Le 2 mars, la CNIL à publié sur son site sa stratégie de contrôle pour 2021. Dans le viseur la cybersécurité du web français, la sécurité des données de santé et les cookies. Mais au fait, comment se passe un contrôle de la CNIL?
Le plan de controle 2021
La cybersécurité du web français, la sécurité des données de santé et les cookies. Voilà les thémathiques inscrites au plan de contrôle de la CNIL pour l'année 2021. Qu'est-ce que ça veut dire?
Simplement que les contrôles sur ces points vont se multiplier. Pour reprendre l'actualité récente de la fuite de données de près de 500 000 clients/patients de laboratoires médicaux, il y a fort à parier que la CNIL va orienter une partie non-négligeable de ses contrôles vers les établissements traitants de la donnée de santé.
Mais ce plan 2021 n'est pas le seul élément qui amène la CNIL à entamer une démarche de contrôle.
Qu'est-ce qui déclenche un contrôle de la CNIL?
Il y a plusieurs raisons possibles :
- Contrôles suite à une plainte ou un signalement adressé à la CNIL (par le biais de son site internet par exemple) sur un manquement constaté. Le nombre de plaintes est en constante augmentation depuis 2018 (+ 30% par an en moyenne). Ces plaintes peuvent donner lieu à des contrôles voir même, dans des cas plus rares, à des mises en demeure ou à des sanctions pécuniaires.
- Contrôles suite à une mise en demeure ou à une procédure de sanction. Ces contôles peuvent être décidés afin de vérifier si l'organisme a régularisé les manquements pour lesquels il avait été sanctionné.
- Contrôles dont la thématique est inscrite au programme annuel de la CNIL.C'est le sujet du jour. La CNIL prévoit chaque année des thématiques de contrôle prioritaires (souvent au nombre de 3).
Pour rappel, en 2018 étaient inscrits au plan de contrôle les traitements effectués par les acteurs du recrutement, les traitements effectués par les agences immobilières (notamment les pièces justificatives demandées) et les traitements de stationnements payants réalisés au moyen d'équipements connectés.
En 2019, le respect des droits des personnes, les traitements de données de mineurs et la répartition des responsabilités entre responsable de traitement et sous-traitants.
Et en 2020, la sécurité des données de santé (et oui déja), les traitements de géolocalisation et les cookies (re-et oui déja).
- Contrôles à l'initiative de la CNIL. Souvent liés à l'actualité, ces contrôles sont fait à l'appréciation de sujets importants. La CNIL peut décider de contrôler des organismes suite à une violation de données par exemple.
Les différents types de contrôles
Déja, on peut rappeler que la CNIL est compétente pour effectuer des contrôles auprès d'organismes disposant d'un établissement en France ou qui traite des données de personnes résidants en France.
Il existe 4 types de contrôles : les contrôles sur place, les contrôles sur pièces, les contrôles en ligne et les auditions.
- Sur place : Les agents de la CNIL se déplacent dans les locaux de l'organisme controlé (voir dans les locaux affectés au domicile privé dans les cas où cela s'avère nécessaire et sous certaines conditions). L'organisme est prévenu du contrôle et de l'objet de celui-ci au plus tard au début de la mission.
- Sur pièce : Les agents de la CNIL peuvent demander la communication des élements "nécessaires à l'accomplissement de leur mission" (registre des activités de traitements, bases de données, codes source, ...)
- En ligne : Les agents de la CNIL contrôlent les données librement accessibles (parfois rendues accessibles par négligence) et peuvent effectuer ces contrôles sous une identité d'emprunt.
- Sur convocation : Comme son nom l'indique, un responsable de traitement peut être convoqué afin d'expliquer et/ou de justifier des modalités d'exercice d'un ou de plusieurs traitements.
Quoi faire en cas de contrôle?
Il est possible de s'opposer à un contrôle de la CNIL, cependant cette démarche n'est pas la plus conseillée et il faut faire attention à ne pas arriver à un délit d'entrave. Quelques conseils en cas de contrôle:
- Vérifier l'identité et habilitations des agents contrôleurs
- Informer le responsable de traitement
- Solliciter les personnes compétentes en interne
- Prendre connaissance des documents à fournir
- Assurer la présence constante d'un représentant de l'organisme aux cotés des agents de la CNIL
- Relire le procès-verbal avant signature
- S'interroger sur les suites succeptibles d'être données par la CNIL une fois le contrôle effectué
Sources : CNIL, Protection des données personnelles (éditions législatives), La protection des données personnelles le RGPD et la nouvelle loi française (Lexis Nexis)
Crédit photo : Pixabay