Accueil > Adtechs & Martechs > Comment bien préparer un contrôle effectué par la Cnil Comment bien préparer un contrôle effectué par la Cnil La Cnil a le pouvoir d’effectuer des contrôles auprès de l’ensemble des organismes qui traitent des données personnelles. Ces dernières années, l’organe se montre de plus en plus actif pour appliquer les textes, en particulier ceux liés au consentement utilisateur au dépôt et à l’usage de cookies. Qu’il s’agisse d’un média, d’une agence, d’une régie, d’une marque ou d’un prestataire technologique, toute structure soumise au RGPD doit être en mesure d’anticiper et gérer ces enquêtes. Par Clarisse Treilles et Jean-Michel De Marchi. Publié le 26 avril 2023 à 18h57 - Mis à jour le 27 avril 2023 à 12h53 Ressources Dans son volet répressif, la Commission nationale de l’informatique et des libertés (Cnil) a prononcé 21 sanctions et 147 mises en demeure en 2022. Sur ces 21 sanctions, “un tiers comporte également un manquement en lien avec la sécurité des données personnelles. Enfin, 4 sanctions concernent une mauvaise gestion des cookies et autres traceurs et 3 contiennent des manquements en lien avec la prospection commerciale”, a indiqué l’organe dans son bilan annuel le 31 janvier. Comme en 2021, le montant cumulé des amendes qu’elle a prononcées l’an dernier a légèrement dépassé les 100 millions d’euros. Depuis mai 2018, le montant dépasse les 500 millions d’euros pour des manquements au RGPD et à la directive ePrivacy sur les cookies. Le non-respect des réglementations liées aux cookies occupe évidemment une place importante dans ses contrôles et dans ses sanctions. Parmi les sanctions financières les plus notables dans le secteur des médias et de la publicité l’an passé, citons notamment les amendes infligées en 2022 à Microsoft (60 millions d’euros) et Apple (8 millions d’euros). Les enjeux réglementaires de la publicité en ligne en 2023 Les décisions de la Cnil sont en grande majorité prononcées à l’issue de contrôles orchestrés par les agents de la commission, sur place, sur pièces, sur audition ou en ligne. Ces missions d’investigation permettent à la Cnil de vérifier la manière dont les responsables de traitement et les sous-traitants gèrent et protègent les données personnelles de leurs clients et de leurs salariés, conformément au règlement général sur la protection des données européen (RGPD). Pour les entreprises sous l’œil du régulateur, ces moments peuvent être vecteurs de stress, comme l’a rappelé Eric Barbry, avocat chez Racine, invité à prendre la parole sur l’anticipation et la gestion de ces contrôles Cnil, à l’occasion d’un webinaire organisé par la commission juridique de l’Acsel le 14 mars. Amende de 60 millions d’euros par la Cnil : Criteo dénonce une position “anti-publicité en ligne” Comment se décide un contrôle ? Sur 400 contrôles effectués par la Cnil en 2022, Sophie Nerbonne, directrice chargée de la co-régulation économique de la Cnil, a souligné lors du webinaire que près d’un quart provient de l’instruction des plaintes reçues et des signalements qui sont faits à la commission. Ils peuvent provenir de simples particuliers mais aussi, et c’est particulièrement le cas pour le secteur des médias et de la publicité en ligne, d’activistes voire d’associations de protection des données personnelles, comme peut le faire régulièrement ces dernières années l’association Noyb. “Le procès-verbal est la pièce maîtresse du contrôle, car elle va forger une condamnation ou la prise de décision de la Cnil“ Eric Barbry, avocat, Racine Outre les plaintes, la Cnil peut s’auto-saisir sur des cas particuliers. La Cnil peut aussi décider d’effectuer un contrôle dans le cadre de mises en demeure ou lorsque des procédures de sanction ont déjà été adoptées. C’est alors un moyen pour la commission de vérifier que les engagements sont bien respectés. Paul Ouvrard-Arnaud (dentsu France) : “La sanction de la DPC irlandaise contre Meta est un vrai séisme pour le secteur publicitaire” Comment se déroule un contrôle ? Les agents de la Cnil peuvent accéder à tous locaux de 6 heures à 21 heures, sans informer au préalable l’organisme