Le Règlement Général sur la Protection des Données (RGPD) dont l’objectif de protéger les données personnelles des citoyens européens concerne tous types d’organisations aussi bien publiques que privées et associatives qui traitent des données personnelles. Comme vous le savez, la Commission Nationale Informatique Liberté (CNIL) est habilitée à contrôler et réguler les éventuels manquements. Elle est donc amenée à effectuer des contrôles pour s’assurer que les organisations respectent les obligations fixées par le cadre de ce règlement européen. Comment se déroule un contrôle RGPD de la CNIL ? Quelles peuvent être les conséquences à l’issue du contrôle ?

La procédure de contrôle RGPD en amont

Tout d’abord, il est intéressant de savoir comment la CNIL décide de faire un contrôle. Les origines des contrôles résultent :

• D’un programme annuel de contrôle orienté à partir de thématiques définies : la CNIL va lors prendre l’initiative de contrôler telle ou telle catégorie d’organisation
• De plaintes et signalements de non respects, de violations de données par un organisme
• Des dispositifs de vidéo protection. En effet, la CNIl est compétente pour contrôler les caméras qui filment tous lieux ouverts au public
• De procédures suite à un premier contrôle

Le contrôle peut prendre 4 formes différentes

• Le contrôle sur place : une délégation de la CNIL se déplace dans les locaux d’une organisation ou d’un sous-traitant pour mener des investigations.
• L’audition sur convocation : un courrier est adressé au responsable de traitement ou au sous-traitant afin que des représentants de l’organisme se présentent, à une date donnée, dans les locaux de la CNIL. Ils devront répondre à des questions relatives à des traitement(s) objet des vérifications et, donner accès aux ressources informatiques de l’organisme.
• Le contrôle en ligne : les agents de la CNIL consultent les données librement accessibles ou rendues accessibles directement en ligne, y compris par imprudence, négligence ou du fait d’un tiers.
• Le contrôle sur pièces : les agents de la CNIL adressent un courrier accompagné d’un questionnaire destiné à évaluer la conformité des traitements mis en œuvre par une entreprise ou une collectivité ou encore une association. L’organisme visé doit alors répondre au questionnaire et joindre tout document utile

Au préalable, en cas de contrôle sur audition, l’organisation concernée doit recevoir sa convocation 8 jours avant l’échéance.

En cas de contrôle sur site, le Procureur de la République, territorialement compétent doit être informé 24h avant le contrôle

Bien entendu, les agents de la CNIL sont soumis au secret professionnel pour les faits, les actes ou renseignements dont ils ont pu avoir connaissance dans le cadre de leur mission. En cas de non-respect ils s’exposent à des poursuites pénales (article 20 de la loi du 6 janvier 1978 modifiée).

La procédure de contrôle

Lors d’un contrôle RGPD, la CNIL va auditer plusieurs critères.

Tout d’abord, la CNIL vérifie si l’entreprise a désigné un délégué à la protection des données (DPD ou DPO pour data protector officer en anglais) ou un responsable de la protection des données (RPD), conformément aux exigences du RGPD. Il convient de préciser que le DPD est obligatoire pour toutes personnes morales de droit public et d’en certaines professions de droit privé dont les activités concernent la collecte, le stockage et l’exploitation de données sensibles ou à grandes échelles.

Ensuite, elle s’intéresse aux différents traitements mis en place par l’organisation à la politique de confidentialité mise en place par l’entreprise, en vérifiant si elle informe clairement les utilisateurs sur les finalités du traitement des données et les droits dont ils disposent. Il convient de savoir que les traitements sont nombreux et concernent de nombreux services. Exemples gestion de la relation clients, la paie, la formation continue, le recrutement de collaborateurs etc.

De plus, la CNIL contrôle si l’entreprise respecte le principe de minimisation des données, c’est-à-dire qu’elle collecte uniquement les données nécessaires à la finalité déclarée.

Elle vérifie que les données sont conservées pendant la durée nécessaire et qu’elles sont archivées puis supprimées de manière sécurisée une fois qu’elles ne sont plus nécessaires

Enfin La CNIL examine les mesures de sécurité mises en place par l’entreprise pour prévenir les éventuelles violations de données et évaluer le degré de protection des informations personnelles des utilisateurs.

Rapport de contrôle et conséquences

Aux termes du contrôle un procès-verbal est établi. Il servira à la CNIL en plus des copies de documents annexes transmis par l’organisation pour apprécier la conformité au RGPD ou les manquements relevés.

Si le contrôle ne relève pas d’irrégularités. La procédure est clôturée. La CNIL envoie un courrier de notification.

Si la procédure relève des manquements peu significatifs, la Commission adresse un courrier à l’organisation avec des observations et ladite procédure est clôturée

A l’inverse, si les manquements sont significatifs, le président de la CNIL peut décider de mettre en demeure l’organisme concerné pour se mettre en conformité. Selon la gravité des circonstances, la mise en demeure peut être rendue publique. De plus, les injonctions de la CNIL peuvent être accompagnées d’une astreinte de 100.00 €/jour.

Dans l’hypothèse où les manquements ne sont pas complexes, la procédure est transmise au président de la commission restreinte et on passe en mode de procédure simplifiée dont la sanction en plus de la mise en conformité sous astreintes sera une amende plafonnée à 20 000 €.

En revanche, si l’affaire est complexe (Hypothèse de contrôle de grands groupes), la CNIL passera par la procédure de sanction ordinaire pouvant aboutir à une amende représentant 4% du CA mondial

Moralité : quel que soit l’organisation, sa taille, son secteur d’activité, il vaut mieux être en conformité avec le RGPD que de subir les conséquences d’une procédure en cas de manquement. Se mettre en conformité est donc un investissement sur le long terme qui :

• Valorisera votre respect des règlementations en vigueur.
• Donnera une image d’une organisation sérieuse et respectueuse de ses différents interlocuteurs en matière de protection des données.
• Renforcera la Sécurité de vos données pour ne pas les perdre ou se faire pirater.
• Évitera une lourde sanction en cas de contrôle de la CNIL.

SYSGUARD vous accompagne dans le processus de votre mise en conformité, dans la sécurisation de vos données. Nous pouvons également être votre délégué à la protection des données. Enfin, nous pouvons former et responsabiliser vos collaborateurs quant à ce domaine sensible qu’est le RGPD.