Comment réagir suite à l’annonce d’un contrôle de la CNIL ?

Kamel Adrouche est en charge de la Politique de rémunération et performance RH de la RATP & Thomas Passerone Avocat et Docteur en droit.

---

Avec plus de 138 millions d’euros d’amende, la France apparaît comme le pays sanctionnant le plus les entreprises pour non-respect des règles RGPD depuis l’entrée en vigueur du dispositif au mois de mai 2018. Les entreprises françaises ont ainsi été en moyenn condamnées à hauteur de 3,3 millions d’euros d’amende[1].

La plupart du temps, des plaintes individuelles ou collectives déposées auprès de la CNIL sont à l’origine de ces contrôles. Elles sont parfois révélées dans l’actualité. Fort heureusement, tous les contrôles de la CNIL n’aboutissent pas au prononcé de telles amendes. 

La stratégie actuelle de contrôle de la CNIL couvre la période 2020-2021. Elle vise à enclencher un processus progressif et collaboratif qui doit permettre l’appropriation, la concrétisation, pour tous – les personnes, les professionnels, le collectif européen – de la culture quotidienne de la protection des données personnelles.

Il est donc indispensable de savoir comment réagir à l’annonce d’un tel contrôle.

Les contrôles sont de quatre types :

• le contrôle "sur pièces" d’abord : il s’opère via une demande d’informations et un questionnaire transmis par courrier ;
• le contrôle "sur place" via une délégation de la CNIL qui se rend directement au sein des locaux de l’entité contrôlée ;
• le contrôle en ligne qui se fait directement à distance depuis les locaux de la CNIL en consultant notamment des données librement accessibles ;
• le contrôle sur audition qui se fait dans les locaux de la CNIL à la suite de la réception d’une convocation.

Quelle que soit la nature du contrôle, et dès lors qu’il est annoncé, il est essentiel de bien le préparer lorsque cela est possible. En effet, même si les vérifications ne font pas l’objet d’un "avis de passage" préalable et qu’elles sont inopinées[2], la démarche qui doit guider l’organisme contrôlé est la même.

Les principaux enseignements des contrôles réalisés jusqu’à présent permettent de déterminer un ensemble de "bonnes pratiques" qu’il convient de diffuser. Quelle que soit l’issue de cette procédure (clôture, mesures correctrices et éventuelles sanctions), celle-ci n’exclut pas la possibilité de vérifications ultérieures par cette même autorité de contrôle.

Trois axes principaux se dégagent afin de préparer au mieux un contrôle annoncé.

• L’importance d’une préparation en amont, avec les interlocuteurs ad hoc
  

Le principal enjeu est celui de la préparation des équipes qui vont accueillir la délégation CNIL chargée du contrôle sur place. L’organisation d’une réunion dédiée, réunissant notamment le directeur de l’unité concernée, son responsable ressources humaines, le DPO et/ou un membre du réseau RGPD, un membre du métier sur lequel porte le contrôle et un membre de la filière SI, est indispensable. En cas de contrôle sur audition, la ou les personnes auditionnées seront préparées.

• La nécessité de coopérer avec la délégation CNIL durant le contrôle

Il convient de prendre toutes les mesures utiles qui permettent de faciliter le contrôle de la CNIL, compte tenu de l’obligation de coopération qui incombe à l’organisme contrôlé sous peine d’être condamné pour entrave avec des peines pouvant aller jusqu’à un an d’emprisonnement et 15 000 euros d’amende[3]. Les détenteurs de traitements ou de fichiers de données personnelles ne peuvent en effet s’opposer à l’action de la CNIL et doivent, au contraire, prendre toutes les mesures utiles afin de faciliter cette action. Le secret ne peut pas être opposé aux agents de contrôle de la Cnil[4] (L. n° 78-17, 6 janv. 1978, art. 19, III). Par exception, il est cependant possible d’opposer le secret professionnel applicable aux relations entre un avocat et son client, le secret des sources des traitements journalistiques et le secret médical dans certains cas.

• Le maintien de la mise en conformité à l’issue du contrôle 

L’instruction du dossier par la CNIL appelle des demandes complémentaires auxquelles il convient de répondre de manière réactive. La clôture du dossier par courrier sera agrémentée, la plupart du temps, d’observations à prendre en compte.

I. L’importance d’une préparation en amont, avec les interlocuteurs ad hoc

Lors de cette réunion, trois principaux points peuvent être utilement abordés.

1. Rappeler au préalable les prérogatives des agents de la CNIL. Ces derniers peuvent :

• accéder à tous lieux servant à la mise en œuvre d’un traitement de données personnelles (sauf opposition du responsable des lieux à laquelle le juge de la liberté et de la détention peut faire échec)[5] ;
• demander communication et recueillir tous les renseignements nécessaires à l’accomplissement de leur mission, et en prendre copie ; 
• accéder aux programmes informatiques, aux données, et en demander la transcription, dans des documents directement utilisables pour les besoins du contrôle. En pratique, les agents de la CNIL peuvent consulter les fichiers disponibles dans les ressources partagées et dans les boîtes mails. Ils peuvent ouvrir chaque élément présent sur les ressources et procèdent par recherche de "mots clés".

