Vous savez – pour certains, craignez – que la CNIL peut vous contrôler à tout moment. Voici ce qu’il faut savoir pour être prêt.
Grosso modo, il peut être déclenché suite à une plainte ou une notification de violation de données, parce que vous entrez dans le champ du programme annuel ou suite à un autre contrôle (vérification ou contrôle « en cascade »). Ce contrôle peut prendre différentes formes. Il peut être réalisé en ligne (auquel cas vous devrez trouver rapidement un CD-Rom chiffré), sur pièces ou audition, ou dans vos locaux.
Avant de voir ce qu’il ne faut pas faire, un petit rappel. Dans l’immense majorité des cas, cela se passe très bien. Pour une moyenne de 300 contrôles annuels, la CNIL prend une trentaine de décisions. Ok, ces stats sont un peu en hausse avec la procédure allégée. L’issue demeure néanmoins plutôt favorable.
Bien, maintenant, le top 3 de ce qu’il ne faut pas faire :
1) La « politique de l’autruche » : mention spéciale à ce contrôlé qui a retourné la demande d’information de l’autorité… à son expéditeur (UODO, 30 décembre 2022, n° DKE.561.20.2022) ;
2) Fournir de fausses informations (CNPD, 5 juillet 2023, n° 6FR/2023) : avec les moyens d’investigation des autorités et les compétences techniques et juridiques de leurs agents, la stratégie est vraisemblablement vouée à l’échec ;
3) Répondre par des informations tronquées : ainsi, partir du principe que la CNIL ne vérifiera pas la traduction, ce n’est pas prendre un risque, mais faire un dangereux pari (Délibération de la formation restreinte no SAN-2023-013 du 18 septembre 2023 concernant la société SAF LOGISTICS, §66).
Si le dicton « faute avouée, à moitié pardonnée » ne reçoit pas forcément application en cas de sanction, elle sera évidemment plus forte en cas de défaut de coopération avec l’APD. En effet, une telle attitude s’analyse souvent comme un manquement au principe de responsabilité (UODO, 12 juillet 2023, n° DKN.5131.43.2022).
Sauf à être une autorité ministérielle – certains se rappelleront que le défaut de coopération du Ministère de l’Intérieur n’a pas été relevé en 2021 (Délibération SAN-2021-003 du 12 janvier 2021) -, et encore, mon conseil tient en un seul mot : « Coopérez ».
En résumé, la clé pour passer sereinement le cap d’un contrôle CNIL repose sur la préparation et la documentation. Comprendre ce qui vous sera demandé, savoir comment répondre et disposer d’une documentation à jour fluidifiera le contrôle.
Des RETEX, des craintes ou des axes de préparation différents? Partagez-les en commentaires.
Vous vous posez des questions sur la conformité de vos traitements? Vous souhaitez vous préparer à un éventuel contrôle? N’hésitez pas à me contacter