ASSISTANCE EN CAS DE CONTENTIEUX AVEC L'AUTORITÉ DE CONTRÔLE

Le RGPD comporte un changement de modèle conduisant les autorités de régulation de la protection des données à utiliser une panoplie de mécanismes complémentaires dans le cadre du volet répressif de ses missions.

ANTICIPER LES CONTRÔLES, SE PRÉPARER À LA COMPLEXITÉ PROCÉDURALE

L'exercice des pouvoirs de l'autorité de contrôle constitue l'une des situations engendrant une relation contentieuse complexe. En France, des contrôles inopinés de la CNIL peuvent en effet peuvent se dérouler sur place, sur pièces, sur audition ou en ligne et engendrer une relation contentieuse.  

Le montant des sanctions pécuniaires peut s’élever jusqu’à 20 millions d’euros ou dans le cas d’une entreprise jusqu’à 4 % du chiffre d’affaires annuel mondial des sous-traitants et responsables de traitements. Les sanctions peuvent être rendues publiques.

 

Dans ce contexte répressif, les contrôles permettent à la CNIL de vérifier la mise en œuvre concrète de la loi et corrélativement d'examiner l'organisation de la conformité, la gestion des risques au travers des modes opératoires suivants à l'encontre d’un responsable de traitement ou d’un sous-traitant   :

  1. Contrôle sur place : dans les locaux , la CNIL mène de véritables investigations sur des traitements de données à caractère personnel ciblés ou non.

  2. Audition sur convocation : un courrier adressé aux responsables identifiés de se présenter dans les locaux de la CNIL pour répondre à des questions portant sur la conformité des traitements contrôlés

  3. Contrôle en ligne : la CNIL effectue des vérifications depuis ses locaux en consultant notamment des données librement accessibles ou rendues accessibles directement en ligne, y compris par imprudence, négligence ou du fait d’un tiers à partir d’un service de communication au public en ligne

  4. Contrôle sur pièces : la CNIL adresse un courrier accompagné d’un questionnaire destiné à évaluer la conformité des traitements 

Des règles juridiques encadrent strictement la réalisation des contrôles et l'engagement des procédures de sanctions. ​

LES POINTS A RETENIR :

Il convient pour l'organisme (Entreprise publique ou privée, association, responsable de traitement, sous-traitant ...) d'intégrer les aspects suivants dans la feuille de route RGPD,

  • Les modalités de contrôle (sur place, sur pièces, sur audition, en ligne) peuvent être utilisées de manière complémentaire et parallèlement par la CNIL

  • Lors des controles la CNIL peut demander à bénéficier d'un accès aux ressources informatiques

  • L'organisme doit être en mesure de répondre dans des délai imparti en fonction des différentes phases procédurales

  • L’opposition au contrôle sur place permet à la CNIL de demander une autorisation contraignante au juge des libertés et de la détention (JLD) du Tribunal de Grande Instance (TGI), territorialement compétent, de même qu'en cas d'urgence, de gravité des faits ou de risque de destruction ou de dissimulation de documents pour effectuer le contrôle sans que le responsable des locaux en ait été informé et ait eu la possibilité de s’y opposer.

  • L’entrave à l'action de la CNIL est sanctionnante (un an d’emprisonnement et 15 000 € d’amende - Art L. 222-22. C.Pénal)

  • Les sanctions de la CNIL peuvent faire l'objet d'un recours devant le Conseil d'État dans un délai de deux mois

  • En cas de contrôle ou de procédure de sanction, il convient d'être assisté d'un avocat

+33 1 85 09 72 54

122 avenue des Champs Elysées 75008 Paris