La « Charte des contrôles de la CNIL »

Les contrôles de la CNIL ont toujours soulevé de nombreuses questions, voire des inquiétudes, de la part des organismes responsables de traitements susceptibles d’être confrontés à cette procédure contraignante. C’est pourquoi la CNIL publie une « Charte des contrôles de la CNIL » destinée à démystifier le processus de contrôle et à en assurer le bon déroulement.

Outre quelques rappels de contexte, la Charte précise en quoi consiste un contrôle de la CNIL, quels en sont les objectifs, qui est concerné et quels sont les différents types de contrôle. La CNIL peut en effet procéder à des contrôles « sur place », sur convocation, en ligne ou sur pièces.

Le document explique également comment se déroule un contrôle et précise quelles sont ses suites possibles. Enfin, la Charte rappelle les principes de bonne conduite que doivent respecter les agents de la CNIL, comme les personnes sollicitées au sein de l’organisme contrôlé.

Les contrôles de la CNIL : une préoccupation de longue date pour l’AFCDP

Les modalités de contrôle de la CNIL ont été l’objet d’une réflexion approfondie de l’AFCDP dès sa création. La formation en 2006 d’un groupe de travail a abouti à la production d’un guide réservé aux membres, intitulé « Comment se préparer (sereinement ?) à un éventuel contrôle sur place de la CNIL ? ».

L’AFCDP accueille donc avec satisfaction la « Charte des contrôles de la CNIL » qui reprend une partie des sujets abordés lors de sa propre réflexion, et répond à certaines des questions régulièrement transmises par l’association à la CNIL au nom des DPD/DPO.

Ainsi, la Charte confirme que si un contrôle sur place peut commencer entre 6 heures et 21 heures, il peut se prolonger au-delà de 21 heures si cela est nécessaire. Elle rappelle également que les informations collectées par la CNIL sont conservés cinq ans après la clôture de la procédure de contrôle, avant d’être détruits.

Comme le précisait déjà le livrable de l’AFCDP, la CNIL rappelle que l’organisme contrôlé peut vérifier l’identité des contrôleurs ainsi que l’objet de la mission, soumis à une décision de la Présidente de la CNIL. La Charte rappelle également qu’il n’est pas possible de s’opposer à un contrôle de la CNIL, et qu’en cas de difficulté, le contrôle peut être formellement autorisé par un juge des libertés et de la détention, avec éventuel appui de la force publique.

Le secret professionnel ne peut être invoqué que dans des cas très limités (relation entre avocat et client, secret des sources journalistiques) et le secret médical ne peut pas être opposé si la délégation de la CNIL est accompagnée par un médecin.

La Charte de la CNIL rappelle également que les missions de contrôle sont généralement effectuées sans notification préalable, ce qui confirme que le Délégué à la Protection des Données, quand il désigné, n’est pas nécessairement informé du contrôle. Elle note par contre que sa présence peut être demandée pour présenter les traitements visés par le contrôle. L’AFCDP note avec intérêt que les coordonnées des agents de contrôle sont systématiquement communiquées après le contrôle pour assurer le suivi de la procédure.

Enfin, au chapitre « bonne conduite », la CNIL rappelle que les contrôleurs veillent à minimiser les données collectées, mais qu’ils ne peuvent communiquer sur l’orientation de la procédure en cours. Elle insiste également sur la nécessité, pour les contrôleurs comme pour les personnes sollicitées, d’observer une attitude professionnelle, neutre et courtoise. Il convient toutefois de s’abstenir de proposer tout cadeau ou avantage aux agents chargés du contrôle. Pas question donc d’inviter les contrôleurs au restaurant !

La préparation à un contrôle : l’une des missions du Délégué à la protection des données

Pour Bruno RASLE, qui a piloté les travaux du groupe AFCDP, « le document de la CNIL présente le contrôle du côté de l’autorité, tandis que notre livrable le montre du point de vue du DPO : en cela, ils sont complémentaires », tandis que Paul-Olivier GIBERT, Président de l’AFCDP ajoute : « les contrôles doivent être dédramatisés car ils ne débouchent ni mécaniquement ni systématiquement sur une injonction et encore moins souvent sur une sanction. Petit à petit, ce mode de relation entre le régulateur des données personnelles et les organismes responsables de traitements se banalise pour devenir un événement normal, même s’il nécessite toujours préparation, accompagnement et vigilance. Ainsi pour aborder sereinement un contrôle de la CNIL, trois conseils prévalent : anticiper, maîtriser et dédramatiser ».