![](https://www.archimag.com/sites/archimag.com/files/styles/article/public/web_articles/image/Art%20martial.jpg?itok=rTIYsUzR ""Pour aborder sereinement un contrôle de la Cnil, trois conseils prévalent : anticiper, maîtriser et dédramatiser" (Pixabay)")
Depuis la modification en août 2004 de la loi informatique et libertés, la Commission nationale de l’informatique et des libertés (Cnil) dispose d’un pouvoir de contrôle dans les locaux du responsable de traitement. Pour le correspondant informatique et libertés, il est impératif de préparer son organisation et son responsable de traitement à accueillir une telle visite.
Les contrôles sur place de la Cnil se comptent par centaines et l’essentiel de ses recrutements des dernières années a été affecté à ces missions.
Au sein de l’organisme contrôlé, le Correspondant informatique et libertés (Cil) devra à la fois assurer la protection de ses intérêts légitimes tout en évitant le délit d’entrave. Pour cela, il fera en sorte que les investigations de la Cnil soient accompagnées de manière professionnelle. Si le rôle du Cil est alors essentiel, il n’en est pas moins éprouvant. À ce poste, subir un contrôle de la Cnil correspond – toutes proportions gardées – au passage du Cap Horn pour un capitaine au long cours ! Une épreuve, certes, mais enrichissante lorsqu’elle est analysée a posteriori.
Pourtant ces contrôles doivent être dédramatisés. En effet, les investigations de l’autorité de la rue Vivienne ne débouchent ni mécaniquement ni systématiquement sur une injonction, et encore moins sur une sanction. Progressivement, ce mode de relation entre le régulateur et les responsables de traitements se banalise. Toutefois, il nécessitera toujours préparation et vigilance. Aussi, pour aborder sereinement un contrôle de la Cnil, trois conseils prévalent : anticiper, maîtriser et dédramatiser.
contrôles inopinés
En 2005, après pratiquement vingt ans « d’explications et de dialogue », la Cnil s’est dotée d’un service des contrôles. Outre la recherche de non-conformités, ses missions sur place ont pour but de mesurer l’effectivité de ses décisions et de ses recommandations sur le terrain. Elles sont, en quelque sorte, « les yeux » de la Cnil.
Ces contrôles sont inopinés pour la plupart. La Cnil a pris l’habitude de prévenir le Cil la veille ou l’avant-veille de la mission, sauf en cas de manquements graves et s’il existe un risque de destruction d’éléments de preuve. Cette éventualité devrait constituer la meilleure incitation à la désignation d’un Correspondant informatique et libertés.
Il semble que le nombre de contrôles menés chaque année plafonne actuellement à 400. Le montant total des sanctions pécuniaires infligées depuis 2004 serait de moins d’un million d’euros. Les deux sanctions pécuniaires les plus fortes à ce jour restent celles infligées récemment à Google.
Il convient de comparer ces chiffres aux 600 à 700 vérifications auxquelles procède chaque année l’homologue espagnol de la Cnil, la Agencia española de protección de datos (AEPD). L’autorité espagnole a généré plus de 200 millions d’euros de sanctions cumulées au cours de ces mêmes dix dernières années. En comparaison, il est donc clair que la Cnil ne se livre pas à une absurde « chasse aux entreprises ». Ceci apparaît d’autant plus explicitement lorsque l’on compare le faible nombre de sanctions prononcées par rapport à celui des contrôles effectués.
pourquoi moi ?
Pourquoi moi ? C’est en effet la première question qui vient à l’esprit du responsable de traitement contrôlé. Les raisons qui déclenchent une mission sur place sont variées : auto saisine ; plaintes émanant de particuliers - d’un comité d’entreprises, de salariés, d’un syndicat, d’autorités publiques ; signalisation d’organismes avec lequel une convention a été établie (comme la DGCCRF) (2) ; demande d’une autorité de contrôle étrangère ; ou encore sur la base du programme de contrôle annuel de la Cnil.
Les agents qui réalisent les contrôles sont habilités pour ce type de mission. Leur nomination est publiée au Journal officiel. L’équipe associe généralement un informaticien à un juriste, qui peuvent éventuellement être épaulés par des commissaires.
La mission peut se présenter de 6 heures à 21 heures dans les locaux servant à la mise en oeuvre d’un traitement de données à caractère personnel. Les espaces affectés au domicile privé en sont exclus. La commission peut procéder à des contrôles sur convocation du responsable du traitement. Lorsque les agents de la Cnil se présentent à l’accueil, il est recommandé de véri..er leur identité et leur habilitation. Cette procédure doit, bien sûr, respecter la loi informatique et libertés.
