88
Bilan d’activité 2019
CONTRÔLER et sanctionner
Le contrôle sur place, sur pièces, sur audition ou en ligne permet à la CNIL de vérifier la mise en œuvre concrète de la loi. Un programme des contrôles est élaboré en fonction, des grandes problématiques identifiées, des thèmes d’actualité et des plaintes dont la CNIL est saisie. À l’issue des contrôles, la Présidente de la CNIL peut décider, d’abord, de clôturer le dossier, le cas échéant après avoir rappelé à l’organisme ses obligations. Elle peut également prononcer une mise en demeure, susceptible d’être rendue publique. Elle peut, enfin, saisir la formation restreinte de la CNIL. La formation restreinte, composée de 5 membres et d’un Président distinct, peut prononcer diverses sanctions dont des amendes d’un montant maximal de 20 millions d’euros ou 4 % du chiffre d’affaires mondial. Ces sanctions peuvent être rendues publiques.
En pratique, notre travail consiste à conduire des enquêtes pour comprendre dans quel but et de quelle façon les données personnelles sont utilisées. Pour cela, nous effectuons différents types de contrôles : sur place dans les locaux de l’organisme, en ligne depuis les bureaux de la CNIL, sur pièces (examen de documents transmis par l’organisme) ou sur audition (la personne responsable du fichier est convoquée et entendue dans les locaux de la CNIL).
Maxime
Juriste au service des contrôles « Travail, santé et affaires publiques »
Nous réalisons chacun, sur l’ensemble du territoire français, environ 50 contrôles par an, le plus souvent sur place. Dans ce cas, nous nous rendons auprès de l’organisme et demandons à nous entretenir avec le DPO ou avec un responsable afin de lui présenter le cadre de la mission. L’objectif du contrôle est d’examiner un ou plusieurs traitements de données et d’en faire état dans un procès-verbal qui consigne l’ensemble des informations délivrées et des constats effectués. Nous prenons également copie de pièces au format numérique et papier, par exemple, des contrats, des extraits de base de données ou des documents de procédure internes. Ces éléments permettront par la suite d’évaluer la conformité du ou des traitement(s) et de proposer des orientations à donner (courrier, mise en demeure ou sanction). Au cours de l’année 2019, nous avons, par exemple, contrôlé des entreprises du secteur de la prospection politique, des collectivités locales sur la thématique de la « Smart City » ainsi que de nombreux sites web présentant des défauts de sécurité pouvant conduire à des violations de données personnelles.
Tony
Afin d’assurer un haut niveau d’expertise, nous nous formons régulièrement dans nos secteurs de compétence respectifs, par exemple sur les aspects de sécurité des systèmes d’information.
Auditeur des systèmes d’information au service des contrôles « Affaires économiques »
