Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

AFCDP : Comment se préparer à un contrôle de la CNIL ?

janvier 2015 par Emmanuelle Lamandé

Aucun organisme public ou privé n’est à l’abri d’un contrôle de la CNIL. Il est donc important de se tenir prêt. Pour ce faire, la préparation et la sensibilisation des différents acteurs sont essentielles. Le CIL a bien évidemment une place prépondérante dans ce processus, que ce soit en amont, pendant ou après. Thierry Ramard, Président d’Ageris Group, rappelle les bonnes pratiques pour se mettre en conformité avec la législation et se préparer au mieux à un éventuel contrôle, à l’occasion de 9ème Université des CIL de l’AFCDP.

Les missions de contrôle de la CNIL s’inscrivent dans le cadre d’un programme annuel adopté en séance plénière. Ce programme est élaboré en fonction des thèmes d’actualité et des grandes problématiques dont la CNIL est saisie. Cela représente près de 2/3 des contrôles. Ceux-ci peuvent également être décidés en réponse à des besoins ponctuels, dans le cadre de l’instruction de plaintes, ou de demandes de conseil (environ 1/3 des contrôles).

Selon le rapport d’activité 2013 de la CNIL :
 Elle a reçu 5 638 plaintes au cours de l’année 2013 : dans 99% des cas, l’intervention de la CNIL s’est traduite par une suite favorable pour le demandeur ;
 414 contrôles ont été réalisés, dont 33% étaient issus de plaintes. 280 contrôles ont concerné des traitements relevant directement de la Loi Informatique et Libertés, et 134 des dispositifs de vidéoprotection/vidéosurveillance. La majorité des contrôles ont été effectués dans le domaine du commerce (117), de la santé et du social (73). 89% des organismes contrôlés se sont mis en conformité après échanges de courriers ;
 57 mises en demeure ont été adoptées : 88% d’entre elles font suite à un contrôle, 12% sont directement issues de plaintes sans contrôle sur place. 86% de ces organismes mis en demeure en 2013 se sont mis en conformité ;
 14 dossiers ont fait l’objet d’une procédure de sanction.

Contrôle de la CNIL : avant, pendant, après

La décision de procéder à une mission de contrôle est prise par le président de la CNIL, sur proposition du service des contrôles. Cette décision est notifiée au début du contrôle au responsable des lieux où se situent les traitements qui font l’objet des vérifications. Le procureur de la République territorialement compétent est informé de la date, de l’heure et de l’objet du contrôle avant que celui-ci ne débute. Les agents de la CNIL participant aux contrôles sont habilités dans les conditions prévues à l’article 19 de la Loi, et peuvent être assistés d’experts. Certains contrôles nécessitent des habilitations particulières, notamment pour les fichiers couverts par le secret défense.

Une mission de contrôle vise prioritairement à obtenir copie du maximum d’informations, techniques et juridiques, pour apprécier les conditions dans lesquelles sont mis en œuvre des traitements informatiques. La délégation de la CNIL dispose de droits très larges et peut demander communication de tous documents nécessaires à l’accomplissement de sa mission, quel qu’en soit le support, et en prendre copie. Il peut s’agir de programmes ou données informatiques, de contrats, formulaires, dossiers papiers, bases de données, etc. Un procès-verbal de fin de mission est établi à l’issue du contrôle, pour préciser notamment la liste des documents dont une copie a été effectuée.

A l’issue du contrôle, la CNIL examine les documents copiés, afin d’apprécier les conditions de mise en œuvre des dispositions de la Loi Informatique et Libertés. Lorsque les constatations effectuées n’appellent pas d’observations particulières, le contrôle est clôturé par un courrier du président de la CNIL, pouvant toutefois contenir des recommandations. Dans le cas où les manquements relevés sont sérieux, le dossier est transmis à la formation contentieuse de la CNIL, qui peut prononcer les sanctions prévues à l’article 45 de la Loi (avertissement, sanction pécuniaire, verrouillage des données…). Cette transmission à la formation contentieuse n’est pas exclusive d’une dénonciation au Parquet (article 40 du code de procédure pénale).

