Respect du RGPD : comment la Cnil contrôle...

À la Une

Liaisons-sociales.fr, toute l'actualité juridique et sociale

[libertés fondamentales]

Respect du RGPD : comment la Cnil contrôle-t-elle les entreprises ?

Mis à jour le 21/10/2019

Portée

Toutes les entreprises, quelle que soit leur taille, peuvent faire l'objet d'un contrôle par la Commission nationale informatique et libertés (Cnil), dès lors qu'elles disposent d'un établissement en France, ou qu'elles traitent des données concernant des personnes résidant en France [L. nº 78-17, 6 janv. 1978 mod., art. 3].

Le Règlement général sur la protection des données (RGPD) mis en place par le règlement (UE) 2016/679 du 27 avril 2016 s'applique en effet, depuis le 25 mai 2018, à toutes les entreprises qui traitent des données personnelles, c'est-à-dire les collectent, les stockent et les utilisent. Les associations sont concernées de la même manière. Les sous-traitants le sont aussi dès qu'ils traitent de données personnelles pour le compte d'autres entreprises (voir Le Mémo Social, 2019, nº 761).

Comment la Cnil choisit-elle les entreprises qu'elle contrôle ?

La Cnil est l'autorité de contrôle nationale pour le RGPD, comme le prévoit la loi Informatique et Libertés [L. nº 78-17, 6 janv. 1978 mod., art. 8]. Elle définit chaque année un programme annuel des contrôles. En 2019, les priorités sont le respect des droits des personnes, la répartition des responsabilités entre les sous-traitants et les donneurs d'ordre et les données des mineurs.

La Cnil peut, par ailleurs, être saisie de réclamations ou de signalements visant une entreprise. En outre, lorsqu'une entreprise a déjà fait l'objet d'un contrôle, la commission peut décider de vérifier que la mesure prise (mise en demeure, sanction…) est bien respectée. Enfin, la Cnil peut participer à des opérations conjointes de contrôle avec d'autres pays de l'Union européenne lorsque le responsable du traitement ou le sous-traitant est établi dans plusieurs États membres.

REMARQUE

En 2018, la Cnil a réalisé 310 contrôles dont 204 sur place (20 portants sur des dispositifs vidéo), 51 en ligne, 51 sur pièces et 4 auditions.

Qui décide d'effectuer un contrôle ?

C'est le président de la Cnil qui prend la décision de procéder à un contrôle sur proposition des services de la commission.

Une entreprise peut-elle s'opposer au contrôle ?

L'entreprise peut s'opposer au contrôle de la Cnil, en particulier aux visites des agents habilités, sauf exceptions (voir ci-dessous). Le président de la Cnil peut alors saisir le juge des libertés et de la détention afin qu'il autorise la visite (voir ci-dessous).

L'entrave à l'action de la Cnil est pénalement sanctionnée d'un an d'emprisonnement et de 15 000 € d'amende [C. pén., art. 226-22-2]. On entend par entrave le refus de s'opposer à une visite autorisée par le juge, le refus de communiquer des renseignements et des documents utiles ou leur dissimulation ou destruction, ou encore la communication d'informations non conformes.

Comment se déroule un contrôle de la Cnil ?

Quelles sont les différentes formes de contrôle ?

La Cnil peut contrôler le respect du RGPD de plusieurs façons [L. nº 78-17, 6 janv. 1978 mod., art. 19 ; D. nº 2019-536, 29 mai 2019, art. 25 et s.], elle peut :

– effectuer un contrôle sur place dans l'entreprise ;

– convoquer le responsable du traitement à une audition ;

– contrôler en ligne.

ATTENTION

En outre, la commission peut demander communication de tous documents nécessaires à l'accomplissement de sa mission.

Chaque modalité de contrôle peut être utilisée de manière complémentaire. La Cnil peut, par exemple, effectuer un contrôle en ligne puis se rendre dans les locaux de l'entreprise.

Qui contrôle ?

