Contrôle CNIL : Comment réagir face à un contrôle sur place?

Comme le prévoit la loi Informatique et Libertés du 6 janvier 1978, la CNIL dispose d‘un important pouvoir dinvestigation et de contrôle.

 

I La décision de procéder à une mission de contrôle 

 

Cette décision est prise par la Présidente de la CNIL sur proposition des services. Le responsable de traitement visé par un contrôle nest pas toujours prévenu en amont.

Pour les contrôles sur place, le procureur de la République territorialement compétent doit être informé de la date, de lheure et de lobjet du contrôle 24 heures avant que celuici ne débute

La décision de la Présidente de la Commission est notifiée au début du contrôle au responsable des lieux se situent les traitements qui font lobjet des vérifications.

 

I Comment accueillir les agents de la CNIL

 

Afin déviter toute confusion lors de larrivée des agents de la CNIL, il est conseillé de préparer ses collaborateurs et de leur demander de respecter le processus suivant :

 Exiger des agents en charge du contrôle de la CNIL de présenter leur carte professionnelle

Communiquer à laccueil les coordonnées de deux ou trois personnes à prévenir immédiatement en cas de présentation des services de la CNIL pour un contrôle sur place

Avant que les vérifications ne démarrent, prendre connaissance de la décision de la Présidente de procéder à une mission de contrôle et de lordre de mission habilitant les agents à y procéder

Envoyer un mail à lensemble des salariés expliquant quil ny a pas lieu de sinquiéter, que toute la filière est ainsi contrôlée. Il sera demandé à tous les collaborateurs de se tenir disponibles pour répondre aux questions et attentes des services de la CNIL

Par ailleurs, le responsable des lieux doit être informé de son droit dopposition à la visite. Si ce droit est exercé, un procèsverbal dopposition est établi. Une visite ultérieure ne pourra se dérouler quaprès autorisation du juge des libertés et de la détention (JLD) du Tribunal de grande instance dans le ressort duquel sont situés les locaux. Une fois autorisée, la visite seffectue sous lautorité du contrôle du JLD en présence de loccupant des lieux ou de son représentant qui peut se faire assister. En revanche, si lurgence, la gravité des faits à lorigine du contrôle ou le risque de destruction ou de dissimulation de documents le justifie, la visite peut avoir lieu directement sur autorisation préalable du JLD sans que le responsable des lieux ne puisse sy opposer 

 

I Comment se déroule le contrôle sur place ?

 

La procédure de contrôle sur place est prévue par larticle 44 de la loi Informatique et Libertés et les articles 61 à 65 de son décret dapplication

Une mission de contrôle vise prioritairement à obtenir un maximum dinformations, techniques et juridiques, pour apprécier les conditions dans lesquelles sont mis en ceuvre les traitements de données à caractère personnel

Ainsi, la délégation de la CNIL peut demander tout renseignement et toute justification utiles, ainsi que la communication de tous les documents cessaires à laccomplissement de sa mission, quel quen soit le support, et en prendre copie (accès aux programmes informatiques et aux données, copies des contrats, formulaires, dossiers papiers, bases de données, transcription de toute information dans des documents directement utilisables pour les besoins du contrôle,...

A lissue du contrôle, un procèsverbal contradictoire est établi; il précise, notamment, la liste des documents dont une copie a été effectuée

 

I Evolution du cadre des contrôles 

 

Il est important de noter que ce cadre évoluera à compter de lentrée en vigueur du règlement européen relatif à la protection des données personnelles (GDPR) le 25 mai 2018 qui prévoit notamment la réalisation dopérations de contrôle conjointes par plusieurs autorités européennes de protection des données