2. Expliciter le déroulement général du contrôle (entretiens, constatations et recueil des pièces, rédaction d’un procès-verbal

• La délégation CNIL est généralement composée d’au moins deux agents (un juriste et un auditeur des systèmes d’information). Si nécessaire, la délégation peut être renforcée et comprendre 4 ou 6 agents notamment. 
• Le responsable des lieux devra être l’interlocuteur privilégié mais pas exclusif de la délégation. Il s’agit généralement du directeur de l’unité, s’il est présent. Il devra se rendre disponible pour suivre les agents tout au long de la mission de contrôle.

3. Avoir une vision de la conformité de la société au regard du RGPD en s’assurant notamment de la conformité au registre de traitement mis en place au sein de l’organisation.

Concrètement, les agents de la CNIL procèdent aux auditions et recueil des pièces en matinée. La rédaction du procès-verbal est réalisée en après-midi par ces derniers. En fin de journée, le responsable des lieux devra procéder à une relecture attentive et à la signature du procès-verbal de contrôle sur place.

II. La nécessité de coopérer avec la délégation CNIL durant le contrôle

1. La "posture"

Comme lors d’un contrôle de l’inspection du travail, il convient donc de :

• répondre avec "diligence, loyauté et clairement" aux questions posées et aux demandes de renseignements. Répondre a minima le "strict nécessaire" afin de ne pas susciter de nouvelles questions ;
• s’engager, le cas échéant, à répondre aux demandes de pièces "dans un délai raisonnable" et dans un format facilement exploitable ;
• adopter une attitude professionnelle, neutre et courtoise vis-à-vis des contrôleurs.

2. L’assistance par "des experts"

L’assistance par des "experts" internes lors du contrôle : la présence du DPO et/ou un membre du réseau RGPD, un membre du métier sur lequel porte le contrôle et un membre de la filière SI du département concerné ou au niveau de SIT est également fortement recommandée dans ce cadre. L’équipe ainsi constituée sera en mesure de répondre aux sollicitations.

Par ailleurs, et dans la mesure où lors des missions de contrôle sur place ou des auditions sur convocation, le responsable des lieux ou la personne auditionnée peut se faire assister par tout conseil de son choix, le recours à un expert extérieur est possible. Cet expert peut, le cas échéant, être un avocat.

3. L’importance du procès-verbal qui est dressé 

À l’issue du contrôle, un procès-verbal rend compte, de manière factuelle, de l’ensemble des informations qui ont été communiquées à la délégation de contrôle et des constatations qu’elle a opérées.

Elle est soumise à la relecture et à la signature du responsable des lieux et des agents de contrôle de la CNIL. 

Il ne faut pas donc hésiter à y apporter toute modification utile avant signature. Toutefois, et afin de ne pas susciter d’autres interrogations, il est recommandé de répondre "le strict nécessaire" par rapport aux constations opérées.

III. Le maintien de la mise en conformité au RGPD à l’issue du contrôle 

1. L’instruction du dossier 

À l’issue du contrôle, la phase d’instruction du dossier par la CNIL débute. Cette instruction se déroule sur plusieurs mois.

Pendant cette période, des demandes complémentaires peuvent encore être adressées pour obtenir des précisions ou des documents supplémentaires. De nouveaux contrôles peuvent également être décidés par la CNIL. En effet, les missions de contrôle ne sont pas limitées dans le temps par les textes. 

Il convient d’être réactif dans les réponses formulées aux agents de contrôles, en lien direct avec le DPO, qui reste le point de contact exclusif avec la CNIL. 

2. La clôture du dossier et les suites

La clôture de la procédure est ensuite notifiée. Elle est généralement accompagnée de recommandations de la CNIL qui devront être mises en pratique. Il ne faut pas hésiter à inscrire des points de suivi dans les contrats d’objectifs et dans les ODJ des réunions décisionnelles type CODIR.

Un plan d’actions et des mesures de type "audits locaux" peuvent être utilement mis en œuvre dans le cadre d’un processus continu qui apporte des garanties à court, moyen et long terme.

Si des manquements graves sont relevés, des sanctions lourdes sont possibles. L’éventail est large : on peut citer l’avertissement, le rappel à l’ordre, l’injonction de mettre en conformité avec astreinte (dont le montant ne peut excéder 100 000 euros) ou encore l’amende administrative qui peut s’élever jusqu’à 20 millions d’euros ou 4 % du chiffre annuel global en cas de non-respect des principes fondamentaux du RGPD ou des droits des personnes. En outre, elles peuvent être rendues publiques et porter une atteinte à l’image et à la réputation de l’entreprise.

La mise en conformité au RGPD est un processus continu et pérenne. Les actions mises en place doivent s’inscrire dans la durée pour être efficace. Dès lors que l’organisation contrôlée s’inscrit dans cette logique, le contrôle CNIL ne doit pas être vécu comme un "outil répressif" mais comme un temps d’échange privilégié permettant une amélioration continue du dispositif de protection des données personnelles en son sein.

Thomas Passerone et Kamel Adrouche

---

[1] Source France Soir.

[2] Décret 2019-536, art. 26.

[3] C. pén., art. 226-22-2.

[4] Loi Informatiques et Libertés, art 19 III.

[5] Loi Informatiques et Libertés, art. 19.