I. Saisine et contrôles à spectre large

Comment inciter les entreprises à respecter la règlementation et à documenter leur conformité ? La politique de contrôle de la CNIL participe à cette vertu incitatrice. En effet, la source des saisines de la CNIL  est diversifiée (1), et les catégories de contrôles sont multiples (2).

1. Une diversification des saisines de la CNIL 

Les pouvoirs de contrôle de la CNIL reposent en partie sur un système de coopération. Outre sa capacité à s’autosaisir sur des thèmes identifiés, la CNIL reçoit des signalements de sources variées (article 57 du RGPD). Elle est ainsi amenée à contrôler les organismes :

– A la suite de plaintes qu’elle reçoit des usagers. Toute personne peut, via le site internet cnil.fr, signaler à la CNIL toute violation de données à caractère personnel. Elle révèle l’importance accordée aux personnes concernées, dont la nécessité de protection de la vie privée est maintes fois soulignée dans le RGPD ;

– Suivant un signalement de la presse qui constate des faits litigieux susceptibles de relever de la compétence de la CNIL. L’univers numérique dans lequel s’inscrit l’adoption du RGPD, impliquant une diffusion immédiate et à grande échelle de l’information, explique ce pouvoir de signalement octroyé à la presse. 

– Après réception d’une alerte émanant d’autres autorités de contrôle européennes. 

Les sources des signalements sont ainsi riches et variées. 

2. Une multiplicité des contrôles 

La CNIL a développé quatre procédures, organisées à l’article 19 de la Loi informatique et libertés : sur place, sur convocation, sur pièce ou en ligne. Celles-ci ont vocation à s’adapter tant à la nature de la saisine, qu’aux circonstances d’espèce ou au secteur considéré. 

Traditionnellement, le contrôle de la CNIL s’effectue sur place, à savoir en tout lieu. L’article 19 de la Loi informatique et libertés modifiée ne se limite plus, comme dans la rédaction ancienne, aux locaux professionnels. Il prévoit au contraire un champ plus large, visant expressément les contrôles dans des lieux à usage privé. Le texte organise toutefois un garde-fou dans cette hypothèse : la visite ne peut être opérée qu’après autorisation du juge des libertés et de la détention. 

Les agents de la CNIL sont habilités à accéder aux locaux, entre 6 heures et 21 heures et à recueillir tout renseignement et justification nécessaires, notamment en accédant aux programmes informatiques et aux données, et en demander toute copie utile. 

Ce contrôle, comme le contrôle sur convocation et sur pièce, est contradictoire : l’entreprise auditée a connaissance de la procédure en cours, dispose toujours de la possibilité de s’y opposer, et dans la négative, assiste au contrôle. Le procès-verbal de la CNIL à l’issue du contrôle lui est soumis avant signature. 

Ces garanties sont absentes du contrôle en ligne, créé par la loi «Hamon» n°2014-344 du 17 mars 2014. En effet, cette procédure n’inclut pas de notification préalable, donc pas de possibilité de s’opposer au contrôle, ni de contradictoire entre l’autorité de contrôle et l’entreprise contrôlée. 

En pratique, le contrôle en ligne permet à la CNIL de constater à distance et sans avertissement préalable, des manquements à la règlementation. La CNIL contrôle les données librement accessibles ou rendues accessibles (y compris par imprudence, négligence ou par le fait d’un tiers) en ligne. Les agents de la CNIL sont en outre autorisés à recourir à une identité d’emprunt (précision introduite par la Loi n°2018-493 du 20 juin 2018) et à se maintenir, si nécessaire, dans le système d’information de l’audité. 

Force est de constater que les modalités de contrôles sont vastes afin de permettre à la CNIL d’exercer sa mission de façon efficace. 

II. Variété des issues du contrôle : entre correction et sanction

A l’issue du contrôle, plusieurs circuits de prise de décisions s’offrent à la CNIL en cas de constat d’un manquement (1) dont la rigueur a pu être notée à l’occasion de l’une de ses récentes décisions (2).