contrôlé, selon la charte des contrôles de la Cnil. Après la présentation de la mission, les contrôleurs débutent une série de demandes et de démonstrations. Les agents de la Cnil peuvent s’entretenir avec “tout personnel susceptible de détenir des informations utiles pour apprécier la conformité des traitements de données personnes”, par exemple un chef de service, un opérationnel ou un informaticien. Ils demandent également l’autorisation d’accéder à des copies de documents techniques et juridiques, ainsi que les programmes informatiques et les données. La pause déjeuner est ensuite un “moment clé de la visite”, souligne Eric Barbry, car “c’est le moment où l’équipe va se reconstituer et adapter éventuellement son discours ou ses actes par rapport à la matinée.” À ce stade du contrôle, les organismes ont généralement deviné les raisons qui motivent la Cnil à enquêter, précise le juriste. D’ailleurs, “la délibération signée de la présidente actant le contrôle comprend déjà le périmètre du contrôle (le type de traitement) tel que “traitement RH” ou “traitement à des fins publicitaires” : c’est large mais cela donne déjà un aperçu du champ du contrôle”, souligne auprès de mind Media Clémence Scottez, consultante en matière de protection des données après avoir travaillé durant huit ans au sein la Cnil. Chaque investigation se termine par la rédaction d’un procès-verbal. C’est “la pièce maîtresse du contrôle, car elle va forger une condamnation ou la prise de décision de la Cnil”, estime Eric Barbry. Il recommande ici aux professionnels de reformuler autant que faire se peut certains passages qui leur paraissent imprécis ou d’ajouter des commentaires libres dans la zone du PV prévue à cet effet. En annexe sont inscrites les pièces justificatives saisies le jour de la visite, pouvant être complétées par la suite. Il faut noter ici que les organisations médias peuvent, dans certains cas, bénéficier d’une exception au principe général selon lequel le secret professionnel ne peut être opposé lors d’une mission de contrôle opérée par la Cnil : le secret professionnel qui est applicable “au secret des sources des traitements journalistiques” peut être mis en avant pour s’opposer à l’accès aux programmes informatiques et à des documents, indique l’organe. Ce point est néanmoins à considérer avec prudence : l’exception en question n’est liée qu’à la source des informations et les traitements journalistiques sont déjà exonérés de plusieurs obligations dans la La loi Informatique et Libertés et le RGPD, souligne Clémence Scottez. [Etude mind Media] Google Analytics est toujours utilisé par 59 % des sites français en mars 2023 Comment bien anticiper un contrôle ? Eric Barbry recommande aux organismes de désigner un délégué à la protection des données, même lorsque ce n’est pas obligatoire. Le DPO peut être un interlocuteur privilégié de la Cnil en cas de doute sur une démarche à suivre ou pour désamorcer toute situation pouvant devenir conflictuelle. Pour la gestion de crise, Eric Barbry conseille aussi de définir en amont, avant tout contrôle, une équipe “contrôle Cnil” et de sensibiliser tous les collaborateurs aux enjeux du RGPD. En anticipation d’un contrôle en ligne, il est recommandé de réaliser un audit du site internet, qui fait office de porte d’entrée vers de nombreuses informations en matière de confidentialité et de gestion des cookies. Parmi les manquements les plus fréquents relevés par la Commission figurent notamment le défaut d’information des personnes, le non-respect de leurs droits et le défaut de coopération avec la Cnil. La sécurité des données personnelles est aussi un motif très courant de sanction. “Être préparé consiste à connaître les réponses, positives ou malaisantes, mais à ne les fournir que lorsqu’elles sont nécessaires face à une question précise” ETIENNE DROUARD, AVOCAT PARTNER, HOGAN LOVELLS La Cnil a parfois la volonté de se rendre sur place faire des vérifications. “Un contrôle sur place présente l’intérêt pour la Cnil, par rapport à un contrôle documentaire ou sur convocation, de pouvoir effectuer en direct des tests sur trois écueils : les