Accueil>Newsletter>ACTU RGPD – novembre 2022

ACTU RGPD

Comment se préparer à un contrôle de la CNIL ?

La CNIL a la possibilité d’effectuer des contrôles à l’égard des organismes qui traitent des données personnelles, c’est-à-dire les entreprises privées, les associations mais aussi les organismes publics.

Les agents de la CNIL peuvent alors échanger avec toute personne susceptible de disposer des informations pouvant être utiles pour déterminer la conformité des traitements de données personnelles.


Pour déterminer les entreprises à examiner, elle se base sur plusieurs entrées :

  • Une plainte,
  • Un traitement visible que la CNIL aurait identifié comme sensible,
  • Son programme annuel (les priorités affichées par la CNIL en 2022 étant la prospection commerciale, les outils de surveillance dans le cadre du télétravail et les services de cloud).

Il existe plusieurs types de contrôle, qui peuvent être utilisés de manière complémentaire :

  • Le contrôle sur place, réalisé directement au sein des locaux de l’entreprise.
  • L’audition sur convocation reçue par courrier est adressée à l’entreprise afin que des représentants se présentent, à une date donnée, à la CNIL. Ces représentants devront répondre aux interrogations de la CNIL et, le cas échéant, rendre possible un accès aux ressources informatiques de l’organisme.
  • Le contrôle en ligne, mené par les agents de la CNIL à distance, depuis les locaux de la CNIL, en consultant notamment des données librement accessibles ou rendues accessibles directement en ligne, que ce soit par imprudence, négligence ou du fait d’un tiers. Les agents effectueront les vérifications à partir d’un service de communication au public en ligne (tel que le site internet, une application mobile ou un produit connecté de l’entreprise).
  • Le contrôle sur pièces : les agents de la CNIL adressent un courrier accompagné d’un questionnaire destiné à évaluer la conformité des traitements mis en œuvre par l’entreprise, qui doit communiquer à la Commission ses réponses en y joignant tout document utile permettant de les justifier.

En amont, il est conseillé à l’entreprise de s’y préparer en désignant un référent RGPD, en mettant en place les procédures adéquates pour se conformer au règlement et éviter les sanctions.

A titre de rappel, en cas de non-conformité de votre entreprise aux normes RGPD, vous risquez 2 types de sanctions :

  • Amendes administratives pouvant aller jusqu’à 4 % du chiffre d’affaires annuel pour le non-respect des droits des personnes.
  • Sanctions pénales avec des peines pouvant aller jusqu’à 5 ans d’emprisonnement et 300 000 euros d’amende.

Après le contrôle, les agents de la CNIL établissent un procès-verbal faisant état du contrôle : nature, jour, heure, lieux des vérifications et contrôles, objet, membres présents, personnes rencontrées, demandes formulées, difficultés rencontrées, inventaire des pièces, motifs d’entrave ou d’opposition.

Après l’émission du procès-verbal, plusieurs suites peuvent être données :

  • Lorsque les constatations n’apportent pas d’observations particulières, la procédure est clôturée, par courrier de la CNIL.
  • En cas de manquements peu significatifs (modification des durées de conservation, mesures de sécurité, information des personnes, etc.), la procédure est clôturée avec quelques observations.
  • En cas de manquements significatifs, la mise en demeure de l’entreprise est prononcée. La CNIL va alors donner un délai à la structure pour que cette dernière adopte les mesures nécessaires de mise en conformité. La Commission pourra aussi transmettre le dossier à la formation restreinte qui pourra prononcer des sanctions.

La mise en demeure peut être rendue publique.

BDL vous accompagne dans la mise en conformité RGPD de votre structure.