Blog ENI : Toute la veille numérique !
💥 Un livre PAPIER acheté
= La version EN LIGNE offerte pendant 1 an !
Accès illimité 24h/24 à tous nos livres & vidéos ! 
Découvrez la Bibliothèque Numérique ENI. Cliquez ici
  1. Livres et vidéos
  2. RGPD
  3. Le contrôle de l’autorité, la CNIL
Extrait - RGPD Le comprendre et le mettre en œuvre (3e édition) - (témoignages de responsables de traitement et référents à la protection des données personnelles)
Extraits du livre
RGPD Le comprendre et le mettre en œuvre (3e édition) - (témoignages de responsables de traitement et référents à la protection des données personnelles) Revenir à la page d'achat du livre

Le contrôle de l’autorité, la CNIL

Introduction

Dans chaque État membre de l’UE, une autorité publique indépendante (au moins) doit être instituée pour surveiller l’application du RGPD sur le territoire de l’État dont elle relève. En France, il s’agit de la CNIL (L. 1978, art. 8 I).

Ses missions, étendues, sont notamment les suivantes (RGPD, art. 57) :

  • Information et sensibilisation du public

  • Sensibilisation des responsables de traitement et sous-traitants

  • Fourniture de conseils en matière législative et administrative

  • Information des personnes concernées

  • Coopération avec les autres autorités de contrôle des États membres

  • Adoption de clauses contractuelles types

  • Fourniture de conseils sur les opérations de traitement qui nécessitent une consultation préalable dans le cadre d’une analyse d’impact prévue à l’article 36 du RGPD

  • Avis sur les codes de conduite

  • Encouragement des mécanismes de certification, de labels et de marques

  • Approbation des mécanismes de certification

  • Examen périodique des certifications

  • Définition et publication des critères d’agrément d’organismes chargés du suivi des codes de conduite et d’organismes de certification

  • Agrément d’organismes chargés des codes de conduite et d’organismes de certification 

  • Autorisation...

Traitement des réclamations

Une personne concernée, un organisme, une organisation ou une association peut saisir la CNIL d’une réclamation relative à un traitement de données. La CNIL informe alors l’auteur de la réclamation de la suite qui va lui être donnée (L. 1978, art. 8 I 2° d). L’autorité de contrôle facilite les réclamations par la fourniture en ligne d’un formulaire de réclamation qui peut notamment être rempli par voie électronique : https://www.cnil.fr/fr/plaintes. L’article 10 al. 2 du décret n° 2019-536 du 29 mai 2019 pris pour l’application de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés précise que le silence gardé pendant trois mois sur une réclamation vaut décision de rejet.

Sauf caractère manifestement infondé ou excessif, la demande est traitée gratuitement (RGPD, article 57 § 4 ; Décret n° 2019-536 du 29 mai 2019, art. 11). La CNIL peut aussi, dans ce dernier cas, refuser de donner suite à la demande (Ibid).

Mais la CNIL peut aussi intervenir sans avoir reçu de réclamation. Elle peut en toute hypothèse décider de mener une enquête.

Enquête

La CNIL a le pouvoir d’ordonner au responsable du traitement ou au sous-traitant la communication de toutes les informations dont elle a besoin pour l’accomplissement de ses missions (L. 1978, art. 8 I 2° d). Les enquêtes peuvent prendre la forme d’audits sur la protection des données.

Accès aux locaux du responsable du traitement ou du sous-traitant

L’autorité de contrôle peut obtenir l’accès à tous les locaux, à toute installation, et à tout moyen de traitement conformément au droit de l’Union et au droit procédural des États membres. L’article 19 I de la loi du 6 janvier 1978 autorise l’accès, de 6 heures à 21 heures, aux lieux, locaux, enceintes, installations ou établissements servant à la mise en œuvre d’un traitement de données à caractère personnel, à l’exclusion des parties de ceux-ci affectées au domicile privé, sauf autorisation du juge des libertés et de la détention du tribunal judiciaire dans le ressort duquel sont situés les locaux à visiter (L. 1978, art. 19 I al. 3 ).

Le procureur de la République territorialement compétent en est préalablement informé.

Le responsable est informé, le cas échéant, de son droit d’opposition à la visite. S’il s’y oppose, la visite ne peut se dérouler qu’après l’autorisation du juge des libertés et de la détention du tribunal judiciaire dans le ressort duquel sont situés les locaux à visiter.

Mais en cas d’urgence, si la gravité des faits à...

Notification d’une violation

Lorsqu’elle dispose d’éléments suffisants, l’autorité de contrôle notifie au responsable du traitement ou au sous-traitant une violation alléguée du règlement. Avant la mise en œuvre du traitement, un avertissement de défaut de conformité peut être adressé au responsable ou au sous-traitant conformément à l’article 58 § 2 a) du RGPD.

Mise en demeure

La loi du 6 janvier 1978 a maintenu la possibilité pour le président de la CNIL de prononcer une mise en demeure à l’égard du responsable de traitement ou du sous-traitant qui ne remplit pas ses obligations de faire cesser le manquement constaté dans un délai donné, délai qui peut être fixé à 24 heures en cas d’extrême urgence (L. 1978, art. 20, II ; Décret n° 2019-536 du 29 mai 2019, art. 38).

Il ne s’agit pas d’une sanction, contrairement aux injonctions.

