Contrôle de la CNIL • S’y préparer, le gérer, y survivre
« Pour aborder sereinement un contrôle de la CNIL, trois conseils prévalent : anticiper, maîtriser et dédramatiser. »
Paul-Olivier Gibert, Président de l’AFCDP
La CNIL dispose d’un pouvoir de contrôle. Si le risque statistique pour un organisme d’en faire l’objet est faible (la Commission réalise actuellement environ 500 missions par an), il n’est pas nul et tout Délégué à la Protection des Données se doit de préparer son responsable de traitement à cette éventualité … et de faire de cette préparation un levier de mise en conformité.
Mais pourquoi donc la CNIL vient-elle nous contrôler ?
Aurions-nous pu détecter – voire éviter – le contrôle ?
Faut-il prendre copie de la pièce d’identité des agents de la CNIL à leur arrivée ?
Peut-on s’opposer au contrôle ? Pourquoi faut-il commencer par les emmener dans un lieu «neutre» ?
Peut-on leur interdire d’interagir avec certains salariés? Peuvent-ils avoir accès à tout lieu et à tout document ?
Doit-on leur communiquer les codes sources d’une application? Peut-on refuser de signer le procès-verbal en fin de contrôle(et quelles conséquences cela peut-il avoir) ?
Les agents peuvent-ils revenir le lendemain ?
Que faire une fois les agents de la CNIL partis ?
Que dire (et surtout ne pas dire) à son responsable de traitement ?
Faut-il revenir vers la CNIL pour s’inquiéter des suites qui seront données au contrôle ?
Autant de questions cruciales auxquelles Bruno RASLE, expert reconnu de longue date et ancien DPO mutualisé de l’une des branches de la Sécurité sociale, répond lors d’une journée durant laquelle les aspects opérationnels sont privilégiés.
L’intervenant partage des conseils pragmatiques et illustre ses propos d’anecdotes et d’études de cas réels, vécus dans le cadre de sa pratique professionnelle ou de celle de ses confrères.
Ayant assisté à plusieurs sessions de la Formation restreinte de la CNIL, Bruno RASLE en décrit également le déroulement précis en faisant revivre quelques cas emblématiques.
À l’issue d’une session très interactive, avec l’intense participation des apprenants (études et travaux sur des cas concrets – dont certains de ceux signalés au préalable par les participants –, mises en situation, travail en groupes, réponses aux questions, …), les participants repartent forts de toutes les connaissances leur permettant de maîtriser le sujet.
Cerise sur le gâteau, l’intervenant partage des documents opérationnels qu’il a forgés dans le cadre de sa pratique professionnelle (voir en bas de page Que contient la base documentaire qui me sera communiquée à l'issue de la formation ?).
«On peut distinguer deux types de DPO : ceux qui ont déjà subi un contrôle de la CNIL et les autres. Ceux de la première catégorie ont beaucoup de conseils à donner aux seconds, et j’essaie de me faire leur porte-parole durant cette riche journée » indique Bruno RASLE.
Je télécharge le programme détaillé
Objectifs généraux de la formation
Permettre aux DPO (internes, externes) et aux futurs DPO (ainsi qu'à leurs collaborateurs) de disposer de tous les éléments pour préparer leur organisme (et se préparer) à un contrôle de la CNIL, pour «gérer» (accompagner) un contrôle, pour en assurer le suivi et pour «l’exploiter».;
Se préparer (et préparer son organisme) à un éventuel contrôle de la CNIL ;
Réduire le risque d’être contrôlé, dans la mesure du possible ;
En cas de contrôle, être en mesure de le «gérer» au mieux des intérêts du responsable de traitement ;
En assurer le suivi ;
Etre en mesure de «l’exploiter», pour en faire un levier au service du DPO, chercher à positiver.
En savoir plus ...
Testez vos connaissances : le Quiz
La présentation et l'interview du formateur, Bruno RASLE
Plus d'information sur cette formation
Prochaine session
La prochaine session aura lieu le 12 juin.
Les autres formations par Bruno RASLE
Réaliser une analyse d’impact (AIPD) • De la théorie à la pratique
Violations de données • Pour ne pas subir
Être un DPO efficace dès les premiers jours • Réussir sa prise de poste
L’informatique appliquée au RGPD ; cette journée est également proposée dans le cadre de notre parcours de préparation à la certification
Que contient la base documentaire qui me sera communiquée à l'issue de la formation ?
Quiz corrigé et commenté
Trente-deux questions concernant le déroulement d'un contrôle de la CNIL trouvent des réponses détaillées dans ce document. À titre d'exemple, savez-vous que deviennent les documents (dont certains sont confidentiels) prélevés par la CNIL lors du contrôle ?
Support de sensibilisation des personnels pour les préparer à un contrôle de la CNIL
Il est prudent que le DPO - dans le cadre de l'acculturation au RGPD dont il a la charge au titre de l'article 39.1.a - sensibilise l'ensemble du personnel à l'éventualité d'un contrôle de la CNIL. L'intervenant propose ici une trame de support pour ce faire.
Exemple de procédure de gestion d'un contrôle sur place de la CNIL
Si le risque statistique de faire l’objet d’un contrôle de la CNIL est faible, il n’est pas nul et il est de la responsabilité de tout Délégué à la Protection des Données de préparer son responsable de traitement (l’organisme pour lequel il est désigné) à cette éventualité. Pour aborder sereinement un contrôle de la CNIL, trois conseils prévalent : anticiper, maîtriser et dédramatiser. La conception et la formalisation d’une procédure permet à un organisme de donner une réalité à ces trois conseils.
