Qui contrôle du respect du règlement RGPD?

En France, c’est la CNIL (Commission Nationale de l’Informatique et des Libertés) qui contrôle le respect du règlement RGPD. En effet, cette autorité administrative indépendante est notamment chargée de faire respecter les atteintes à la vie privée et aux libertés individuelles ou publiques sur internet. Le traitement des données personnelles, protégées par le RGPD, est donc de son ressort.

Le contrôle de principe de la CNIL

Le règlement européen instituant le RGPD a été adapté dans le droit français par la loi du 20 juin 2018. En effet, bien qu’un règlement européen soit d’application directe, Bruxelles a doté les Etats membres d’une marge de manœuvre sur de nombreux points à leur convenance. La loi du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés ayant institué la CNIL n’étant plus adaptée au droit européen, l’exécutif a choisi de porter une nouvelle loi devant le législateur. La loi française a ainsi étendu les pouvoirs de la CNIL en matière de protection de données en lui octroyant de nouveaux pouvoirs de contrôle et de sanction.

Qui est concerné par les contrôles RGPD ?

La CNIL peut contrôler toutes les entreprises, associations ou personnes publiques traitant les données des utilisateurs. Pour que celles-ci puissent être contrôlables, elles doivent avoir une présence physique en France, qu’elles possèdent un établissement sur le territoire ou que le traitement des données soit effectué en France. Ce dernier cas d’espèce s’applique par exemple à une entreprise qui n’a pas d’établissement en France mais qui fait traiter les données par un tiers résidant en France. L’autorité administrative indépendante peut s’associer à d’autres autorités nationales dans le cas où un contrôle transnational doit être effectué.

Comment s’effectue le contrôle RGPD ?

C’est le Président de la CNIL qui décide d’effectuer les contrôles RGPD après proposition de son service des contrôles. De nombreux signalements d’utilisateurs peuvent conduire ce service à proposer un tel contrôle, mais il peut également s’en saisir de sa propre initiative. La CNIL peut contrôler le respect du règlement RGPD de trois façon : en convoquant une audition, en se rendant sur place, ou en effectuant un contrôle en ligne. Ces trois contrôles RGPD peuvent être complémentaires et ne s’excluent pas les uns des autres.

L’audition

Le contrôle par audition s’effectue après une convocation survenue au minimum 8 jours avant la date indiquée. Afin de garantir la présence de la personne responsable du traitement des données lors de l’audition, la lettre de convocation peut être remise en main propre, par un huissier de justice, ou par lettre recommandée avec accusé de réception.

Le contrôle sur place

La CNIL peut également décider de se rendre sur les lieux du traitement des données afin d’effectuer son contrôle. L’arrivée sur les lieux ne peut se faire qu’entre 6 heures et 21 heures, bien que les agents puissent rester dans l’établissement passés ces délais. La CNIL peut ou non avertir le responsable de son arrivée. En revanche, le procureur de la République doit en être informé au minimum 24 heures avant.

Le contrôle en ligne

La dernière façon de contrôler le traitement des données se passe en ligne. Dans ce cas, la CNIL va se limiter au contrôle de ce qui est accessible librement. Elle va alors contrôler la présence de cookies et de traceurs placés sur le site internet et vérifier que la sécurité du site soit bien implantée afin que les données des utilisateurs ne puissent pas être accessibles facilement par un tiers. La partie la plus visible pour les internautes, à savoir l’obligation d’information de collecte des données, est également un point sensible des contrôles RGPD de la CNIL.

Peut-on s’opposer à un contrôle de la CNIL ?

Dans le cadre de sa mission, la CNIL peut demander la transmission de tous les documents par voie électronique ou par copie physique lui permettant d’arriver à une conclusion. Des copies des documents techniques ou juridiques liés au traitement des données doivent lui être fournis. Elle a également le droit d’accéder aux données stockées et aux programmes informatiques de la personne physique ou privée contrôlée. Eu égard à ces pouvoirs élargis, la question du refus du contrôle ou d’une partie du contrôle peut être formulée.

Il existe en effet la possibilité de s’opposer aux contrôles RGPD de la CNIL. Dans ce cas, les motifs du refus doivent être notés sur un procès-verbal. La CNIL, si elle souhaite effectivement continuer le contrôle, devra alors demander l’autorisation au juge des libertés et de la détention (JDL). Le juge disposera d’un délai de 48 heures pour s’exprimer sur le sujet après avoir étudié le dossier, et notamment les motifs du refus. Si sa réponse est positive, alors le contrôle ne peut être refusé par le responsable de traitement des données. Il engage sa responsabilité en cas d’entrave au contrôle de la CNIL et risque jusqu’à 1 an d’emprisonnement et 15 000 € d’amende. Le terme d’entrave est ici large car il ne s’agit pas seulement d’une entrave physique ou d’un refus de transmission de documents. Ainsi, communiquer des documents non conformes aux demandes de la CNIL est également perçu comme une entrave.

Sanctions en cas de manquement

Si la CNIL observe des manquements à la loi et au règlement RGPD, elle transmet ses informations à la formation restreinte de l’autorité. Cette dernière peut infliger des sanctions à l’entreprise ou la personne publique. Après une mise en demeure afin de laisser le temps à l’organisme de rectifier les manquements observés, la CNIL peut en cas de persistance du non-respect du RGPD décider d’infliger de nouvelles sanctions. Ces sanctions sont prévues à l’article 83 du RGPD et aux articles 20 et 21 de la loi Informatique et libertés.

Elles peuvent être :

• La prononciation d’un avertissement,
• Une amende administrative effective, proportionnée et dissuasive,
• Une injonction de cesser le traitement des données,
• Un retrait de l’autorisation accordée de traitement des données

Si les manquements sont particulièrement graves, la CNIL peut exercer un référé devant les autorités judiciaires ou administratives. Des sanctions pénales pourront alors être infligées à l’auteur du manquement.