Appréhendées par beaucoup d’entreprises, les vérifications de la Commission nationale Informatique et Libertés portent sur des thématiques qu’elle choisit. Cette année, il s’agit de la prospection commerciale, des outils de surveillance du télétravail et des services de cloud.
Finie la mansuétude après la mise en place du RGPD en mai 2018, le règlement européen sur la protection des données personnelles. Désormais la Commission sanctionne les organisations de travail si elles ne sont pas dans les clous du RGPD. Oranne Giqueaux, experte RGPD chez Data Legal Drive, éditeur de logiciels pour sa conformité, explique les enjeux et donne des conseils pour anticiper et gérer un contrôle qui peut être anxiogène.
Les vérifications de la CNIL portent sur 4 domaines, susceptibles de se suivre et se compléter. D’une part, sous une identité d’emprunt, un contrôle en ligne sur tous les éléments visibles d'un organisme (cookies, politique de confidentialité, mentions d'information présentes au niveau des formulaires de collecte de données, sécurité des mots de passe, etc.).
D’autre part, un contrôle à demeure dans l’entreprise qui traite les données ou chez un sous-traitant.
En 3ème point, il peut s’agir d’une audition sur convocation via un courrier convoquant des représentants d'un organisme à une date précise pour les entendre sur les traitements faisant l'objet de vérifications.
Enfin, un contrôle sur pièces peut avoir lieu, via un courrier associé à un questionnaire adressé à un organisme, en vue d'auditer la conformité de ses traitements.
Il est conseillé à toute entreprise auditée de rassembler les documents, mis à jour, et qui démontrent la conformité au RGPD. Autre conseil important, identifier les personnes pouvant être visées par un contrôle et sensibiliser les collaborateurs pouvant être impliqués et audités.
Comment se déroule un contrôle de la CNIL
Les agents de la Commission peuvent se présenter dans l’entreprise sans notification préalable. Ils doivent présenter une lettre de mission. Pour des raisons de sécurité, les responsables doivent vérifier l’identité des contrôleurs. Les vérifications portent sur les registres, procédures, politiques, contrats, logiciels, bases de données, etc. dans le périmètre du contrôle. Seules exceptions, les informations liées aux relations entre un avocat et son client, le secret de traitements journalistiques ou les données médicales, sauf en présence d’un médecin.
Au terme d'un contrôle, la CNIL peut demander la communication d'informations complémentaires ou réaliser des visites supplémentaires.
La CNIL a réalisé 384 contrôles en 2021. Ces derniers ont donné lieu à 135 mises en demeure et 18 sanctions, dont 12 publiques, pour un montant de plus de 214 millions d'euros. On l’aura compris, la Commission ne baisse pas sa garde. A noter, ces contrôles ne sont pas aléatoires et surviennent sur la base de plaintes et réclamations des personnes concernées, articles parus dans les médias, notifications de violation de données, dispositifs de vidéoprotection, ou encore suite au contrôle d'un sous-traitant.