Le contrôle figure parmi les missions dévolues à la Commission Nationale de l’Informatique et des Libertés (Cnil) et lui permet de s’assurer de la bonne application de la réglementation relative à la protection des données à caractère personnel. Il peut être mis en oeuvre à la suite d’une plainte, à la demande d’une autorité de protection des données établie dans un autre Etat membre de l’Union européenne ou encore sur initiative de la Cnil.

Les conséquences qui peuvent en résulter pour l’organisme contrôlé, notamment son image de marque, conduisent généralement les responsables de traitement et les sous-traitants à redouter ces contrôles. Dans ce contexte, deux stratégies peuvent être adoptées : l’une peut consister à réagir une fois que la Cnil est à votre porte, l’autre peut consister à agir et anticiper le contrôle en élaborant une procédure adaptée à la taille et l’activité de votre organisme.

Comment anticiper un contrôle ?

Les politiques de protection des données personnelles déjà mises en place au sein de l’entité sont des facteurs importants dans la gestion des contrôles. Les organismes conscients des risques et qui y sont préparés seront en mesure de gérer plus efficacement les contrôles.

La première étape pour un responsable de traitement ou un sous-traitant est de se pencher sur la conformité à la réglementation en vigueur et mettre en place les changements nécessaires.

Par ailleurs, la mission de contrôle vise prioritairement à obtenir copie du maximum d’informations, techniques et juridiques, pour apprécier les conditions dans lesquelles sont mis en oeuvre des traitements. Dès lors, il est pertinent de réfléchir en amont aux éventuels documents que l’organisme préfèrerait ne pas communiquer aux agents de la Cnil en cas de contrôle. Une politique de classification des documents propre à l’organisme est parfois déjà mise en place et peut servir de base à cette réflexion.

Il apparaît également judicieux d’élaborer une procédure qui énonce comment réagir à la visite de la Cnil. Le plan de gestion de crise permet notamment de déterminer qui est le responsable des lieux ou encore quels sont les bureaux et les ressources mises à disposition des agents de la Cnil. Il sera également important de préciser que le DPO doit être immédiatement prévenu (même si cela conduit à interrompre une réunion).

Enfin, une formation régulière ainsi qu’une connaissance des obligations générales de l’entité et de ses salariés permettra notamment de minimiser les risques de non-conformité.

Comment gérer un contrôle sur place ?

La première chose à faire est de vérifier les habilitations des agents pour la mise en oeuvre du contrôle, disponibles sur le site de la Cnil. Il est conseillé de solliciter la communication de l’ordre de mission dès le début des investigations. L’équipe de gestion de crise de l’organisme devra alors déterminer la portée du contrôle, notamment afin de savoir si celui-ci se concentre sur un secteur en particulier (le service client, les ressources humaines, etc.) ou bien encore si le contrôle est dû à une visite prévue dans le cadre du programme annuel de la Cnil.

Il convient également de prévoir la logistique ainsi que les modalités de transmission des documents aux agents de la Cnil. Les agents demandent toujours des entretiens avec le personnel de l’entité et il peut leur arriver de demander à voir une personne en particulier. Il est recommandé de répondre positivement à cette demande. Sous réserve de l’accord exprès du supérieur hiérarchique, de l’équipe juridique ou de l’équipe de gestion de crise, les personnes entendues par les agents peuvent tenir un journal de suivi de l’entretien qui pourra éventuellement être utilisé pour enrichir le procès-verbal établi en fin de contrôle.

Attention, s’opposer aux demandes des agents, leur refuser le droit d’accéder aux locaux et à des documents ou tout autre refus pourra être perçu comme une entrave au contrôle, délit passible d’une peine d’un an d’emprisonnement et d’une amende de 15 000€ d’amende (article 51 de la loi Informatique et Libertés).

 

Pour en savoir plus sur les contrôles menés par la Cnil, Mathias Avocats vous invite à prendre connaissance de son nouveau livre blanc.