C’est une expérience marquante, parfois douloureuse, pour les entrepreneurs qui en ont fait l’expérience. Pour vivre sereinement un contrôle de la CNIL, il est nécessaire d’anticiper. Attention : les PME et les start-up sont aussi dans le viseur.
Le souvenir d’un contrôle de la CNIL (Commission nationale de l’informatique et des libertés) rend les entrepreneurs peu loquaces, en raison surtout des conséquences auxquelles elle les expose.
L’année dernière, 158 organismes privés ont été contrôlés par la CNIL, dont 61 % comptaient moins de 500 salariés. Pour des raisons de confidentialité, il ne nous a pas été possible d’assister à un tel contrôle. Aussi avons-nous interrogé plusieurs chefs d’entreprise afin de connaître leur point de vue, de même que nous avons épluché la charte de contrôle publiée fin août 2020 par la CNIL. Il en ressort que le point essentiel, pour les dirigeants de PME et de start-up, est d’anticiper.
Des visites surprises liées à des plaintes ou signalements
Le contrôle sur place est la modalité phare de la CNIL. La règle générale consiste à ne pas prévenir les entreprises de la visite d’agents dans leurs locaux, afin par exemple d’éviter toute destruction de fichiers. Remises en cause le temps de la crise sanitaire, ces visites surprises ont marqué les dirigeants qui y ont été confrontés. « Les agents sont arrivés un matin, vers 10 heures, au moment où j’avais rendez-vous avec mon comptable. Je n’étais au courant de rien », témoigne Cédric Lemaître, dirigeant de Boutique.aero, qui vend des produits dérivés autour de l’aviation, à Blagnac, près de Toulouse. En mars 2019, ce commerce a subi un contrôle « à la suite d’un signalement de l’inspection du travail », à en croire son dirigeant.
Les contrôles de la CNIL visent à vérifier la conformité du traitement des données à caractère personnel avec la loi informatique et libertés de 1978 ainsi qu’avec le règlement général sur la protection des données (RGPD), entré en vigueur en 2018.
Environ 20 % de ces contrôles sont menés dans le cadre de thématiques prioritaires définies par l’institution – actuellement :
- la sécurité des données de santé,
- les usages des données de géolocalisation
- et le respect des dispositions sur les cookies et autres traceurs.
Les plaintes de salariés ou de particuliers sont à l’origine de 40 % des contrôles. Le reste est entrepris en réaction à l’actualité ou à des signalements – de l’inspection du travail, par exemple.
Vérifications techniques et gestion juridique
Le contrôle sur place est mené par au moins un juriste et un auditeur des systèmes d’information. Ils peuvent être accompagnés par tout autre agent de la CNIL habilité (comme par exemple un agent du service des plaintes ou un agent disposant d’une expertise technologique particulière).
« Les questions portaient d’abord sur l’activité de la société. Ensuite, les agents ont voulu comprendre le fonctionnement technique de notre service et de notre gestion juridique. Je me suis donc fait épauler par l’équipe technique et par notre personne en charge des sujets juridiques », raconte Benoit Grouchko , cofondateur de Teemo, l’une des start-up de ciblage publicitaire à avoir été touchées par une vague de contrôles de la CNIL en 2017 et en 2018.
Fidzup était aussi l’une d’entre elles . Elle a été contrôlée, puis liquidée judiciairement fin 2019.
« Pendant la vérification technique, les agents ont demandé à ce que l’on effectue des requêtes dans nos bases de données. [Ils ont aussi demandé] à accéder à nos codes sources. Ils se sont aussi assurés de la sécurité d’accès au serveur, en se renseignant par exemple sur le nombre de caractères des mots de passe », indique son ancien dirigeant, Olivier Magnan-Saurin.
A l’issue de la journée de contrôle, un procès-verbal listant les requêtes effectuées est dressé par les contrôleurs et soumis à l’entreprise. « Il ne faut pas hésiter à passer du temps à relire et à soumettre ses commentaires dans le cadre prévu à cet effet », souligne Olivier Magnan-Saurin. L’entrepreneur conseille également de leur « demander de reformuler » en cas d’inexactitudes.
Le spectre de la sanction ou de la mise en demeure publique
S’ensuit une phase d’instruction pouvant s’étaler de quelques semaines à un an et demi. L’entreprise peut avoir à envoyer des documents au cours de cette période, que ces derniers soient réclamés ou non.
« Sur tous les points où il y avait potentiellement un sujet, nous nous sommes empressés d’apporter des modifications et de faire parvenir les ajustements », se souvient Benoit Grouchko. Une attitude appréciée par la CNIL, de manière générale.
Chez certains entrepreneurs, l’instruction génère de la frustration, car la CNIL n’assure pas d’accompagnement pendant cette phase.
Au terme de la procédure, le régulateur décide :
- d’une simple clôture,
- d’une mise en demeure enjoignant l’entreprise à se mettre en conformité,
- ou d’une sanction financière. Le montant de l’amende est apprécié en fonction du chiffre d’affaires et des bénéfices de l’entreprise.
Boutique.aero a obtenu la clôture de son dossier après une mise en demeure publique pour des problèmes liés à son système de vidéosurveillance et à des manquements au RGPD. Teemo et Fidzup ont connu le même sort, après s’être vu reprocher des failles dans le recueil du consentement des mobinautes.
Des expériences douloureuses pour ces entreprises et pour leurs dirigeants. Dans un texte posté sur la plateforme Medium au début de l’année, Olivier Magnan-Saurin liait le dépôt de bilan de Fidzup à l’impact de la mise en demeure publique.
Pour éviter de vivre ce qu’il retient comme un « énorme coup d’arrêt » pour son business, Benoit Grouchko glisse un dernier conseil : « En tant que chef d’entreprise, il ne faut pas être réactif mais proactif. Il faut donc anticiper au maximum ces sujets, pour ne pas prendre de risques. »
Pour réaliser ses contrôles, la CNIL s’appuie sur vingt agents seulement. En 2019, un peu moins de trois cents contrôles ont été effectués. Plusieurs d’entre eux peuvent concerner un même organisme, notamment lorsqu’il s’agit de vérifier une mise en conformité après mise en demeure.
L’année dernière, une quarantaine de mises en demeure ont été prononcées et sept amendes infligées.
Pour vous préparer à un contrôle de la CNIL, ne manquez pas notre formation rgpd CNIL.
JONATHAN GRELIER