Accueil / Dossiers / RGPD et les entreprises en France: les contrôles de la Cnil expliqués en 4 points
RGPD et les entreprises en France: les contrôles de la Cnil expliqués en 4 points
Quels sont les documents à fournir?
L'objectif premier des agents est d'obtenir "copie du maximum d'informations, techniques et juridiques, pour apprécier les conditions dans lesquelles sont mis en oeuvre des traitements de données à caractère personnel." Le panel des documents susceptibles d'être demandés est donc très large: contrats (locations de fichier, sous-traitance informatique, etc.), formulaires, dossiers papiers, base de données... Bref, tout ce qui a trait aux traitements des données personnelles. Une situation où le dirigeant se félicitera de disposer d'un registre des activités de traitement tenu à jour (obligatoire pour les entreprises de plus de 250 salariés et pour celles qui effectuent des traitements sensibles selon l'article 30 du RGPD)!
La délégation de la Cnil peut exiger une copie de l'ensemble de ces documents: à l'issue du contrôle, le procès-verbal établi précisera la liste des pièces qui ont fait l'objet d'une copie.
Quelles sont les sanctions envisageables?
Suite à cette démarche de contrôle, la Cnil examine les documents recueillis. S'il n'y a pas d'observations particulières, "le contrôle est clôturé par un courrier du président de la Cnil qui peut contenir des recommandations (ex.: modification des durées de conservation, des mesures de sécurité, etc.).".
Mais si des manquements sérieux sont relevés, "le dossier est transmis à la formation restreinte de la Cnil", qui peut alors prononcer des sanctions. "Cette transmission à la formation restreinte n'est pas exclusive d'une dénonciation au Parquet (article 40 du code de procédure pénale)", précise la Cnil. Le montant des amendes administratives prévues par le RGPD a largement contribué à l'agitation qui entoure son entrée en vigueur: selon la catégorie de l'infraction, il peut atteindre 10 à 20 M€, ou, dans le cas d'une entreprise, 2 à 4% du chiffre d'affaires annuel mondial (art. 83 du RGPD).
Cependant, ces amendes correspondent à des infractions graves. Avant d'en arriver à de telles sanctions, les autorités de protection pourront tout d'abord prononcer un avertissement, puis mettre en demeure l'entreprise de se mettre en conformité. La suspension des flux de données hors UE peut également être exigée, ainsi que la limitation temporaire ou définitive d'un traitement. Une sanction qui peut être très pénalisante pour une structure dont l'activité est principalement basée sur les traitements de données!
L'article 83 du RGPD précise que "pour décider s'il y a lieu d'imposer une amende administrative et pour décider du montant de l'amende administrative, il est dûment tenu compte, dans chaque cas d'espèce" d'éléments précis listés par le règlement. Ainsi, la nature, la gravité et la durée de la violation, mais aussi son caractère délibéré, entre autres, pèsent dans la balance. "Toute mesure prise par le responsable de traitement ou le sous-traitant pour atténuer le dommage subi par les personnes concernées" sera également prise en compte dans la décision.
Enfin, les propos de Jean Lessi, rapportés par le magazine Solutions numériques, ont de quoi rassurer les responsables de traitements de données qui peinent à boucler leur mise en conformité: "Tout le monde ne sera pas forcément conforme le 25 mai, l'essentiel est d'avoir pris conscience et de s'engager dans cette démarche de conformité", a souligné le secrétaire général de la Cnil. L'autorité de contrôle est "consciente de la nouveauté" de certaines obligations (portabilité, notification des violations de données notamment) et "va intégrer la nécessaire courbe d'apprentissage dans sa politique répressive."
Pour bien se préparer aux contrôles de la Cnil, le cabinet Lexing Alain Bensoussan propose un "guide des contrôles Cnil".
Retrouvez également tous les détails sur les contrôles de la Cnil sur le site de la commission.