Au JO du 16 mars 2022 a été publiée la délibération de la Commission nationale de l’informatique et des libertés (CNIL) n° HAB-2022-001 du 3 mars 2022 habilitant des agents de la Commission nationale de l’informatique et des libertés à procéder à des missions de vérification.
.
Dans le cadre du renforcement de sa politique de contrôle, la CNIL habilite quelques 146 agents à l’effet de contrôler le respect, par les responsables de traitement, du Règlement général sur la protection des données (RGPD). Précédemment, la Commission comprenait 136 habilités.
Pour rappel, les agents de contrôle de la CNIL ont pour mission de contrôler le respect du RGPD. A cette fin, ils peuvent :
- accéder, de 6 heures à 21 heures, aux lieux, locaux, enceintes, installations ou établissements servant à la mise en œuvre d’un traitement de données à caractère personnel (des restrictions sont prévues pour les lieux ayant la nature d’un domicile). Le responsable des lieux doit être informé de son droit d’opposition à la visite. Lorsqu’il exerce ce droit, la visite ne peut se dérouler qu’après l’autorisation du juge des libertés et de la détention (JLD) du Tribunal judiciaire (TJ) dans le ressort duquel sont situés les locaux à visiter. Lorsque l’urgence, la gravité des faits à l’origine du contrôle ou le risque de destruction ou de dissimulation de documents le justifie, la visite peut avoir lieu sans que le responsable des locaux en ait été informé, sur autorisation préalable du JLD ; dans ce cas, le responsable des lieux ne peut s’opposer à la visite. La visite s’effectue sous l’autorité et le contrôle du JLD qui l’a autorisée, en présence de l’occupant des lieux ou de son représentant qui peut se faire assister d’un conseil de son choix ou, à défaut, en présence de deux témoins qui ne sont pas placés sous l’autorité des personnes chargées de procéder au contrôle ;
- demander communication de tous documents nécessaires à l’accomplissement de leur mission, quel qu’en soit le support, et en prendre copie ;
- recueillir, notamment sur place ou sur convocation, tout renseignement et toute justification utiles et nécessaires à l’accomplissement de leur mission ;
- accéder, dans des conditions préservant la confidentialité à l’égard des tiers, aux programmes informatiques et aux données ainsi qu’en demander la transcription par tout traitement approprié dans des documents directement utilisables pour les besoins du contrôle.
Le secret ne peut leur être opposé sauf concernant les informations couvertes par :
- le secret professionnel applicable aux relations entre un avocat et son client ;
- le secret des sources des traitements journalistiques ;
- le secret médical, si sont concernés des informations figurant dans un traitement nécessaire aux fins de la médecine préventive, de la recherche médicale, des diagnostics médicaux, de l’administration de soins ou de traitements, ou de la gestion de service de santé. La communication des données médicales individuelles incluses dans cette catégorie de traitement ne peut alors se faire que sous l’autorité et en présence d’un médecin.
En dehors des contrôles sur place et sur convocation, ils peuvent procéder à toute constatation utile et notamment, à partir d’un service de communication au public en ligne :
- consulter les données librement accessibles ou rendues accessibles, y compris par imprudence, par négligence ou par le fait d’un tiers, le cas échéant en accédant et en se maintenant dans des systèmes de traitement automatisé de données le temps nécessaire aux constatations ;
- retranscrire les données par tout traitement approprié dans des documents directement utilisables pour les besoins du contrôle ;
- réaliser toute opération en ligne nécessaire à leur mission sous une identité d’emprunt, avec la limite qu’ils n’ont pas le droit d’inciter à commettre une infraction.
Les agents de contrôle peuvent, à la demande du président de la Commission, être assistés par des experts.
A l’issue de leurs investigations, ils dressent procès-verbal de leurs vérifications et visites ; ce document doit être établi contradictoirement lorsque les vérifications et visites ont été effectuées sur place ou sur convocation.
