Accueil RGPD Comment se préparer au mieux à un contrôle de la CNIL ?

Comment se préparer au mieux à un contrôle de la CNIL ?

De lisa@valoris-concept.com
6 mins de lecture
CNIL : comment se préparer à un contrôle ?

La CNIL (Commission nationale de l’informatique et des libertés) est une institution qui possède des pouvoirs importants en matière de contrôle. Elle peut ainsi intervenir auprès de tous les organismes traitant des données personnelles : organismes publics, associations et entreprises privées. Réalisés en présentiel, en ligne, sur audition ou sur pièces, ces contrôles permettent de vérifier le respect du RGPD (règlement européen sur la protection des données) et de la loi Informatique et Libertés. Nous vous expliquons dans cet article comment faire pour préparer au mieux un contrôle de la CNIL.

Qu’est-ce que la CNIL ?

Fondée le 6 janvier 1978 sous l’impulsion de la Loi Informatique et Libertés, la Commission Nationale de l’Informatique et des Libertés (CNIL) a pour principale mission de contrôler les organismes traitant des données personnelles. Ces derniers doivent veiller à la protection de ces données, présentes au quotidien dans les traitements informatiques, papiers ainsi que dans les fichiers divers qui transitent. Le domaine public est tout autant visé que le secteur privé, sans distinction.

Considérée comme une autorité administrative indépendante, la CNIL est une institution publique qui agit pour l’État, sans être placée sous son autorité. Elle se compose de 18 membres au total, qui travaillent quotidiennement au service des citoyens. L’objectif de la CNIL est de servir de protecteur pour les citoyens qui disséminent des informations personnelles en ligne. La Commission vérifie ainsi que l’informatique ne porte pas atteinte aux droits de l’homme, à sa vie privée ou à son identité, ni même à ses libertés individuelles.

Pour autant, la CNIL n’est pas uniquement chargée de contrôler ou de sanctionner. Elle peut également intervenir pour informer et conseiller tous les publics, citoyens particuliers comme entreprises des secteurs public et privé.

Qui sont ceux pouvant faire l’objet d’un contrôle de la CNIL ?

La CNIL est un organisme très actif en matière de protection des données informatiques. En 2021, la Commission a ainsi réalisé 384 contrôles, faisant notamment suite à des plaintes ou des signalements.

En matière de contrôle, le principe est strict. La Commission peut intervenir auprès de tous les organismes collectant et traitant des données informatiques personnelles et ayant un établissement en France. Les organismes peuvent également être situés à l’étranger et traiter des données personnelles d’internautes résidant en France. En pratique, cela équivaut donc à un très large panel de professionnels, qu’il s’agisse d’entreprises du secteur public comme privé.

Dans la réalisation de sa mission de contrôle, la CNIL peut être assistée par d’autres autorités de protection des données. C’est notamment le cas lorsque l’entreprise a plusieurs établissements éparpillés en Europe. En se basant sur les règles érigées par le RGPD, la CNIL s’adresse aux prestataires sous-traitants pour réaliser des vérifications supplémentaires quand elle juge cela nécessaire.

contrôle CNIL RGPD

Quelles sont les différentes formes de contrôle de la CNIL?

Sur la base d’une décision de contrôle prise par son président, la CNIL réalise une intervention auprès de la structure concernée. Le contrôle ne se passe pas toujours en présentiel. Il peut en réalité revêtir 4 formes particulières :

  • un contrôle sur place, en présentiel. Des agents de la CNIL sont alors mandatés pour se rendre dans les locaux d’une entreprise. Ils s’adressent au collaborateur chargé du traitement des données informatiques ou bien à son sous-traitant. La CNIL réalise alors des investigations poussées pour vérifier la bonne conformité aux règlements en vigueur,
  • une audition qui fait suite à une convocation par courrier. Les représentants du secteur informatique de l’organisme se présentent dans les locaux de la CNIL, à une date précise, et répondent à un interrogatoire destiné à contrôler le traitement des données. En pratique, la convocation pour l’audition doit arriver entre les mains de la personne désignée au moins 8 jours avant la date du contrôle. Elle peut également se faire assister d’un avocat,
  • un contrôle en ligne, réalisé par les agents de la Commission à distance. Ces derniers vont notamment tenter de déceler des imprudences ou des preuves de négligence, comme des données personnelles accessibles en ligne. La CNIL réalise parfois cette vérification en ligne via une identité d’emprunt,
  • un contrôle sur pièces, en faisant parvenir un courrier et un questionnaire au responsable informatique. L’objectif est de déterminer avec précision le sort du traitement des données personnelles dans l’organisme. Tous les documents jugés utiles pour appuyer les réponses au questionnaire peuvent être joints au courrier.