Exemples de messages à diffuser en interne en cas de contrôle sur place de la CNIL
Les agents de la CNIL sont dans vos locaux ? Il est important de le faire savoir. Mais comment ? Et comment informer la grande direction ?
Quelques "règles de survie" en cas de contrôle sur place de la CNIL
Un agent de la CNIL, qui réalise un contrôle, veut vous interroger. Comment devez-vous réagir ? Quelles sont les quelques règles que vous devez respecter (et les erreurs à ne surtout pas commettre) ?
Structure du compte-rendu qui doit être formalisé à l'issue d'un contrôle sur place de la CNIL
Dès le départ des agents de la CNIL, une réunion doit se tenir immédiatement, si possible avec tous les salariés ayant pris part au contrôle mais obligatoirement avec la participation du responsable des lieux/RIL et du scribe. Le Délégué à la Protection des Données (ou l’un de ses représentants) y participe, si besoin à distance. Cette réunion doit donner lieu à un compte-rendu. Mais quelle est sa structure, quel est son contenu et quels sont ses objectifs ?
Exemple (analysée) de lettre de clôture d'un contrôle de la CNIL
Votre organisme a fait l’objet d’un contrôle de la CNIL. À l’issue de l’analyse des éléments collectés à cette occasion, la CNIL décide de clore son contrôle. La Présidente adresse au responsable de traitement un courrier pour acter cela officiellement, avec copie au DPO. Il appartient à ce dernier de formaliser une note d’analyse à l’attention de la direction. En voici un exemple.
Vérification des conditions d'exercice du DPO
En septembre 2022, le Comité Européen de la Protection des Données (CEPD) a choisi comme thème de son action coordonnée pour l’année 2023 les conditions d’exercice du DPO. Ce choix montre l’importance du DPO pour les autorités chargées de la protection des données.
En réponse à une question qui lui était posée par le formateur lors de l’Université AFCDP des DPO du 9 février 2023, le Secrétaire général adjoint de la Commission a indiqué que la CNIL procéderait probablement par des missions de contrôles sur place. Le document décrit les onze points qui devraient faire l'objet de vérification de la part des agents de la CNIL, les attentes du chef d'enquête et des exemples d'éléments de preuve qui peuvent être produites par le responsable de traitement.
La base de connaissance est complétée de documents sélectionnés par l'intervenant pour leur pertinence et leurs apports, comme la charte du service d'inspection d'une autorité de contrôle européenne ou des délibérations apportant des précisions sur la façon dont se déroulent les contrôles de la CNIL.
Quelles sont les différentes modalités de contrôle de la CNIL ?
Sur place, sur pièces, sur convocation et en ligne. Jusqu'en 2014, la CNIL ne disposait que des trois premières modalités de contrôle.
Avec la promulgation de la loi Hamon de protection du consommateur, s'est ajouté le contrôle en ligne des services librement accessibles via Internet.
La CNIL peut-elle « enchaîner » plusieurs formes de contrôle auprès d’un même responsable de traitement ?
Oui. Chacune de ces modalités de contrôle peut être utilisée de manière complémentaire.
Ainsi, la CNIL pourra par exemple initier ses vérifications en ligne et les poursuivre sur place.
Un contrôle sur pièces pourra également être opéré préalablement à un contrôle sur place.
Sommes-nous systématiquement prévenus d'un contrôle de la CNIL ?
Ce n'est jamais le cas concernant un contrôle en ligne (le responsable de traitement l'apprend en recevant le procès-verbal) et c'est forcément le cas lors d'un contrôle sur pièces ou sur convocation.
En revanche, cela dépend des circonstances lors d'un contrôle sur place (la charte des contrôles de la CNIL indique que «Les missions de vérifications s’effectuent généralement de façon inopinée, c’est-à-dire que les organismes ne sont pas prévenus à l’avance de la tenue d’un contrôle.»).
Bien que la CNIL n'en n'ait pas l'obligation, il lui arrive de prévenir le DPO de l'organisme 24 ou 48 heures avant la mission. En revanche, si elle craint un risque de destruction de preuves, elle ne prévient jamais.
Les « organismes étatiques » peuvent-ils s’opposer à un contrôle sur place ?
Non, comme le confirme la Charte des contrôles de la CNIL : « Par exception, les organismes étatiques ne peuvent jamais s’opposer à la tenue d’un contrôle.»
Peut-on se faire assister d’un conseil lors d'un contrôle de la CNIL ?
Naturellement. Le responsable de traitement peut se faire assister du conseil de son choix ou à défaut, de deux témoins n’étant pas sous l’autorité de la délégation de la CNIL (mais les agents de la CNIL n’ont pas l’obligation d’attendre leur arrivée)
En cas de contrôle de la CNIL, jusqu’à quelle heure les agents de la Commission peuvent-il rester dans nos locaux ?
Ils peuvent rester au-delà de 21h00 s’ils ont commencé le contrôle avant cette heure.
Combien de temps peut prendre la CNIL pour exploiter les constats qu’elle a réalisés dans le cadre de son contrôle ?
L’instruction d’une procédure de contrôle est réalisée dans les meilleurs délais mais sans aucune limite de temps.