Suite à une décision du Conseil d’État, la commission procède systématiquement à l’information des personnes faisant l’objet d’un contrôle sur place et notamment de leur droit à s’opposer à ce contrôle. Dans cette hypothèse, le président de la Cnil peut saisir le président du tribunal de grande instance compétent afin que celui-ci autorise la mission par ordonnance, y compris en faisant appel à la force publique. C’est la raison pour laquelle la Cnil informe la veille le Procureur de la République. En pratique, la Cnil doit se ménager une preuve de la délivrance de cette information, sous peine de voir sa procédure entachée d’irrégularités.
pouvoir de demander communication
La lettre de mission présentée par les agents est rarement précise, sans doute afin de ne pas limiter la démarche. Les agents peuvent demander communication de tout document nécessaire à l’accomplissement de leur mission, quel qu’en soit le support, et en prendre copie. Ils peuvent recueillir tout renseignement et toute justification utiles. Ils possèdent pour cela d’un droit d’accès aux programmes informatiques et aux données. Dans le cas où la recherche des informations prendrait du temps, l’organisme contrôlé doit indiquer aux enquêteurs le délai nécessaire et le justifier. À ce sujet, il n’est pas possible d’arguer de difficultés techniques. Les informations demandées devront être transmises rapidement et de façon sécurisée.
Les questions peuvent aussi porter sur la bonne protection des données à caractère personnel traitées. La politique de sécurité, le journal des accès des administrateurs techniques, la description des procédures et les moyens mis en oeuvre ou l’analyse de risques en font partie. À titre d’exemple, lors du contrôle d’un centre hospitalier, les agents ont soulevé les questions suivantes :
- Qui peut avoir accès au système d’information ?
- Qui attribue les droits d’accès et selon quelle procédure ?
- Comment sont réinitialisés les mots de passe ?
- Que deviennent les vieux PC en fin de vie ?
- Que deviennent les disques durs des serveurs en panne ?
Les agents de la Cnil peuvent bien sûr aussi procéder par entretien et demander à interroger des employés. Attention à ne pas commettre un délit d’entrave ! Des opérationnels insuf..samment préparés sont susceptibles de commettre de tels actes. Les possibilités de se retrancher derrière un secret (des affaires, bancaire, professionnel, etc.) sont très limitées. La personne qui invoque un secret est dans l’obligation de préciser les textes sur lesquels elle s’appuie et la nature des données couvertes par ces dispositions. Ainsi, l’invocation injustifiée du secret professionnel peut constituer une entrave à l’action de la Cnil. Là aussi, le Cil sera de bon conseil.
procès-verbal
À l’issue de leurs investigations, les agents contrôleurs établissent un procès-verbal synthétique, factuel et sans jugement de valeur. Son contenu ne donne aucune indication évidente sur l’attitude à venir de la commission. Il serait d’ailleurs très aventureux de se baser sur lui, ou sur l’ambiance dans laquelle le contrôle s’est déroulé, pour préjuger de la suite. Le procès-verbal est présenté au responsable des lieux pour remarques et signature.
À l’issue de la mission, la Cnil examine l’ensemble des informations collectées, apprécie les conditions de mise en oeuvre des dispositions de la loi et décide de la suite à donner : clôture de la mission, mise en demeure (qui peut être publique), convocation devant la commission restreinte.
Bruno Rasle
[Délégué général de l’AFCDP, l’Association française des correspondants informatique et libertés, a animé le groupe de travail qui a publié le livre blanc "Comment se préparer à un contrôle sur place de la Cnil ?", pilote – au sein de Mastère spécialisé de l’ISEP – une suite d’enseignements destinés aux futurs CIL.]
(1) Direction générale de la concurrence de la consommation et de la répression des fraudes.
+ repères
Quelques conseils :
- Prévenir certains contrôles en répondant correctement aux demandes de droit d’accès et en évitant que les personnes concernées aient des raisons de se plaindre à la Cnil ;
- définir une procédure de gestion des courriers Cnil garantissant une réponse satisfaisante et rapide aux demandes formulées par la Commission ;
- sensibiliser le responsable de traitement et les opérationnels à l’obligation de coopération en cas de contrôle et du comportement à adopter (fiche descriptive des droits et obligations) ;
- préparer les personnels d’accueil à l’éventualité d’un contrôle de la Cnil ;
- disposer d’une liste d’interlocuteurs privilégiés (Cil, Direction juridique, etc.) qui pourront l’épauler ;
- ne pas laisser les agents contrôleurs livrés à eux-mêmes et charger des collaborateurs d’un rôle de scribe ;
- après le départ des agents de la Cnil, réunir immédiatement les collaborateurs ayant participé au contrôle et établir un compterendu détaillé.
![dpo-donnees-personnelles-evolutions-afcdp-paul-olivier-gibert](https://www.archimag.com/sites/archimag.com/files/styles/vignette/public/web_articles/image/paul-olivier_gibert_afcdp_2024-evolution-dpo-protection-donnees-personnelles.jpg?itok=KfshogP2 ""En vingt ans, les enjeux de la protection des données personnelles se sont accrus", explique Paul-Olivier Gibert, président de l'AFCDP. (AFCDP)")
