La CNIL publie une charte des contrôles afin d’informer les organismes susceptibles d’être concernés des différentes étapes de la procédure et fournit quelques conseils sur le comportement à adopter en cas de contrôle par les agents de la CNIL.
Cette charte rappelle d’abord l’étendue des pouvoirs dont disposent les agents de la CNIL, dans le cadre des contrôles sur place, en ligne, sur audition ou sur pièces : la possibilité d’accéder aux locaux et le pouvoir de se faire communiquer tous renseignements ou documents utiles à leur mission.
Sont ensuite précisés les droits et obligations des organismes contrôlés : l’organisme contrôlé doit s’assurer de la validité du contrôle notamment en vérifiant l’habilitation des agents de la CNIL.
Il ne peut cependant pas, en principe, s’opposer à un contrôle de la CNIL sous quelques exceptions. L’organisme ne peut s’opposer au contrôle sur place de la CNIL s’il a été autorisé par le juge des libertés et de la détention. En outre, l’organisme peut être assisté par un conseil.
La charte rappelle également les limites de l’opposition du secret professionnel par l’organisme conformément à l’article 19, III de la loi Informatique et Libertés. Celui-ci ne peut être opposé que dans le cadre des relations entre un avocat et son client, du secret des sources des traitements journalistiques et du secret médical dans la limite du deuxième alinéa du même article 19, III. En effet, les données médicales individuelles peuvent être communiquées sous l’autorité ou en présence d’un médecin. Tel que précisé par l’article 37 du décret du 29 mai 2019, lorsque le secret professionnel est opposé aux agents de la CNIL il en est fait mention dans le procès-verbal qui sera dressé à la fin de tout contrôle sauf dans le cadre d’un contrôle sur pièces.
La charte expose ensuite la procédure suivie pour chaque contrôle, qui peut être clôturée sans observations, en l’absence de manquement ou avec observations dans le cas contraire.
Plusieurs étapes sont ensuite nécessaires avant une possible sanction adoptée par la formation restreinte de la CNIL, notamment l’avertissement de la Présidente de la CNIL ainsi que la mise en demeure.
La Présidente de la CNIL peut avertir un responsable de traitement ou un sous-traitant et/ou le mettre en demeure avant de prononcer une sanction.
La charte détaille enfin les principes de bonne conduite à suivre afin que le contrôle se passe au mieux.
Si vous souhaitez en savoir plus sur le sujet, le département Données personnelles du cabinet DELSOL Avocats organise une formation « Contrôle CNIL : comment réagir ? », qui aura lieu jeudi 3 décembre 2020. Cette formation vous permettra d’appréhender les contrôles dans leur ensemble : anticiper, réagir et faire face aux suites du contrôle.
Les autres formations dispensées par le département :