Qu’il soit réalisé en ligne ou sur place, le contrôle de la Cnil est toujours une épreuve pour l’entreprise. Voici les bons réflexes à connaître.
En 2021, la Commission nationale de l’informatique et des libertés (Cnil) a contrôlé 384 entreprises, de toute taille et de tous secteurs. Et l’autorité indépendante a bien l’intention de les intensifier.
Cette année, elle concentre ses contrôles sur les modalités du télétravail, le cloud et la prospection commerciale. Autant de sujets sur lesquels vous risquez d’être inspecté, en plus de la conformité au règlement européen de protection des données personnelles (RGPD).
La Cnil déclenche un contrôle soit à partir de ces thématiques prioritaires, soit après des plaintes de personnes ou en fonction de l’actualité et des réseaux sociaux. « Les principales sources de contrôle sont les plaintes et les réclamations, qui découlent dans la majorité des cas d’un non-respect des droits des personnes concernées. Il est donc important d’avoir une bonne gestion des demandes d’exercice des droits des personnes concernées », précise Oranne Giqueaux, experte RGPD chez Data Legal Drive.
| Bon à savoir : Le contrôle de la Cnil peut prendre quatre formes différentes : sur place, à distance, par convocation ou sur pièces. |
Le secret des affaires n’est pas opposable
Lors d’un contrôle en ligne, la Cnil audite l’entreprise à distance.
Elle se concentre sur tous les éléments visibles c’est-à-dire les mentions légales, les mentions informatives exigées par les articles 13 et 14 du RGPD, les politiques de confidentialité, les cookies, etc.
Dans le cas d’une entreprise du secteur de l’e-commerce, par exemple, ses agents vont se créer un compte utilisateur et vérifier tout le parcours utilisateur. « Il faut s’assurer que sa vitrine numérique est conforme au RGPD », explique l’experte. Votre site doit l’être à tout moment car le contrôle de la Cnil intervient sans que vous en soyez informé.
À lire aussi : Payer pour éviter les cookies, une pratique pas si légale
À l’issue de ce contrôle en ligne, la Cnil envoie un procès-verbal à l’entreprise concernée. C’est à ce moment là que vous êtes informé de sa démarche.
Elle peut vous demander des pièces supplémentaires, vous mettre en demeure, voire vous sanctionner. La plupart du temps, ce contrôle à distance est complété par un contrôle sur place.
À réception du PV, tous les services concernés de l’entreprise. En premier lieu le service DSI et le délégué à la protection des données (DPO) doivent être prévenus afin de répondre aux mieux aux demandes de la Cnil. « Il est important de bien écouter le périmètre de la demande afin d’y répondre précisément et ainsi de fournir les documents concernés par le contrôle », met en garde Oranne Giqueaux.
Les données couvertes par le secret de traitements journalistes peuvent ne pas être communiquées et pour celles relevant du secret médical, un médecin doit être présent.
| À retenir : En tant qu’entreprise, vous ne pouvez pas refuser de communiquer des documents au motif du secret des affaires ou d’un secret professionnel sauf si ces informations relèvent de la relation entre un avocat et son client. |
Identifier les bons interlocuteurs
La marche à suivre est la même en cas de contrôle sur place. Toutefois, une telle inspection reste un peu plus impressionnante.
Mieux vaut avoir élaborer une procédure de gestion d’un contrôle pour être le moins surpris possible le jour J. Il s’agit d’identifier les bons interlocuteurs qui sauront répondre à la Cnil.
Toutes les sociétés ne sont pas obligées de disposer d’un délégué à la protection des données personnelles (DPO). A minima, il est indispensable de nommer un référent sensible aux questions de protection des données personnelles.
N’oubliez pas de prévenir d’un tel scénario la personne chargée de l’accueil de votre entreprise.
Elle devra bien vérifier l’identité des agents et leur habilitation. Le contrôle de la Cnil peut se dérouler entre 6h et 21h et là encore vous n’êtes pas prévenu de la date.
| À retenir : Les agents habilités à effectuer des contrôles ont été listés par la CNIL dans la délibération n° HAB-2021-003 du 23 septembre 2021. |
Sensibiliser et coopérer
Tous les acteurs ont aussi besoin d’être sensibilisé à une bonne coopération avec l’autorité.
Les agents de la Cnil peuvent demander d’avoir accès et prendre copie de tout document nécessaire à l’évaluation de la conformité de l’organisme : registres, procédures, politiques, contrats, logiciels, bases de données, etc.
Pour faciliter ces échanges, pensez à centraliser tous les éléments de la conformité de votre entreprise (registres de traitements, analyses d’impacts, etc.) au même endroit. Vous gagnerez du temps et la Cnil appréciera votre bonne volonté.
« Ne pas coopérer peut-être un motif d’augmentation du montant de la sanction », prévient l’experte de Data Legal Drive. Là encore, vous n’avez pas à fournir toutes les données de votre entreprise.
| Bon à savoir : Lorsque les agents sont sur place, faites attention aux endroits où vous les faites passer dans les locaux. Evitez, par exemple, de laisser trainer près des imprimantes des documents. Ils peuvent contenir des données personnelles. |
À la fin de chaque journée de contrôle, un procès-verbal est rédigé par la Cnil listant tous les éléments collectés, les constats déduits et les copies des documents présentées.
Relisez le bien avant de le signer et n’hésitez pas à formuler toutes observations et commentaires sur le déroulé du contrôle.
Si le dirigeant de l’entreprise n’est pas présent lors de ce contrôle, le responsable du traitement s’engage à signer le PV.
| À retenir : Être contrôlé ne signifie pas automatiquement être sanctionné. Sur les 384 contrôles réalisés en 2021, 135 ont donné lieu à des mises en demeure et 18 à des sanctions, dont 12 publiques, pour un montant de plus de 214 millions d’euros. |