durées de conservation (le plus complexe), la ségrégation des accès (le plus visible), et enfin la gestion des droits des personnes (le plus courant). Si les réponses sont floues ou contradictoires, le niveau d’impréparation à un contrôle déterminera son résultat”, souligne auprès de mind Media l’avocat Etienne Drouard, partner au Hogan Lovells, qui assiste différentes organisations du secteur. Pour les entreprises dont l’activité les expose à une attention particulière de la Cnil, il est d’ailleurs fortement recommandé de se préparer à ces visites via des formations spécifiques et une assistance juridique dédiée. “Il faut 1h30 de mises en situation pour permettre aux futurs répondants de mesurer leurs zones d’inconfort et de s’y adapter avant le jour J”, poursuit Etienne Drouard. Être préparé consiste à connaître les réponses, positives ou malaisantes, mais à ne les fournir que lorsqu’elles sont nécessaires face à une question précise. Il faut toujours rester éloigné de quatre écueils : ni panique, ni auto-incrimination, ni mensonge, ni extrapolation.” Google Analytics : au moins 30 nouvelles plaintes auprès de la Cnil contre des sites en ligne français Et après ? À la suite d’un contrôle, si les constatations effectuées n’appellent pas d’observations particulières, la procédure de contrôle est clôturée. En revanche, lorsque les investigations menées conduisent à caractériser des manquements plus importants (non pertinence ou caractère excessif des données, absence de durée de conservation, défauts de sécurité des données, etc.), la présidente de la Cnil peut décider de mettre en demeure l’organisme d’adopter des mesures. En cas d’absence de réponse à la mise en demeure ou de non-respect de ses injonctions, une procédure de sanction peut être engagée. Sur la nature de la sanction proposée, il faut garder à l’esprit qu’il existe des variables d’ajustement basées sur plusieurs critères, comme la nature, la gravité et la durée de la violation, le degré de coopération, le nombre de personnes concernées ou encore les catégories de données à caractère personnel concernées. Lorsqu’une sanction est susceptible d’être prononcée, le président de la Cnil désigne un rapporteur parmi les membres du collège n’étant pas membres de la formation restreinte, puis saisit celle-ci. Composée de cinq membres et autonome, la formation restreinte est destinataire de tous les documents lors de la procédure écrite entre le rapporteur et l’organisme mis en cause. Des contrôles complémentaires peuvent alors être effectués. Après étude du dossier et auditions ouvertes au public, la décision de sanctionner ou non l’organisme mis en cause est prise après délibération à huis clos par la formation restreinte de la Cnil ou son président, lequel est distinct du président de la CNIL. Enfin il convient de souligner que les mises en demeure comme les sanctions de la CNIL peuvent être l’objet d’un recours devant le Conseil d’État. Pour cela, il faut agir sous deux mois à compter de la notification de la décision. Le délai est porté à quatre mois pour un organisme basé à l’étranger. Le Conseil d’Etat peut en effet contredire tout ou partie de l’interprétation réglementaire faite par la Cnil dans ses sanctions ou dans ses délibérations et donner raison aux organismes. C’est ce qu’il s’est passé en juin 2020 lorsque le Conseil d’État a donné en partie raison à l’industrie des médias et de la publicité qui contestait l’interdiction “générale et absolue” des cookies wall que souhaitait imposer la Cnil aux éditeurs de sites et d’applications. La procédure de sanction simplifiée Depuis le premier trimestre 2022, les contrôles ne sont plus obligatoires pour permettre à la Cnil de décider d’une sanction à l’encontre d’une entreprise. La procédure de sanction simplifiée permet à la Cnil de sanctionner sans effectuer de contrôle au préalable. Cela concerne des cas mineurs ou déjà connus : “Les dossiers qui entrent dans le champ de la procédure de sanction simplifiée ne génèrent pas de difficulté de fait ou de droit particulière, ou ont déjà fait l’objet d’une décision de sanction”, explique Sophie Nerbonne, directrice