Pouvoir et sanctions de la CNIL

Sommaire

La Commission nationale de l'informatique et des libertés a été mise en place pour veiller au bon respect de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés. C'est cette même loi – modifiée par la loi du 20 juin 2018 relative à la protection des données personnelles et réécrite par l’ordonnance n° 2018-1125 du 12 décembre 2018 applicable au 1er juin 2019 – qui confère à la CNIL les missions d'information, d'évangélisation, mais également un pouvoir de contrôle et de sanction.

Le point dans notre astuce.

Qu'est-ce que la CNIL ?

La formation restreinte de la CNIL dispose, depuis la loi du 6 août 2004, du pouvoir de poursuivre et de sanctionner les responsables de traitements de données à caractère personnel :

  • Les contrôleurs sont des agents de la CNIL ou missionnés par la CNIL.
  • Les agents peuvent être assistés d'experts pour certains contrôles comme ceux relatifs à la sécurité informatique.
  • Un ordre de mission est édité par la CNIL et les contrôleurs ont pour mission de suivre cet ordre de mission.

Contrôle exercé par la CNIL

Contrôle sur place

Les contrôles peuvent avoir lieu sur place, les contrôleurs accèdent aux locaux et analysent la licéité de la mise en œuvre du traitement de données concerné.

Selon le nouvel article 19 de la loi Informatique et libertés :

  • Le procureur de la République territorialement compétent doit être préalablement informé du contrôle.
  • Les contrôles doivent démarrer entre 6 heures et 21 heures.
  • Le responsable de locaux est informé de son droit d'opposition à la visite, dans la limite du délit d'entrave.

Autres formes du contrôle

Le contrôle de la CNIL peut se faire aussi :

  • Sur convocation ou audition à la CNIL : un courrier est adressé à l'entreprise contrôlée pour l'inviter à se présenter devant la CNIL.
  • Un courrier peut aussi être adressé à l'entreprise contrôlée pour lui demander des justifications sur certains points de conformité à la loi Informatique et libertés.
  • Depuis octobre 2014, vous pouvez directement, via le site Internet des entreprises, demander le contrôle d'une entreprise sans l'avertir, celle-ci ne sera informée que des conclusions de la CNIL à l'issue de son contrôle.

Droits du contrôleur de la CNIL

Les contrôleurs peuvent :

  • demander communication de tous documents nécessaires à l'accomplissement de leur mission, quel qu'en soit le support, et en prendre copie ;
  • recueillir, sur place ou sur convocation, tout renseignement et toute justification utile ;
  • accéder aux programmes informatiques et aux données, ainsi qu'en demander la transcription ;
  • être assistés par des experts désignés par l'autorité dont ils dépendent.

Fonctionnement de la CNIL

Droits du contrôlé

Le contrôlé a le droit :

  • d'être informé sur l'objet du contrôle et sur son droit d’opposition à la visite, dans la limite du délit d'entrave ou d'une ordonnance judiciaire ;
  • d’être assisté ;
  • de relire le PV dressé par les contrôleurs de la CNIL et d’y formuler des observations.

Après un contrôle, les agents dressent un PV de constat et le transmettent à la CNIL pour traitement. Ensuite, la CNIL se réunit et des sanctions peuvent être prises.

Missions et pouvoir de sanction de la CNIL depuis l'entrée en vigueur du RGPD

Afin d'harmoniser la protection des personnes physiques à l'égard des traitements de données à caractère personnel et à la libre circulation de ces données, les États membres de l'UE ont adopté le règlement européen sur la protection des données personnelles (RGPD), qui est entré en vigueur le 25 mai 2018.

La loi n° 2018-493 du 20 juin 2018 relative à la protection des données personnelles étend les missions dévolues à la CNIL et renforce son pouvoir de contrôle et de sanction. 

Des missions supplémentaires 

Désormais, la CNIL se voit confier les missions suivantes :

  • établir et publier des lignes directrices, recommandations ou référentiels dont l'objectif est de faciliter la mise en conformité des traitements de données personnelles avec le RGPD et de procéder à l'évaluation préalable des risques par les responsables de traitement et leurs sous-traitants ;
  • favoriser l'élaboration de codes de conduite par les responsable de traitement ;
  • rédiger et publier des règlements types dans le but de garantir la sécurité des systèmes de traitement ;
  • certifier des personnes, des produits, des systèmes de données ou des procédures.

En outre, la CNIL peut être consultée par le président de l'Assemblée nationale, par le président du Sénat ou par les commissions compétentes de l'Assemblée nationale et du Sénat, ainsi qu'à la demande d'un président de groupe parlementaire sur toute proposition de loi relative à la protection des données à caractère personnel ou encore au traitement de ces données.

De nouvelles sanctions

La CNIL peut prononcer de nouvelles sanctions telles que :

  • une astreinte ;
  • le retrait d'une certification ;
  • le retrait d'agrément ;
  • des amendes administratives plus importantes (jusqu'à 20 millions d'euros ou 4 % du chiffre d'affaires annuel mondial consolidé).

Pour approfondir le sujet :

Ces pros peuvent vous aider