Après l’entrée en vigueur du RGPD, la CNIL disposera d’un nouveau moyen de contrôle à l’égard des entreprises, le contrôle sur pièces.
Explication : depuis longtemps déjà, la CNIL dispose d’un pouvoir de contrôle et de sanction. Le pouvoir de contrôle est prévu à l’article 44 de la loi informatique et libertés.
Depuis la loi 2014-344 du 17 mars 2014, ce contrôle peut être exercé à distance. Nous avons eu des clients qui sont venus nous consulter car ils avaient reçu une lettre de la CNIL leur demandant de modifier leur politique de cookies. La CNIL avait consulté le site internet de cette entreprise, et avait constaté que sa politique de cookies ne correspondait pas à la loi (ou à son interprétation de la loi, car la CNIL va, à mon sens, un peu plus loin que ce que demande la loi).
Après le 25 mai 2018, la CNIL pourra exercer un nouveau type de contrôle : le contrôle sur pièce.
C’est une distinction bien connue en droit fiscal : l’administration peut faire un contrôle sur place (c’est le vrai « contrôle fiscal ») ou étudier le dossier dans ses bureaux (sur pièces).
A partir du 25 mai 2018, la CNIL pourra demander à toute entreprise ou collectivité territoriale, par l’intermédiaire de son DPO, de justifier de ses travaux en vue de la conformité RGPD, donc de communiquer :
- Sa documentation contractuelle (pour vérifier si les contrats contiennent les clauses prévues par le RGPD),
- Sa documentation cyber-sécurité (charte informatique, plan de secours, plan de reprise après sinistre, procédure en cas de fuite de données),
- Son registre de traitements et sa cartographie des données,
- Et son étude d’impact (PIA),
- Et, si le nom d’un DPO ne lui a pas été communiqué, d’en justifier (toutes les entreprises n’ont pas l’obligation d’en nommer un : article 37 du RGPD).
Ce pouvoir est expressément prévu à l’article 58 du RGPD.
Et ça, ça signifie que le nombre des contrôles de la CNIL va être démultiplié. Chaque année, la CNIL publie dans son rapport annuel, et le nombre de contrôles est constant depuis une dizaine d’années : environ 400 (430 en 2016, dernière année connue au moment d’écrire ces lignes).
Mais avec les contrôles sur pièces, ce sera nettement plus simple pour la CNIL d’industrialiser le processus de contrôle.
Un conseil pratique pour finir : si vous devez mener une étude d’impact (un PIA) au sens de l’article 35 du RGPD, vous pouvez utiliser le logiciel mis à disposition par la CNIL. Cela rendra la communication avec la CNIL plus fluide.
« RGPD : simple, no bullshit ».
Nos services : cf notre page « avocat rgpd ». Selon votre besoin :
– Consultation simple (un point de droit qui vous chiffonne ? faut-il faire un PIA dans mon cas ?),
– Accompagnement ponctuel : validation des contrats entre mon entreprise et son hébergeur, refonte de mes contrats d’éditeur de logiciels,
– Accompagnement global : formation, PIA, transfert de compétence vers le DPO interne, établissement de la roadmap de la conformité, vérification de documents sécurité sous l’angle réglementaire.
La date de publication de cet article est : 06/02/2018 . Des évolutions de la loi ou de la jurisprudence pouvant intervenir régulièrement, n’hésitez pas à nous contacter pour plus d’information.