chargée de la co-régulation économique de la Cnil. Par conséquent, les sanctions qui sont prises dans ce cadre là ne peuvent pas être rendues publiques, ni dépasser les 20 000 euros. En 2022, la Cnil a fait usage de quatre procédures de sanction simplifiée. Ce nombre a vocation à augmenter à l’avenir, selon Sophie Nerbonne. Clarisse Treilles et Jean-Michel De Marchi AdtechCNILDonnées personnellesEtude de casRéglementation Besoin d’informations complémentaires ? Contactez le service d’études à la demande de mind À lire La Cnil autrichienne questionne la licéité des cookie walls avec alternative payante La Cnil saisie de deux plaintes relatives à ChatGPT Analyses Dossiers [Etude mind Media] Google Analytics est toujours utilisé par 59 % des sites français en mars 2023 Amende de 60 millions d’euros par la Cnil : Criteo dénonce une position “anti-publicité en ligne” Entretiens Paul Ouvrard-Arnaud (dentsu France) : "La sanction de la DPC irlandaise contre Meta est un vrai séisme pour le secteur publicitaire" Le rapporteur de la CNIL pris en défaut sur le RGPD Confidentiels [Info mind Media] TrustPid : les Cnil européennes se coordonneront pour examiner le projet des opérateurs télécoms La Cnil condamne Apple à huit millions d’euros d’amende Cookies : la Cnil sanctionne Microsoft à hauteur de 60 millions d’euros Transfert des données transatlantique : la Commission européenne publie son projet d’accord Analyses Dossiers [Etude mind Media] Google Analytics : quelles sont les alternatives utilisées par les éditeurs de sites français ? Données personnelles : l'association activiste Noyb veut viser les applications mobiles Protection des données : une nouvelle amende de 265 millions d’euros contre Meta Analyses Confidentiels [Info mind Media] Google Analytics : au moins 30 nouvelles plaintes auprès de la Cnil contre des sites en ligne français essentiels Nos synthèses et chiffres sur les principales thématiques du marché L’essentiel sur les identifiants publicitaires La transformation du marché publicitaire en 2024 2023 : le marché publicitaire doit se préparer à la fin du tracking utilisateur Comment l’intelligence artificielle générative bouleverse les médias Les enjeux réglementaires des médias en 2023 Intégrer la transition écologique dans les performances des médias et de la publicité Les enjeux réglementaires de la publicité en ligne en 2023 2023 : la transformation du marché publicitaire analyses Les articles d'approfondissement réalisés par la rédaction ENQUÊTE - La régie publicitaire du Monde a réduit ses effectifs de 8 % INFO MIND MEDIA - Le CESP va lancer sa certification Retail Data Trust Agence79 officialise la consolidation du budget média numérique de Carrefour Publicis et Omnicom, champions de la croissance au premier semestre 2024 INFO MIND MEDIA - Une levée de fonds d’environ 750 000 euros en vue pour le nouveau média The Big Whale Google reconnu coupable de monopole dans la recherche en ligne : ce qu'il faut retenir 24 lobbys enjoignent Bruxelles d’harmoniser le RGPD Outbrain acquiert Teads sur une valorisation d’1 milliard de dollars : les détails de l’opération Fin des cookies tiers : derrière l’annonce de Google, la méfiance du marché INFO MIND MEDIA - Marketing des abonnements : TBS Group rachète OwnPage data Les baromètres, panoramas et chiffres sur l'évolution du marché IA générative : quels éditeurs français bloquent les robots d’OpenAI et Google, lesquels ont adopté le protocole TDMRep ? Le panorama des sociétés spécialisées dans les technologies de l’e-retail media La liste des outils utilisés par les équipes éditoriales, marketing et techniques des éditeurs français Digital Ad Trust : quels sites ont été labellisés, pour quelles vagues et sur quel périmètre ? Panorama des offres AVOD alternatives Le détail des aides à la presse, année par année Ads.txt : la liste des relations établies entre les éditeurs français et les vendeurs et revendeurs programmatiques Les indicateurs financiers des grands groupes de communication Les levées de fonds des start-up des médias, du marketing et de la culture en France Les principales solutions de paywall dynamique