# Les rôles et pouvoirs de la CNIL

Chaque État membre prévoit qu'une ou plusieurs autorités publiques indépendantes sont chargées de surveiller l'application du règlement, afin de protéger les libertés et droits fondamentaux des personnes physiques et de faciliter la libre circulation des données à caractère personnel au sein de l'Union Européenne.

En France, c’est la CNIL, Commission Nationale de l’Informatique et des Libertés, qui se charge de ces missions.

# Conseil et accompagnement

La CNIL adopte des cadres de référence (codes de conduite, labels, référentiels…) pour aider les entités à atteindre la conformité adéquate.

En supplément, la CNIL peut conseiller le responsable de traitement dans le cadre de consultation à la suite d’une étude d’impact ou autoriser certaines pratiques (traitement de données personnelles, transfert hors UE…).

L’autorité de contrôle délivre également des avis auprès du gouvernement et du parlement.

# Enquêtes et contrôles

# Comment la CNIL décide-t-elle de faire un contrôle ?

La CNIL dispose d’un panel de missions dont le contrôle de l’application du règlement et le respect de celui-ci. A cette fin, elle peut effectuer des enquêtes sur le fondement :

  • De son programme annuel de contrôle, la CNIL porte son attention sur divers sujet chaque année et oriente ses contrôles sur ces objectifs
  • De réclamations et de plaintes reçues
  • De son initiative personnelle au regard de l’actualité
  • Du cas spécifique de la vidéoprotection, la CNIL est compétente pour contrôler les systèmes de vidéoprotection ouvert au public
  • Du contrôle à la suite de mises en demeure ou de sanctions précédemment délivrées

# Quelles sont les différents types de contrôles effectués par la CNIL ?

Dans le cadre de son pouvoir d’enquête, l’autorité de contrôle peut notamment :

  • Contrôle sur place
  • Audition sur convocation : Le responsable de traitement ou sous-traitant doit se rendre dans les locaux de la Commission après avoir été prévenu par courrier.
  • Contrôle en ligne : la CNIL, depuis ses locaux, consulte les données accessibles en ligne.
  • Contrôle sur pièce : ordonner la communication de toute information dont elle a besoin pour l’accomplissement de ses missions

Lors de ces contrôles, la CNIL peut procéder à des audits de protection des données ou à des examens de certifications délivrées, notifier une violation alléguée du règlement, obtenir l’accès à toutes les données à caractère personnel et informations nécessaires à l’accomplissement de ses missions et enfin obtenir l’accès à tous les locaux, notamment à toute installation et à tout moyen de traitement.

# Mesures coercitives et sanctions

L’autorité de contrôle est en mesure d’adresser des avertissements, des rappels à l’ordre et peut communiquer à la personne concernée une violation de données. Elle peut, de plus, imposer une limitation temporaire ou définitive y compris une interdiction du traitement. En outre, la CNIL peut imposer une mise en conformité sur un traitement de donnée spécifique et prononcer des amendes administratives.

L’article 83 du RGPD évoque les conditions générales pour imposer une amende administrative.

Pour déterminer le montant de l’amende, différents critères sont pris en compte comme par exemple la nature de la violation et sa portée bien entendu mais aussi la bonne foi de l’organisme sanctionné ou le nombre de personne touché par cette violation.

Deux catégories de violation sont distinguées par le règlement :

  • Les violations pouvant faire l’objet d’amendes administratives pouvant s’élever jusqu’à 10 millions d’euros ou, dans le cas d’une entreprise, jusqu’à 2% du chiffre d’affaires annuel mondial total de l’exercice précédent (le montant le plus élevé étant retenu).

Exemples : absence de tenue du registre des activités de traitement lorsqu’il est obligatoire, absence de notification à l’autorité de contrôle ou à la personne concernée d’une violation de données à caractère personnel, défaut d’encadrement contractuel des relations entre les responsables conjoints de traitement ou avec les sous-traitants, absence de désignation d’un délégué à la protection des données dans les hypothèses où une telle désignation est obligatoire

  • Les violations pouvant faire l’objet d’amendes administratives pouvant s’élever jusqu’à 20 millions d’euros ou, dans le cas d’une entreprise, jusqu’à 4% du chiffre d’affaires annuel mondial total de l’exercice précédent (le montant le plus élevé étant retenu).

Exemples : non-respect des principes de base applicables aux traitements de données à caractère personnel, non-respect des droits des personnes concernées, non-respect d’une injonction prononcée par l’autorité de contrôle

Enfin, l’autorité de contrôle agit en justice en cas de manquement au RGPD.

Il est à noter que les décisions rendues par la CNIL font l’objet d’un recours devant le Conseil d’Etat directement.