«Un contrôle CNIL peut bien se passer», note S.Cissé
14.09.2020
Gestion d'entreprise
Le premier septembre, la CNIL dévoilait sa première charte des contrôles. Sonia Cissé, counsel technologies et protection des données chez Linklaters Paris, nous donne son analyse sur ce document aux vertus pédagogiques.
Comment se préparer ? Que faire en cas de contrôle ? Quels sont les bons réflexes à avoir. Le point avec l'avocate Sonia Cissé.
Que pensez-vous de la charte des contrôles de la CNIL ?
La publication de cette charte est une excellente chose. Il n’y a rien de très nouveau, toutes ces règles étaient connues. On les retrouvait sur les différentes pages du site de la CNIL ou dans certaines de ses publications. Mais elle a fait un travail de consolidation, sans doute par pédagogie vis-à-vis des entreprises. Elle met aussi l’accent sur la coopération et la courtoisie. Un contrôle CNIL peut bien se passer.
Souvent la sanction de la CNIL est vue comme une chose très négative notamment lorsqu’elle est assortie d’une amende administrative. L’objectif de la CNIL reste toutefois la protection des données et plus largement des droits et libertés des individus ; c’est une façon d’inciter les entreprises à respecter la règlementation pour le bien de tous. Il y a énormément de contrôles qui donnent lieu, par exemple, à de simples avertissements non publics et avec une liste d’actions de remédiation à accomplir pour être conforme à la réglementation. La CNIL cherche surtout à accompagner l’entreprise vers sa mise en conformité.
Quels sont les éléments de la charte qu’une direction juridique doit avoir en tête ?
Il n’est pas encore très clair pour toutes les entreprises qu’il existe différents types de contrôles. Le contrôle sur place, peut-être parce qu’il semble un peu plus dramatique que les autres, est connu. La CNIL se rend alors dans les locaux de la société. Mais il y a aussi des contrôles sur convocation : le représentant de l’entreprise se rend à la CNIL pour échanger sur les différents traitements réalisés et pour apporter les pièces potentiellement demandées par l’autorité. Il existe encore un contrôle sur pièces : la Commission demande une série de documents à lui transmettre. Enfin, elle peut opérer des contrôles en ligne qui consistent généralement en un audit de votre site internet. Vous n’êtes pas au courant du déroulement du contrôle en ligne, mais vous recevez ensuite le rapport de cet audit. Ce n’est donc pas parce que la CNIL n’est pas dans vos locaux que vous n’êtes pas actuellement en train d’être investigué. Un contrôle n’écarte pas l’autre, par conséquent, cela ne veut pas non plus dire qu’elle s’abstiendra ensuite d’un contrôle sur place.
Que faire en cas de contrôle ? Faut-il appeler son avocat ?
Le tout premier conseil que je donne à mes clients, c’est d’être préparé. Il n’y a pas de formule parfaite. Tout dépend de la structure et de l’organisation interne. Si vous êtes une entreprise au sein de laquelle un juriste, un délégué à la protection des données (DPD ou DPO) ou toute autre personne en charge de la protection des données est parfaitement au fait des règles applicables et de votre gestion des données personnelles, il n’est pas forcément nécessaire d’appeler son avocat. Pour les directions juridiques ou conformité qui ont des rapports étroits avec leurs avocats et pour qui les différents traitements ont été réalisés sur leurs conseils ou qui ont réalisé un programme de conformité avec leurs conseils, effectivement c’est un plus, généralement assez rassurant, de les avoir sur place car ils connaissent bien la procédure, la CNIL et surtout leurs clients.
L’enjeu c’est donc la préparation. Il faut savoir que différents contrôles existent. Avoir lu cette nouvelle charte. Il faut avoir briefé les employés et les managers sur les rôles de chacun en cas de contrôle. Les acteurs de la protection des données au sein de l’entreprise et un représentant doivent savoir comment coopérer avec la CNIL. Ils auront à répondre aux questions et à fournir la documentation mais sans aller trop loin non plus. Si tout cela est prévu, si tout le monde est formé, c’est la meilleure façon de faire en sorte que les opérations se passent bien.
