Tous les traitements de données à caractère personnel dont le responsable dispose d'un établissement sur le territoire français ou qui recourt à des moyens de traitement situés sur ce territoire peuvent être soumis à des contrôles par la Cnil. Cette démarche peut, par exemple, faire suite à une plainte d'un tiers ou encore à une demande d'autorisation de traitement.

3 types de contrôles différents

Il existe 3 types de contrôles:

• Sur place. Dans ce cas, la démarche ne peut se dérouler que dans un établissement situé sur le territoire français.
• via une audition sur convocation.
• à distance via un contrôle en ligne.

Les contrôles sur place et en ligne peuvent se faire sans que le responsable soit préalablement informé. Les contrôles en ligne  "se limitent à la consultation des données librement accessibles ou rendues accessibles, y compris par imprudence, négligence ou du fait d'un tiers", indique la Cnil.

Dans le cadre de contrôles par audition, le responsable doit être prévenu au moins huit jours avant via une convocation.

Règlement Général sur la Protection des Données : les artisans aussi concernés

Les entreprises bénéficient d'un droit à l'erreur

Les sanctions financières sont importantes et dissuasives. En cas de récidive, les amendes peuvent s’élever de 2 à 10 % du chiffre d’affaires de l’entreprise. Les entreprises ont tout de même le droit à l’erreur et ne seront pas instantanément sanctionnées. Des avertissements puis des mises en demeure seront d’abord prononcées.

La nature de l'infraction, sa gravité, son caractère délibéré, sa répétition sont pris en compte dans la sévérité de la décision de la Cnil.  "Toute mesure prise par le responsable de traitement ou le sous-traitant pour atténuer le dommage subi par les personnes concernées" sera également prise en compte dans la décision.En résumé, les décisions seront prises au cas par cas. 

"la Cnil ne va pas tirer à boulets rouges sur les entreprises dans les premiers mois, sauf en cas de manquements manifestes et graves" Jean Lessi, secrétaire général de la Cnil. 

Quels documents sont demandés ?

La Cnil va rechercher le  "maximum d'informations, techniques et juridiques, pour apprécier les conditions dans lesquelles sont mis en œuvre des traitements de données à caractère personnel". En résumé, tout ce qui touche de près ou de loin les données personnelles.

• contrats (locations de fichier, sous-traitance informatique, etc.),
• formulaires,
• dossiers papiers,
• base de données

Une prise de conscience avant une politique répressive

"Tout le monde ne sera pas forcément conforme le 25 mai, l'essentiel est d'avoir pris conscience et de s'engager dans cette démarche de conformité", a souligné le secrétaire général de la Cnil. L'autorité de contrôle est "consciente de la nouveauté" de certaines obligations (portabilité, notification des violations de données notamment) et "va intégrer la nécessaire courbe d'apprentissage dans sa politique répressive."

La Cnil met à disposition 17 fiches pratiques pour rappeler les bases de la protection de données et se préparer à la RGPD 

• Sensibiliser les utilisateurs 
• Authentifier les utilisateurs 
• Gérer les habilitations
• Tracer les accès et gérer les incidents 
• Sécuriser les postes de travail 
• Sécuriser l'informatique mobile 
• Protéger le réseau informatique interne 
• Sécuriser les serveurs 
• Sécuriser les sites Web 
• Sauvegarder et prévoir la continuité d'activité 
• Archiver de manière sécurisée
• Encadrer la maintenance et la destruction des données 
• Gérer la sous-traitance
• Sécuriser les échanges avec d'autres organismes 
• Protéger les locaux
• Encadrer les développements informatiques 
• Chiffrer, garantir l'intégrité ou signer 

L'équipe Avisé 

Sources : Cnil

Chef d'Entreprise, 29/01/2018

Crédit visuel : Cnil