Oranne Giqueaux, experte RGPD chez Data Legal Drive
Cette année, les trois thèmes retenus sont : la prospection commerciale, les outils de surveillance dans le cadre du télétravail et les services de cloud. Autant dire que toutes les entreprises ou presque sont donc susceptibles de passer au crible.
Alors comment anticiper un contrôle ?
Il existe quatre différents types de contrôles qui peuvent se suivre et se compléter :
Le contrôle en ligne, sur tous les éléments visibles d'un organisme (cookies, politique de confidentialité, mentions d'information présentes au niveau des formulaires de collecte de données, sécurité des mots de passe, etc.). La CNIL peut alors prendre une identité d'emprunt.
Le contrôle sur place pour lequel la CNIL se présente dans n'importe quels locaux de l'organisme où des traitements de données personnelles sont réalisés, y compris dans les locaux d'un sous-traitant.
L'audition sur convocation, via un courrier convoquant des représentants d'un organisme à une date précise pour les entendre sur les traitements faisant l'objet de vérifications.
Le contrôle sur pièces, via un courrier joint d'un questionnaire adressé à un organisme, en vue d'auditer la conformité de ses traitements.
Quelle que soit la forme du contrôle, l'entreprise auditée doit avoir sous la main tous les documents que la CNIL est susceptible de demander. Il est donc important de documenter sa conformité et de tenir cette documentation à jour. Cela passe notamment par la réalisation d'analyses d'impact quand les traitements le nécessitent, par la rédaction et la tenue à jour du registre des traitements, du registre des violations, des contrats, des politiques de confidentialité, d'une politique des durées de conservation, et d'une doctrine interne relative à la gestion des données personnelles. Cela implique également la rédaction et la mise en œuvre mise en place de procédures (ex : le privacy by design), d'un bilan annuel qui retrace les actions de l'année passée et les mesures envisagées pour couvrir les risques, et d'un plan d'action annuel prenant en compte le programme annuel de contrôles de la CNIL, pour connaître les secteurs et sujets de contrôles prioritaires pour l'année à venir. Il est notamment important d'ajouter à son plan d'action 2022 la mise à jour des Clauses Contractuelles Types à partir des nouveaux modèles adoptés par la Commission.
Pour anticiper un contrôle CNIL et en assurer la meilleure gestion lorsqu'il survient, il est important de s'y préparer en amont via la rédaction et la communication d'une procédure de « gestion d'un contrôle CNIL ». Il est également possible de constituer une cellule de crise et de réaliser des contrôles fictifs pour s'assurer que l'organisme est prêt à y répondre. Il est important d'identifier les personnes pouvant être impliquées dans un contrôle, de sensibiliser les collaborateurs pouvant être impliqués et audités en cas de contrôle. Il faut aussi définir le matériel qui sera nécessaire lors du contrôle, par exemple une salle de réunion dédiée. Toutes les sessions de sensibilisation réalisées, doivent-être recensées et l'organisme doit en conserver la preuve. Cela fait également partie des mesures organisationnelles justifiant la conformité de l'organisme. La description des mesures susmentionnées doit se retrouver dans la procédure « gestion d'un contrôle CNIL » d'un organisme.
Comment gérer le contrôle lorsqu'il survient ? Zoom sur le contrôle sur place
Dans le cadre d'un contrôle sur place, les agents de la CNIL peuvent se présenter dans les locaux de l'organisme de 6 h à 21 heures, et ce, sans notification préalable de l'organisme contrôlé. À leur arrivée, il est important pour des raisons de sécurité de vérifier l'identité des agents, la lettre de mission présentée ainsi que leur habilitation à effectuer le contrôle. Étant le point contact avec les autorités de contrôle et garant de la conformité au RGPD, le DPO doit être informé de l'arrivée des agents de la CNIL. Son rôle est d'accompagner, d'encadrer et de présenter la documentation permettant de démontrer la mise en place d'actions assurant une conformité effective. En cas d'absence du DPO, personne compétente pour encadrer le contrôle doit avoir été identifiée en amont.
