Commission nationale informatique et libertés (CNIL)

Quelle stratégie de contrôle pour 2019 ?

I – Quels moyens d’action ?

En 2019, comme lors des années précédentes, l’action de la CNIL reposera sur 2 axes :

  • l’accompagnement des professionnels dans l’application du RGPD ;
  • le contrôle du respect de leurs obligations.

S’agissant des contrôles et de la politique répressive, La CNIL a souhaité, début 2018, mettre en place une période de transition entre l’ancienne législation et les nouvelles règles issues du RGPD (Règlement général sur la protection des données) entré en vigueur en France le 25 mai 2018. Ainsi, elle s’est abstenue de sanctionner le non-respect des nouvelles obligations issues du règlement pour « permettre aux responsables de traitement de comprendre et d’assimiler progressivement les exigences du RGPD ».

Cette période prend fin et la CNIL annonce, sur son site internet, que désormais elle « vérifiera pleinement le respect des nouvelles obligations et nouveaux droits issus du RGPD » (analyse d’impact, portabilité des données, tenue d’un registre des traitements et des violations) et « tirera, au besoin, toutes les conséquences en cas de constatation de manquements ».

Sont concernés par les contrôles de la CNIL, les entreprises privées, les associations, les organismes publics qui traitent des données à caractère personnel.

La Commission dispose, pour ce faire, de divers moyens d’action, en fonction de la gravité des manquements constatés et du comportement de l’entreprise contrôlée (bonne foi, coopération).

  • le rappel à l’ordre ;
  • l’injonction sous astreinte ;
  • la limitation d’un traitement ;
  • le prononcé d’une sanction pécuniaire.

II – Quelle politique de contrôle en 2019 ?

Dans le cadre de son programme annuel des contrôles représentant environ ¼  de ses investigations, la commission a souhaité concentrer son action sur 3 grandes thématiques, directement issues de l’entrée en application du RGPD.

1) Le respect des droits des personnes

En 2018, environ 73 % des plaintes reçues par la CNIL portaient sur le non-respect de l’exercice d’un droit.

Elle va donc vérifier que ces droits sont bien respectés, qu’il s’agisse de droits déjà existants dans la loi Informatique et Libertés ou des nouvelles obligations issues du RGPD, comme par exemple le droit à la portabilité des données.

Elle s’assurera également qu’une réponse claire et complète est apportée aux personnes dans le respect des délais prévus par les textes.

2) Le traitement des données des mineurs

Une attention particulière sera apportée à ce public « vulnérable » au sujet duquel la CNIL reçoit de nombreuses plaintes portant sur des problématiques diverses, telles que la publication de contenus sur les réseaux sociaux ou la mise en œuvre de traitements biométriques dans les écoles.

3) La répartition des responsabilités entre responsable de traitements et sous-traitants

Sous l’empire de la loi Informatique et Libertés, seuls les responsables de traitements pouvaient être mis en demeure ou sanctionnés par la CNIL pour manquements à la protection des données. Désormais, le RGPD lui permet également d’effectuer des vérifications auprès des prestataires sous-traitants en charge de la mise en œuvre d’un traitement pour leur compte (par exemple, hébergement ou maintenance).

III – Selon quelles procédures ?

Les missions de contrôle de la CNIL peuvent avoir des origines différentes :

  • le programme annuel des contrôles (portant sur de grandes thématiques) ;
  • les réclamations et les signalements ;
  • les initiatives (problématiques et enjeux sur la protection des données personnelles liés à l’actualité) ;
  • les dispositifs de vidéoprotection (vérification des caméras qui filment des lieux ouverts au public (centre commercial, musée…) en application du Code de la sécurité intérieure) ;
  • les procédures de contrôle clôturées, les mises en demeure et les sanctions (vérification des mesures de mise en conformité adoptées par les organismes concernés).

Sur décision de son Président, la Commission peut effectuer 4 formes de contrôles :

  • le contrôle sur place ;
  • l’audition sur convocation ;
  • le contrôle en ligne ;
  • le contrôle sur pièces.

Chacune de ces modalités de contrôle peut être utilisée de manière complémentaire et, sauf pour le contrôle sur pièces, un procès-verbal consigne les informations fournies et les constatations effectuées.

Elles nécessitent une habilitation délivrée par la Commission aux agents de ses services pour une durée de 5 ans renouvelable, ou, dans certains cas, par le Premier ministre (traitements de données concernant la sûreté de l’Etat, la défense, le sécurité publique…).

Ces missions ont pour but de vérifier que les traitements mis en œuvre par l’organisme sont conformes aux dispositions de la loi du janvier 1978 modifiée et du RGPD, et imposent la communication de tous documents utiles (informations juridiques et techniques, programmes informatiques, contrats, entretiens avec le personnel…).

L’entrave à l’action de la CNIL est réalisée en cas :

  • d’opposition à l’exercice des missions confiées aux membres ou agents habilités lorsque la visite a été autorisée par le juge ;
  • de refus de communiquer, de dissimulation ou de destruction des renseignements et documents utiles à la mission de contrôle ;
  • de communication d’informations non conformes au contenu des enregistrements tels qu’ils étaient au moment de la demande de la CNIL, ou de présentation d’un contenu sous une forme non directement accessible ;

et est punie d’1 an d’emprisonnement et de 15 000 € d’amende.

Les agents de la Commission sont tenus au secret professionnel, sous peine de poursuites pénales.

Au regard de l’analyse qu'elle effectue, différentes suites peuvent être apportées au contrôle :

  • lorsque les constatations effectuées n’appellent pas d’observations particulières, la procédure de contrôle est clôturée par un courrier du Président de la CNIL ;
  • lorsque les manquements constatés sont peu significatifs, la procédure est clôturée par un courrier du Président de la CNIL, accompagné d’observations (par exemple, modifier les durées de conservation ou les mesures de sécurité, procéder à l’information des personnes…) ;
  • lorsque les manquements sont plus significatifs, le Président peut décider de mettre en demeure l’organisme d’adopter des mesures, dans un délai imparti, pour se mettre en conformité et/ou transmettre le dossier afin que des sanctions soient prononcées ;
  • en cas d’absence de réponse à la mise en demeure ou de non-respect de ses injonctions, le dossier peut aussi donner lieu au prononcé de sanctions et, le cas échéant, à une dénonciation au Parquet.

Enfin, la CNIL va poursuivre la coopération initiée en 2018 avec ses homologues européens pour assurer une protection des données personnelles homogène et cohérente sur l’ensemble du territoire de l’UE. Elle collaborera par exemple sur les traitements transfrontaliers en procédant à des opérations de contrôle conjointes.

Informations

Rédacteur
Christine RUBETTI
CONSULTANT COMMERCE

Date de publication
le 13/05/19 à 16:49

Contacts
Christine MURTAS
Chef de projet Var ecobiz
Nouveaux inscrits

Nous leur souhaitons la bienvenue.

Caroline Poisson
Responsable Développement
NATHALIE SIROP
Coach en développement et Consultante RH
Emilie HAGE
Presidente
philippe perrichon
Commercial société
benjamin husson
Directeur
Abonnez-vous !