Les contrôles sont effectués par des agents habilités de la Cnil, tenus au secret professionnel [L. nº 78-17, 6 janv. 1978 mod., art. 11]. Ils ne doivent pas détenir un intérêt direct ou indirect dans l'entreprise contrôlée, y exercer des fonctions ou une activité professionnelle ou y détenir un mandat, ni au cours des trois années précédant le contrôle [D. nº 2019-536, 29 mai 2019, art. 18].

Ces agents peuvent être assistés par des experts, par exemple, des médecins lorsque les opérations de vérification nécessitent l'accès à des données médicales individuelles [D. nº 2019-536, 29 mai 2019, art. 35].

Comment s'effectue le contrôle sur place ?

Pas d'information de l'employeur en amont. Lorsque la commission décide d'effectuer un contrôle sur place, c'est-à-dire sur les lieux servant à la mise en œuvre d'un traitement de données à caractère personnel [L. nº 78-17, 6 janv. 1978 mod., art. 19], elle doit en informer par écrit le procureur de la République territorialement compétent, au plus tard 24 heures avant la date prévue, en précisant la date, l'heure, le lieu et l'objet du contrôle [D. nº 2019-536, 29 mai 2019, art. 25].

Il n'y a pas, en revanche, d'obligation de prévenir en amont le responsable du traitement. Ce dernier est informé au plus tard lors de l'arrivée sur place de l'agent de la Cnil. C'est également à ce moment-là qu'il est informé de son droit d'opposition au contrôle [D. nº 2019-536, 29 mai 2019, art. 26].

REMARQUE

Si le responsable du traitement n'est pas présent, ces informations sont portées à sa connaissance dans les 15 jours suivant le contrôle.

Une visite au domicile privé ne peut se dérouler qu'après l'autorisation du juge des libertés et de la détention (JLD) du tribunal de grande instance (remplacé par le tribunal judiciaire à compter du 1er janvier 2020) dans le ressort duquel sont situés les locaux à visiter [L. nº 78-17, 6 janv. 1978 mod., art. 19, I].

L'employeur s'oppose à la visite. En cas d'opposition à la visite, le président de la Cnil doit saisir le JLD qui statue par ordonnance dans les 48 heures et autorise ou non la visite [L. nº 78-17, 6 janv. 1978 mod., art. 19, II]. Un appel non suspensif (qui n'empêche donc pas la visite si elle a été autorisée) peut être formé contre cette ordonnance dans les 15 jours [D. nº 2019-536, 29 mai 2019, art. 28].

L'employeur ne peut pas toujours s'opposer à la visite. Dans un certain nombre de circonstances (l'urgence, la gravité des faits à l'origine du contrôle ou le risque de destruction ou de dissimulation de documents), la visite se déroule sans que le responsable des locaux ait été informé, sur autorisation préalable du JLD et le responsable des lieux ne peut alors pas s'opposer à la visite [L. nº 78-17, 6 janv. 1978 mod., art. 19, II].

Quand la visite a été autorisée par le JLD. La visite s'effectue sous l'autorité et le contrôle du juge, en présence de l'occupant des lieux ou de son représentant qui peut se faire assister par un conseil de son choix ou, à défaut, en présence de deux témoins. Le JLD peut, s'il l'estime utile, se rendre dans les locaux pendant l'intervention et à tout moment, décider la suspension ou l'arrêt de la visite [D. nº 2019-536, 29 mai 2019, art. 35].

Déroulement de la visite. Les agents habilités ont accès aux lieux de 6 heures à 21 heures [L. nº 78-17, 6 janv. 1978 mod., art. 19, I]. Ils peuvent s'entretenir avec toute personne susceptible de détenir des informations utiles pour apprécier la conformité des traitements de données à caractère personnel, par exemple, échanger avec un chef de service, un opérationnel ou un informaticien [L. nº 78-17, 6 janv. 1978 mod., art. 19, III].