1. Circuits de décisions aux conséquences variables

Suite au contrôle, la CNIL dispose de plusieurs «voies de recours» qui peuvent aboutir, dans un processus plus ou moins court, à une sanction. En cas de manquements révélés, le président de la CNIL a l’opportunité de choisir entre deux mécanismes de poursuite. 

Conformément à l’article 20 de la Loi informatique et libertés, il peut décider :

– soit de mettre en demeure l’entité d’avoir à se conformer à la règlementation, 

– soit de saisir la formation restreinte afin de décider des sanctions appropriées, à l’issue d’une procédure contradictoire au cours de laquelle l’entité pourra formuler ses observations. 

 La voie de la mise en demeure permet à l’opérateur de bénéficier d’un délai supplémentaire pour se conformer à la règlementation. Il en est autrement dans le cadre de la saisine de la formation restreinte. Celle-ci peut désormais s’opérer sans mise en demeure préalable de l’entité contrôlée : l’audité n’a pas la possibilité de corriger ces manquements avant sanction. Sous l’empire du texte ancien, cette mise en demeure était obligatoire pour les manquements continus. Elle concernait donc un grand nombre de manquements et constituait une étape intermédiaire utile, sorte de délai de grâce dédié aux mesures correctrices. L’article 20 III laisse encore la possibilité au président de la CNIL d’adresser une mise en demeure préalable avant saisine de la formation restreinte mais ne l’impose plus.

La procédure choisie par le président de la CNIL revêt désormais une importance de premier ordre pour les contrôlés qui bénéficieront ou pas d’une dernière chance, selon la procédure retenue,  avant de se voir infliger une sanction. Rappelons, cependant, que toutes les sanctions ne sont pas  pécuniaires et que la formation restreinte peut ainsi prononcer une mesure telle que le rappel à l’ordre ou une injonction de conformité, revenant in fine à imposer des mesures correctrices. Dans ces différents scenarii, on note néanmoins la sévérité de celui dans lequel, suite à un contrôle en ligne, le président de la CNIL saisit la formation restreinte qui décide, à l’issue de la procédure, de prononcer une amende. Dans une telle hypothèse, le contrôlé n’est informé de la procédure qu’au stade précédent la sanction. Loin d’être théorique, cette stratégie procédurale a été adoptée récemment par la CNIL (rappelé ci-après). 

2. Récente illustration de sanction de la formation restreinte

Dans sa délibération du 28 mai 2019, la CNIL a sanctionné d’une amende de 400 000 euros, une entité qui avait manqué à son obligation de sécurisation des données et n’avait pas déterminé de politique de conservation des traitements de données personnelles. Cette décision a été prise à l’issue d’un contrôle en ligne, suivi quelques jours après d’un contrôle sur place. Dans cette affaire, la formation restreinte a été saisie sans mise en demeure préalable de l’entité contrôlée. 

Cette délibération apporte plusieurs enseignements. D’une part, elle illustre la rigueur de la CNIL à l’égard du manquement à des obligations existantes avant l’entrée en vigueur du RGPD. Si elle a prôné une certaine tolérance quant au respect des nouvelles obligations établies par le RGPD, elle n’a cessé de réaffirmer que concernant les obligations anciennes, elle ne ferait pas preuve d’une telle indulgence. Cette position est d’autant plus affirmée en matière de sécurité des données puisque toute faille met, par principe, en péril la vie privée des personnes concernées.

D’autre part, cette délibération affiche la volonté de la CNIL de faire usage de toutes les procédures qui s’offrent à elle en ce compris le contrôle en ligne suivi de la saisine de la formation restreinte sans mis en demeure.

La vigilance des entreprises est donc de mise. Les entreprises ne peuvent plus systématiquement compter sur un avertissement ou mise en demeure pour rectifier leur défaut de conformité. La politique des procédures de contrôle de la CNIL participe ainsi à la promotion d’une logique de responsabilisation des acteurs et au respect du nouveau principe d’accountability.