Quelques recommandations pour que le contrôle se déroule dans les meilleures conditions

Thierry Ramard livre quelques recommandations pour que le contrôle se déroule dans les meilleures conditions. L’accueil des contrôleurs de la CNIL est essentiel, car il s’agit du premier point de contact et donc de la première impression. Il est important que le personnel d’accueil soit, d’une part, informé de ce qu’est la CNIL, mais aussi de la procédure à suivre en cas de contrôle et de la personne à contacter. Cette sensibilisation montre déjà un certain niveau de maturité de l’entreprise, ce qui représente un bon point. Il s’agit de la vitrine de l’entreprise et du premier indicateur pour les contrôleurs. Le personnel d’accueil doit également procéder à un contrôle d’identité, afin de s’assurer que les visiteurs qui souhaitent pénétrer dans les locaux sont bien ceux qu’ils prétendent être et qu’ils figurent sur la lettre de mission. Un espace doit être prévu pour les accueillir et qu’ils puissent mener à bien leur mission dans de bonnes conditions. De plus, il ne faut pas faire obstruction au contrôle et toujours accompagner les contrôleurs pendant toute sa durée. Les collaborateurs doivent, quant à eux, se cantonner uniquement aux informations demandées et fournir aux contrôleurs des réponses précises et fiables. Mieux vaut répondre « je ne sais pas » plutôt que de fournir une réponse imprécise ou erronée. Il est, en outre, essentiel que les collaborateurs prennent note de l’intégralité de l’entretien pour restitution et s’assurent de leur transmettre les versions à jour des documents souhaités. Une fois le contrôle fini, les contrôleurs quittent l’entreprise après avoir remis un PV d’intervention. Il ne faut pas hésiter à faire le point avec eux et discuter des points d’éventuels désaccords.

Quid du CIL dans tout ça ? En amont de tout contrôle, le CIL a un rôle prépondérant de sensibilisation du Responsable de Traitement et de tous les collaborateurs de l’entreprise. Il doit, de plus, être présent pendant toute la durée du contrôle, s’il a lieu. Il pourra ainsi éclairer les contrôleurs de la CNIL sur les actions menées dans l’entreprise, mettre à leur disposition le registre des traitements et les bilans annuels d’activité, mais aussi fluidifier les relations entre les différents acteurs concernés. Une fois le contrôle terminé, il devra veiller à la bonne prise en compte des observations adressées par la CNIL, et rendre compte dans son bilan annuel des conséquences du contrôle et des mesures correctives. Le CIL a également un rôle à jouer en cas de procédure de sanction, notamment au niveau de la définition et de la mise en place des mesures correctives, et la rédaction de la réponse à la CNIL détaillant ces mesures.

Comment limiter les risques de contrôle de la CNIL ?

Enfin, certaines bonnes pratiques et recommandations aideront aussi l’entreprise à limiter les risques de contrôle de la CNIL. Il conseille, dans un premier temps, de traiter sans délai les demandes des personnes concernées et les plaintes émises. Plus d’un tiers des sanctions adoptées par la CNIL font suite à des plaintes. Il est donc crucial de désamorcer rapidement les situations conflictuelles, soit via le traitement des demandes des personnes, soit lors d’échanges avec la CNIL concernant l’instruction des plaintes qui lui ont été adressées. C’est la vigilance du CIL, sa capacité à respecter les délais et la qualité des réponses fournies qui permettent d’éviter, ou de réduire, les procédures de contrôle et de sanction.

Afin de limiter les risques de contrôle de la CNIL, il convient, en outre, de respecter ses recommandations, c’est-à-dire d’appliquer a minima les 34 mesures qu’elle préconise pour traiter les risques sur les libertés et la vie privée dans un guide dédié. Parmi ces mesures, on retrouve par exemple : la minimisation des données a caractère personnel, et la gestion de leurs durées de conservation, l’information des personnes concernées et l’obtention de leur consentement, la mise en place d’une procédure permettant l’exercice du droit d’opposition, du droit d’accès direct et du droit de rectification… Près de 80% de ces bonnes pratiques concernent la sécurité des données et s’assimilent aux recommandations de l’ANSSI.

En conclusion, Thierry Ramard rappelle que la préparation de l’entreprise à un contrôle de la CNIL ne s’improvise pas. Il est, de plus, possible de limiter les risques de contrôle et de sanctions. Dans tous les cas, le rôle du CIL est essentiel, que ce soit en amont, lors du contrôle ou après.


Articles connexes:

Voir les articles précédents

    

Voir les articles suivants