Établissement d'un procès-verbal. Un procès-verbal est rédigé à l'issue de la visite [D. nº 2019-536, 29 mai 2019, art. 31]. Il fait état de toutes les informations recueillies, des constatations réalisées et répertorie en annexe tous les documents copiés. Lorsque la visite n'a pu se dérouler, le procès-verbal mentionne les motifs qui ont empêché ou entravé son déroulement, ainsi que, le cas échéant, les motifs de l'opposition du responsable des lieux ou de son représentant. Ce procès-verbal est signé par les personnes chargées du contrôle et le responsable des lieux ou son représentant. Le refus ou l'absence de signature est, le cas échéant, mentionné. Il est envoyé par lettre recommandée avec demande d'avis de réception au responsable des lieux et au responsable des traitements et, le cas échéant, à son sous-traitant.

Comment sont encadrées les auditions ?

Les agents habilités peuvent auditionner toute personne qui peut leur fournir tout renseignement ou toute justification utile. Une lettre de convocation, rappelant la possibilité d'être assisté d'un conseil de son choix, est adressée au moins huit jours avant la date de l'audition, à la personne concernée par lettre remise contre signature ou en main propre contre récépissé ou par acte d'huissier. Un procès-verbal est rédigé à l'issue de l'audition, comme pour le contrôle sur place (voir ci-dessus). Si la personne ne s'est pas rendue à l'audition, un procès-verbal de carence est établi [L. nº 78-17, 6 janv. 1978 mod., art. 19 III ; D. nº 2019-536, 29 mai 2019, art. 34].

Quelles sont les règles régissant le contrôle sur pièces ?

Les agents habilités peuvent demander communication de tous documents nécessaires à l'accomplissement de leur mission, quel qu'en soit le support, et en faire des copies [L. nº 78-17, 6 janv. 1978 mod., art. 19, III]. Il peut s'agir par exemple de contrats de location de fichiers, de contrats de sous-traitance informatique, de formulaires, de dossiers papiers, de bases de données, etc. Ils peuvent exiger qu'une traduction en français soit jointe si le document est rédigé dans une autre langue [D. nº 2019-536, 29 mai 2019, art. 12].

Ils ont le droit, dans des conditions préservant la confidentialité à l'égard des tiers, d'accéder aux programmes informatiques et aux données, d'en demander la transcription dans des documents directement utilisables pour les besoins du contrôle. Le secret ne peut être opposé sauf pour les informations couvertes par le secret professionnel dans les relations avocat client, par le secret des sources des traitements journalistiques ou par le secret médical [L. nº 78-17, 6 janv. 1978 mod., art. 19, III].

REMARQUE

Le secret médical est opposable aux informations contenues dans les traitements relatifs à la médecine préventive, la recherche médicale, les diagnostics médicaux, l'administration de soins ou de traitements, ou la gestion de service de santé. La communication des données médicales individuelles ne peut alors se faire que sous l'autorité et en présence d'un médecin [L. nº 78-17, 6 janv. 1978 mod., art. 19, III].

Quand intervient le contrôle en ligne ?

À partir d'un service de communication au public en ligne (par exemple un site internet, une application mobile ou un produit connecté), les agents habilités peuvent consulter les données librement accessibles ou rendues accessibles, y compris par imprudence, par négligence ou par le fait d'un tiers [L. nº 78-17, 6 janv. 1978 mod., art. 19 III].

Les agents peuvent réaliser ces contrôles sous une identité d'emprunt. Ils rédigent un procès-verbal des opérations réalisées, des modalités de consultation et d'utilisation de ces services, des réponses obtenues et de leurs constatations. Y sont annexées les pages pertinentes du site ou toute autre information utile au regard des constatations faites. Ce procès-verbal est adressé au responsable du traitement ou au sous-traitant [D. nº 2019-536, 29 mai 2019, art. 33].

REMARQUE

L'objectif de ce contrôle est notamment de vérifier la présence de cookies, de traceurs, mais aussi que l'obligation d'informer sur la collecte des données est bien respectée.

Quelles suites au contrôle de la Cnil ?

Que peut décider la Cnil à l'issue du contrôle ?

Le contrôle peut donner lieu à plusieurs types de mesures, graduées selon le niveau des manquements [L. nº 78-17, 6 janv. 1978 mod., art. 20 ; www.cnil.fr/fr/comment-se-passe-un-controle-de-la-cnil].

Si aucun manquement au RGPD n'est relevé, la procédure se termine par un courrier du président de la Cnil.

