Gouvernance
Savoir accueillir la Cnil
Par Pierre-Randolf Dufau, publié le 31 juillet 2023
Depuis 45 ans, la Cnil, en sa qualité de régulateur des données personnelles, est connue pour l’importance de son travail préventif et par le caractère spectaculaire de ses sanctions. Elle peut également se présenter à la porte de tout organisme qui traite de données personnelles disposant d’un établissement en France ou concernant des personnes résidant dans l’Hexagone. Voici comment se préparer à accueillir la CNIL en cas de contrôle…
Par Me Pierre-Randolph Dufau, Avocat à la cour, et Héloïse Hacker, PRD Avocats
À la suite d’un signalement par une plainte ou se saisissant d’office, la Cnil peut effectuer quatre formes de contrôle de manière alternative ou cumulative :
1- LE CONTRÔLE EN LIGNE
Il s’effectue à distance par des agents habilités qui vont vérifier l’ensemble des informations librement accessibles en ligne.
2- LE CONTRÔLE SUR PIÈCES
Il consiste en la réception par l’organisme contrôlé d’un courrier accompagné d’un questionnaire à compléter afin d’évaluer la conformité des traitements effectués. Il doit être assorti de tout document utile justifiant notamment lesdits traitements.
3- L’AUDITION SUR CONVOCATION
Elle a, elle aussi, l’avantage de la prévisibilité puisqu’il s’agit d’un courrier adressé par la Cnil invitant les représentants de l’organisme contrôlé à se présenter à une date donnée dans ses locaux afin de répondre à des questions et permettre, le cas échéant, un accès aux ressources en interne avec un ordinateur de la structure.
4- LE CONTRÔLE SUR PLACE
Lui, se réalise directement dans les locaux de l’organisme contrôlé : une délégation de la Cnil se présente, sans annonce préalable, afin de mener ses investigations.
À LIRE AUSSI :
Pour ce faire, le procureur de la République doit tout d’abord avoir été préalablement informé du contrôle sur place. Puis lors de l’arrivée des agents, ces derniers présentent à l’organisme contrôlé plusieurs éléments d’information : la décision obligatoire de la présidente de la Cnil ayant autorisé le contrôle ; l’identité et la qualité des agents de la délégation ; la copie de l’ordre de mission ; l’objet du contrôle ; et le droit d’opposition à la visite des agents, sauf en cas de contrôle sur ordonnance du juge des libertés et de la détention (JLD).
En effet, lorsque l’urgence, la gravité des faits à l’origine du contrôle ou le risque de destruction ou de dissimulation de documents le justifie, la présidente de la Cnil peut demander au JLD une autorisation préventive pour effectuer le contrôle. Sans ordonnance du JLD, l’organisme contrôlé peut s’opposer à la visite des agents, un procès-verbal d’opposition est alors dressé et une seconde visite ne pourra intervenir qu’après avoir obtenu cette ordonnance. L’organisme contrôlé ne pourra alors plus s’opposer aux agents de la Cnil sous peine d’être condamné à l’infraction d’entrave, pénalement punie d’un an d’emprisonnement et de 15 000 € d’amende.
Lors de l’accès aux locaux, les agents peuvent demander la communication de tous renseignements ou documents utiles et en prendre copie, à l’exception des informations couvertes par le secret médical dans certaines circonstances, le secret des traitements journalistiques, ou encore le secret entre un avocat et son client. Dans cette hypothèse, le secret concerné devra être notifié aux agents qui devront apposer la mention au procès-verbal.
À la fin de la mission de contrôle, un procès-verbal relatant l’ensemble des vérifications et contrôles menés, ainsi que l’ensemble des pièces et documents copiés, est rédigé par les agents de la Cnil. Il est soumis pour relecture et signature au responsable habilité à représenter légalement l’organisme, qui pourra formuler des observations écrites. Une copie du PV est remise à l’organisme puis notifiée par lettre recommandée avec accusé de réception.
Il est bien sûr recommandé d’anticiper un contrôle de la Cnil en formant une équipe dédiée chargée d’accueillir et d’accompagner les agents en cas de visite.
À LIRE AUSSI :
À LIRE AUSSI :
