DossierRGPD: tout savoir sur le règlement européen qui chamboule vos traitements de données
17 - [Focus] Contrôle de la Cnil: à quoi faut-il s'attendre?
Le 25 mai 2018, le RGPD entrera en application. Et après? À quoi seront confrontées les structures qui devront, à la demande des autorités, prouver que leurs traitements de données personnelles sont conformes au nouveau règlement? Le point sur la procédure de contrôle de la Cnil.
L'échéance du 25 mai 2018 approche à grands pas, et le montant des amendes administratives prévues par le RGPD (jusqu'à 4% du CA mondial de l'organisation prise en défaut) donne des sueurs froides à nombre de dirigeants. Il est vrai que la montée en puissance des sanctions financières, bien plus élevées que celles prévues par la loi Informatique et libertés de 1978 (maximum 300 000€ d'amende), constitue l'une des évolutions marquantes du RGPD en matière de protection des données personnelles.
Pour autant, l'objectif de cette réglementation est de renforcer les droits des personnes dont les données font l'objet d'un traitement, et non de lancer une chasse aux sorcières parmi les responsables de traitements. Dans un entretien récemment accordé au magazine Solutions numériques, Jean Lessi, secrétaire général de la Cnil, a tenu un discours plutôt rassurant: la Cnil ne va pas tirer à boulets rouges sur les entreprises "dans les premiers mois", sauf en cas "de manquements manifestes et graves". Alors, à quoi faut-il s'attendre en cas de contrôle de la Cnil après l'entrée en application du RGPD?
En amont: comment se décide l'organisation d'un contrôle
Toute entreprise ou organisation publique qui effectue des traitements de données personnelles est susceptible d'être visée par une mission de contrôle de la Cnil, qu'elle dispose ou non d'un DPO. À noter, le nouveau règlement européen sur la protection des données prévoit "la réalisation d'opérations de contrôle conjointes par plusieurs autorités européennes de protection des données" (article 62 du RGPD).
Peuvent être visées toutes les structures effectuant "tous les traitements de données à caractère personnel dont le responsable dispose d'un établissement sur le territoire français ou qui recourt à des moyens de traitement situés sur ce territoire", précise la Cnil. Mais dans le cas d'un contrôle sur place, la démarche ne peut se dérouler que dans un établissement situé sur le territoire français.
La décision de contrôler un établissement est prise "par le président de la Cnil, sur proposition du service des contrôles." Cette démarche peut, par exemple, faire suite à une plainte d'un tiers ou encore à une demande d'autorisation de traitement.
Comment se déroule un contrôle
Il existe 3 types de contrôles:
- sur place;
- via une audition, sur convocation;
- à distance via un contrôle en ligne (en vertu de l'article 44 de la loi du 6 janvier 1978 modifiée par la loi Consommation du 17 mars 2014).
Le responsable du traitement visé par le contrôle n'est pas systématiquement prévenu. Dans le cas d'un contrôle en ligne, par exemple, les agents de la Cnil effectuent des vérifications "à partir d'un service de communication au public en ligne" (par exemple, un site internet). "Ces contrôles se limitent à la consultation des données librement accessibles ou rendues accessibles, y compris par imprudence, négligence ou du fait d'un tiers", indique la Cnil.
En revanche, lorsque le contrôle se déroule sur audition, "la convocation doit parvenir à la personne auditionnée au moins 8 jours avant la date du contrôle."
Quels sont les documents à fournir?
L'objectif premier des agents est d'obtenir "copie du maximum d'informations, techniques et juridiques, pour apprécier les conditions dans lesquelles sont mis en oeuvre des traitements de données à caractère personnel." Le panel des documents susceptibles d'être demandés est donc très large: contrats (locations de fichier, sous-traitance informatique, etc.), formulaires, dossiers papiers, base de données... Bref, tout ce qui a trait aux traitements des données personnelles. Une situation où le dirigeant se félicitera de disposer d'un registre des activités de traitement tenu à jour (obligatoire pour les entreprises de plus de 250 salariés et pour celles qui effectuent des traitements sensibles selon l'article 30 du RGPD)!
La délégation de la Cnil peut exiger une copie de l'ensemble de ces documents: à l'issue du contrôle, le procès-verbal établi précisera la liste des pièces qui ont fait l'objet d'une copie.
Quelles sont les sanctions envisageables?
Suite à cette démarche de contrôle, la Cnil examine les documents recueillis. S'il n'y a pas d'observations particulières, "le contrôle est clôturé par un courrier du président de la Cnil qui peut contenir des recommandations (ex.: modification des durées de conservation, des mesures de sécurité, etc.).".
Mais si des manquements sérieux sont relevés, "le dossier est transmis à la formation restreinte de la Cnil", qui peut alors prononcer des sanctions. "Cette transmission à la formation restreinte n'est pas exclusive d'une dénonciation au Parquet (article 40 du code de procédure pénale)", précise la Cnil. Le montant des amendes administratives prévues par le RGPD a largement contribué à l'agitation qui entoure son entrée en vigueur: selon la catégorie de l'infraction, il peut atteindre 10 à 20 M€, ou, dans le cas d'une entreprise, 2 à 4% du chiffre d'affaires annuel mondial (art. 83 du RGPD).
Cependant, ces amendes correspondent à des infractions graves. Avant d'en arriver à de telles sanctions, les autorités de protection pourront tout d'abord prononcer un avertissement, puis mettre en demeure l'entreprise de se mettre en conformité. La suspension des flux de données hors UE peut également être exigée, ainsi que la limitation temporaire ou définitive d'un traitement. Une sanction qui peut être très pénalisante pour une structure dont l'activité est principalement basée sur les traitements de données!
L'article 83 du RGPD précise que "pour décider s'il y a lieu d'imposer une amende administrative et pour décider du montant de l'amende administrative, il est dûment tenu compte, dans chaque cas d'espèce" d'éléments précis listés par le règlement. Ainsi, la nature, la gravité et la durée de la violation, mais aussi son caractère délibéré, entre autres, pèsent dans la balance. "Toute mesure prise par le responsable de traitement ou le sous-traitant pour atténuer le dommage subi par les personnes concernées" sera également prise en compte dans la décision.
Enfin, les propos de Jean Lessi, rapportés par le magazine Solutions numériques, ont de quoi rassurer les responsables de traitements de données qui peinent à boucler leur mise en conformité: "Tout le monde ne sera pas forcément conforme le 25 mai, l'essentiel est d'avoir pris conscience et de s'engager dans cette démarche de conformité", a souligné le secrétaire général de la Cnil. L'autorité de contrôle est "consciente de la nouveauté" de certaines obligations (portabilité, notification des violations de données notamment) et "va intégrer la nécessaire courbe d'apprentissage dans sa politique répressive."
Pour bien se préparer aux contrôles de la Cnil, le cabinet Lexing Alain Bensoussan propose un "guide des contrôles Cnil".
Retrouvez également tous les détails sur les contrôles de la Cnil sur le site de la commission.