La Commission nationale de l'informatique et des libertés (Cnil) a publié sa charte des contrôles, afin de faire le point sur ses pouvoirs de contrôles et assurer le bon déroulement de ces derniers.

​

En effet et afin de s’assurer de la conformité́ de la mise en œuvre d’un traitement de données à caractère personnel avec la loi Informatique et libertés, et, depuis le 25 mai 2018, du Règlement général sur la protection des données à caractère personnel (RGPD), la Cnil dispose de différents moyens de contrôler les responsables du traitement.

​

Les types et causes de contrôles de la Cnil

​

Ainsi, la Cnil peut effectuer quatre types de contrôle :

​

• les contrôles sur place : ceux-ci se déroulent dans les locaux du responsable du traitement ;

• les contrôles sur convocation : ils s’effectuent dans les locaux de la Cnil, après convocation du responsable du traitement ;

• les contrôles sur pièces : qui consistent à demander la communication de tout renseignement ou document utile ;

• les contrôles en ligne : qui permettent à un agent de la Cnil de contrôler les données disponibles sur un service de communication au public en ligne et de retranscrire ces données.

 

A la suite de ces contrôles, un procès-verbal est dressé et communiqué au responsable du traitement contrôlé.

 

Le RGPD prévoit que des opérations conjointes pourront être effectuées par plusieurs autorités européennes de protection des données.

 

Les contrôles de la Cnil peuvent faire suite à une plainte, une alerte ou décidés de son propre chef.

 

Le rappel des principes d’un contrôle Cnil

 

La charte des contrôles rappelle tout d’abord les définitions utiles à la compréhension du document, notamment celle de données à caractère personnel, définie à l’article 4 du RGPD comme

 

« toute information se rapportant à une personne physique identifiée ou identifiable (ci-après dénommée «personne concernée»); est réputée être une «personne physique identifiable» une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu'un nom, un numéro d'identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale; »

 

La charte revient ensuite sur les missions et les pouvoirs de la Cnil ainsi que sur les raisons de ses contrôles et les organismes pouvant être contrôlés Il est notamment expliqué comment se déroulent les différents types de contrôles de la Cnil, ainsi que les droits et obligations des organismes contrôlés.

 

La charte éclaire enfin sur les suites d’un contrôle Cnil, afin que les organismes contrôlés puissent s’y préparer et ainsi réagir dans les délais laissés par la Cnil. 

 

Toutes les sociétés peuvent faire l’objet d’un contrôle de la Cnil

​

La charte des contrôles de la Cnil publiée à la rentrée permet ainsi à toutes les sociétés, quelle que soit leur taille, de mesurer le risque qu’elles ont de faire l’objet d’un contrôle de la Cnil et d’en comprendre le fonctionnement.

 

En effet, aujourd’hui encore bien trop de TPE ou PME pensent être exemptées de leurs obligations en matière de protection des données, en raison de leur taille et du faible risque au regard des données personnelles traitées.

 

S’il est vrai qu’en fonction de la taille de l’entreprise, les attentes du régulateur, la Cnil, ne sont pas les mêmes, il n’en demeure pas moins que ces sociétés peuvent faire l’objet d’un contrôle de la Cnil.

 

A ce sujet, Le 17 avril 2018, la Cnil avait publié sur son site internet un guide de sensibilisation au RGPD, adapté aux TPE et PME, pour accompagner ces entreprises dans leur processus de mise en conformité au RGPD.

 

La charte des contrôles de la Cnil fait ainsi le point et dans un format compréhensible par tous, le fonctionnement de sa mission de contrôle.