Pouvoirs de contrôle de la CNIL
Dans le cadre de la conduite de ses missions, la Cnil est dotée d’un pouvoir de contrôle et d’investigation des organismes traitant des données personnelles afin de vérifier la conformité de leurs pratiques aux lois et règlements sur la protection des données.
Ces opérations peuvent être initiées suite à la réception d’une plainte, d’un signalement, d’une alerte parue dans la presse, ou à la propre initiative de la Cnil. Celle-ci choisit par ailleurs chaque année plusieurs thématiques prioritaires pour lesquelles elle exerce une activité de surveillance et de contrôle renforcée.
Les conséquences de ces contrôles peuvent être importantes pour les organismes concernés, puisqu’ils peuvent donner lieu à des sanctions (injonctions de mise en conformité, amendes, etc.).
Publication d’une charte de contrôle par la CNIL
La Cnil a publié le 1er septembre 2019 une charte permettant de mieux anticiper le déroulé de ses contrôles, afin que : « les organismes concernés comprennent le déroulement de ces investigations et sachent comment la CNIL peut intervenir. La charte des contrôles de la CNIL a ainsi pour objectif de rappeler, aussi précisément que possible, les droits et obligations des organismes faisant l’objet d’un contrôle, au regard notamment de la loi Informatique et Libertés et du RGPD. ».
La charte est notamment l’occasion pour la Cnil de rappeler que ses agents disposent de pouvoirs spécifiques leur permettant la conduite des opérations de contrôle à des horaires et selon des modalités précises. Ceux-ci sont notamment habilités et soumis au secret professionnel.
Ils peuvent accéder aux locaux de 6 heures à 21 heures, sans informer au préalable l’organisme contrôlé, mais l’accès à un domicile privé nécessite l’autorisation préalable du juge des libertés.
A l’occasion des opérations de la Cnil, ses agents peuvent demander communication de tous documents ou renseignements utiles et nécessaires à l’accomplissement de leur mission, à l’exception des informations protégées par l’un des secrets professionnels reconnus par la loi. Ils peuvent par ailleurs accéder aux programmes informatiques et aux données stockées.
La charte contient également une présentation des différents modes de contrôle à la disposition des agents de la Cnil (sur site, sur convocation, en ligne et sur pièces), ainsi que les principaux motifs d’un contrôle et le détail des étapes de celui-ci.
Elle présente les étapes consécutives au contrôle, ainsi que les sanctions éventuel si les investigations de la Cnil permettent d’établir un manquement au RGPD ou à la loi Informatique et Libertés.
Enfin, et suite à la multiplication de ses investigations, la charte est également l’occasion pour la Cnil de rappeler que les organismes contrôlés doivent coopérer avec ses agents et faciliter leur travail. La sanction du délit d’entrave à l’action de la Cnil peut en effet atteindre un an d’emprisonnement et 15.000 € d’amende.
En cas de contrôle, la personne auditionnée peut se faire assister d’un conseil. Cette assistance est recommandée, et permet également d’anticiper la suite de la procédure et les conséquences du contrôle.
Sources :
Contrôles de la CNIL : une charte pour tout comprendre
Charte des contrôles de la CNIL
