La CNIL vient de publier sa Charte des contrôles : un guide incontournable à destination des tous les organismes traitant des données personnelles,

Quelques éléments à retenir :

Pourquoi la CNIL fait-elle des contrôles ?

  • Pour vérifier la conformité des traitements des organismes, qu’ils soient responsables de traitements, ou sous-traitants.

Dans quel contexte ?

  • Dans le cadre des thématiques annuelles identifiées par la CNIL
  • A la suite des réclamations et plaintes qui lui sont adressées
  • Sur des sujets relevant de l’actualité présentant des enjeux pour les libertés individuelles (au titre du Code de la sécurité intérieure, la CNIL est compétente pour contrôler les caméras filmant des lieux ouverts au public…)
  • A l’issue des procédures de contrôle clôturées, de mises en demeure, ou de sanctions.

Qui peut être contrôlé par la CNIL ?

  • Tout organisme traitant des données personnelles sur le territoire français ou portant sur des personnes résidant en France
  • Dans le cadre d’une coopération avec d’autres autorités de protection des données si l’organisme dispose, par exemple, de plusieurs établissements dans l’Union européenne, cf[i] délibération Spartoo.

 Où ?

  • Dans tous lieux, locaux, enceintes, installations ou établissements servant à la mise en œuvre d’un traitement de données personnelles
  • Seulement après l’autorisation du juge des libertés et de la détention pour les traitements mis en œuvre dans des lieux affectés en tout ou partie à un domicile privé.

Comment se déroule le contrôle ?

  • De manière inopinée, ou pas
  • Par des agents habilités de la CNIL soumis au secret professionnel
  • Sur place, lorsqu’une délégation de la CNIL se rend directement au sein des locaux
  • Sur audition, après convocation conduisant les représentants de l’organisme à répondre à des questions dans les locaux de la CNIL
  • En ligne, depuis les locaux de la CNIL, le cas échéant sous une identité d’emprunt.
  • Sur pièces : dans ce cas la CNIL adresse un questionnaire destiné à évaluer la conformité des traitements.

Dans quelles limites ?

  • Un droit d’opposition à contrôle est conféré au responsable de traitement en début de mission sur place. S’il exerce ce droit, le contrôle ne peut se dérouler que sur autorisation du juge des libertés
  • Dans les limites des informations couvertes par le secret professionnel applicable aux relations entre un avocat et son client, par le secret des sources des traitements journalistiques ou, sous certaines réserves, par le secret médical.

Et après ?

  • Le procès-verbal de contrôle est notifié à l’organisme dans les 15 jours par LRAR (sous forme de DVD-ROM pour les contrôles en ligne)
  • La CNIL instruit le dossier par une analyse des éléments recueillis, elle demande parfois des pièces complémentaires qu’il convient de lui communiquer, dans les délais requis.
  • Les organismes peuvent en outre lui adresser, postérieurement au contrôle et pendant la durée de l’instruction du dossier, toute observation complémentaire, notamment quant aux actions de mise en conformité menées
  • La CNIL peut décider de procéder à la clôture de la procédure, demander des mesures correctrices, voire envisager un passage devant sa formation restreinte pouvant infliger des sanctions dans le respect d’une procédure contradictoire.

 

Attention : Quelle que soit l’issue de la procédure de contrôle, des vérifications ultérieures sont possibles !

Tout au long de la procédure, y compris devant la formation restreinte de la CNIL, responsables de traitements et sous-traitants peuvent se faire assister d’un avocat

Trouver la Charte ici 

 

Vous voulez anticiper un contrôle ? Vous êtes contrôlé par la CNIL  ? Vous avez besoin de vérifier si vos traitements sont conformes au RGPD ? Besoin de mettre à jour vos conditions de transfert hors UE suite à la suppression du Privacy Shield ?

Le Cabinet ITLAW Avocats, fort de son expertise depuis plus de 25 ans en matière de protection des données, de nouvelles technologies, de contentieux et de médiation est à votre disposition pour répondre à vos questions.

 Pour nous contacter : cliquez ici

 

Nous contacter