Comment échapper aux sanctions de la CNIL ? Quelles sont les sanctions de la CNIL en cas de contrôle ? Et qui est concerné ? C’est autant de questions que l’on peut se poser afin d’être conforme à la RGPD.
Dans cet article nous verrons les risques, responsabilités et sanctions de la CNIL liées à la non-conformité des normes RGPD.
Par ailleurs, vous apprendrez également à connaître vos droits en cas de contrôle, ainsi que les éléments que vous devez respecter pour être une entreprise conforme à cette loi bien barbante, on vous l’accorde.
ON COMMENCE PAR UNE MAUVAISE NOUVELLE : N’IMPORTE QUI PEUT ÊTRE CONSIDÉRÉ COMME RESPONSABLE DES DONNÉES ET CE, À N’IMPORTE QUEL MOMENT !
En effet l’engagement de responsabilité et les sanctions des entreprises, associations ou collectivités publiques pour infractions aux normes RGPD ou pour manquement aux obligations de la règlementation RGPD sont particulièrement lourdes.
En fonction de la nature des infractions à la législation RGPD, les responsables du traitement des données personnelles d’un organisme s’exposent à des sanctions pécuniaires. Celle-ci pouvant s’élever jusqu’à 20 millions d’euros ou dans le cas d’une entreprise jusqu’à 4 % du chiffre d’affaires annuel.
D’autre part, l’infraction aux normes RGPD, est le plus souvent généré par l’impossibilité pour l’organisme contrôlé de démontrer qu’il a bien respecté les exigences techniques et réglementaires en matière de protection des données.
La règlementation sur la protection des données personnelles impose l’obligation de mettre en œuvre de manière permanente, des mécanismes et des procédures internes permettant de démontrer le respect des règles relatives à la protection des données.
De plus, la loi impose aux entreprises, associations et collectivités publiques l’obligation de tout mettre en œuvre sur le plan technique, organisationnel et juridique pour s’assurer que les traitements des données sont réalisés conformément aux normes réglementaires applicables en matière de RGPD.
QUI EST CONCERNÉ ? LES ORGANISMES COLLECTEURS DE DONNÉES PERSONNELLES ENGAGENT LEUR RESPONSABILITÉ.
Le responsable du traitement et le sous-traitant sont responsables des irrégularités commises et doivent être en mesure à tout moment de démontrer à la CNIL que la gestion des données effectuée au sein des organismes est sincèrement conforme avec les dispositions du règlement européen sur la protection des données.
Par conséquent, les organismes soumis à la RGPD doivent donc apporter, à tous moments la preuve, en cas de contrôle de la CNIL, de la conformité de leurs pratiques dans le domaine des traitements qu’elles effectuent avec les données personnelles qu’elles collectent.
Ces documents soumis à vérification permanente, prennent généralement la forme de registre de traitement des données qui doivent pouvoir être présentés aux agents de la CNIL lors des contrôles qu’ils effectuent.
Les responsables du traitement doivent être, en cas de contrôle, en capacité d’apporter la preuve de la licéité des démarches effectuées par leur organisme pour être conforme à la réglementation RGPD.
Ainsi, ils devront être en capacité, en cas de contrôle de la CNIL, de prouver qu’ont été prises toutes les mesures nécessaires pour assurer par exemple :
- La minimisation des données collectées
- La mise à jour des mentions d’informations des personnes dont les données sont collectées
- Et surtout la mise en œuvre de manière opérationnelle et concrète d’une politique de confidentialité.
L’obligation de transparence à l’égard des personnes concernées par la collecte des données, impose à tout organismes privés ou publics, une gestion documentaire de l’ensemble des documents contractuels et administratifs qu’ils utilisent dans le cadre de leurs activités.
La violation de la sécurité des données ou des normes RGPD peut à ce titre non seulement engager la responsabilité des responsables du traitement des données. Les infractions à la réglementation peuvent ainsi aboutir à des poursuites judiciaires mais aussi nuire à l’image et à la réputation de l’organisme dont les données ont été modifiées divulguées ou perdues !
COMMENT ÊTRE CONFORME À LA RGPD ? COMMENT ÉCHAPPER AUX SANCTIONS DE LA CNIL ?
Plus particulièrement 5 grandes types d’infractions à la réglementation RGPD font l’objet de sanctions pécuniaires :
En effet, les infractions dans le domaine de la sécurisation des données personnels sont un motif récurrent de plainte. La CNIL émet des sanctions pécuniaires importantes afin que les acteurs des traitements veillent scrupuleusement à assurer la sécurité et la confidentialité des données personnelles qu’ils collectent.
Dans le cadre de la conformité à la réglementation RGPD les données personnelles doivent être traitées de manière licites, loyales et transparentes envers les personnes concernées. Elles doivent être collectées pour des finalités déterminées explicites et légitimes sur le plan du droit des personnes.
Le principe de minimisation prévoit que les données à caractère personnelles doivent être adéquates, pertinentes et limitées à ce qui est strictement nécessaire au regard des finalités pour lesquelles elles sont traitées
En d’autres termes : les données personnelles doivent donc être collectées uniquement si l’objectif d’un traitement ne peut être atteint autrement.
La CNIL, en sa qualité d’organisme de contrôle, est particulièrement attentive à ce que seules les informations pertinentes et indispensable au regard de l’objet final du fichier soient exclusivement traitées par les organismes collecteurs de données personnelles.
Lorsqu’elles permettent d’identifier les personnes concernées les données à caractère personnel peuvent être conservées pendant une durée n’excédant pas celle nécessaire au regard de la finalité pour lesquelles elles sont traitées sauf certains documents qui font l’objet de particularités.
