Revisium Formations Qualiopi
APPELEZ-NOUS !
0 805 035 135 Service & appel
gratuits

Comment se passe un contrôle de la CNIL ?


Quand la CNIL vous prévient qu’elle vient contrôler…

La CNIL détient le pouvoir d’effectuer des contrôles et elle seule ! Aucune autre société n’est en droit de vous contrôler. Elle peut vérifier l’ensemble des organismes qui traitent des données personnelles dans tout le pays. Les entreprises privées, les associations ou encore les organismes publics peuvent faire l’objet d’un contrôle de la CNIL. Généralement, les contrôles sont déclenchés par une dénonciation ou bien après une déclaration de violation des données (piratage, intrusion, virus, etc.).

24 juillet 2023

Les agents de la CNIL sont tenus de respecter une procédure bien précise pour effectuer un contrôle dans une entreprise. Aucun agent ne se présentera à l’improviste à la porte de votre entreprise sans que vous n’ayez été prévenu par lettre recommandée avec accusé de réception au minimum 8 jours avant la date de leur passage.

De plus, lors de cette notification de passage, les éléments contrôlés seront indiqués. Rien ne se fait par surprise lors d’un contrôle de la CNIL. Vous êtes informé des points qui posent problème et de ce qui doit ou devra être corrigé dans votre fonctionnement de protection des données personnelles qui vous sont confiées.

Les missions de la commissions

La CNIL peut effectuer plusieurs missions de contrôle tout au long de l’année dont les origines sont diverses :

  1. Le programme annuel des contrôles : chaque année, la CNIL décide de porter son attention sur des grandes thématiques identifiées notamment en raison de leur impact sur la vie privée de nombreuses personnes. Ces thématiques sont portées à la connaissance du grand public et conduisent la CNIL, à l’issue du programme annuel, à communiquer sur les pratiques constatées lors des contrôles réalisés. En 2023, la thématique retenue est : l’utilisation de caméras augmentées par les acteurs publics, l’utilisation du fichier des incidents de crédit aux particuliers, la gestion des dossiers de santé et les applications mobiles.
  2. Les réclamations et les signalements : la CNIL est destinataire de réclamations ou de plaintes ainsi que de signalements – parfois anonymes. On porte à sa connaissance des faits dont la conformité aux règles relatives à la protection des données personnelles est à vérifier. Des contrôles sont ainsi réalisés pour s’assurer des bonnes pratiques et, le cas échéant, du respect des droits des plaignants.
  3. Les initiatives de la CNIL : des investigations peuvent être menées dans le cadre de thématiques, identifiées notamment au regard de l’actualité, qui sont susceptibles de présenter des problématiques et des enjeux relatifs à la protection des données personnelles.
  4. Les dispositifs de vidéoprotection : au titre du code de la sécurité intérieure (CSI), la CNIL est compétente pour contrôler les caméras qui filment des lieux ouverts au public (ex. : centre commercial, musée, trottoirs devant une boutique, etc.) et réserve, tous les ans, une partie de son activité de contrôle à la vérification de ces dispositifs.
  5. Les procédures de contrôle clôturées, les mises en demeure et les sanctions : des investigations peuvent être menées à la suite d’une procédure de contrôle clôturée, d’une mise en demeure ou d’une sanction, notamment pour vérifier les mesures de mise en conformité adoptées par les organismes.

La procédure de la CNIL en cas de contrôle

Télécharger la charte de contrôle de la CNIL

Il y a quelques éléments à savoir en cas de contrôle. En premier lieu, les agents de la CNIL travaillent en binôme et disposent d’une habilitation spécifique.

L’article 19 de la loi Informatique et Libertés modifiée prévoit que les agents des services de la CNIL qui sont appelés à participer à la mise en œuvre des missions de contrôle sont habilités par la CNIL. Les membres de la CNIL peuvent également être désignés pour procéder à ces missions de contrôle.

L’habilitation est accordée pour une durée de cinq ans renouvelable à condition que l’agent concerné n’ait pas fait l’objet d’une condamnation à une peine correctionnelle ou criminelle inscrite au bulletin n° 2 du casier judiciaire.

La désignation d’un agent habilité des services de la CNIL pour procéder à une vérification auprès d’un organisme ne peut avoir lieu que si l’agent ne détient pas, ou n’a pas détenu au cours des trois années précédant cette vérification, un intérêt direct ou indirect avec cet organisme.

