En cas de contrôle, le registre est indispensable

VRAI ! Le registre des activités de traitement est l’une des pièces principales que demandera la CNIL (ou tout autre organisme européen) dans le cas d’un contrôle de l’utilisation des données personnelles. Mais il n’est pas le seul document à fournir, loin de là. Décryptage.

Comment se passe un contrôle ?

Dès le 25 mai, le RGPD s’appliquera sur l’ensemble du territoire européen. Cela signifie que dès le lendemain, des contrôles pourraient être effectués par la CNIL – même si cela paraît peu probable.

Comment se passerait un tel audit ? D’abord, il faut savoir que la décision serait prise « par le président de la CNIL, sur proposition du service des contrôles ». Elle pourrait, par exemple, faire suite à une plainte d’un tiers.

Trois types de contrôle peuvent être effectués. Le contrôle sur place, tout d’abord, le plus souvent sur convocation, au moins 8 jours avant la date du rendez-vous. Le contrôle dans un local de la CNIL, ensuite, également sur convocation et dans les mêmes délais. Le contrôle en ligne, parfois sans avoir besoin de prévenir le responsable du traitement visé. Dans ce dernier cas, les contrôles « se limitent à la consultation des données librement accessibles ou rendues accessibles, y compris par imprudence, négligence ou du fait d’un tiers ».

Les documents à fournir

On l’a dit, le registre des activités de traitement est le principal document à fournir en cas de contrôle effectué par la CNIL. Rappelons que celui-ci est obligatoire pour les entreprises de plus de 250 salariés et pour celles qui effectuent des traitements sensibles selon l’article 30 du RGPD. Il doit comprendre un certain nombre de documents et d’informations, tenus à jour :

  • L’identification du traitement ;
  • Le nom du responsable du traitement en question ;
  • La finalité du traitement (principale et secondaire, voire plus) ;
  • La durée de conservation des données…

La CNIL cherchera par ailleurs à obtenir « copie du maximum d’informations, techniques et juridiques, pour apprécier les conditions dans lesquelles sont mis en œuvre des traitements de données à caractère personnel ». Il convient donc de prévoir d’être en mesure de lui fournir des copies des contrats de sous-traitance informatique, par exemple.

Et la suite ?

Après un contrôle, un procès-verbal est établi, listant notamment les pièces qui ont été communiquées à la CNIL et ont fait l’objet d’une copie. Celles-ci sont ensuite étudiées. Deux issues sont alors possibles :

  • La CNIL n’a pas d’observation particulière à formuler. Elle clôture le contrôle « par un courrier du président de la CNIL qui peut contenir des recommandations (modification des durées de conservation, des mesures de sécurité…) » ;
  • La CNIL a trouvé des choses à redire. Le dossier est alors transmis à la formation restreinte de l’organisme de contrôle, qui réétudiera les pièces et les conclusions des agents. Elle pourra alors prononcer des avertissements, mettre en demeure de se mettre en conformité ou de suspendre les flux de données en dehors de l’Union européenne, voire prononcer des sanctions (jusqu’à 20 millions d’euros ou 2 à 4 % du chiffre d’affaires de l’entreprise).

Les sanctions prévues par le RGPD ont le mérite d’être dissuasives. Si elles ne seront probablement pas prononcées dès le 25 mai, ne tardez pas à vous mettre en conformité, en vous référant à notre Guide du DPO prêt à l’action !