Du moment que sont traitées des données personnelles, les entreprises, organismes publics ou encore associatifs peuvent être soumis à un contrôle de la CNIL.
La CNIL, autorité de contrôle française, peut contrôler ces différents organismes traitants des données personnelles s’ils ont un établissement sur le territoire national ou si les traitements de données personnelles concernent des personnes résidant en France.
Ces contrôles de la CNIL dans le cadre du RGPD peuvent être réalisés en coopération avec d’autres autorités de contrôle (équivalents CNIL d’autres pays européens) en cas d’établissements dans l’UE, ou de traitement de données personnelles de personnes résidant dans d’autres pays de l’UE.
Il est du ressort de la CNIL ou Commission Nationale Informatique et Libertés de s’assurer du respect du RGPD ou Règlement Européen sur la Protection des Données par ceux qui endossent le rôle de responsables du traitement, ainsi que de sous-traitant.
Le contrôle effectué par la CNIL devient alors le moyen concret de vérifier que le RGPD est bien compris et respecté.
Le contrôle de la CNIL dans le cadre du RGPD peut se dérouler en ligne, sur pièces, sur place ou bien encore par le biais d’une ou plusieurs auditions.
Qu’est-ce qui déclenche un contrôle de la CNIL ?
Pourquoi la CNIL décide t’elle d’effectuer un contrôle ?
Dans l’esprit de la plupart des responsables du traitement, la CNIL procède sur des critères qui lui appartiennent, à des contrôles d’initiative.
De là la crainte de s’attirer un contrôle CNIL, par telle ou telle activité que le responsable du traitement pense limite en termes de loi depuis l’application du RGPD… il nous est arrivé d’être confronté à des responsables du traitement refusant de communiquer avec leur autorité de contrôle, de peur de s’attirer un contrôle de la CNIL !
En effet, la CNIL procède à des contrôles d’initiative.
Par exemple, la CNIL a un programme chaque année. Elle porte son attention et ses efforts sur une thématique impactant la vie privée de nombreuses personnes. Des contrôles de la CNIL vont donc avoir lieu à son initiative en lien direct avec cette thématique sur de nombreuses sociétés ou entité publiques.
Dans le même ordre d’idées, l’actualité peut mettre en avant des failles ou points sensibles concernant la protection des données personnelles, et en conséquence d’initiative la CNIL va effectuer des contrôles aléatoires ou ciblés en rapport.
En outre, la CNIL est compétente pour procéder au contrôle des systèmes de vidéo-protection, c’est-à-dire contrôler les cameras filmant dans les espaces publics et le respect ou nom du RGPD par ces systèmes. Une part de son activité récurrente va donc être de faire des contrôles CNIL de ces systèmes.
Evidemment, la CNIL procède à des contrôles comme suite aux procédures qu’elle a instiguée, pour vérifier les suites des mises en demeures et des sanctions prononcées. D’office, elle vérifie donc si celui qui a fait l’objet d’un contrôle en tire les conséquences et s’est mis en conformité.
Donc comme nous le disions plus haut, en effet la CNIL effectue des contrôles à son initiative.
On peut comprendre la crainte de certains d’être l’objet d’un tel contrôle, la thématique du RGPD n’étant pas encore maîtrisée et suffisamment connue de la plupart – pourtant elle est bel et bien obligatoire.
Mais quant à juste espérer éviter le contrôle en attirant pas l’attention de l’autorité de contrôle ou bien en consolidant la conformité uniquement en fonction des thématiques annoncées par la CNIL.
Nous devons conclure que c’est illusoire !
Car une très grande partie des contrôles CNIL font en réalité suite à des réclamations et des signalements.
La CNIL reçoit des plaintes, qui peuvent même être anonymes, qui peuvent émaner de particuliers, également d’associations etc. La CNIL va donc contrôler si le droit des plaignants est respecté ou non.
Nous verrons les choses plus en détails dans les billets suivants.
Un doute sur votre conformité au RGPD ? Un contrôle de la CNIL ? Mettez-vous en conformité avec Global DPO.