Les pouvoirs d'enquête de la CNIL

La CNIL peut contrôler toute entreprise qui, sans nécessairement être établie en France, recourt à des moyens de traitement de données personnelles sur notre territoire (1).

Sur proposition du Service de contrôle, c'est le Président de la CNIL qui prend la décision de procéder à une mission de contrôle.

En fonction du type de contrôle, vous serez informé :

  • par convocation, 8 jours avant la date du contrôle, s'il se déroule sur audition (une communication de pièces peut vous être demandée au préalable) ;
  • par notification au responsable des lieux où se situe l'inspection, au début du contrôle, lorsqu'il se fait sur place

La mission de contrôle a pour objectif d'apprécier les conditions dans lesquelles est mis en oeuvre le traitement des données à caractère personnel.

La délégation de la CNIL peut vous demander :

  • tous documents nécessaires à l'accomplissement de sa mission quel qu'en soit le support ;
  • l'accès aux programmes informatiques et aux données ;
  • la copie des contrats de location de fichiers, de sous-traitance informatique, formulaires, dossiers papiers, bases de données, etc…

A noter : un procès-verbal (PV) de fin de mission est établi à l'issue du contrôle. C'est le cas également lors d'un contrôle en ligne (une copie du PV est adressé au responsable avec, le cas échéant, une demande d'information complémentaire).

L'interdiction d'entrave à l'action de la CNIL

Si vous vous opposez à la visite de la délégation, le Président de la Commission peut demander l'autorisation de poursuivre le contrôle auprès du juge des libertés et de la détention du Tribunal de Grande Instance.

15.000 eurosd'amende

Attention ! La loi punit d'un an d'emprisonnement et de 15.000 euros d'amende, l'entrave à l'action de la CNIL (2)

Il y a entrave en cas d'opposition aux missions de la CNIL, de refus de communication d'information, de dissimulation, de destruction de renseignements ou de communication d'informations non conformes.

Les 2 issues possibles du contrôle 

A l'issue du contrôle, la CNIL examine les documents dont une copie aura été effectuée pour apprécier les conditions de mise en oeuvre des dispositions de la loi informatique et libertés.

En fonction :

  • soit les constatations effectuées ne mettent pas en avant d'observations particulières 

>> le contrôle est clôturé par un courrier du président de la CNIL ;

  • soit des manquements sérieux sont relevés 

>> votre dossier est transmis à la formation restreinte de la CNIL, qui peut prononcer des sanctions

Comment éviter les sanctions ?

En effet, si vous ne respectez pas les obligations légales, la commission nationale de l'informatique et des libertés peut vous sanctionner après une mise en demeure infructueuse de cesser le manquement dans un délai fixé. Le cas échéant, vous risquez un avertissement, une sanction pécuniaire ou une injonction de cesser le traitement.

En cas de violation des droits et des libertés, un verrouillage peut être mis en place et le Premier ministre peut en être informé afin qu'il puisse prendre toutes mesures nécessaires (3).