Comment se passe un contrôle RGPD de la CNIL

Les DSI et entreprises ont dépensé sans compter pour la mise en conformité RGPD. Mais la question de savoir qui contrôle et comment se déroule un contrôle est rarement abordée. A l'aube des premières condamnations sur le fondement du RGPD, nous présentons les principes d'un contrôle RGPD.

La CNIL dispose de pouvoirs de contrôle qui n'ont pas été profondément modifiés par les réformes de juin et de décembre 2018. La CNIL continuera en effet à pouvoir procéder à des vérifications RGPD dans les locaux des organismes, en ligne, sur audition ou sur pièce. 

Comment est décidé un contrôle ?

En pratique, la décision de procéder à un contrôle est prise par la Présidente de la CNIL sur proposition du service des contrôles de la CNIL, soit pour des raisons aléatoires (certains points sont contrôlés systématiquement, comme la vidéosurveillance), soit pour des raisons de thématiques annuelles (par ex, les chasseurs de tête en 2018), soit sur dénonciation (comme pour l'administration fiscale), soit pour des raisons médiatiques.

La CNIL a effectué en 2018, comme ce fut le cas en 2017, environ 300 opérations de contrôle.

Comment débute un contrôle ?
Il existe plusieurs types de contrôles RGPD.  
  • Lorsque le contrôle se fait sur place, le procureur de la république territorialement compétent est informé au moins 24h avant le contrôle de la date, de l’heure et de l’objet de celui-ci. De plus, la CNIL doit informer le responsable des lieux où se situe les traitements qui font l’objet des vérifications, au début du contrôle, de l’objet des opérations de vérifications, de l’identité et la qualité des personnes chargées du contrôle et de son droit d’opposition à la visite. A ce titre, les fonctionnaires de la CNIL remettent un document qu'il faut bien lire avant de contresigner. Le responsable des locaux contrôlé peut s’opposer à la visite de la délégation de la CNIL, même si c'est franchement déconseillé. Dans cette hypothèse, la CNIL ne rentre pas, mais doit obtenir l’autorisation du juge des libertés et de la détention du TGI dans le ressort duquel sont situés les locaux avant de pouvoir effectuer ce contrôle. Toutefois, le responsable des lieux ne peut s’opposer à la visite en cas d’urgence, lorsque les faits ayant donné lieu à la décision de procéder au contrôle sont graves ou lorsqu’il existe un risque de destruction ou de dissimulation de documents.
  • Lorsque le contrôle se déroule sur audition, la convocation doit parvenir 8 jours avant la date du contrôle.
  • La CNIL peut aussi procéder à des contrôles en ligne, notamment pour vérifier la conformité des mentions d’information figurant sur les sites Internet, le recueil de consentement des internautes ou les modalités de dépôt des cookies. Ils peuvent procéder à ces contrôles en ligne sous une identité d’emprunt.
  • Lorsque le contrôle est effectué à la demande d’une autre autorité européenne, la délégation de la CNIL en informe le responsable de traitement ou le sous-traitant. Elle doit en toute hypothèse lui indiquer que les informations qu’elle recueille sont susceptibles d’être communiquées à d’autres autorités de contrôle européennes.
Qui peut contrôler ?

Les agents de contrôle sont avant tout des juristes qui ont une lecture juridique de la réglementation et veillent à la conformité juridique au RGPD. Ils sont souvent assistés d'experts techniciens comme les (excellents) experts de l'ANSSI. 

Les agents de la CNIL sont couverts par le secret professionnel et, lorqu'il le faut, par le confidentiel / secret défense.

Dans tous les cas, le responsable de traitement ou le sous-traitant peut se faire assister d'un avocat pendant le contrôle RGPD.

Le responsable du lieu contrôlé doit en conséquent veiller à demander aux personnes souhaitant effectuer le contrôle leur identité et leur habilitation, les agents de la CNIL chargés des contrôles devant fournir ces éléments sur simple demande de la personne contrôlée.

Quels documents peut demander la CNIL ?

La CNIL peut demander au responsable de traitement ou sous-traitant de lui communiquer des documents préalablement aux opérations de vérification. En l'état, nous pensons que la CNIL demandera fréquemment voire systématiquement, le registre des traitements de la société et, dans certains cas, d'autres documents comme le contrat type de sous-traitant.

Puis, la CNIL peut, lors d’un contrôle sur place ou sur convocation, demander communication de tous documents nécessaires et en prendre copie. Elle peut donc notamment demander à avoir accès aux contrats, aux formulaires, aux dossiers papiers, ou encore aux bases de données. Les contrôleurs peuvent en outre accéder aux programmes et aux bases de données, et en demander copie.

Au-delà de la consultation de tout document, les agents de la CNIL peuvent entendre toute personne susceptible de leur fournir des renseignements.

Comment se solde un contrôle ?

Un procès-verbal est établi à l’issue du contrôle, que celui-ci soit effectué en ligne, sur place ou sur convocation. Dans ces deux dernières hypothèses, ce procès-verbal est réalisé contradictoirement, puisque le responsable de traitement ou sous-traitant a la possibilité d’y faire inscrire ses réserves et commentaires. Le procès-verbal précise notamment la liste des documents dont une copie a été effectuée, tout comme le jour, l’heure et le lieu des vérifications ou encore les agents ayant procédé à ce contrôle.  

Il est important de coopérer avec la CNIL : l’entrave à l’action de la CNIL est un délit grave.

La CNIL décide ensuite soit de la clôture du contrôle, en adressant un courrier au responsable de traitement ou sous-traitant (contenant le cas échéant des recommandations), soit lui adresser une mesure en demeure pour qu’il remédie aux manquements constatés ou initier une procédure de sanction.