Les contrôles de la Cnil peuvent être effectués auprès de tout organisme public ou privé traitant des données personnelles. Ces investigations permettent à la Cnil de vérifier la conformité du traitement des données à la réglementation applicable en la matière. En cas cas de non-conformité, elle peut sanctionner le responsable du traitement.
En juin 2022, la Cnil a publié une Charte des contrôles mise à jour afin d’assurer la transparence de cette activité et le bon déroulement des contrôles.
Les pouvoirs de contrôle de la Cnil
La loi encadre particulièrement les contrôles de la Cnil.
La Cnil peut déclencher une mission de contrôle sur décision de la Présidente de la Cnil à la suite :
- d’une réclamation ou d’une plainte,
- d’une alerte parue dans la presse, ou
- de sa propre initiative sur des thématiques identifiées annuellement au regard de l’actualité et des enjeux quant au respect des droits des personnes.
En 2022, les trois thématiques prioritaires de contrôles (1) étaient la prospection commerciale, la surveillance des travailleurs en télétravail, et l’utilisation du cloud.
Avant le début de la mission, la délégation notifie à l’organisme la décision de la Présidente de la Cnil.
Les contrôles de la Cnil peuvent être réalisés :
- sur place (directement au sein des locaux d’un responsable de traitement ou d’un sous-traitant) ;
- sur convocation (par un courrier adressé au responsable de traitement ou au sous-traitant afin que des représentants de l’organisme se présentent, à une date donnée, dans les locaux de la Cnil) ;
- en ligne (la Cnil consulte des données librement accessibles ou rendues accessibles directement en ligne à partir d’un service de communication au public en ligne) ;
- sur pièces (l’organisme visé par le contrôle doit communiquer à la Cnil ses réponses à un questionnaire adressé par elle, dans un délai déterminé en y joignant tout document utile permettant de les justifier).
Les modalités de contrôles
En 2021, la Cnil a procédé à 384 contrôles à la suite de plaintes, signalements ou en lien avec l’actualité.
Les agents de la Cnil font l’objet d’une habilitation et sont soumis au secret professionnel.
Par ailleurs, pour l’exercice de leurs missions, la délégation de contrôle peut accéder à tous locaux de 6 heures à 21 heures, sans informer au préalable l’organisme contrôlé. L’accès à des locaux affectés au domicile privé ne peut se faire que sur autorisation du juge des libertés et de la détention.
En outre, la délégation de contrôle de la Cnil peut demander communication de tous documents ou renseignements utiles à l’accomplissement de leur mission, à l’exception des informations protégées par l’un des secrets professionnels cités à l’article 19 (III) de la loi Informatique et libertés.
Enfin, les contrôleurs peuvent également accéder aux programmes informatiques et aux données ainsi qu’en demander la transcription mais doivent toutefois veiller à minimiser les données collectées, que celles-ci soient des données personnelles ou non.
Les droits et obligations des organismes contrôlés
La Charte des contrôles a notamment pour objectif de rappeler les droits et obligations des organismes faisant l’objet d’un contrôle de la Cnil.
L’organisme contrôlé dispose du droit de s’assurer de la validité du contrôle, notamment en vérifiant l’habilitation des agents de la Cnil.
Cependant, en principe, l’organisme ne peut s’opposer à un contrôle de la Cnil. Au contraire, il a une obligation de coopération envers la Cnil et doit prendre toutes mesures utiles afin de faciliter le déroulement des opérations. Le délit d’entrave à l’action de la Cnil est passible d’une peine d’emprisonnement d’un an et d’une amende de 15 000 euros (2).
L’organisme peut s’opposer à un contrôle sur place de la Cnil uniquement si la visite de ses locaux n’a pas fait l’objet d’une autorisation par le juge des libertés et de la détention. Il peut se faire assister par un conseil.
Conformément à l’article 19, III de la loi Informatique et libertés, le secret ne peut être opposé à la Cnil, à l’occasion d’une mission de contrôle, sauf concernant les informations couvertes :
- par le secret professionnel applicable aux relations entre un avocat et son client ;
- par le secret des sources des traitements journalistiques ; ou
- dans la limite du deuxième alinéa du même article, par le secret médical. La communication des données médicales individuelles s’opère sous l’autorité et en présence d’un médecin accompagnant la délégation.
Lorsque le secret professionnel est opposé aux agents de la Cnil, il en est fait mention dans le procès-verbal qui sera dressé à la fin du contrôle.
Le déroulement et les suites d’un contrôle
La Charte des contrôles de la Cnil expose la procédure suivie pour chaque contrôle et détaille les principes de bonne conduite à suivre afin que le contrôle se passe au mieux. L’organisme contrôlé doit notamment :
- réponde aux questions posées par les contrôleurs avec loyauté et coopère avec les contrôleurs ;
- communique les pièces et explications demandées dans des délais raisonnables ;
- conserve une attitude neutre, professionnelle et courtoise.
Un procès-verbal signé par les agents de la Cnil doit retranscrire les opérations de contrôle menées. Dans le cas de contrôles sur place et sur convocation, il incombe au représentant de l’organisme contrôlé de le signer. Il peut alors formuler toutes observations qu’il juge utiles.
L’organisme contrôlé peut également adresser ses observations après le contrôle. Le procès-verbal est notifié par lettre recommandée avec demande d’avis de réception au responsable du traitement, dans un délai de 15 jours à compter du contrôle.
À l’issue du contrôle, la Cnil procède à une analyse des éléments recueillis afin de déterminer le niveau de conformité de l’organisme aux dispositions du RGPD et de la loi Informatique et libertés.
La procédure de contrôle peut être clôturée sans observations, en l’absence de manquement, ou avec observations dans le cas contraire.
La formation restreinte de la Cnil peut engager une procédure de sanction en cas :
- d’absence de réponse à une mise en demeure ;
- d’absence de mise en conformité dans le délai imparti par une mise en demeure ;
- de manquements significatifs constatés.
À l’issue de la procédure contradictoire, la formation restreinte peut prononcer une relaxe ou une sanction (3) :
- pécuniaire (jusqu’à 20 millions d’euros ou 4 % du chiffre d’affaires de l’organisme),
- ou non (rappel à l’ordre, injonction de mettre en conformité etc.).
La procédure simplifiée
En outre, la loi du n°2022-52 du 24 janvier 2022 et le décret n°2022-517 du 8 avril 2022 ont introduit une procédure simplifiée pour traiter des affaires ne présentant pas de difficultés particulières. Il s’agit d’une procédure contradictoire allégée :
- écrite, c’est-à-dire, sans séance publique sauf si l’organisme en fait la demande et
- déléguée à un seul membre de la formation restreinte : son président ou un membre qu’il désigne.
Quant aux sanctions applicables, cette procédure ne peut donner lieu qu’à :
- un rappel à l’ordre,
- une amende administrative n’excédant pas 20 000 euros
- une injonction avec astreinte plafonnée à 100 euros.
En 2022, la Cnil a ainsi rendu 147 mises en demeure et 21 sanctions pour un montant cumulé d’amendes s’élevant à 101 277 900 d’euros. Elle a principalement sanctionné le défaut :
- d’information et le non-respect des droits des personnes concernées ainsi que
- de coopération avec la Cnil.
Marion Catier
Alix Janneau
Lexing Contentieux numérique
______________________________
Références :
(1) Thématiques prioritaires de contrôle 2022 : prospection commerciale, cloud et surveillance télétravail
(2) Article L.226-22-2 du Code pénal
(3) Sanctions et mesures correctrices : la Cnil présente le bilan 2022 de son action répressive