Comment bien préparer un contrôle effectué par la Cnil

Dans son volet répressif, la Commission nationale de l’informatique et des libertés (Cnil) a prononcé 21 sanctions et 147 mises en demeure en 2022. Sur ces 21 sanctions, “un tiers comporte également un manquement en lien avec la sécurité des données personnelles. Enfin, 4 sanctions concernent une mauvaise gestion des cookies et autres traceurs et 3 contiennent des manquements en lien avec la prospection commerciale”, a indiqué l’organe dans son bilan annuel le 31 janvier.

Comme en 2021, le montant cumulé des amendes qu’elle a prononcées l’an dernier a légèrement dépassé les 100 millions d’euros. Depuis mai 2018, le montant dépasse les 500 millions d’euros pour des manquements au RGPD et à la directive ePrivacy sur les cookies. Le non-respect des réglementations liées aux cookies occupe évidemment une place importante dans ses contrôles et dans ses sanctions. 

Parmi les sanctions financières les plus notables dans le secteur des médias et de la publicité l’an passé, citons notamment les amendes infligées en 2022 à Microsoft (60 millions d’euros) et Apple (8 millions d’euros).

Les décisions de la Cnil sont en grande majorité prononcées à l’issue de contrôles orchestrés par les agents de la commission, sur place, sur pièces, sur audition ou en ligne. Ces missions d’investigation permettent à la Cnil de vérifier la manière dont les responsables de traitement et les sous-traitants gèrent et protègent les données personnelles de leurs clients et de leurs salariés, conformément au règlement général sur la protection des données européen (RGPD).

Pour les entreprises sous l’œil du régulateur, ces moments peuvent être vecteurs de stress, comme l’a rappelé Eric Barbry, avocat chez Racine, invité à prendre la parole sur l’anticipation et la gestion de ces contrôles Cnil, à l’occasion d’un webinaire organisé par la commission juridique de l’Acsel le 14 mars.

Comment se décide un contrôle ?

Sur 400 contrôles effectués par la Cnil en 2022, Sophie Nerbonne, directrice chargée de la co-régulation économique de la Cnil, a souligné lors du webinaire que près d’un quart provient de l’instruction des plaintes reçues et des signalements qui sont faits à la commission. Ils peuvent provenir de simples particuliers mais aussi, et c’est particulièrement le cas pour le secteur des médias et de la publicité en ligne, d’activistes voire d’associations de protection des données personnelles, comme peut le faire régulièrement ces dernières années l’association Noyb.

Outre les plaintes, la Cnil peut s’auto-saisir sur des cas particuliers. La Cnil peut aussi décider d’effectuer un contrôle dans le cadre de mises en demeure ou lorsque des procédures de sanction ont déjà été adoptées. C’est alors un moyen pour la commission de vérifier que les engagements sont bien respectés.

Comment se déroule un contrôle ?

Les agents de la Cnil peuvent accéder à tous locaux de 6 heures à 21 heures, sans informer au préalable l’organisme contrôlé, selon la charte des contrôles de la Cnil.

Après la présentation de la mission, les contrôleurs débutent une série de demandes et de démonstrations. Les agents de la Cnil peuvent s’entretenir avec “tout personnel susceptible de détenir des informations utiles pour apprécier la conformité des traitements de données personnes”, par exemple un chef de service, un opérationnel ou un informaticien. Ils demandent également l’autorisation d’accéder à des copies de documents techniques et juridiques, ainsi que les programmes informatiques et les données.

La pause déjeuner est ensuite un “moment clé de la visite”, souligne Eric Barbry, car “c’est le moment où l’équipe va se reconstituer et adapter éventuellement son discours ou ses actes par rapport à la matinée.” À ce stade du contrôle, les organismes ont généralement deviné les raisons qui motivent la Cnil à enquêter, précise le juriste. D’ailleurs, “la délibération signée de la présidente actant le contrôle comprend déjà le périmètre du contrôle (le type de traitement) tel que “traitement RH” ou “traitement à des fins publicitaires” : c’est large mais cela donne déjà un aperçu du champ du contrôle”, souligne auprès de mind Media Clémence Scottez, consultante en matière de protection des données après avoir travaillé durant huit ans au sein la Cnil.

Chaque investigation se termine par la rédaction d’un procès-verbal. C’est “la pièce maîtresse du contrôle, car elle va forger une condamnation ou la prise de décision de la Cnil”, estime Eric Barbry. Il recommande ici aux professionnels de reformuler autant que faire se peut certains passages qui leur paraissent imprécis ou d’ajouter des commentaires libres dans la zone du PV prévue à cet effet. En annexe sont inscrites les pièces justificatives saisies le jour de la visite, pouvant être complétées par la suite.