Lors du contrôle, les agents habilités de la CNIL peuvent être amenés à convoquer des personnes pouvant leur fournir des informations pertinentes sur les traitements faisant l'objet de vérifications. Les responsables de traitement et les sous-traitants, ainsi que leurs représentants, ont pour obligation de coopérer avec l'autorité de contrôle à la demande de celle-ci. L'absence de coopération peut augmenter le risque de sanction. Ce fut le cas cette année pour la Société nouvelle de l'annuaire français, qui – notamment – par absence de coopération avec la CNIL s'est vue infligée une sanction de 3 000 euros. À noter que le délit d'entrave à un contrôle de la CNIL est passible d'une amende de 15 000€ et d'une peine d'emprisonnement d'un an.
Les agents de la CNIL peuvent demander d'avoir accès et prendre copie de tout document nécessaire à l'évaluation de la conformité de l'organisme : registres, procédures, politiques, contrats, logiciels, bases de données, etc. Il faut veiller à leur fournir tout document utile à cette fin et leur donner aux informations permettant de justifier la mise en place des mesures techniques et organisationnelles appropriées. Mais attention à ne fournir que les informations demandées ou jugées nécessaires, afin de respecter le périmètre du contrôle. Un organisme ne peut pas refuser de communiquer des documents sous couvert du secret professionnel, sauf si les informations relèvent de relations entre un avocat et son client, où sont couvertes par le secret de traitements journalistiques. Pour ce qui est des données individuelles relevant du secret médical, elles ne pourront être communiquées qu'en présence et sous l'autorité d'un médecin.
À la fin de chaque journée de contrôle, un procès-verbal est rédigé par la CNIL reprenant tous les éléments collectés, les constats déduits et les copies des documents présentés. Le procès-verbal doit être signé par les agents habilités et le représentant de l'organisme contrôlé. La relecture du procès-verbal avant signature est nécessaire afin de formuler toutes observations et commentaires au sujet du contrôle. À l'issue d'un contrôle, la CNIL peut demander la communication d'informations complémentaires ou réaliser des visites supplémentaires.
La CNIL a réalisé 384 contrôles en 2021. Ces derniers ont donné lieu à 135 mises en demeure et 18 sanctions, dont 12 publiques, pour un montant de plus de 214 millions d'euros. Et l'autorité n'entend pas baisser sa garde. Il devient donc plus que nécessaire pour les entreprises de faire le nécessaire pour entrer en conformité avec le RGPD, mais aussi pour se préparer à un éventuel contrôle afin de ne pas être prises au dépourvu et de pouvoir passer sereinement cet exercice.
Alors comment anticiper un contrôle ?
Il existe quatre différents types de contrôles qui peuvent se suivre et se compléter :
Le contrôle en ligne, sur tous les éléments visibles d'un organisme (cookies, politique de confidentialité, mentions d'information présentes au niveau des formulaires de collecte de données, sécurité des mots de passe, etc.). La CNIL peut alors prendre une identité d'emprunt.
Le contrôle sur place pour lequel la CNIL se présente dans n'importe quels locaux de l'organisme où des traitements de données personnelles sont réalisés, y compris dans les locaux d'un sous-traitant.
L'audition sur convocation, via un courrier convoquant des représentants d'un organisme à une date précise pour les entendre sur les traitements faisant l'objet de vérifications.
Le contrôle sur pièces, via un courrier joint d'un questionnaire adressé à un organisme, en vue d'auditer la conformité de ses traitements.
Quelle que soit la forme du contrôle, l'entreprise auditée doit avoir sous la main tous les documents que la CNIL est susceptible de demander. Il est donc important de documenter sa conformité et de tenir cette documentation à jour. Cela passe notamment par la réalisation d'analyses d'impact quand les traitements le nécessitent, par la rédaction et la tenue à jour du registre des traitements, du registre des violations, des contrats, des politiques de confidentialité, d'une politique des durées de conservation, et d'une doctrine interne relative à la gestion des données personnelles. Cela implique également la rédaction et la mise en œuvre mise en place de procédures (ex : le privacy by design), d'un bilan annuel qui retrace les actions de l'année passée et les mesures envisagées pour couvrir les risques, et d'un plan d'action annuel prenant en compte le programme annuel de contrôles de la CNIL, pour connaître les secteurs et sujets de contrôles prioritaires pour l'année à venir. Il est notamment important d'ajouter à son plan d'action 2022 la mise à jour des Clauses Contractuelles Types à partir des nouveaux modèles adoptés par la Commission.
