Vous le savez certainement déjà : La loi attribue à la CNIL la possibilité d’effectuer des contrôles à tout moment auprès de tout organisme qu’il soit public ou privé s’il traite des données à caractère personnel.
Dans le cadre des infractions à la réglementation RGPD, l’autorité de contrôle réalise plusieurs centaines de contrôles et reçoit plus de 10 000 plaintes en moyenne par an !
DES CONTRÔLES SUR LA CONFORMITÉ RGPD FRÉQUENTS :
ATTENTION AUX PLAINTES !
Ces contrôles sont souvent consécutifs à des réclamations ou des signalements adressés directement par des entreprises, des associations, des particuliers comme par exemple vos propres salariés.
Les contrôles des agents ont pour objet de vérifier le respect par votre entreprise, association ou collectivité publique des normes RGPD sur le plan de la conformité de la gestion de vos données à caractère personnel.
Environ 1/3 des sanctions émises résultent de plaintes déposées à l’occasion de litiges sur le traitement des données personnelles ou le défaut de légalité des procédures d’informations des consommateurs.
Ces plaintes sont souvent remontées au service de contrôle de la CNIL qui traite rigoureusement les plaintes qui leurs sont adressées.
Un grand nombre des contrôles portent sur :
- Le respect des procédures internes de gestion des données, leurs durées de conservation.
- L’absence d’information des personnes concernées sur le recueil de leur consentement
- Des défaillances dans la mise en place d’une procédure permettant la mise en œuvre du droit d’opposition, du droit d’accès direct ou du droit de rectification des données personnelles collectées.
LES POUVOIRS DE CONTRÔLE QUI PEUVENT ÊTRE INTRUSIFS :
QUI EST CONCERNÉ ?
Il existe plusieurs sortes de contrôle de conformité RGPD qui peuvent être effectués par la CNIL :
- Des contrôles sur place dans les locaux de votre organisme
- Des contrôles en ligne
- Ou encore des contrôles sur convocation dans les locaux de la CNIL.
Les agents examinent notamment lors de ces investigations :
- le respect de la tenue des registres RGPD e
- la pertinence des documents obligatoires dans ce domaine (exemple contrats avec les sous-traitants).
Dans le domaine du contrôle de la conformité, la CNIL dispose des pouvoirs importants d’enquête qui permettent aux contrôleurs d’obtenir communication des registres RGPD de votre organisme ou d’exercer un droit d’accès aux locaux d’une entreprise, d’une association ou d’une collectivité publique.
Dernièrement, les plaintes sont souvent accès sur la diffusion de données sur internet ou des plaintes concernant les activités de marketing et de commerce ou de gestion des ressources humaines
Chaque année l’autorité de contrôle établit un programme annuel de contrôle sur les thématiques identifiées comme devant faire prioritairement l’objet de contrôle dans les entreprises ou les associations en raison de leur impact sur la vie privée de nombreuses personnes. Ainsi Grandes Entreprises comme Petites Entreprises sont toutes visées.
Par exemple la CNIL à procéder à nombre de contrôles
- Sur la cyber sécurité des sites, la sécurité des données de santé
- Le respect des règles applicables aux cookies et autres traceurs
- Les traitements effectués par les agences immobilières, les recrutements de personnels.
QUELLES SANCTIONS DANS LE DOMAINE DE LA CONFORMITÉ RGPD PEUT PRONONCER LA CNIL ? COMMENT SE PASSE UN CONTRÔLE ?
L’autorité de contrôle peut :
- Signifier un rappel à l’ordre ;
- Imposer de mettre le traitement de vos données RGPD en conformité, avec éventuellement une astreinte ;
- Limiter temporairement ou définitivement un traitement de données personnelles ;
- Suspendre un ou plusieurs flux de données ;
- Prononcer des sanctions pécuniaires qui peuvent s’élever jusqu’à 20 millions d’euros ou dans le cas d’une entreprise jusqu’à 4 % du chiffre d’affaires annuel mondial. Ces sanctions peuvent être rendues publiques.
Les plaintes peuvent se limiter à une demande d’information pour les plaintes portant sur des faits litigieux les plus simples.
Pour les plaintes relatives à la conformité présentant une complexité plus importante la CNIL intervient via le DPO de l’entreprise principale du traitement ou du sous-traitant en les invitant par injonction à se mettre en conformité avec le droit de la protection des données dans le cadre de la règlementation de la protection des données.
