La Commission nationale de l’informatique et des libertés (Cnil) vient de diffuser un document pour la mise en œuvre de ses contrôles. Que faut-il savoir?

Tous les professionnels doivent désormais prendre en compte le « règlement européen sur la protection des données personnelles » (RGPD) dans le cadre de leurs activités (règl. (UE) 2016/679 du 26.04.2016).

Un nouveau cadre légal et réglementaire est à prendre en compte, à cet égard, depuis le 1er juin 2019.

En droit, une loi n° 2018-493 du 20 juin 2018 (JO du 21.06.2018), appelée loi « CNIL 3 », est venue adapter la législation nationale, pour tenir compte du règlement RGPD. Une ordonnance n° 2018-1125 du 12 décembre 2018 (JO du 13.12.2018), complétée par un décret n° 2019-536 du 29 mai 2019 (JO du 30.05.2019), est venue finaliser cette réforme, qui a impliqué une vaste refonte de la loi n°78-17 du 6 janvier 1978 (dite loi «Informatique et Libertés»).  

La Commission nationale de l’informatique et des libertés (CNIL) dispose de pouvoirs de contrôle auprès de tout organisme public ou privé, mettant en œuvre des traitements de données personnelles.

Tout professionnel de l'immobilier peut notamment être concerné, dans le cadre de ses activités. Il en va notamment ainsi pour des agents immobiliers, ADB ou syndics de copropriété. Au plan déontologique, un professionnel Hoguet doit veiller au bon « respect » de la loi «Informatique et Libertés» de 1978 (C. déont. art. 3).

Afin d’assurer le bon déroulement de cette mission de contrôle, la CNIL a décidé de diffuser  une «charte des contrôles» à l'attention des professionnels, le 1er septembre 2020.

Ce document de 19 pages, daté du 5 août 2020, a pour objectif «d’assurer une plus grande transparence sur cette activité et favoriser le bon déroulement des investigations».

Selon le communiqué diffusé par la Cnil, la charte «a pour objectif de rappeler, aussi précisément que possible, les droits et obligations des organismes faisant l’objet d’un contrôle, au regard notamment de la loi Informatique et Libertés et du RGPD». La Cnil précise également le «déroulement et les suites d’un contrôle, quel qu’en soit sa forme, ainsi que les principes de bonne conduite à suivre dans ce cadre».

La charte précise que les missions de contrôle sont déclenchées sur décision de la Présidente de la Cnil à la suite d’une réclamation ou d’un signalement, d’une alerte parue dans la presse, ou de sa propre initiative (notamment sur la base de thématiques prioritaires annuelles). Rappelons que, dans le cadre de son programme annuel de contrôles pour 2018, la Cnil a par exemple procédé à des vérifications, auprès d’agences immobilières, sur les conditions de mise en œuvre des traitements de collecte et de conservation des pièces justificatives demandées en location (A&C Immobilier 15ème année n°17 p. 4).

Les contrôles peuvent être réalisés sur place, sur pièces, sur convocation ou en ligne.

Dans le cadre d'un contrôle, la Cnil peut demander communication de tous documents ou renseignements utiles et nécessaires à l’accomplissement de sa mission.

Les agents de la Cnil en charge des contrôles font l’objet d’une habilitation et sont soumis au secret professionnel.

Ils peuvent accéder aux programmes informatiques et aux données ainsi qu’en demander la transcription.

Pour l’exercice de leurs missions, les agents habilités peuvent accéder à tous locaux de 6 heures à 21 heures (cf. loi de 1978, art. 19), sans informer au préalable le professionnel concerné. L’accès à des locaux affectés au domicile privé ne peut se faire que sur autorisation du juge des libertés et de la détention.

La Cnil a bien pris de soin de rappeler que la charte «ne se substitue pas aux dispositions légales applicables aux contrôles effectués»

La mission de vérification des agents habilités est encadrée notamment par l'article 19 de la loi de 1978 (cliquer ici), et par le décret n° 2019-536 du 29 mai 2019.

Est punissable d'un an d'emprisonnement et de 15.000 € d'amende le fait d'entraver l'action de la Cnil en refusant de communiquer aux agents habilités les renseignements et documents utiles à leur mission, notamment (Code Pénal, art. 226-22-2).

Pour consulter :

  • la «charte des contrôles» publiée par la Cnil - format pdf: cliquer ici
  • le RGPD : cliquer ici
  • la loi «Informatique et Libertés», nouvelle version : cliquer ici

Notons que la Cnil a également publié, en juin 2020, son rapport (annuel) d'activité pour 2019 (cliquer ici)

Références

Site internet de la Cnil - communiqué du 1er septembre 2020

Loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés

Décret n° 2019-536 du 29 mai 2019 pris pour l'application de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés (JO n°0125 du 30 mai 2019)

Une «charte des contrôles», élaborée par la Cnil, fait le point sur les droits et obligations des professionnels pouvant faire l’objet d’un contrôle en matière de traitement de données personnelles, mais aussi le déroulement et les suites d'un contrôle.

Détails de contact
Editions Francis Lefebvre | 42, rue de Villiers | CS 50002 | 92532 Levallois-Perret
Tél. : 03.28.04.34.10 | Fax : 03.28.04.34.11
service.clients.pme@efl.fr | pme.efl.fr
SAS au capital de 241 608 euros | RCS Nanterre | N° TVA : FR 764 147 408 52 | Code APE : 5814 Z