Sabine Marcellin, avocate au barreau de Paris, associée du cabinet Aurore Legal.
et Laurent Marcoz, responsable de la practice RGPD chez OAKLand Group
Un contrôle de la CNIL n’est pas l’apanage des entreprises hors la loi ; toutes les entreprises peuvent être contrôlées. La meilleure préparation consiste, naturellement, à être en conformité. Mais comme lors de toute crise, d’autres précautions peuvent s’avérer utiles !
Plus de 670 contrôles ont été effectués par la CNIL depuis l’entrée en vigueur du RGPD en mai 2018. Ces contrôles ont touché tous types d’organisations, quel qu’en soient la taille et le secteur d’activité, et pas uniquement les grandes entreprises du secteur digital.
Un contrôle de la CNIL peut devenir chronophage, stressant, perturbant pour le fonctionnement de l’organisation, et donner lieu à des sanctions. La préparation à un éventuel contrôle permet que celui-ci se déroule au mieux et peut en limiter les impacts.
Cartographier ses traitements, désigner un DPO, établir un registre si nécessaire, formaliser les transferts de données avec les sous-traitants… toutes ces actions, nécessaires à la mise en conformité, sont bien entendu la base pour qu’un contrôle de la CNIL se passe bien. Mais ce n’est pas suffisant…
Les entreprises, qu’elles soient dans le domaine BtoB ou BtoC, ont intérêt à anticiper non seulement les contrôles potentiels mais aussi les motivations du contrôleur.
La première étape consiste à savoir à quel point l’entreprise est susceptible d’être contrôlée.
La plupart du temps, les actions de la CNIL sont induites par des réclamations de consommateurs ou des événements spécifiques, comme les failles de sécurité. Le nombre d’attaques informatiques s’étant accru avec la pandémie, l’imprudence des entreprises victimes peut être sanctionnée, dès lors que des données personnelles ont été exposées.
De plus, dans le cadre de programmes annuels, la CNIL a annoncé en 2020 contrôler certains secteurs, comme à la sécurité des données de santé ou la géolocalisation.
Comme les points d’attention de la CNIL évoluent dans le temps, il est nécessaire pour les entreprises de maintenir une veille à ce sujet.
Ces contrôles peuvent être initiés par la CNIL ou organisés au plan européen. Quand les dossiers ont une dimension transfrontalière, le régulateur national peut agir avec ses homologues européens. Les sanctions imposées à Uber en représentent un exemple. En décembre 2019, la CNIL a prononcé une sanction de 400 000 euros à l’encontre de l’opérateur. Cette sanction faisait suite à celles des régulateurs néerlandais et britannique contre Uber. D’autres décisions devraient suivre sur ce même dossier.
Identifier le potentiel de contrôle est une chose, mais il est également utile de comprendre les modalités d’actions des régulateurs, c’est-à-dire le déroulement concret d’un contrôle. Les entreprises doivent se préparer en impliquant les métiers qui sont concernés par les traitements de données personnelles : DPO, DSI, RSSI, RH, juridique, marketing… Et la sensibilisation des collaborateurs leur permettra de réagir de manière adéquate en cas de procédure.
Il est alors évident que les entreprises doivent apprendre à anticiper une intervention de la CNIL pour faciliter son déroulement et en optimiser les suites.