Contrôle RGPD de la CNIL en 2023 et après : procédures et conséquences

contrôle RGPD par la CNIL - SYSGUARD votre partenaire RGPD et cybersécurité

Le Règlement Général sur la Protection des Données (RGPD) a pour objectif de protéger les données personnelles des citoyens européens. Il concerne tous types d’organisations aussi bien publiques que privées et associatives qui traitent des données personnelles. Comme vous le savez, la Commission Nationale Informatique Liberté (CNIL) est habilitée à contrôler et réguler les éventuels manquements. Elle effectue donc des contrôles pour s’assurer que les organisations respectent les obligations de ce règlement européen. Comment se déroule un contrôle RGPD de la CNIL ? Quelles peuvent être les conséquences à l’issue du contrôle ?

La procédure de contrôle RGPD en amont

Tout d’abord, il est intéressant de savoir comment la CNIL décide de faire un contrôle. Les origines des contrôles résultent :

  • D’un programme annuel de contrôle orienté à partir de thématiques définies : la CNIL va lors prendre l’initiative de contrôler telle ou telle catégorie d’organisation
  • De plaintes et signalements de non respects, de violations de données par un organisme
  • Des dispositifs de vidéo protection. En effet, la CNIl est compétente pour contrôler les caméras qui filment tous lieux ouverts au public
  • De procédures suite à un premier contrôle

Le contrôle peut prendre 4 formes différentes

  • Le contrôle sur place : une délégation de la CNIL se déplace dans les locaux d’une organisation ou d’un sous-traitant pour mener des investigations.
  • L’audition sur convocation : le responsable de traitement ou son sous-traitant reçoit un courrier dans lequel la CNIL invite des représentants de l’organisme à se présenter, à une date donnée, dans les locaux de la CNIL. Ils devront répondre à des questions relatives à des traitement(s) objet des vérifications et, donner accès aux ressources informatiques de l’organisme.
  • Le contrôle en ligne : les agents de la CNIL consultent les données librement accessibles ou rendues accessibles directement en ligne, y compris par imprudence, négligence ou du fait d’un tiers.
  • Le contrôle sur pièces : les agents de la CNIL adressent un courrier accompagné d’un questionnaire destiné à évaluer la conformité des traitements mis en œuvre par une entreprise ou une collectivité ou encore une association. L’organisme visé doit alors répondre au questionnaire et joindre tout document utile

Au préalable, en cas de contrôle sur audition, l’organisation concernée doit recevoir sa convocation 8 jours avant l’échéance.

En cas de contrôle sur site, 24h avant le contrôle, la CNIL informe le Procureur de la République, territorialement compétent.

Bien entendu, les agents de la CNIL sont soumis au secret professionnel dans le cadre de leur action. En cas de non-respect ils s’exposent à des poursuites pénales (article 20 de la loi du 6 janvier 1978 modifiée).

La procédure de contrôle

Lors d’un contrôle RGPD, la CNIL va auditer plusieurs critères.

Tout d’abord, la CNIL vérifie si l’entreprise a désigné un délégué à la protection des données (DPD ou DPO pour data protector officer en anglais) ou un responsable de la protection des données (RPD), conformément aux exigences du RGPD. Notons que le DPO est obligatoire pour toutes personnes morales de droit public et dans certaines professions de droit privé dont les activités concernent la collecte, le stockage et l’exploitation de données sensibles ou à grandes échelles.

Ensuite, elle s’intéresse aux différents traitements mis en place par l’organisation à la politique de confidentialité mise en place par l’entreprise, en vérifiant si elle informe clairement les utilisateurs sur les finalités du traitement des données et les droits dont ils disposent. Il convient de savoir que les traitements sont nombreux et concernent de nombreux services. Exemples gestion de la relation clients, la paie, la formation continue, le recrutement de collaborateurs etc.

De plus, la CNIL contrôle si l’entreprise respecte le principe de minimisation des données. C’est-à-dire qu’elle collecte uniquement les données nécessaires à la finalité déclarée.

Elle vérifie que les données sont conservées pendant la durée nécessaire et qu’elles sont archivées puis supprimées de manière sécurisée une fois qu’elles ne sont plus nécessaires

Enfin La CNIL examine les mesures de sécurité mises en place par l’entreprise pour prévenir les éventuelles violations de données. Elle évalue également le degré de protection des informations personnelles des utilisateurs.

Rapport de contrôle et conséquences

Les conséquences

La CNIL établit un procès-verbal aux termes du contrôle. Il servira en plus des copies de documents annexes transmis par l’organisation pour apprécier la conformité au RGPD ou les manquements relevés.

Si le contrôle ne relève pas d’irrégularités. la CNIL clôture la procédure et envoie un courrier de notification.

Si la procédure relève des manquements peu significatifs, la Commission adresse un courrier à l’organisation avec des observations. Puis, elle clôture la procédure.

A l’inverse, si les manquements sont significatifs, le président de la CNIL peut décider de mettre en demeure l’organisme concerné pour se mettre en conformité. Selon la gravité des circonstances, la mise en demeure peut être rendue publique. De plus, la CNIL peut ajouter une astreinte de 100.00 €/jour à ses injonctions.

Dans l’hypothèse où les manquements ne sont pas complexes, la procédure est transmise au président de la commission restreinte. La procédure passe en mode simplifiée. La sanction en plus de la mise en conformité sous astreintes sera une amende plafonnée à 20 000 €.

En revanche, si l’affaire est complexe (Hypothèse de contrôle de grands groupes), la CNIL passera par la procédure de sanction ordinaire pouvant aboutir à une amende représentant 4% du CA mondial

Conclusion

Moralité : quel que soit l’organisation, sa taille, son secteur d’activité, il vaut mieux être en conformité avec le RGPD que de subir les conséquences d’une procédure en cas de manquement. Se mettre en conformité est donc un investissement sur le long terme qui :

  • Valorisera votre respect des règlementations en vigueur.
  • Donnera une image d’une organisation sérieuse et respectueuse de ses différents interlocuteurs en matière de protection des données.
  • Renforcera la Sécurité de vos données pour ne pas les perdre ou se faire pirater.
  • Évitera une lourde sanction en cas de contrôle de la CNIL.

SYSGUARD vous accompagne dans le processus de votre mise en conformité, dans la sécurisation de vos données. Nous pouvons également être votre délégué à la protection des données. Enfin, nous pouvons former et responsabiliser vos collaborateurs quant à ce domaine sensible qu’est le RGPD.


Contrôle RGPD par la CNIL - SYSGUARD, votre partenaire RGPD et cybersécurité
contrôle RGPD par la CNIL – SYSGUARD votre partenaire RGPD et cybersécurité

0 commentaires

Ecrit par Stéphane Rondelot

Juriste de formation, je suis expert en droit et en communication. Depuis plus de 20 ans, je forme les entreprises et les personnes en phase de création de société sur le droit des sociétés, l'économie et la communication. Passionné de nouvelles technologies, je me suis intéressé très tôt au droit de l'internet et bien entendu au RGPD.

Publié le 9 octobre 2023