Pourquoi la CNIL peut-elle contrôler votre entreprise ?

Dans le cadre de ses fonctions, la CNIL peut effectuer des contrôles dans les entreprises afin de vérifier la conformité du traitement des données avec la loi informatique et liberté de 1978 et avec le RGPD de 2018.
Il peut s’agir de :  

  • contrôles décidés dans le cadre de thématiques prioritaires définies chaque année par la CNIL en raison de leur impact sur la vie privée.
  • contrôles à la suite de réclamations ou de signalements de manquements aux règles en vigueur en matière de protection des données. Ces alertes peuvent venir des salariés, ou être anonymes.
  • contrôles liés à l’actualité, et qui peuvent être susceptibles de présenter des enjeux de protection des données.

Quelle procédure pour un contrôle de la CNIL ?

La CNIL peut contrôler toute entreprise qui traite des données à caractère personnel. Ces contrôles pour vérifier la conformité du traitement des données peuvent se dérouler :

  • Sur pièces : la CNIL envoie un questionnaire par courrier, à remplir puis à renvoyer accompagné de toutes les pièces justificatives ou documents utiles pour motiver ses réponses.
  • Sur convocation : un courrier est alors envoyé à l’entreprise pour fixer un rendez-vous dans les locaux de la commission.
  • En ligne : les agents de la CNIL effectuent des vérifications sur toutes les données de l’entreprise en libre accès sur internet.
  • Sur place : avec le déplacement d’une délégation de la CNIL au sein de l’entreprise.

Ces différents types de contrôles peuvent être complémentaires. Quand la CNIL contrôle une entreprise, elle peut également effectuer des vérifications auprès de ses prestataires ou de ses sous-traitants.

Dans le cadre d’un contrôle dans les locaux de l’entreprise

Les visites de la CNIL sur site sont souvent non annoncées, afin d’éviter toute destruction ou dissimulation d’informations ou de documents. Le juriste et l’auditeur des systèmes d’information, qui constituent la délégation, parfois accompagnés d’un autre agent spécialisé dans une expertise technologique particulière, effectuent tous les contrôles nécessaires pour vérifier le bon traitement des données personnelles et la conformité avec le RGPD notamment.

Cette commission peut par exemple effectuer des requêtes dans les bases de données, demander à vérifier la sécurité des mots de passe, effectuer des copies de certains documents, et échanger avec le personnel de l’entreprise concernée.
À la fin du contrôle, la CNIL établit un procès-verbal de ses constatations, qui est ensuite porté à la connaissance de l’entreprise. Cette dernière devra vérifier précautionneusement chaque point, puis le signer.  

Et après le contrôle ?

Après signature du procès-verbal s’ensuit une phase d’instruction, pendant laquelle l’entreprise est incitée, si cela est nécessaire, à se mettre en conformité avec le RGPD et la loi informatique et liberté de 1978. Cette période est l’occasion pour l’entreprise d’améliorer ses actions.

À la fin de la procédure, le régulateur peut ainsi décider de clôturer le dossier ou d’appliquer une sanction, qui peut être soit une mise en demeure pour demander la mise en conformité (40 cas en 2019) soit imposer une sanction financière (7 en 2019).