Il faut noter ici que les organisations médias peuvent, dans certains cas, bénéficier d’une exception au principe général selon lequel le secret professionnel ne peut être opposé lors d’une mission de contrôle opérée par la Cnil : le secret professionnel qui est applicable “au secret des sources des traitements journalistiques” peut être mis en avant pour s’opposer à l’accès aux programmes informatiques et à des documents, indique l’organe. Ce point est néanmoins à considérer avec prudence : l’exception en question n’est liée qu’à la source des informations et les traitements journalistiques sont déjà exonérés de plusieurs obligations dans la La loi Informatique et Libertés et le RGPD, souligne Clémence Scottez.

Comment bien anticiper un contrôle ?

Eric Barbry recommande aux organismes de désigner un délégué à la protection des données, même lorsque ce n’est pas obligatoire. Le DPO peut être un interlocuteur privilégié de la Cnil en cas de doute sur une démarche à suivre ou pour désamorcer toute situation pouvant devenir conflictuelle. Pour la gestion de crise, Eric Barbry conseille aussi de définir en amont, avant tout contrôle, une équipe “contrôle Cnil” et de sensibiliser tous les collaborateurs aux enjeux du RGPD.

En anticipation d’un contrôle en ligne, il est recommandé de réaliser un audit du site internet, qui fait office de porte d’entrée vers de nombreuses informations en matière de confidentialité et de gestion des cookies. Parmi les manquements les plus fréquents relevés par la Commission figurent notamment le défaut d’information des personnes, le non-respect de leurs droits et le défaut de coopération avec la Cnil. La sécurité des données personnelles est aussi un motif très courant de sanction.

La Cnil a parfois la volonté de se rendre sur place faire des vérifications. “Un contrôle sur place présente l’intérêt pour la Cnil, par rapport à un contrôle documentaire ou sur convocation, de pouvoir effectuer en direct des tests sur trois écueils : les durées de conservation (le plus complexe), la ségrégation des accès (le plus visible), et enfin la gestion des droits des personnes (le plus courant). Si les réponses sont floues ou contradictoires, le niveau d’impréparation à un contrôle déterminera son résultat”, souligne auprès de mind Media l’avocat Etienne Drouard, partner au Hogan Lovells, qui assiste différentes organisations du secteur.

Pour les entreprises dont l’activité les expose à une attention particulière de la Cnil, il est d’ailleurs fortement recommandé de se préparer à ces visites via des formations spécifiques et une assistance juridique dédiée. “Il faut 1h30 de mises en situation pour permettre aux futurs répondants de mesurer leurs zones d’inconfort et de s’y adapter avant le jour J”, poursuit Etienne Drouard. Être préparé consiste à connaître les réponses, positives ou malaisantes, mais à ne les fournir que lorsqu’elles sont nécessaires face à une question précise. Il faut toujours rester éloigné de quatre écueils : ni panique, ni auto-incrimination, ni mensonge, ni extrapolation.”

Et après ?

À la suite d’un contrôle, si les constatations effectuées n’appellent pas d’observations particulières, la procédure de contrôle est clôturée. 

En revanche, lorsque les investigations menées conduisent à caractériser des manquements plus importants (non pertinence ou caractère excessif des données, absence de durée de conservation, défauts de sécurité des données, etc.), la présidente de la Cnil peut décider de mettre en demeure l’organisme d’adopter des mesures. En cas d’absence de réponse à la mise en demeure ou de non-respect de ses injonctions, une procédure de sanction peut être engagée.

Sur la nature de la sanction proposée, il faut garder à l’esprit qu’il existe des variables d’ajustement basées sur plusieurs critères, comme la nature, la gravité et la durée de la violation, le degré de coopération, le nombre de personnes concernées ou encore les catégories de données à caractère personnel concernées.

Lorsqu’une sanction est susceptible d’être prononcée, le président de la Cnil désigne un rapporteur parmi les membres du collège n’étant pas membres de la formation restreinte, puis saisit celle-ci. Composée de cinq membres et autonome, la formation restreinte est destinataire de tous les documents lors de la procédure écrite entre le rapporteur et l’organisme mis en cause. Des contrôles complémentaires peuvent alors être effectués. 

Après étude du dossier et auditions ouvertes au public, la décision de sanctionner ou non l’organisme mis en cause est prise après délibération à huis clos par la formation restreinte de la Cnil ou son président, lequel est distinct du président de la CNIL.

Enfin il convient de souligner que les mises en demeure comme les sanctions de la CNIL peuvent être l’objet d’un recours devant le Conseil d’État. Pour cela, il faut agir sous deux mois à compter de la notification de la décision. Le délai est porté à quatre mois pour un organisme basé à l’étranger.

Le Conseil d’Etat peut en effet contredire tout ou partie de l’interprétation réglementaire faite par la Cnil dans ses sanctions ou dans ses délibérations et donner raison aux organismes. C’est ce qu’il s’est passé en juin 2020 lorsque le Conseil d’État a donné en partie raison à l’industrie des médias et de la publicité qui contestait l’interdiction “générale et absolue” des cookies wall que souhaitait imposer la Cnil aux éditeurs de sites et d’applications.