Pour anticiper un contrôle CNIL et en assurer la meilleure gestion lorsqu'il survient, il est important de s'y préparer en amont via la rédaction et la communication d'une procédure de « gestion d'un contrôle CNIL ». Il est également possible de constituer une cellule de crise et de réaliser des contrôles fictifs pour s'assurer que l'organisme est prêt à y répondre. Il est important d'identifier les personnes pouvant être impliquées dans un contrôle, de sensibiliser les collaborateurs pouvant être impliqués et audités en cas de contrôle. Il faut aussi définir le matériel qui sera nécessaire lors du contrôle, par exemple une salle de réunion dédiée. Toutes les sessions de sensibilisation réalisées, doivent-être recensées et l'organisme doit en conserver la preuve. Cela fait également partie des mesures organisationnelles justifiant la conformité de l'organisme. La description des mesures susmentionnées doit se retrouver dans la procédure « gestion d'un contrôle CNIL » d'un organisme.
Comment gérer le contrôle lorsqu'il survient ? Zoom sur le contrôle sur place
Dans le cadre d'un contrôle sur place, les agents de la CNIL peuvent se présenter dans les locaux de l'organisme de 6 h à 21 heures, et ce, sans notification préalable de l'organisme contrôlé. À leur arrivée, il est important pour des raisons de sécurité de vérifier l'identité des agents, la lettre de mission présentée ainsi que leur habilitation à effectuer le contrôle. Étant le point contact avec les autorités de contrôle et garant de la conformité au RGPD, le DPO doit être informé de l'arrivée des agents de la CNIL. Son rôle est d'accompagner, d'encadrer et de présenter la documentation permettant de démontrer la mise en place d'actions assurant une conformité effective. En cas d'absence du DPO, personne compétente pour encadrer le contrôle doit avoir été identifiée en amont.
Lors du contrôle, les agents habilités de la CNIL peuvent être amenés à convoquer des personnes pouvant leur fournir des informations pertinentes sur les traitements faisant l'objet de vérifications. Les responsables de traitement et les sous-traitants, ainsi que leurs représentants, ont pour obligation de coopérer avec l'autorité de contrôle à la demande de celle-ci. L'absence de coopération peut augmenter le risque de sanction. Ce fut le cas cette année pour la Société nouvelle de l'annuaire français, qui – notamment – par absence de coopération avec la CNIL s'est vue infligée une sanction de 3 000 euros. À noter que le délit d'entrave à un contrôle de la CNIL est passible d'une amende de 15 000€ et d'une peine d'emprisonnement d'un an.
Les agents de la CNIL peuvent demander d'avoir accès et prendre copie de tout document nécessaire à l'évaluation de la conformité de l'organisme : registres, procédures, politiques, contrats, logiciels, bases de données, etc. Il faut veiller à leur fournir tout document utile à cette fin et leur donner aux informations permettant de justifier la mise en place des mesures techniques et organisationnelles appropriées. Mais attention à ne fournir que les informations demandées ou jugées nécessaires, afin de respecter le périmètre du contrôle. Un organisme ne peut pas refuser de communiquer des documents sous couvert du secret professionnel, sauf si les informations relèvent de relations entre un avocat et son client, où sont couvertes par le secret de traitements journalistiques. Pour ce qui est des données individuelles relevant du secret médical, elles ne pourront être communiquées qu'en présence et sous l'autorité d'un médecin.
À la fin de chaque journée de contrôle, un procès-verbal est rédigé par la CNIL reprenant tous les éléments collectés, les constats déduits et les copies des documents présentés. Le procès-verbal doit être signé par les agents habilités et le représentant de l'organisme contrôlé. La relecture du procès-verbal avant signature est nécessaire afin de formuler toutes observations et commentaires au sujet du contrôle. À l'issue d'un contrôle, la CNIL peut demander la communication d'informations complémentaires ou réaliser des visites supplémentaires.
La CNIL a réalisé 384 contrôles en 2021. Ces derniers ont donné lieu à 135 mises en demeure et 18 sanctions, dont 12 publiques, pour un montant de plus de 214 millions d'euros. Et l'autorité n'entend pas baisser sa garde. Il devient donc plus que nécessaire pour les entreprises de faire le nécessaire pour entrer en conformité avec le RGPD, mais aussi pour se préparer à un éventuel contrôle afin de ne pas être prises au dépourvu et de pouvoir passer sereinement cet exercice.