RGPD et les entreprises en France: les contrôles de la Cnil expliqués en 4 points

L'échéance du 25 mai 2018 approche à grands pas, et le montant des amendes administratives prévues par le RGPD (jusqu'à 4% du CA mondial de l'organisation prise en défaut) donne des sueurs froides à nombre de dirigeants. Il est vrai que la montée en puissance des sanctions financières, bien plus élevées que celles prévues par la loi Informatique et libertés de 1978 (maximum 300 000€ d'amende), constitue l'une des évolutions marquantes du RGPD en matière de protection des données personnelles.

Pour autant, l'objectif de cette réglementation est de renforcer les droits des personnes dont les données font l'objet d'un traitement, et non de lancer une chasse aux sorcières parmi les responsables de traitements. Dans un entretien récemment accordé au magazine Solutions numériques, Jean Lessi, secrétaire général de la Cnil, a tenu un discours plutôt rassurant: la Cnil ne va pas tirer à boulets rouges sur les entreprises "dans les premiers mois", sauf en cas "de manquements manifestes et graves". Alors, à quoi faut-il s'attendre en cas de contrôle de la Cnil après l'entrée en application du RGPD?

En amont: comment se décide l'organisation d'un contrôle

Toute entreprise ou organisation publique qui effectue des traitements de données personnelles est susceptible d'être visée par une mission de contrôle de la Cnil, qu'elle dispose ou non d'un DPO. À noter, le nouveau règlement européen sur la protection des données prévoit "la réalisation d'opérations de contrôle conjointes par plusieurs autorités européennes de protection des données" (article 62 du RGPD).

Peuvent être visées toutes les structures effectuant "tous les traitements de données à caractère personnel dont le responsable dispose d'un établissement sur le territoire français ou qui recourt à des moyens de traitement situés sur ce territoire", précise la Cnil. Mais dans le cas d'un contrôle sur place, la démarche ne peut se dérouler que dans un établissement situé sur le territoire français.

La décision de contrôler un établissement est prise "par le président de la Cnil, sur proposition du service des contrôles." Cette démarche peut, par exemple, faire suite à une plainte d'un tiers ou encore à une demande d'autorisation de traitement.

Comment se déroule un contrôle

Il existe 3 types de contrôles:

• sur place;
• via une audition, sur convocation;
• à distance via un contrôle en ligne (en vertu de l'article 44 de la loi du 6 janvier 1978 modifiée par la loi Consommation du 17 mars 2014).

Le responsable du traitement visé par le contrôle n'est pas systématiquement prévenu. Dans le cas d'un contrôle en ligne, par exemple, les agents de la Cnil effectuent des vérifications "à partir d'un service de communication au public en ligne" (par exemple, un site internet). "Ces contrôles se limitent à la consultation des données librement accessibles ou rendues accessibles, y compris par imprudence, négligence ou du fait d'un tiers", indique la Cnil.

En revanche, lorsque le contrôle se déroule sur audition, "la convocation doit parvenir à la personne auditionnée au moins 8 jours avant la date du contrôle."