En cas de manquements peu significatifs, le courrier du président de la Cnil est accompagné d'observations ou d'avertissements. Il peut, par exemple, être recommandé à l'entreprise de modifier les durées de conservation des données, de revoir les mesures de sécurité ou de procéder à l'information des personnes.

Si les manquements sont plus importants, le président de la Cnil peut décider de mettre en demeure l'entreprise de procéder à certaines adaptations dans un certain délai (voir ci-dessous), et, ou de transmettre le dossier à la formation restreinte de la Cnil, qui pourra prononcer des sanctions (voir ci-dessous).

Quand intervient une mise en demeure ?

La mise en demeure n'est pas une sanction. C'est une injonction du président de la Cnil, envoyée au responsable de traitement par tout moyen permettant de prouver la date de notification [D. nº 2019-536, 29 mai 2019, art. 38], de cesser un ou plusieurs manquements au RGPD dans un délai compris entre 10 jours et 6 mois, renouvelable une fois dans la même limite. En cas d'extrême urgence, le délai peut être fixé à 24 heures [L. nº 78-17, 6 janv. 1978 mod., art. 20, II].

La mise en demeure détaille ce qui est attendu des responsables de traitements pour se mettre en conformité avec le RGPD (rectifier, effacer certaines données, en limiter le traitement, etc.).

REMARQUE

Une mise en demeure peut être rendue publique sur le site de la Cnil et publiée sur Légifrance. Elle est anonymisée au bout de 2 ans [www.cnil.fr].

Selon la Cnil, les manquements les plus fréquents figurants dans les mises en demeure sont le non-respect de la pertinence de la collecte des données conduisant à une collecte non justifiée ou excessive, le non-respect de l'information des personnes et de la transparence, la collecte de données sensibles sans consentement préalable, le non-respect des durées de conservation et le non-respect de la sécurité [www.cnil.fr/fr/la-procedure-de-mise-en-demeure-0].

EXEMPLES

La Cnil a pu prononcer des mises en demeure sur les manquements suivants :

– absence de consentement des personnes au traitement de leurs données en particulier de géolocalisation ;

– système de vidéosurveillance excessif ;

– détournement de finalité des données collectées.

Quelles suites à la mise en demeure ?

Si l'entreprise s'est mis en conformité avec le RGPD et produit les justificatifs adéquats, le président de la Cnil prononce la clôture de la mise en demeure. Si celle-ci avait été rendue publique, la clôture est de même rendue publique, et également anonymisée au bout de deux ans [L. nº 78-17, 6 janv. 1978 mod., art. 20, II].

Le cas échéant, la Cnil peut demander à l'entreprise certains compléments si sa réponse n'est pas totalement satisfaisante. La procédure est clôturée si les réponses de l'entreprise correspondent aux exigences de la mise en demeure. Dans le cas contraire, une procédure de sanction peut être engagée. De même si l'entreprise n'a pas répondu à la mise en demeure [www.cnil.fr/fr/la-procedure-de-mise-en-demeure-0].

Quelles sanctions peut prononcer la Cnil ?

C'est la formation restreinte de la Cnil, composée de cinq membres et d'un président distinct du président de la Cnil, qui est chargée de prononcer l'une des sanctions suivantes à l'encontre des responsables de traitements ou des sous-traitants qui ne respectent pas le RGPD [L. nº 78-17, 6 janv. 1978 mod., art. 16, 20 III] :

– un rappel à l'ordre ;

– une injonction de mettre en conformité le traitement avec le RGPD, ou de satisfaire aux demandes d'exercice des droits des personnes, y compris sous astreinte dont le montant ne peut dépasser 100 000 € par jour de retard ;

– la limitation temporaire ou définitive du traitement ;

– le retrait d'une certification ;

– la suspension partielle ou totale de la décision d'approbation des règles d'entreprise contraignantes (BCR). Cette sanction concerne les multinationales implantées dans plusieurs pays européens qui effectuent de nombreux transferts de données ;

– une amende administrative qui doit être effective, proportionnée et dissuasive, selon l'article 83 du RGPD. Son montant maximum est de 10 millions d'euros ou 2 % du chiffre d'affaires annuel mondial total de l'exercice précédent, le montant le plus élevé étant retenu. Dans certaines hypothèses (non-respect des principes de base des traitements, du consentement, des droits de personnes, non-respect d'une injonction…), ces plafonds sont portés à 20 millions d'euros et 4 % dudit chiffre d'affaires.

