Comment bien préparer un contrôle Cnil ?

Dans son volet répressif, la Commission nationale de l’informatique et des libertés (Cnil) a prononcé 21 sanctions et 147 mises en demeure en 2022, parmi lesquelles une lourde amende de 1,5 M€ à l’encontre de Dedalus Biologie, éditeur de logiciels de santé, après la détection d’une importante violation de données. 

Ces décisions sont en grande majorité prononcées à l’issue de contrôles orchestrés par les agents de la commission, sur place, sur pièces, sur audition ou en ligne. Ces missions d’investigation permettent à la Cnil de vérifier la manière dont les responsables de traitement et les sous-traitants gèrent et protègent les données personnelles de leurs clients et de leurs salariés, conformément au règlement général sur la protection des données européen (RGPD).

Pour les entreprises sous l’œil du régulateur, ces moments peuvent être vecteurs de stress, comme l’a rappelé Eric Barbry, avocat chez Racine, invité à prendre la parole sur l’anticipation et la gestion de ces contrôles Cnil, à l’occasion d’un webinaire organisé par la commission juridique de l’Acsel le 14 mars dernier.

Comment se décide un contrôle ?

Sur 400 contrôles effectués par la Cnil l’an passé, Sophie Nerbonne, directrice chargée de la co-régulation économique de la Cnil, a souligné lors du webinaire que près d’un quart provient de l’instruction des plaintes reçues et des signalements qui sont faits à la commission. 

Outre les plaintes, la Cnil peut s’auto-saisir sur des cas particuliers, comme les applications déployées dans la lutte contre la Covid-19 en 2021 par exemple. Les contrôles de la commission ciblent également les dossiers identifiés comme prioritaires dans la feuille de route annuelle de la Cnil. En 2023, il faut ainsi s’attendre à ce que l’accès au dossier patient informatisé au sein des établissements de santé fasse l’objet d’une attention marquée.

La Cnil peut aussi décider d’effectuer un contrôle dans le cadre de mises en demeure ou lorsque des procédures de sanction ont déjà été adoptées. C’est alors un moyen pour la commission de vérifier que les engagements sont bien respectés.

Comment se déroule un contrôle ?

Les agents de la Cnil peuvent accéder à tous locaux de 6 heures à 21 heures, sans informer au préalable l’organisme contrôlé, selon la charte des contrôles de la Cnil.

Après la présentation de la mission, les contrôleurs débutent une série de demandes et de démonstrations. Les agents de la Cnil peuvent s’entretenir avec “tout personnel susceptible de détenir des informations utiles pour apprécier la conformité des traitements de données personnes”, par exemple un chef de service, un opérationnel ou un informaticien. Ils demandent également l’autorisation d’accéder à des copies de documents techniques et juridiques, ainsi que les programmes informatiques et les données.

La pause déjeuner est ensuite un “moment clé de la visite”, note Eric Barbry, car “c’est le moment où l’équipe va se reconstituer et adapter éventuellement son discours ou ses actes par rapport à la matinée.” À ce stade du contrôle, les organismes ont généralement deviné les raisons qui motivent la Cnil à enquêter, précise le juriste.

Chaque investigation se termine par la rédaction d’un procès-verbal, “la pièce maîtresse du contrôle, car elle va forger une condamnation ou la prise de décision de la Cnil” estime Eric Barbry. Il recommande aux professionnels de reformuler autant que faire se peut certains passages qui leur paraissent imprécis ou d’ajouter des commentaires libres dans la zone du PV prévue à cet effet. En annexe sont inscrites les pièces justificatives saisies le jour de la visite, pouvant être complétées par la suite.

À noter que, dans le secteur de la santé, l’organisme contrôlé ne peut pas opposer aux agents de la Cnil le secret médical pour justifier d’un refus de leur laisser accéder aux programmes informatiques ou à des documents. Toutefois, l’accès aux données médicales individuelles couvertes par le secret médical ne peut se faire qu’en présence et sous l’autorité d’un médecin.

Comment bien anticiper un contrôle ?

Eric Barbry recommande aux organismes de désigner un délégué à la protection des données, même lorsque ce n’est pas obligatoire. Le DPO peut être un interlocuteur privilégié de la Cnil en cas de doute sur une démarche à suivre ou pour désamorcer toute situation pouvant devenir conflictuelle. Pour la gestion de crise, Eric Barbry conseille aussi de définir une équipe “contrôle Cnil” et de sensibiliser les collaborateurs aux enjeux du RGPD.

En anticipation d’un contrôle en ligne, Eric Barbry recommande de réaliser un audit du site internet, la porte d’entrée vers de nombreuses informations en matière de confidentialité et de gestion des cookies.

Parmi les manquements les plus fréquents relevés par la commission figurent notamment le défaut d’information des personnes, le non-respect de leurs droits et le défaut de coopération avec la Cnil. La sécurité des données personnelles est aussi un motif très courant de sanction.

Et l’après ?

À la suite d’un contrôle, si les constatations effectuées n’appellent pas d’observations particulières, la procédure de contrôle est clôturée. 

En revanche, lorsque les investigations menées conduisent à caractériser des manquements plus importants (non pertinence ou caractère excessif des données, absence de durée de conservation, défauts de sécurité des données, etc.), la présidente de la Cnil peut décider de mettre en demeure l’organisme d’adopter des mesures. En cas d’absence de réponse à la mise en demeure ou de non-respect de ses injonctions, une procédure de sanction peut être engagée.

Il faut garder à l’esprit qu’il existe des variables d’ajustement basées sur plusieurs critères, comme la nature, la gravité et la durée de la violation, le degré de coopération, le nombre de personnes concernées ou encore les catégories de données à caractère personnel concernées.