Sachez également que la CNIL peut démarrer son contrôle en utilisant une modalité particulière puis en changer en cours de route. Il arrive ainsi que la CNIL démarre son investigation sur pièces puis qu’elle décide de continuer sur place.

Comment se déroule un contrôle par la CNIL ?

Lorsqu’elle décide de contrôler un organisme, la CNIL suit une procédure stricte. Si elle souhaite contrôler certains dossiers classés secret défense, il lui faut d’ailleurs des habilitations supplémentaires avant de pouvoir intervenir.

L’objet du contrôle est de vérifier que l’entreprise respecte bien les dispositions du RGPD et de la loi Informatique et Libertés concernant le traitement des données personnelles en ligne. Le contrôle peut aussi être destiné à vérifier un dispositif de vidéoprotection ou un système automatisé de communications électroniques.

Lorsqu’ils réalisent leur contrôle, les agents de la CNIL prennent note des informations qui sont portées à leur connaissance, qu’elles soient de nature juridique ou technique. L’objectif est de déceler au mieux les preuves d’un traitement particulier des données personnelles collectées par l’entreprise. Afin de peaufiner son analyse, la délégation de la CNIL a le droit de demander la fourniture de tous les documents importants et en prend copie le cas échéant.

En outre, les agents de la CNIL chargés de cette mission de contrôle discutent avec le personnel travaillant dans le pan informatique de l’entreprise. Il peut s’agir d’un informaticien, d’un collaborateur opérationnel dans le traitement informatique des données ou encore un chef de service qui est susceptible d’avoir des informations utiles.

A l’issue du contrôle, les agents de la CNIL établissent un procès-verbal complet, reprenant point par point l’ensemble des informations recueillies et les constatations réalisées. En annexe le PV rassemble les documents copiés lors du contrôle.

préparation contrôle CNIL RGPD

Conseils pour se préparer au mieux à un contrôle de la CNIL

Voici quelques actions à mettre en place pour vous préparer au mieux à un contrôle de la CNIL :

  • créer une cellule de crise, composée notamment des responsables du traitement des données dans l’entreprise. Déterminez avec précision quel sera le rôle de chacun dans la tenue de cette cellule de crise
  • dresser une liste en interne de la procédure à tenir lors du contrôle de la CNIL. Qui pourra être contacté, quand, quelles actions entreprendre ou encore comment réagir après le contrôle ?
  • prévoir tous les cas d’absence, notamment dus aux vacances. Prévoyez toujours au moins 2 personnes disponibles et expertes dans le domaine. Ces derniers accompagneront les agents de la CNIL pendant leur contrôle. Ils doivent donc être totalement disponibles pour cette mission
  • former les agents présents à l’accueil de l’entreprise ainsi que les collaborateurs travaillant à la sécurité sur les consignes à appliquer en cas de contrôle. Les collaborateurs ne doivent pas s’opposer au contrôle et doivent collaborer avec la délégation de la CNIL en toute transparence
  • réquisitionner des outils matériels utiles pour la bonne tenue de l’intervention. Notamment une imprimante qui fonctionne, des logiciels pour partager des fichiers en toute sécurité ou encore une salle de réunion à l’abri des regards indiscrets
  • prévoir l’accès à tous les documents importants pour aider la CNIL à vérifier la conformité du traitement informatique des données personnelles à la législation en vigueur
  • simuler un contrôle réel afin de déceler les zones d’amélioration et se préparer au mieux en conditions réelles.

Annonce d’un contrôle par la CNIL : comment réagir ?

La CNIL vous a annoncé un contrôle prochain de votre entreprise ? Voici comment réagir :

  • en informer directement la direction qui se chargera alors de désigner le responsable lors du contrôle, interlocuteur privilégié de la délégation de la CNIL
  • mettre en place la cellule de crise
  • organiser une réunion visant à informer les collaborateurs concernés par le contrôle, et notamment ceux qui se trouvent à l’accueil. Ils devront rester disponibles et collaborer au mieux
  • informer les équipes qu’il ne faut pas modifier les données jusqu’à l’intervention de la CNIL
  • choisir un espace qui servira de salle de réunion et qui devra être laissée libre pour rédiger le procès verbal.
Informatique et numérique pour entreprises

Datagroup.re est un magazine spécialisé dans le numérique et l’informatique pour les entreprises de l’océan indien. 

SUIVEZ-NOUS

NEWSLETTER

© DATAGROUP – Le numérique au coeur de votre entreprise – Tous droits réservés – Réalisation :  Valoris Concept