21 Mar Contrôle CNIL : Comment réagir face à un contrôle sur place?
Comme le prévoit la loi Informatique et Libertés du 6 janvier 1978, la CNIL dispose d‘un important pouvoir d‘investigation et de contrôle.
I La décision de procéder à une mission de contrôle
Cette décision est prise par la Présidente de la CNIL sur proposition des services. Le responsable de traitement visé par un contrôle n‘est pas toujours prévenu en amont.
Pour les contrôles sur place, le procureur de la République territorialement compétent doit être informé de la date, de l‘heure et de l‘objet du contrôle 24 heures avant que celui–ci ne débute.
La décision de la Présidente de la Commission est notifiée au début du contrôle au responsable des lieux où se situent les traitements qui font l‘objet des vérifications.
I Comment accueillir les agents de la CNIL ?
Afin d‘éviter toute confusion lors de l‘arrivée des agents de la CNIL, il est conseillé de préparer ses collaborateurs et de leur demander de respecter le processus suivant :
Exiger des agents en charge du contrôle de la CNIL de présenter leur carte professionnelle.
– Communiquer à l‘accueil les coordonnées de deux ou trois personnes à prévenir immédiatement en cas de présentation des services de la CNIL pour un contrôle sur place.
– Avant que les vérifications ne démarrent, prendre connaissance de la décision de la Présidente de procéder à une mission de contrôle et de l‘ordre de mission habilitant les agents à y procéder.
– Envoyer un mail à l‘ensemble des salariés expliquant qu‘il n‘y a pas lieu de s‘inquiéter, que toute la filière est ainsi contrôlée. Il sera demandé à tous les collaborateurs de se tenir disponibles pour répondre aux questions et attentes des services de la CNIL.
Par ailleurs, le responsable des lieux doit être informé de son droit d‘opposition à la visite. Si ce droit est exercé, un procès–verbal d‘opposition est établi. Une visite ultérieure ne pourra se dérouler qu‘après autorisation du juge des libertés et de la détention (JLD) du Tribunal de grande instance dans le ressort duquel sont situés les locaux. Une fois autorisée, la visite s‘effectue sous l‘autorité du contrôle du JLD en présence de l‘occupant des lieux ou de son représentant qui peut se faire assister. En revanche, si l‘urgence, la gravité des faits à l‘origine du contrôle ou le risque de destruction ou de dissimulation de documents le justifie, la visite peut avoir lieu directement sur autorisation préalable du JLD sans que le responsable des lieux ne puisse s‘y opposer
I Comment se déroule le contrôle sur place ?
La procédure de contrôle sur place est prévue par l‘article 44 de la loi Informatique et Libertés et les articles 61 à 65 de son décret d‘application.
Une mission de contrôle vise prioritairement à obtenir un maximum d‘informations, techniques et juridiques, pour apprécier les conditions dans lesquelles sont mis en ceuvre les traitements de données à caractère personnel.
Ainsi, la délégation de la CNIL peut demander tout renseignement et toute justification utiles, ainsi que la communication de tous les documents nécessaires à l‘accomplissement de sa mission, quel qu‘en soit le support, et en prendre copie (accès aux programmes informatiques et aux données, copies des contrats, formulaires, dossiers papiers, bases de données, transcription de toute information dans des documents directement utilisables pour les besoins du contrôle,...)
A l‘issue du contrôle, un procès–verbal contradictoire est établi; il précise, notamment, la liste des documents dont une copie a été effectuée.
I Evolution du cadre des contrôles
Il est important de noter que ce cadre évoluera à compter de l‘entrée en vigueur du règlement européen relatif à la protection des données personnelles (GDPR) le 25 mai 2018 qui prévoit notamment la réalisation d‘opérations de contrôle conjointes par plusieurs autorités européennes de protection des données.