EXEMPLES

La Cnil a pu prendre les sanctions suivantes :

– amende de 100 000 € à l'encontre d'une entreprise pour manquement à la sécurité et à la confidentialité, négligence dans le suivi des actions du sous-traitant ;

– amende de 250 000 €, ramené à 200 000 € sur recours devant le Conseil d'État, pour défaut de sécurisation du site internet ;

– avertissement à l'encontre d'une entreprise de transport pour non-réponse et droit d'accès à un dossier d'un salarié notamment aux données d'un chronotachygraphe ;

– amende de 400 000 € pour manquement continu à la sécurité des données traitées.

Quelle est la procédure de sanction ?

Les sanctions sont prises par la formation restreinte au vu d'un rapport établi par un des membres de la Cnil [L. nº 78-17, 6 janv. 1978 mod., art. 22]. Le président de la Cnil désigne un rapporteur n'appartenant pas à la formation restreinte et en informe le responsable de traitement mis en cause [D. nº 2019-536, 29 mai 2019, art. 39].

Une procédure contradictoire d'instruction est prévue. Le rapport établi est notifié au responsable de traitement dans l'entreprise, qui dispose d'un mois pour transmettre ses observations écrites. Il peut prendre connaissance et copie des pièces du dossier et se faire représenter ou assister. Le rapporteur répond dans les 15 jours aux observations. L'entreprise dispose alors d'un nouveau délai de 15 jours pour, le cas échéant, produire des observations écrites. Ces délais peuvent être prolongés d'un mois [D. nº 2019-536, 29 mai 2019, art. 39].

Le responsable du traitement est informé, au moins un mois avant, de la date de la séance de la formation restreinte au cours de laquelle l'affaire sera examinée et de la possibilité d'être entendu, lui-même ou son représentant. En cas de réexamen ou de report de l'affaire, le délai minimal peut être ramené à sept jours [D. nº 2019-536, 29 mai 2019, art. 41].

La décision de sanction est motivée et comporte les considérations de droit et de fait qui la fondent. Elle indique les voies et délais de recours. Elle est notifiée à la personne concernée par tout moyen permettant d'attester la date de notification [D. nº 2019-536, 29 mai 2019, art. 43].

Existe-t-il une procédure spéciale en cas d'urgence ?

Une procédure plus rapide est prévue lorsqu'il est urgent d'intervenir afin de protéger les droits et libertés des personnes concernées. Le responsable du traitement dispose de huit jours (au lieu d'un mois) pour transmettre ses observations écrites. Il est convoqué au plus tard huit jours avant la date de son audition devant la formation restreinte. Des sanctions provisoires sont aussi prévues telle l'interruption provisoire de la mise en œuvre du traitement ou la limitation du traitement de certaines données pour trois mois [L. nº 78-17, 6 janv. 1978 mod., art. 21 ; D. nº 2019-536, 29 mai 2019, art. 46].

Quelles sont les voies de recours des entreprises ?

L'entreprise dispose d'un délai de deux mois, à compter de la date de notification de la décision de la formation restreinte, pour former un recours devant le Conseil d'État [D. nº 2019-536, 29 mai 2019, art. 43 ; www.cnil.fr/fr/la-procedure-de-sanction].

Qui est responsable des traitements de données ?

En entreprise, c'est l'employeur qui est responsable des traitements de données à caractère personnel de ses salariés (par exemple, les données nécessaires à la gestion de la paie). Mais le comité social et économique peut également être responsable de certains traitements de données, notamment s'il dispose de données personnelles des salariés pour la gestion des activités sociales et culturelles.

Haut de page

En poursuivant votre navigation, vous acceptez l'utilisation de cookies pour disposer d'une navigation optimale et personnalisée