De plus, il s’ensuit que le principe de la conversation des données à caractère personnel impose que les données doivent être conservées uniquement le temps nécessaire à l’accomplissement de la finalité poursuivie lors de la collecte.
Une fois l’objectif atteint les données doivent être supprimées.
La CNIL veille également au respect par les responsables du traitement des données à la licéité du traitement des cookies, traceurs, ou toute autre forme d’identifiants mise en œuvre par un logiciel ou un système d’exploitation, utilisés comme des outils de ciblage publicitaire par les opérateurs.
CONNAITRE SES DROITS LORS D’UN CONTRÔLE RGPD DE LA CNIL ? COMMENT SE PASSE UN CONTRÔLE DE LA CNIL ?
Il est indispensable d’anticiper les contrôles inopinés qui pourrait résulter d’une opération d’investigation de l’autorité de surveillance sur la conformité aux normes RGPD.
L’accueil serein et opérationnel des contrôleurs de la CNIL exigent une bonne préparation en amont afin de limiter les risques de ce contrôle et les sanctions qui peuvent lui être liés.
Les agents de l’autorité de contrôle peuvent demander communication de tout document entrant dans le cadre de l’exercice de leur mission. Et ce, autant que nécessaire :
- prendre des copies, accéder aux programmes informatiques et investiguer tout renseignement juridique et/ou informatique leur permettant de vérifier la conformité et la légalité du traitement des données personnelles par votre structure.
- Ils peuvent également solliciter, que leur soit remis copie de divers documents notamment des contrats ou des bases de données.
- Enfin ils peuvent demander à échanger avec différents membres du personnel de l’entreprise dont l’activité est en lien avec la RGPD.
Dans ce contexte le rôle du DPO et plus particulièrement des procédures de gestion de contrôle RGPD qui auront été élaborées en amont seront un outil important pour gérer non seulement la période de contrôle sur pièces mais aussi les conséquences de la visite.
Les équipes d’UNITAE peuvent vous assister dans la conception et la réalisation des documents et procédures nécessaire à l’anticipation sereine de ces contrôles.
Et si besoin mettre votre entreprise, association ou collectivités publiques en relation avec notre Cabinet d’Avocats partenaires afin de vous aider dans le cadre de cette procédure toujours éprouvante.
QUE FAIRE APRES UN CONTRÔLE DE LA CNIL ? COMMENT AGIR EFFICACEMENT APRES UN CONTRÔLE RGPD ?
D’un point de vue pratique dans l’attente de l’arrivée du DPO lors de cette visite ou dans l’attente d’avoir accès aux conseils des équipes d’UNITAE, il est utile de :
- Vérifier l’identité des agents de la CNIL.
- Lire avec attention l’ordre de mission des agents et la décision du président de la CNIL.
- Identifier les documents demandés par les agents.
- Conserver un double de tout ce qui est remis aux contrôleurs.
- Noter toutes les questions et les réponses que vous aurez délivré lors de ce contrôle.
- Conserver un double de tous les documents qui sont remis par les agents de contrôle.
- Recenser toutes les demandes formulées par les contrôleurs.
- Lister le nombre et la nature des applications qui ont été contrôlés par les agents.
- Veiller à ce que les documents transmis correspondent à des versions à jour.
- Établir un premier compte-rendu par le responsable du traitement et le DPO.
- Relire attentivement le procès-verbal qui sera signe par le DPO ou le représentant légal de l’entreprise.
- Émettre si besoin des observations ou des réserves sur les allégations indiquées sur ce document.
À l’issue du contrôle il faudra avec le DPO et les équipes techniques en charge de la RGPD, ou avec le soutien de nos équipes d’UNITAE RGPD, faire un point sur la portée précises des observations adressée par la CNIL.
Et mettre en place les procédures correctives, tant juridique que technique qui permettront la remise en conformité des dysfonctionnements éventuellement rencontrées par les agents de l’autorité de contrôle lors de leurs investigations.
Enfin, après avoir fait le point sur l’ensemble des procédures correctives à mettre en œuvre il est fortement conseillé de rédiger un document de synthèse qui servira de base à la rédaction des réponses qui devront être remises à la CNIL pour démontrer que votre organisme à bien mis en place les mesures correctives de mise en conformité du traitement de ses données personnelles.
Sur ce point les équipes d’UNITAE peuvent vous conseiller sur la rédaction de ces documents ainsi que sur la mise en forme des documents qui devront être adresser à l’autorité de contrôle.
QUE SE PASSE-T-IL SI LES AGENTS DE LA CNIL SONT EMPÊCHÉS DANS LEUR CONTRÔLE DE LA CONFORMITÉ DE LA RÈGLEMENTATION RGPD ?
Les entreprises les associations les collectivités publiques détenteurs où utilisateurs de traitement ou de fichier de données à caractère personnel ne peuvent pas s’opposer à l’action de la CNIL et de ses agents.
Concrètement vous devez tout mettre en œuvre pour faciliter la tâche et les missions de ces agents. À défaut l’entrave à leur mission constituera une infraction pénale constituée par l ‘opposition au contrôle des agents lors d’une visite.
Ces entraves au contrôle du respect de la réglementation RGPD, peut notamment prendre la forme :
- Du refus de communiquer des renseignements ou des documents portant sur le traitement des données personnelles collectées,
- Du refus communiquer des informations, de présenter des registres non conformes à la réalité matérielle des enregistrements effectués où qui ne sont pas sous une forme techniquement accessible.
En effet le secret professionnel peut être difficilement opposé aux agents vérificateurs car il n’est reconnu que dans des cas extrêmement limités par exemple : pour les journalistes, dans le cadre du secret médical ou dans le cadre des relations des avocats avec leurs clients.
Pour en savoir plus sur les contrôles de la CNIL retrouvez notre article de la semaine dernière.