La mise en demeure peut avoir pour objet de :

  • satisfaire aux demandes présentées par la personne concernée en vue d’exercer ses droits,

  • mettre les opérations de traitement en conformité avec les dispositions applicables, 

  • communiquer à la personne concernée une violation de données à caractère personnel sauf s’il s’agit de traitements qui intéressent la sûreté de l’État ou la défense,

  • rectifier ou effacer des données à caractère personnel, ou limiter le traitement de ces données,

  • notifier aux destinataires des données les rectifications ou effacements de données et les limitations des traitements.

Rappel à l’ordre

L’autorité de contrôle peut procéder à un rappel à l’ordre du responsable du traitement ou du sous-traitant lorsque les opérations de traitement ont entraîné une violation des dispositions du règlement (L. 1978, art.20 III 1° et 21 I 7°).

Ce rappel à l’ordre est prononcé par la formation restreinte de la CNIL saisie par son président. Il n’est prononcé qu’après une procédure contradictoire et doit être compris comme un ultime avertissement d’avoir à prendre les mesures qui s’imposent pour mettre en œuvre le traitement conformément au règlement et à défaut desquelles l’autorité de contrôle se verrait obligée de prendre des mesures plus coercitives.

Ce rappel à l’ordre peut être fait lorsque le manquement constaté est susceptible de faire l’objet d’une mise en conformité (L. 1978, art. 20 III 1°). Il peut aussi être adressé au responsable ou au sous-traitant en cas de violation des droits de la personne concernée, s’il est urgent d’intervenir (L. 1978, art. 21 I al. 1).

Injonctions diverses

L’autorité de contrôle peut ordonner au responsable ou au sous-traitant de :

  • satisfaire aux droits de la personne concernée,

  • mettre les opérations de traitement en conformité avec le règlement,

  • communiquer à la personne concernée une violation de données.

L’article 20 III 2° de la loi de 1978 prévoit, sauf dans le cas d’un traitement mis en œuvre par l’État, que cette injonction peut être assortie d’une astreinte d’un montant maximal de 100 000 € par jour de retard à compter de la date fixée par la formation restreinte. L’astreinte est liquidée par la formation restreinte, qui en fixe le montant définitif (L. 1978, art. 22 al. 4 ; Décret n° 2019-536 du 29 mai 2019, art. 44).

Mesures coercitives

L’intervention de l’autorité de contrôle peut se terminer par différentes mesures qui sont plus contraignantes pour les responsables et sous-traitants. Elles peuvent avoir un impact sur le traitement et aller jusqu’à de lourdes amendes (cf. chapitre Les sanctions).

Caractère contradictoire des procédures

Les procédures ont un caractère contradictoire. Cela signifie que la CNIL donne la possibilité au représentant ou au sous-traitant de se défendre, de répondre aux éventuels reproches qui lui sont faits. L’article 22 de la loi du 6 janvier 1978 prévoit que différentes mesures prévues à l’article 20 ou à l’article 21 sont prononcées sur la base d’un rapport établi par un membre de la CNIL qui n’est pas membre de la formation restreinte de la CNIL appelée à prononcer les sanctions. Ce rapport est notifié au responsable ou sous-traitant qui peut déposer des observations, se faire représenter ou assister (Décret n° 2019-536 du 29 mai 2019, art. 39 et s.).

L’article 21 de la loi de 1978 admet que la procédure puisse être simplifiée, le président de la formation restreinte ou l’un de ses membres désigné à cet effet statuant seul sur l’affaire. Cette décision peut être prise par le président de la commission lorsque certaines conditions sont réunies, notamment lorsque l’affaire ne présente pas de difficulté particulière (v. L. 1978, art. 22-1 al. 1 et 2).

Cela ne remet toutefois pas en cause le caractère contradictoire de la procédure...

Publicité des mesures

La formation restreinte peut rendre publique sa décision dès sa notification au mis en cause. La décision indique dans ce cas qu’un recours peut être exercé contre elle devant le juge administratif (Décret n° 2019-536 du 29 mai 2019, art. 43 al. 2). La publicité des mesures peut aussi être ordonnée aux frais du responsable ou du sous-traitant dans des publications et supports divers (L. 1978, art. 22 al. 2).

En outre, la CNIL peut ordonner que le responsable ou le sous-traitant informe individuellement, à ses frais, chacune des personnes concernées de la violation des dispositions légales ou de la mesure prononcée (L. 1978, art. 22 al. 3).

Coopération entre autorités centrales

La CNIL doit mettre en œuvre des procédures de coopération et d’assistance mutuelle avec les autorités de contrôle des autres États membres de l’UE (L.1978, art. 25). Elle réalise aussi avec ces autorités des opérations conjointes (L. 1978, art. 24). Lorsqu’elle est « invitée à contribuer à une opération de contrôle conjointe décidée par l’autorité de contrôle d’un autre État membre, le président de la commission se prononce sur le principe et les conditions de la participation, désigne les membres et agents habilités et en informe l’autorité requérante dans les conditions prévues à l’article 62... » du RGPD (L. 1978, art. 25 IV).

Dans le cadre de ces opérations, elle peut agir en tant qu’autorité de contrôle concernée ou encore en tant qu’autorité chef de file en application des articles 4 et 56 du RGPD (L. 1978, art. 25 II). En cas d’opération conjointe en France entre plusieurs autorités centrales, les membres ou agents habilités de la commission, agissant en tant qu’autorité de contrôle d’accueil, sont présents aux côtés des membres et agents des autres autorités...