Focus sur les contrôles sur audition par la Cnil
Les contrôles sur audition sont l’une des formes de contrôle que peut exercer la Cnil avec les contrôles sur place, en ligne et sur pièces.
Bien qu’encore peu usité, la tendance semble être à l’augmentation de cette pratique. En 2018, 4 des 310 contrôles effectués étaient des contrôles sur audition contre 18 sur 300 en 2019. Le régime des contrôles exercés par la Cnil prend assise à l’article 19 de la loi Informatique et libertés.
En outre, la Cnil a publié une Charte des contrôles de la Cnil (CCC) afin de préciser le déroulement et les suites non seulement des contrôles sur audition, mais quelle qu’en soit leur forme, ainsi que les principes de bonne conduite à suivre dans ce cadre.
Le déroulement des contrôles sur audition
Les représentants de l’organisme responsable de traitement (ou du sous-traitant) sont convoqués par courrier pour être entendus dans les locaux de la Cnil. La convocation est adressée à la personne auditionnée au moins huit jours avant le contrôle. Elle est informée de son droit d’être représentée par le conseil de son choix.
La convocation devra également mentionner : l’objet, la date, l’heure et le lieu de l’audition. Si les besoins du contrôle l’exigent, la convocation peut indiquer le matériel et la documentation nécessaires à l’audition.
Avant de débuter l’audition, les agents de la Cnil responsables du contrôle communiquent certaines informations au responsable de traitement :
- l’identité et la qualité des agents de la délégation ;
- la copie de la décision de contrôle de la présidente de la Cnil ;
- l’objet du contrôle ;
- la copie de l’ordre de mission désignant les agents de la Cnil compétents (CCC – page 14).
Par la suite, des entretiens des contrôles sur audition sont menés pour recueillir les informations nécessaires ; en particulier sur l’organisme contrôlé et sur les traitements mis en œuvre. Ces informations concernent par exemple, l’activité, la forme sociale, le fonctionnement des systèmes informatiques, les modalités de traitement, etc.
À cette occasion, le responsable de traitement pourra communiquer les informations et les documents pertinents dans le cadre du contrôle. « Ils peuvent recueillir, notamment sur place ou sur convocation, tout renseignement et toute justification utiles et nécessaires à l’accomplissement de leur mission » (art. 19, III, Loi I&L et art. L.253-3 du CSI). La délégation de la Cnil va alors procéder à l’examen de la conformité du traitement à la loi informatique et libertés et au RGPD.
À l’issue des contrôles sur audition
Enfin, à la fin du contrôle, un procès-verbal est établi. « Il est dressé procès-verbal des vérifications et visites menées en application du présent article. Ce procès-verbal est dressé contradictoirement lorsque les vérifications et visites sont effectuées sur place ou sur convocation » (art. 19, III, Loi I&L).
Ce dernier doit relater de manière factuelle les pièces et informations communiquées aux agents de la Cnil, avec leurs observations.
En outre, il peut mentionner : l’identité et la qualité des personnes auditionnées, les demandes de communication de pièces et leurs délais.
Ensuite, le représentant contrôlé doit lire et signer le PV du contrôle sur audition. Les agents de la Cnil le contresignent. Des observations écrites peuvent être faites et une copie du PV est remise au responsable de traitement.
Les précautions sanitaires nécessaires à la lutte contre la Covid-19 ont marqué l’année 2020. Les incertitudes quant à la sortie de cette crise laissent à penser que le nombre de contrôles sur audition, ainsi que les contrôles en ligne, vont augmenter en 2021.
Virginie Bensoussan Brulé
Marion Catier
Barthélémy Busse
Lexing Contentieux numérique