Dans un grand nombre de cas la CNIL intervient via ses agents par des contrôles sur place au sein des organismes. Ces contrôles peuvent intervenir entre 6h à 21h00 au sein de n’importe quel lieu on se trouve mise en œuvre un traitement de données à caractère personnel
Les agents peuvent aussi effectuer des contrôles portant sur le respect de la règlementation RGPD, dans les parties privatives d’un domicile privé sous réserve d’obtenir l’autorisation du juge des libertés et de la détention du tribunal judiciaire dans laquelle sont situés les locaux de la structure à visiter.
La règlementation des contrôles :
Les contrôles sur place sont très réglementés car les agents doivent informer le procureur de la République de leur contrôle sur place, et ce au plus tard 24h avant la date à laquelle doit avoir lieu le contrôle.
L’organisme contrôlé doit être informé par le biais de son responsable ou de son représentant sur place de l’objet et des vérifications que l’autorité de contrôle compte entreprendre. L’entreprise l’association ou la collectivité publique doivent de surcroît connaître à l’avance l’identité et la qualité des personnes chargées du contrôle afin que si besoin elle puisse mettre en œuvre leur droit d’opposition à la visite.
LES MODALITES DE CONTRÔLE DE LA CNIL DANS LE CADRE DE LA RGPD : ?
Les contrôles peuvent prendre la forme de plusieurs types d’intervention concernant le respect de la réglementation sur la protection des données personnelles :
Le contrôle sur place :
Les contrôleurs se rendent directement au sein des locaux de votre organisme et effectuent des investigations portant sur le traitement de vos données à caractère personnel.
L’audition sur convocation :
Par courrier votre DPO, votre responsable de traitement ou votre sous-traitant sont convoqués, dans les locaux de la CNIL pour répondre à des questions portant sur la vérification de la conformité de vos traitements de données personnelles.
La convocation doit parvenir au moins 8 jours avant la date de l’audition et avoir été formulée par une lettre recommandée avec accusé de réception ou par acte d’huissier.
Les contrôles en ligne :
La CNIL effectue des vérifications sur la conformité RGPD de votre organisme depuis ses locaux en analysant notamment les données de votre organisme libre d’accès ou rendues, de fait, accessibles directement en ligne.
Il est à noter que ces vérifications peuvent, être réalisées sous une identité d’emprunt… Il n’est pas rare que les contrôleurs utilisent des identités d’emprunt pour effectuer ces contrôles en ligne sur la conformité aux règles RGPD. Cela n’affecte pas la régularité de la procédure, à condition toutefois que cette pratique ne constituent pas une incitation à commettre une infraction.
Les contrôles sur pièces :
L’organisme de contrôle émet à destination de votre organisme un courrier un questionnaire destiné à évaluer la conformité RGPD des traitements mis en œuvre par votre responsable de traitement ou un sous-traitant.
Les réponses établies doivent être accompagnées de tout document utile permettant de les justifier sur le plan de la conformité avec les normes règlementaires.
Lors des contrôles les agents sont habilités à recueillir tous les renseignements utiles à la requête et l’ensemble de ces contrôles peuvent être utilisée séparément ou successivement pour apprécier la légalité de vos traitements RGPD.
Les représentants d’UNITAE RGPD peuvent vous conseiller ou vous assister en amont et en aval ou en suivi de ces procédures de contrôle de la conformité de vos pratiques RGPD.
DE NOMBREUSES INFRACTIONS À LA RGPD SONT SANCTIONNÉES
Ces contrôles sont de plus en plus fréquents et portent notamment sur la consultation des données librement accessibles ou rendu accessible notamment par imprudence où négligence de l’organisme responsable ou de tiers qui se sont rendus responsables de ces infractions à la règlementation.
À l’issue de ces contrôles si les agents de la CNIL constatent des infractions, ils rédigent des procès-verbaux des opérations réalisées et formalise par écrit l’analyse de la licéité des modalités de consultation et d’utilisation des données personnelles.
Le procès-verbal peut aussi opportunément mentionner : les objections, les réponses obtenues et leurs éventuelles contestations du non-respect par votre organismes de la réglementation sur la sécurisation des données.
On constate ces dernières années l’augmentation du nombre de contrôles portent pour une partie notable sur des défaillances d’entreprises sur les mentions d’information à l’intention des utilisateurs, sur le dépôt des cookies ou sur la sécurité des sites internet. Notamment lorsque ces derniers collectent des données à caractère personnel sans respecter parfaitement la réglementation RGPD.
