L’autorité de contrôle peut demander à une entreprise de fournir des preuves de conformité dans des délais très courts. Le non-respect du RGPD peut entrainer des amendes qui vont de 10 à 20 millions d’euros, ou de 2 à 4 % du chiffre d’affaires total, selon le montant le plus élevé des deux.
La CNIL a annoncé en avril dernier la fin de la période de transition pour 2019. Elle dit désormais vérifier pleinement le respect des nouvelles obligations et nouveaux droits issus du cadre européen (analyse d’impact, portabilité des données, tenue d’un registre des traitements et des violations) et tirer, au besoin, toutes les conséquences en cas de constatation de manquements. S’agissant de son programme annuel des contrôles qui représente environ un quart de ses investigations, la Commission a souhaité concentrer son action cette année sur trois thèmes : le respect des droits des personnes (en 2018, environ 73% des plaintes reçues par la CNIL portaient sur le non-respect de l’exercice d’un droit), le traitement des données des mineurs, la répartition des responsabilités entre responsable de traitements et sous-traitants.
La mission de contrôle de la CNIL vise prioritairement à obtenir copie du maximum d’informations, techniques et juridiques, pour apprécier les conditions dans lesquelles sont mis en œuvre des traitements. Dès lors, l’avocate Garance Mathias conseille de réfléchir en amont aux éventuels documents que l’organisme préfèrerait ne pas communiquer aux agents de la CNIL en cas de contrôle et d’élaborer une procédure qui énonce comment réagir à la visite de la CNIL et qui prévient immédiatement le DPO. Le plan de gestion de crise permet notamment de déterminer qui est le responsable des lieux ou encore quels sont les bureaux et les ressources mises à disposition des agents de la CNIL.
