Toute personne physique ou morale peut déposer une plainte CNIL auprès de la Commission Nationale de l’informatique et des libertés (CNIL). La principale raison pour qu’une personne dépose une plainte est un manquement relatif au traitement de données personnelles. Dans l’univers numérique, la CNIL est le régulateur des données personnelles en application de la loi informatique et libertés en France.
La loi informatique et libertés est une loi française adoptée en 1978 qui a pour but de protéger les données personnelles des individus contre toute utilisation abusive. Elle est également connue sous le nom de « loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés » .
La plainte précisera un motif (politique de confidentialité non conforme, incohérence entre la politique cookies et la réalité des cookies utilisés, etc.) et l’organisme (entreprise, association…) contre lequel elle est déposée. Toutes personnes peut déposer des plaintes en ligne ! Ce qui la rend très accessible lorsqu’une personne constate que la protection des données personnelles n’est pas respectée.
Comment réagir en cas de réception d’une plainte ?
🕐 Les heures qui suivent la réception d’une plainte sont critiques. En fonction de la réponse apportée, la CNIL va choisir si elle y donne suite, conduit à des recommandations ou lance une instruction pouvant mener à amende allant jusqu’à 4% de votre CA.
Si vous recevez une mise en demeure de la CNIL vous indiquant le motif de la plainte et l’ensemble des explications à fournir, vous devez répondre dans les meilleurs délais, et sous un mois maximum.
Le délai pour répondre est de 30 jours !
Il s’agit d’un délai extrêmement court pour apporter des réponses satisfaisantes pour la CNIL.
Vous ne serez pas informé du dépositaire de la plainte, même à l’issue de la procédure.
Dans la plupart des cas, il s’agit d’un employé, une organisation syndicale ou d’un client. Toutefois, cela peut également être un concurrent qui souhaite vous affaiblir ! Il n’est d’ailleurs pas nécessaire d’avoir un préjudice pour déposer plainte. Toute personne peut déposer plainte à la CNIL dès lors qu’il identifie une faille.
C’est pourquoi il est important de se mettre en conformité avec le règlement général sur la protection des données (RGPD). Ce respect vous permet de sécuriser et de renforcer les traitements de données au sein de l’organisation.
La principale complexité est d’identifier, dans un temps réduit, la réalité des faits et l’origine du traitement de données non conformes mis en avant dans la plainte.
En effet, le traitement à l’origine de la plainte n’est peut-être pas référencé et pratiqué de manière générale par l’entreprise mais représente plutôt une pratique d’un service ou d’une personne isolée (ex : RATP condamnée à 400 000 € d’amende en 2021 parce que des employés du service RH avaient intégré des éléments politiques dans les fichiers en lien avec les carrières).
En conséquence, un audit technique est parfois nécessaire. Il est également fréquent de devoir interroger des personnes. Tous ces points nécessitent de s’organiser, d’avancer étape par étape et donc de prendre le temps nécessaire.
Il est important de désigner un délégué à la protection des données (DPO) dans l’entreprise. Il sera le chef d’orchestre du traitement des données personnelles. Un DPO peut être couteux, c’est pourquoi il est judicieux de recourir à un DPO externe qui va se nommer auprès de la CNIL et qui va traiter ses sujets.
Il est clé de sensibiliser vos employés sur le sujet en amont et d’en conserver des preuves. Vous ne pouvez pas contrôler les pratiques de tous vos employés, tous les jours. En effet, il y a plusieurs règles à respecter; La plus commune est la durée de conservation des données personnelles. Il est important que vos salariés connaissant certaines règles (supprimer le CV d’un candidat au bout de 3 ans, enregistrer les documents professionnels dans un cloud pour éviter les fuites de données, …).
Par contre, vous pouvez diffuser régulièrement les bonnes pratiques et ce qui n’est pas autorisé.
Dans ce cas, vous serez en capacité de prouver à la CNIL que vous avez mis tout en œuvre pour éviter des traitements non conformes isolés, ce qui réduira ou supprimera les risques de sanction.
La CNIL va probablement demander des preuves de conformité RGPD au-delà du périmètre de la plainte, dans l’ensemble des services de l’entreprise.
Si ce n’est pas encore le cas, vous devez vous mettre en conformité RGPD dans ces 30 jours ! Ce délai sera très complexe à respecter, notamment en parallèle du traitement de la plainte. Il est donc fondamental de se mettre en conformité RGPD dès aujourd’hui afin de prévenir ce risque qui arrivera nécessairement un jour.
Auparavant complexe et couteuse, notamment pour des acteurs PME-ETI, Startup ou association, les offres de mises en conformités évoluent. Dipeeo propose notamment un service de mise en conformité RGDP globale, simple, accessible et validé par des avocats et DPO.
La Commission Nationale de l’Informatique et des Libertés (CNIL) est l’organisme chargé de veiller à la protection des données personnelles en France. Si vous estimez qu’une entreprise ou une institution ne respecte pas les lois relatives à l’informatique et aux libertés, vous pouvez adresser une plainte. Il est possible de déposer une plainte en ligne sur le site de la CNIL, ou bien en envoyant un courrier postal au siège de l’organisme.
Avant de la déposer auprès de la CNIL, assurer vous d’avoir exercé vos droits Informatique et Libertés. Vous pouvez consulter vos droits dans cet article qui explique l’essentiel de la politique de confidentialité. Après avoir consulter ces droits, identifiez le délégué à la protection des données de l’organisme (DPO) afin d’exercer vos droits.
Si l’organisme ne respecte pas les règles de protection de données, qu’elle ne répond pas au bout d’un mois, ou que la réponse est incomplète ou erronée, contestez cette réponse ! Cela peut suffire à régler le problème. Si cela ne suffit pas, vous pourrez porter plainte en cliquant ici.
Attention, il est important de garder toutes les traces et les preuves lorsque vous déposer plainte.
Un questionnaire de 40 min pour alimenter votre DPO dédié.
Une mise en œuvre rapide, pour une conformité totale.
Un interlocuteur officiel pour votre entreprise, référent pour la CNIL.
Dipeeo prend la responsabilité de votre conformité RGPD.
Dipeeo réalise tous les livrables nécessaires à votre conformité.
Forfait mensuel tout inclus. Aucun devis complémentaire.
Une offre DPO externe dédié « tout inclus » qui s’adapte à vos évolutions futures sans aucun frais complémentaire.
Ou appelez nous directement au
+33 01 59 06 81 85
Pour vous contacter, nous devons traiter vos données.
Pour plus d’infos, consultez notre Politique de confidentialité.