Point sur les contrôles de la CNIL : les droits et obligations des acteurs
La CNIL a présenté une charte des contrôles dans le but d’aider les responsables de traitements de données à caractère personnel à comprendre comment elle mène à bien sa mission de protection et quelles sont ses méthodes d’intervention.
Nous vous présenterons dans cet article les points clés à retenir et notamment, les droits et obligations qui incombent à chacun en vertu de de la loi Informatique et Libertés et du RGPD. Dans notre précédent article, nous avons souligné les points à retenir dans le cadre d’un contrôle de la mise en oeuvre de vos traitements et les éventuelles formes de ces contrôles.
Dans notre prochain article, nous allons aborder comment agir à la suite d’un contrôle et les “next steps” donc n’hésitez pas à les consulter sur notre section “Réflexions” !
LES POUVOIRS ET OBLIGATIONS DES AGENTS DE CONTRÔLE
Les agents de contrôle de la CNIL sont habilités pour 5 ans par la CNIL en vertu de l’article 19 de la loi Informatique et Libertés. Dans certains cas, ils peuvent recevoir une habilitation spéciale par le Premier ministre, notamment lorsque les vérifications portent :
“sur des traitements de données personnelles qui concernent la sûreté de l’Etat, la défense, la sécurité publique ou qui ont pour objet la prévention, la recherche, la constatation ou la poursuite des infractions pénales, l’exécution des condamnations pénales ou des mesures de sûreté”.
Il en est de mêmes lorsque ces agents doivent prendre connaissance d’information classifiées au titre de la protection du secret de défense nationale.
Il est nécessaire de prendre conscience de l’importance de ces contrôles puisqu’en effet, les agents habilités ont accès à tous lieux ou établissements qui a servi à la mise en oeuvre d’un traitement de données personnelles, entre 6 heures et 21 heures et parfois au-delà.
Seuls les lieux affectés en tout ou partie à un domicile privé requièrent une autorisation préalable du juge des libertés et de la détention territorialement compétent.
Que se passe-t-il lors d’un contrôle ?
Les agents habilités seront en mesure de demander tous documents nécessaires à l’accomplissement de leur mission exception faite des informations protégées par le secret professionnel (liste établie par la loi Informatique et Libertés, par exemple il s’agit des informations entre un avocat et son client ou bien le secret médical). Les données et documents recueillis lors d’un contrôle et leur conservation ultérieure font l’objet de procédures garantissant leur authenticité, leur intégrité et leur confidentialité, quel qu’en soit le support. Seuls les agents de la CNIL qui ont besoin d’en connaître dans le cadre de leur mission y auront accès.
Quelles sont les obligations qui incombent aux agents de contrôle ?
Ces derniers sont astreints au secret professionnel pour les faits, actes ou renseignements dont il ont pu avoir connaissance en raison de leurs fonctions et ce, sous peine de poursuites pénales. De même, en cas d’incompatibilités (ex. s’ils ont détenu, au cours des trois années précédant le contrôle, un intérêt direct ou indirect ou détenu un mandat) ils ne pourront participer au contrôle.
In fine, une fois la procédure de contrôle achevée, les documents seront détruits 5 ans après la clôture de l’investigation (sous réserve de l’exercice de voies de recours et des délais y afférents).
LES DROITS ET OBLIGATIONS DES ORGANISMES CONTRÔLÉS
Un des droits que possède l’organisme est la possibilité de vérifier l’identité des contrôleurs en charge de l’investigation qui doivent être en mesure de la prouver. Ils pourront également vérifier la mission de contrôle indiquée sur la décision signée par la Présidente de la CNIL et remise à l’organisme contrôlé en début de contrôle.
Peut-on refuser le contrôle de la CNIL ?
Non il n’est pas possible de s’opposer à un contrôle. Au contraire, les organismes contrôlés sont tenus à une obligation de coopération en facilitant l’accès à leurs documents.
Néanmoins, le responsable des lieux de l’organisme contrôlé peut s’opposer à la visite de ses locaux par la CNIL sauf si cette dernière détient une autorisation délivrée par un juge des libertés et de la détention. Par exception, les organismes étatiques ne sont pas en mesure de s’opposer à la tenue d’un contrôle.
Quelle sanction en cas d’entrave à l’action de la CNIL ?
Une peine d’un an d’emprisonnement ainsi que 15,000€ d'amende sont encourues selon les dispositions de l’article 226-22-2 du Code pénal.
L’entrave sera caractérisée si l’organisme s’oppose au contrôle malgré l’autorisation délivrée par le juge, ou bien s’il refuse de communiquer les documents sollicités ou encore en communiquant des informations qui ne sont pas conformes ou qui seraient communiquées sous un contenu non accessible.
Peut-on invoquer le secret professionnel pour s’opposer à un contrôle ?
Lors d’un contrôle, le secret peut être opposé uniquement lorsqu’il concerne des informations couvertes par le secret professionnel applicable aux relations entre un avocat et son client, par le secret des sources des traitements journalistiques ou, sous certaines conditions, par le secret médical. Cette opposition sera mentionnée dans le procès-verbal dressé par les agents de la CNIL chargés du contrôle.
Il est utile de savoir que dans le cadre des contrôles sur place et des auditions sur convocation, le responsable des lieux ou la personne auditionnée peut se faire assister par tout conseil de son choix. Il en est de même lorsque l’investigation a été approuvée par le juge des libertés et de la détention et, à défaut de conseil, deux témoins n’étant pas sous l’autorité de la CNIL pourront l'assister.
N’hésitez pas à consulter nos autres articles sur les contrôles de la CNIL - notamment sur le déroulement des contrôles et les différentes formes ainsi que la suite d’un contrôle, et les points à retenir !
Si vous avez des questions relatives à la conformité du traitement de vos données au RGPD ou à la loi Informatique et Libertés, n’hésitez pas à nous contacter !
Article rédigé par Manon Coste, septembre 2020 / Photo de couverture : XPS sur Unsplash