

Le contrôle

Le contrôle à posteriori constitue un moyen privilégié d’intervention auprès des responsables de traitement de données personnelles. Il permet à la CNIL de vérifier sur place la mise en œuvre concrète de la loi. Le programme des contrôles est élaboré en fonction des thèmes d’actualité et des grandes problématiques (actualité, nouvelles technologies) dont la CNIL est saisie.

> Comment se passe un contrôle de la CNIL ?

> Cartographie des contrôles de la CNIL, par année et par secteur d'activité

L’avertissement

L’avertissement est une nouvelle « mesure correctrice » prévue par le RGPD, introduite en droit français par la loi du 20 juin 2018 : la présidente de la CNIL peut avertir un organisme que le traitement de données qu’il envisage, à un stade où celui-ci n’est pas encore opérationnel, est susceptible de méconnaître les textes applicables. Il ne s’agit donc pas d’une sanction, mais d’une mesure visant à éviter, à titre préventif, le déploiement du dispositif.

Les mises en demeure

La Présidente de la CNIL a la possibilité de mettre en demeure des organismes qui ne respectent pas des dispositions du RGPD ou de la loi de se mettre en conformité dans un délai imparti. Ces mises en demeure peuvent être rendues publiques selon la gravité des manquements constatés ou du nombre de personnes concernées.

> Les mises en demeures prononcées par la CNIL

La procédure de sanction de la CNIL

A l'issue de contrôle ou de plaintes, en cas de méconnaissance des dispositions du RGPD ou de la loi de la part des responsables de traitement et des sous-traitants, la formation restreinte de la CNIL peut prononcer des sanctions à l'égard des responsables de traitements qui ne respecteraient pas ces textes.

La formation restreinte de la CNIL est composée de 5 membres et d’un Président distinct du Président de la CNIL.

> La procédure de sanction

> Les membres de la formation restreinte

Avec le RGPD (règlement général sur la protection des données), le montant des sanctions pécuniaires peut s’élever jusqu’à 20 millions d’euros ou dans le cas d’une entreprise jusqu’à 4 % du chiffre d’affaires annuel mondial. Ces sanctions peuvent être rendues publiques.

Lorsque des manquements au RGPD ou à la loi sont portés à sa connaissance, la formation restreinte de la CNIL peut :

  • Prononcer un rappel à l’ordre ;
  • Enjoindre de mettre le traitement en conformité, y compris sous astreinte ;
  • Limiter temporairement ou définitivement un traitement ;
  • Suspendre les flux de données ;
  • Ordonner de satisfaire aux demandes d'exercice des droits des personnes, y compris sous astreinte ;
  • Prononcer une amende administrative.

> Les sanctions prononcées par la CNIL

Les voies de recours

À compter de la date de notification de la décision de la formation restreinte, l'organisme mis en cause dispose d'un délai de deux mois pour former un recours devant le Conseil d'État contre la décision de la CNIL.


Les agents de la CNIL témoignent

Contrôler, c’est vérifier concrètement comment et pourquoi les données personnelles des utilisateurs sont traitées par les organismes. En pratique, nous interrogeons les responsables de traitement afin de comprendre les conditions opérationnelles de mise en œuvre des traitements. Nous vérifions notamment les mesures de sécurité mises en place afin de protéger les données.

Lors d’un contrôle sur place, nous prenons copie de l’ensemble des pièces jugées utiles à la procédure (contrats, extractions de base de données), et consignons dans un procès-verbal les constats effectués et les informations délivrées par les personnes interrogées.

Le plus souvent, nous menons nos enquêtes en binôme, constitué d’un juriste et d’un informaticien (auditeur des systèmes d’informations). Ces enquêtes peuvent être diligentées sur place, en ligne, sur pièces, ou encore sur audition. Si les contrôles sur place sont généralement privilégiés, la crise sanitaire et les confinements successifs ont imposé un recours plus important aux contrôles en ligne et sur pièces pour l’année 2020.

Nos contrôles sont variés, ils concernent tout type d’organisme (public, privé, associatif) sur l’ensemble du territoire français. Nous sommes ainsi amenés à contrôler aussi bien des applications mobiles développées par de jeunes start-ups que de grandes multinationales ou encore des fichiers mis en œuvre par des ministères régaliens. Cette année, en plus des thématiques annuelles et des contrôles menés sur la base des plaintes reçues, nous avons également été fortement mobilisés par les contrôles des traitements mis en œuvre dans le cadre de la lutte contre la COVID-19. À ce titre, 25 contrôles ont été réalisés tout au long de l’année 2020.

Hugo - Contrôles

Hugo
Juriste au service des contrôles - affaires économiques


Belaïd
Auditeur des systèmes d'information au service des contrôles - RH, santé et affaires publiques

 

La mission de contrôle et de sanction de la CNIL vous intéresse ?

Découvrez les offres d'emploi

Document reference

Les mots clés associés à cet article