Comment faire par exemple ?
Si la CNIL arrive dans vos locaux un matin, à 8h, il faut que le ou la réceptionniste sache qui contacter dans l’entreprise. Est-ce quelqu’un du service juridique ? De la conformité ? De la DSI? Est-ce une équipe composée d’un membre de chacun de ces départements ? Faut-il faire venir certains salariés éventuellement absents ce jour-là ? Il peut également être opportun de mettre tout de suite à disposition des agents de la CNIL une salle, pour ne pas les promener partout dans toute l’entreprise. Il est donc important que la tenue d’un contrôle ait été anticipée et les règles internes posées.
Notez-vous des évolutions dans la façon de contrôler de la Commission ?
Non. Elle fait toutefois preuve d’une plus grande pédagogie. Les agents expliquent pourquoi ils sont venus, ce qu’ils cherchent, etc. Elle l’a toujours fait mais depuis l’entrée en application du RGPD c’est plus poussé. Elle donne encore plus d’explications.
Il faut coopérer en délivrant à la CNIL la documentation demandée. Comment ne pas en faire trop ?
La Commission opère sur ordonnance d’un juge établissant la liste des documents susceptibles d’être saisis lors d’un contrôle. Il faut la lire : d’où l’intérêt d’avoir un juriste ou un avocat sur place. Ils sauront déterminer les limites du contrôle. Car il ne faut pas donner autre chose que ce qui est prévu dans l’ordonnance. Elle peut être plus ou moins précise. Le périmètre du contrôle peut donner lieu à discussions. Vous proposez une documentation que la Commission peut demander à compléter. A l’entreprise d’essayer de restreindre un peu cette recherche. D’où l’importance d’avoir des gens formés.
Pour pouvoir délivrer de la documentation, il faut, quelque part, être déjà en conformité avec le RGPD et la loi informatique et libertés. La documentation clé, comme le registre des traitements ou les analyses d’impact - qui sont identifiés comme des documents importants dans la charte des contrôles de la CNIL - sont un bon début. La politique de confidentialité, de sécurité, d’exercice des droits, le registre des violations de données, etc., ces documents que l’entreprise a normalement rédigés dans le cadre d’un programme de conformité, pourraient également être demandés.
Attention aux documents protégés : la correspondance avocat/client ne peut pas être saisie par la CNIL du fait du secret professionnel. Vous n’êtes pas tenu de la remettre quel que soit le périmètre du contrôle ou de l’ordonnance.
Le RGPD fête déjà ses 2 ans. Les contrôles vont-ils se muscler ?
Une entreprise ne peut pas partir du postulat qu’après 2 ans d’applicabilité, la CNIL va se contenter de lui tenir la main, pour l’aider à se conformer, sans la sanctionner. Par contre, certaines dispositions du RGPD ne sont pas si faciles à mettre en place en pratique. Même avec les meilleures intentions du monde, il est possible de commettre des erreurs d’interprétation ou d’analyse. Dans ce cas, il pourra y avoir une discussion avec la CNIL pour réorienter une mesure interne, comme par exemples sur la question de savoir si la société est responsable de traitement et/ou sous-traitant ou sur la définition de mesures techniques et organisationnelles de sécurité des données. On peut se tromper malgré une analyse pointue. La Commission est dans l’accompagnement sur ce type de sujets. Tout dépend, par contre, de votre volonté à respecter de bonne foi le règlement et de ce qu’elle constate lorsqu’elle contrôle. Encore aujourd’hui de très nombreuses entreprises ne sont pas entièrement conformes mais elles ne sont pas sanctionnées ou très légèrement, parce que la CNIL perçoit une volonté de bien faire.