La forme possible d’un contrôle par la CNIL

La CNIL, de par sa préoccupe, dispose de plusieurs possibilités en terme de contrôle. Celui-ci peut prendre 4 formes et surtout, elles peuvent être complémentaires.

  • Le contrôle sur place : une délégation de la CNIL se rend directement au sein des locaux d’un responsable de traitement ou d’un sous-traitant afin de mener des investigations portant sur des traitements de données personnelles.
  • L’audition sur convocation : un courrier est adressé au responsable de traitement ou au sous-traitant afin que des représentants de l’organisme se présentent, à une date donnée, dans les locaux de la Commission. Ces représentants devront répondre à des questions portant sur le(s) traitement(s) objet des vérifications et, le cas échéant, rendre possible un accès aux ressources informatiques de l’organisme.
  • Le contrôle en ligne : les agents de la CNIL effectuent des vérifications, depuis les locaux de la CNIL, en consultant notamment des données librement accessibles ou rendues accessibles directement en ligne, y compris par imprudence, négligence ou du fait d’un tiers. Ces vérifications sont effectuées à partir d’un service de communication au public en ligne (par exemple, sur un site internet, une application mobile ou un produit connecté) et peuvent, le cas échéant, être réalisées sous une identité d’emprunt.
  • Le contrôle sur pièces : les agents de la CNIL adressent un courrier accompagné d’un questionnaire destiné à évaluer la conformité des traitements mis en œuvre par un responsable de traitement ou un sous-traitant. L’organisme visé par le contrôle doit communiquer à la Commission ses réponses en y joignant tout document utile permettant de les justifier. A la fin du contrôle, les agents rédigent un procès-verbal qui vous sera remis. Il y est consigné les vérifications faites ainsi que toutes les informations qui ont été portées à leur connaissance pendant le contrôle.

Se protéger avec une cybersécurité au top

Le RGPD et la cybersécurité sont complémentaires. En effet, la protection des données personnelles se lie intimement avec la sécurité des systèmes. Mais pour cela, il faut déjà se questionner sur son propre fonctionnement, évaluer les risques, trouver les failles et surtout former les collaborateurs.

La cybersécurité, c’est votre meilleure arme contre les pirates informatiques. Avec un système de sécurité, vous mettez les données – et toutes les données de l’entreprise et pas seulement les données personnelles – importantes sous clé. Et si vous en doutez encore, les chiffres parleront d’eux-mêmes. Surtout celui de la rançon que les pirates vous demanderont pour vous rendre vos données et vous permettre de reprendre votre activité commerciale.

N’oublions pas qu’en 2022, ce ne sont pas moins de 6 entreprises sur 10 en France qui ont été prises en otage par un rançongiciel. Or avec un plan de gestion de crise et un service de cybersécurité, c’est un risque qui disparaît. Rien qu’en ayant un solide système de sauvegardes régulières et déportées, vous vous assurez une première protection. Ce n’est pas un coût, c’est un investissement qui vous permet de redémarrer votre activité en limitant la casse et l’inactivité de votre entreprise en cas de cyberattaque.

Demander un audit de la CNIL pour obtenir une conformité

Saviez-vous qu’il est possible de mettre en place votre RGPD puis demander un audit auprès de la CNIL pour vous assurer que le travail a été bien fait, et que vous remplissez bien les conditions demandées en matière de protection des données.

De plus, la CNIL dispose d’un service d’accompagnement pour les entreprises qui mettent en place le RGPD dans leur structure. Vous pouvez vous faire aider pour la mise en place mais également pour toutes les mises à jour. Bien entendu, cela suppose que vous ayez une personne dédiée à ce travail au sein de votre entreprise. Il faut donc penser à désigner un DPO et à le former…

Formation

Formation cybersécurité

Il est temps de protéger votre entreprise en proposant une formation à tous (financement possible par votre OPCO !)

Formez vos collaborateurs à la cybersécurité !  

Et là, Revisium peut intervenir de deux manières :

  • formation Sensibilisation au RGPD et à la cybersécurité
  • service de DPO externe

Maintenant, il ne vous reste plus qu’à nous contacter :

 Vous préférez être rappelé ? Me rappeler
 Planifiez un RDV ? Rendez-vous

NEWSLETTER

Recevez toutes les nouveautés par email
Elana
Certification Qualiopi
Mon compte formation - CPF
Datadock
Certification Voltaire Audrey Schoettel
Revisium
© Revisium. Tous droits réservés. Produit par Revisium. CSS Valide ! WCAG 2.0 (Level AA)

Outils d'accessibilité