Comment se préparer à un contrôle de la CNIL ?
Par Bruno RASLE, Délégué général de l’AFCDP • Mars 2014 • Archimag
Depuis la modification, en aout 2004, de la loi Informatique et Libertés, la CNIL dispose d’un pouvoir de contrôle sur place dans les locaux du responsable de traitement. Ces contrôles se comptent par centaines et l’essentiel des recrutements de ces dernières années a été affecté à ces missions.
Pour le Correspondant Informatique et Libertés, tenir prêt son organisme et son responsable de traitement à accueillir une visite des agents de la CNIL est une nécessité impérative, et il ne suffit pas de faire ses meilleurs efforts pour protéger les droits des personnes par une application pertinente des dispositions de la loi.
Au sein de l’organisme contrôlé, le CIL fera en sorte que les investigations de la CNIL soient accompagnées de manière professionnelle afin d’éviter le délit d’entrave tout en assurant la protection de ses intérêts légitimes. Là aussi le rôle du CIL est essentiel… et pour un Correspondant Informatique et Libertés, avoir subi un contrôle de la CNIL, correspond – toute proportion gardée – au passage du Cap Horn pour un capitaine au long cours ! Une épreuve, certes, mais analysée a posteriori comme enrichissante professionnellement.
Pourtant ces contrôles doivent être dédramatisés car les investigations de l’autorité de la rue Vivienne ne débouchent ni mécaniquement ni systématiquement sur une injonction, et encore moins sur une sanction. Progressivement, ce mode de relation entre le régulateur et les responsables de traitements se banalise, même s’il nécessitera toujours préparation et vigilance. Ainsi pour aborder sereinement un contrôle de la CNIL, trois conseils prévalent : anticiper, maîtriser et dédramatiser.
En 2005, après pratiquement vingt ans « d’explications et de dialogue », la CNIL s’est doté d’un service des contrôles. Outre la recherche de non-conformités, les missions sur place ont aussi pour but de permettre à l’autorité de mesurer sur le terrain l’effectivité de ses décisions et recommandations. Les contrôles sur place sont aussi, en quelque sorte, « les yeux » de la CNIL.
Ces contrôles sont inopinés pour la plupart. La CNIL a pris l’habitude de prévenir le CIL la veille ou l’avant-veille de la mission, sauf en cas de manquements graves et s’il existe un risque de destruction d’éléments de preuve. Quelle meilleure incitation à la désignation d’un Correspondant Informatique et Libertés ?
Il semble que le nombre de contrôle menés chaque année par la CNIL plafonne actuellement à 400, et le montant total des sanctions pécuniaires infligées depuis 2004 à moins d’un million d’euros (les deux sanctions pécuniaires les plus fortes étant celles infligées à Google), qu’il convient de comparer aux 600 à 700 vérifications auxquelles procède chaque année l’autorité espagnole, l’AEPD, qui a infligé pour plus de 200 millions d’euros de sanctions cumulées au cours de ces mêmes dix dernières années. Il est donc clair que la CNIL ne se livre pas à une absurde « chasse aux entreprises », ce qui apparaît d’autant plus clairement quand on compare le faible nombre de sanctions prononcées par rapport à celui des contrôles effectués.
Pourquoi moi ? C’est en effet la première question qui vient à l’esprit du Responsable de traitement contrôlé. Les raisons qui déclenchent une mission sur place sont variés : auto saisine ; plaintes émanant de particuliers, d’un comité d’entreprises, de salariés, d’un syndicat, d’autorités publiques ; signalisation d’organismes avec lequel une convention a été établie (comme la DGCCRF) ; demande d’une autorité de contrôle étrangère ; sur base du programme de contrôle annuel de la CNIL enfin.
Les agents qui réalisent les contrôles sont habilités pour ce type de mission (avec publication au Journal officiel). L’équipe associe généralement un informaticien à un juriste, qui peuvent être éventuellement épaulés par les dix-sept commissaires.
La mission peut se présenter de 6 heures à 21 heures aux lieux servant à la mise en œuvre d’un traitement de données à caractère personnel, mais à l’exclusion des parties de ceux-ci affectées au domicile privé (c’est pour cette raison que la Commission peut aussi procéder à des contrôles sur convocation du responsable du traitement). Lorsque les agents de la CNIL se présentent à l’accueil, Il convient de vérifier leur l’identité et leur habilitation. Cette procédure doit, bien sûr, respecter la loi Informatique et Libertés.
