Contrôle RGPD de la CNIL, comment ça se passe ?
Qui peut être concerné par un contrôle RGPD de la CNIL ?
La CNIL, Commission Nationale de l’Informatique et des Libertés, est en droit de mener un contrôle RGPD auprès de tous les organismes présents en France, disposant de données personnelles et s’occupant de leur traitement. Il est aussi possible de procéder à un contrôle RGPD de la CNIL auprès d’organismes installés en dehors du territoire national mais concernant des personnes qui résident en France.
Enfin, cette étude peut aussi se concentrer sur les sous-traitants d’un organisme de traitement des données ou encore sur un établissement disposant de structures au sein de l’Union Européenne pouvant manipuler des données personnelles issues de personnes de l’UE.
Les points de contrôle de la CNIL
Il faut savoir que le contrôle RGPD de la CNIL peut porter sur différents éléments. Une analyse poussée pourra alors être de vigueur sur :
- les données sensibles et leur traitement, notamment les données en lien avec des individus mineurs
- le respect des droits des personnes en lien avec le RGPD : dans ce cas, la CNIL vérifiera si le droit à l’oubli, à la portabilité des données ou encore à la rectification sont bien assurés.
- les relations entretenues entre l’administrateur du traitement des données et les éventuels sous-traitants en la matière
Pourquoi effectuer un contrôle RGPD par la CNIL ?
Un contrôle RGPD de la CNIL peut émaner de diverses raisons. Il peut alors faire suite à :
- une réclamation
- un signalement
- une initiative
- un programme annuel des contrôles
- un dispositif de vidéoprotection
- une procédure de contrôle terminée
- une mise en demeure
- une sanction
Les différents types de contrôle RGPD réalisés par la CNIL
La CNIL est en mesure de réaliser plusieurs types de contrôle RGPD. Ainsi, elle est en mesure d’effectuer :
- un contrôle en ligne : des locaux de la CNIL, les agents mandatés réalisent les recherchent en ligne, sur des données publiques de l’établissement concerné ou bien sur des données dont l’accès leur a été fourni
- un contrôle sur pièce : la CNIL établi un questionnaire à la structure concernée par le contrôle qui se doit alors d’y répondre dans les plus brefs délais et de fournir les éventuels documents demandés en guise de justificatifs
- un contrôle sur place : des agents de la CNIL se rendent sur place pour effectuer une enquête de terrain
- une audition sur convocation : une convocation est envoyée au responsable du traitement des données de la structure visée. Ce dernier se devra de se rendre à la CNIL selon le jour et l’horaire mentionnés sur ladite convocation et se devra de répondre aux interrogations qui lui seront formulées.