La Commission nationale de l'informatique et des libertés a été mise en place pour veiller au bon respect de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés. C'est cette même loi – modifiée par la loi du 20 juin 2018 relative à la protection des données personnelles et réécrite par l’ordonnance n° 2018-1125 du 12 décembre 2018 applicable au 1er juin 2019 – qui confère à la CNIL les missions d'information, d'évangélisation, mais également un pouvoir de contrôle et de sanction.
Le point dans notre astuce.
Qu'est-ce que la CNIL ?
La formation restreinte de la CNIL dispose, depuis la loi du 6 août 2004, du pouvoir de poursuivre et de sanctionner les responsables de traitements de données à caractère personnel :
- Les contrôleurs sont des agents de la CNIL ou missionnés par la CNIL.
- Les agents peuvent être assistés d'experts pour certains contrôles comme ceux relatifs à la sécurité informatique.
- Un ordre de mission est édité par la CNIL et les contrôleurs ont pour mission de suivre cet ordre de mission.
Contrôle exercé par la CNIL
Contrôle sur place
Les contrôles peuvent avoir lieu sur place, les contrôleurs accèdent aux locaux et analysent la licéité de la mise en œuvre du traitement de données concerné.
Selon le nouvel article 19 de la loi Informatique et libertés :
- Le procureur de la République territorialement compétent doit être préalablement informé du contrôle.
- Les contrôles doivent démarrer entre 6 heures et 21 heures.
- Le responsable de locaux est informé de son droit d'opposition à la visite, dans la limite du délit d'entrave.
Autres formes du contrôle
Le contrôle de la CNIL peut se faire aussi :
- Sur convocation ou audition à la CNIL : un courrier est adressé à l'entreprise contrôlée pour l'inviter à se présenter devant la CNIL.
- Un courrier peut aussi être adressé à l'entreprise contrôlée pour lui demander des justifications sur certains points de conformité à la loi Informatique et libertés.
- Depuis octobre 2014, vous pouvez directement, via le site Internet des entreprises, demander le contrôle d'une entreprise sans l'avertir, celle-ci ne sera informée que des conclusions de la CNIL à l'issue de son contrôle.
Droits du contrôleur de la CNIL
Les contrôleurs peuvent :
- demander communication de tous documents nécessaires à l'accomplissement de leur mission, quel qu'en soit le support, et en prendre copie ;
- recueillir, sur place ou sur convocation, tout renseignement et toute justification utile ;
- accéder aux programmes informatiques et aux données, ainsi qu'en demander la transcription ;
- être assistés par des experts désignés par l'autorité dont ils dépendent.
Fonctionnement de la CNIL
Droits du contrôlé
Le contrôlé a le droit :
- d'être informé sur l'objet du contrôle et sur son droit d’opposition à la visite, dans la limite du délit d'entrave ou d'une ordonnance judiciaire ;
- d’être assisté ;
- de relire le PV dressé par les contrôleurs de la CNIL et d’y formuler des observations.
Après un contrôle, les agents dressent un PV de constat et le transmettent à la CNIL pour traitement. Ensuite, la CNIL se réunit et des sanctions peuvent être prises.
Missions et pouvoir de sanction de la CNIL depuis l'entrée en vigueur du RGPD
Afin d'harmoniser la protection des personnes physiques à l'égard des traitements de données à caractère personnel et à la libre circulation de ces données, les États membres de l'UE ont adopté le règlement européen sur la protection des données personnelles (RGPD), qui est entré en vigueur le 25 mai 2018.
La loi n° 2018-493 du 20 juin 2018 relative à la protection des données personnelles étend les missions dévolues à la CNIL et renforce son pouvoir de contrôle et de sanction.
Bon à savoir : le décret n° 2019-536 du 29 mai 2019, entré en vigueur le 1er juin 2019, parachève l'adaptation de la législation française avec le RGPD.
Des missions supplémentaires
Désormais, la CNIL se voit confier les missions suivantes :
- établir et publier des lignes directrices, recommandations ou référentiels dont l'objectif est de faciliter la mise en conformité des traitements de données personnelles avec le RGPD et de procéder à l'évaluation préalable des risques par les responsables de traitement et leurs sous-traitants ;
- favoriser l'élaboration de codes de conduite par les responsable de traitement ;
- rédiger et publier des règlements types dans le but de garantir la sécurité des systèmes de traitement ;
- certifier des personnes, des produits, des systèmes de données ou des procédures.
En outre, la CNIL peut être consultée par le président de l'Assemblée nationale, par le président du Sénat ou par les commissions compétentes de l'Assemblée nationale et du Sénat, ainsi qu'à la demande d'un président de groupe parlementaire sur toute proposition de loi relative à la protection des données à caractère personnel ou encore au traitement de ces données.
De nouvelles sanctions
La CNIL peut prononcer de nouvelles sanctions telles que :
- une astreinte ;
- le retrait d'une certification ;
- le retrait d'agrément ;
- des amendes administratives plus importantes (jusqu'à 20 millions d'euros ou 4 % du chiffre d'affaires annuel mondial consolidé).
Bon à savoir : depuis le 25 mai 2018, la désignation d'un délégué à la protection des données personnelles (DPO) est devenue obligatoire dans certains cas. Ce délégué assiste le responsable de traitement des données. Il a pour mission de veiller au respect de la législation européenne et de la loi Informatique et libertés, par l'organisme au sein duquel il travaille, afin d'éviter les sanctions de la CNIL. La désignation du délégué peut être effectuée via le téléservice mis en place par la CNIL.
À noter : dans le cadre des élections, les partis et candidats aux élections doivent respecter les règles en matière de protection des données personnelles lors de leur démarchage électoral (indication de l’identité et des coordonnées du responsable du traitement des données, finalités du traitement, destinataires des données, durée de conservation des données). Toute personne contactée par un candidat ou un parti politique peut signaler une conduite qu’elle jugerait non conforme sur la plateforme Signalement élections. La CNIL pourra alors prendre les mesures nécessaires auprès des acteurs concernés : contrôles, mesures correctrices, dénonciation au Parquet.
Pour approfondir le sujet :
- Pour tout savoir sur la CNIL, lisez notre page dédiée.
- Vous souhaitez saisir la CNIL ? Téléchargez gratuitement notre modèle de lettre.
- Qu'est-ce la CNIL ? La réponse dans notre page : Composition et missions de la CNIL.