RGPD : La politique de contrôle de la CNIL

RGPD CNIL
Félix BATAILLE - 11/09/2022

La CNIL est l’autorité de contrôle compétente en France pour tout sujet relatif à la protection des données personnelles. Elle peut être amenée à exercer des contrôles sur des entreprises ou des collectivités. Lorsque les manquements sont trop graves, la CNIL peut prononcer tout un panel de sanctions préétabli dans la « Charte des contrôles de la CNIL ».

Comment sont choisi les organisations contrôlées par la CNIL ?

La CNIL prévoit tous les ans en interne un « Programme annuel de contrôle » qui priorise certaines thématiques juridiques ou établissements sensibles qui seront principalement surveillés pendant l’année. Dans certains cas un contrôle de la CNIL peut être issu d’une plainte d’un usager mentionnant un manquement aux règles de traitement des données personnelles. Certains contrôles sont enfin décidés en fonction de l’actualité dans l’intérêt des organismes contrôlés lorsqu’ils sont la cible d’attaques ciblées. 

Cette année par exemple, la CNIL accorde une importance particulière aux questions liées à la prospection commerciale, aux outils de surveillance dans le cadre du télétravail et aux services Cloud. En effet, pour prendre l’exemple du télétravail. L’expansion rapide de cette pratique du fait de l’adaptation des conditions de travail en période COVID n’a pas laissé le temps aux organisations d’harmoniser leur protocole avec la législation. En l’occurrence, la surveillance des employés à distance via le matériel utilisé pour le télétravail est soumise aux exigences du RGPD.

Quelles formes peuvent prendre les contrôles de la CNIL ?

La CNIL est habilitée à contrôler les organismes traitant des données personnelles de 4 manières différentes. Dans un premier temps, elle peut demander à l’entreprise contrôlée de répondre à un questionnaire pour évaluer dans les grandes lignes sa conformité au RGPD. La CNIL peut également organiser des contrôles en ligne, c’est-à-dire vérifier à distance la façon dont les données personnelles sont traitées sur le site internet de l’entreprise contrôlée. En cas de suspicion de manquement grave au RGPD la CNIL peut aussi organiser une convocation des représentants de l’organisme contrôlé dans les locaux de la commission pour répondre à des questions sur la façon dont les données personnelles sont traitées. Enfin, lorsqu’une investigation approfondie est jugée nécessaire par la CNIL elle envoie sur place une délégation pour contrôler en détail la conformité de l’organisme aux règles en vigueur sur la protection des données personnelles.

Il est à noter que l’organisme contrôlé est sommé de coopérer avec la CNIL, en prenant, par exemple, toutes les mesures nécessaires afin de faciliter le déroulement des opérations de contrôle. En effet, le délit d’entrave à l’action de la CNIL est lourdement sanctionné par une peine d’emprisonnement d’un an et une amende de 15 000 €.

Les modalités d’attribution des sanctions

Le montant des amendes administratives imposables par l’autorité de contrôle (la CNIL) peut s’élever jusqu’à 20 000 000 d’euros ou 4% du chiffre d’affaire annuel de l’organisation contrôlée en fonction de ce qui est le plus conséquent. Cependant, la CNIL n’impose pas systématiquement la sanction maximale. En effet, le RGPD demande aux organismes de contrôle d’adopter des sanctions proportionnées aux manquements. 

Malgré une certaine autonomie de la CNIL quant à l’attribution des sanctions administratives, le RGPD lui impose la prise en compte des éléments suivants : 

  • la nature, la gravité et la durée de la violation, compte tenu de la nature, de la portée ou de la finalité du traitement concerné, ainsi que du nombre de personnes concernées affectées et le niveau de dommage qu’elles ont subi ;
  • le fait que la violation a été commise délibérément ou par négligence ;
  • toute mesure prise par le responsable du traitement ou le sous-traitant pour atténuer le dommage subi par les personnes concernées ;
  • le degré de responsabilité du responsable du traitement ou du sous-traitant, compte tenu des mesures techniques et organisationnelles qu’ils ont mises en œuvre ;
  • toute violation pertinente commise précédemment par le responsable du traitement ou le sous-traitant ;
  • le degré de coopération établi avec l’autorité de contrôle en vue de remédier à la violation et d’en atténuer les éventuels effets négatifs ;
  • les catégories de données à caractère personnel concernées par la violation ;
  • la manière dont l’autorité de contrôle a eu connaissance de la violation, notamment si, et dans quelle mesure, le responsable du traitement ou le sous-traitant a notifié la violation ;
  • lorsque des mesures visées à l’article 58, paragraphe 2, ont été précédemment ordonnées à l’encontre du responsable du traitement ou du sous-traitant concerné pour le même objet, le respect de ces mesures ;
  • toute autre circonstance aggravante ou atténuante applicable aux circonstances de l’espèce, telles que les avantages financiers obtenus ou les pertes évitées, directement ou indirectement, du fait de la violation.

 

En pratique la CNIL met souvent en demeure l’organisme contrôlé avant de prononcer une sanction financière.

Cependant, malgré l’apparente bienveillance qui transparait de ces modalités de contrôle. Il est à noté qu’une mise en demeure représente une véritable épée de Damoclès pour l’entreprise concernées. En effet, lorsque les mesures correctives sont substantielles, notamment lorsqu’elle concerne des questions liées au matériel informatique (système de sauvegarde des données, utilisation d’un Cloud établit dans un pays étranger à l’UE etc.) elles doivent être prise très au sérieux car le temps nécessaire à la transformation des pratiques de l’entreprise peut parfois dépasser le délai laissé par la mise en demeure.