Suite à une décision du Conseil d’Etat la commission procède systématiquement à l’information des personnes faisant l’objet d’un contrôle sur place et notamment de leur droit à s’opposer à ce contrôle. Dans cette hypothèse, le président de la CNIL peut saisir le président du tribunal de grande instance compétent afin que celui-ci autorise la mission par ordonnance, y compris en faisant appel à la force publique. C’est la raison pour laquelle la CNIL informe la veille le procureur de la République. En pratique, la CNIL doit se ménager une preuve de la délivrance de cette information, sous peine de voir sa procédure entachée d'irrégularités.
La lettre de mission présentée par les agents est rarement précise, sans doute afin de ne pas limiter la démarche. Les agents peuvent demander communication de tout document nécessaire à l’accomplissement de leur mission, quel qu’en soit le support, et en prendre copie ; ils peuvent recueillir tout renseignement et toute justification utiles ; ils peuvent aussi accéder aux programmes informatiques et aux données. Dans le cas où la recherche des informations prendrait du temps, il convient de leur indiquer le délai nécessaire et d’apporter une justification (il n’est pas possible d’arguer de difficulté technique). Il convient alors de leur adresser rapidement, mais de façon sécurisée…
Les questions peuvent aussi porter sur la bonne protection des données à caractère personnel traitées : politique de sécurité, journal des accès des administrateurs techniques, description des procédures et moyens mis en œuvre, analyse de risques, etc. A titre d’exemple, lors du contrôle d’un Centre hospitalier, les agents ont soulevé les questions suivantes : « Qui pourrait avoir accès au Système d’information ? Qui attribue les droits d’accès et selon quelle procédure ? Comment sont réinitialisés les mots de passe ? Que deviennent les vieux PC en fin de vie ? Que deviennent les disques durs des serveurs en panne ? ». Les agents de la CNIL peuvent bien sûr aussi procéder par entretien et demander à interroger des employés.
Attention à ne pas commettre un délit d’entrave ! Des opérationnels insuffisamment préparés sont susceptibles de commettre de tels actes. Les possibilités de se retrancher derrière un secret (des affaires, bancaire, professionnel, etc.) sont très limitées. La personne qui invoque un secret est dans l’obligation de préciser les textes sur lesquels elle s’appuie et la nature des données couvertes par ces dispositions. Ainsi, l’invocation injustifiée du secret professionnel peut constituer une entrave à l’action de la CNIL. Là aussi, le CIL sera de bon conseil.
A l’issue de leurs investigations, les agents contrôleurs établissent un procès-verbal synthétique, factuel et sans jugement de valeur. Son contenu ne donne donc aucune indication fiable sur l’attitude à venir de la Commission et il serait très aventureux de se baser sur lui, ou sur l’ambiance dans laquelle le contrôle s’est déroulé, pour préjuger de la suite. Le procès-verbal est présenté au responsable des lieux pour remarques et signature.
A l’issue de la mission, la CNIL examine l’ensemble des informations collectées, apprécie les conditions de mise en œuvre des dispositions de la loi et décide de la suite à donner : clôture de la mission, mise en demeure (qui peut être publique), convocation devant la commission restreinte...
Quelques conseils :
Prévenir certains contrôles en répondant correctement aux demandes de droit d’accès et en évitant que les personnes concernées aient des raisons de se plaindre à la CNIL ;
Définir une procédure de gestion des courriers CNIL garantissant une réponse satisfaisante et rapide aux demandes formulées par la Commission ;
Sensibiliser le responsable de traitement et les opérationnels à l’obligation de coopération en cas de contrôle et du comportement à adopter (fiche descriptive des droits et obligations) ;
Préparer les personnels d’accueil à l’éventualité d’un contrôle de la CNIL ;
Le responsable des lieux doit disposer d’une liste d’interlocuteurs privilégiés (CIL, Direction juridique, etc.) qui pourront l’épauler ;
Ne pas laisser les agents contrôleurs livrés à eux-mêmes et charger des collaborateurs d’un rôle de scribe ;
Après le départ des agents de la CNIL, réunir immédiatement les collaborateurs ayant participé au contrôle et établir un compte-rendu détaillé.
Formation animée par B. Rasle en relation avec cet article :
