Contrôle CNIL, comment bien s’y préparer ?

Écrit par le , Modifié le

En tant que régulateur des données personnelles dans l’univers numérique, la Commission Nationale de l’Informatique et des Libertés (CNIL) se positionne en tant que partenaire des entreprises, les guidant vers la conformité tout en soutenant les particuliers dans l’exercice de leurs droits. L’une de ses missions consiste à garantir la conformité des entreprises au Règlement Général sur la Protection des Données (RGPD) et à la loi Informatique et Libertés. Dans cette optique, la CNIL est habilitée à entreprendre des contrôles.

Cet article vise à explorer en détail le processus de contrôle de la CNIL, offrant ainsi des clés essentielles pour une préparation efficace face à ces évaluations cruciales.

1. Les motifs possibles de contrôle

Tout organisme traitant des données personnelles (responsable de traitement) peut être soumis à un contrôle de la part de la CNIL. Ces évaluations découlent de diverses sources, que nous explorons ci-après.

La première source de contrôle émane des plaintes signalées par les utilisateurs. La CNIL offre la possibilité aux internautes de déposer des plaintes en ligne via son site. Le formulaire disponible comprend trois sections : le thème de la plainte, la clarification de la demande, et les actions entreprises.

L’autosaisine représente la deuxième source de contrôle, relevant des thèmes annuels préalablement identifiés par la CNIL comme prioritaires. Chaque année, la CNIL élabore un plan de contrôle axé sur des enjeux majeurs. Voici quelques thématiques récemment désignées :

  • 2023 : caméras « augmentées », applications mobiles, fichiers bancaires et dossiers patients
  • 2022 : prospection commerciale, outils de surveillance liés au télétravail, et services cloud
  • 2021 : cybersécurité des sites web, sécurité des données de santé, et utilisation des cookies
  • 2020 : données de santé, géolocalisation pour les services de proximité, cookies, et autres traceurs

Enfin, en troisième source, la CNIL s’appuie sur l’actualité, tenant compte des événements relayés par les médias ou signalés directement par d’autres régulateurs européens.

2. Explication du processus de contrôle CNIL

Les méthodes de contrôle de la CNIL

Le déclenchement d’un contrôle par la CNIL résulte de la décision de son président. La CNIL utilise quatre méthodes distinctes pour ces évaluations :

  • Sur Place : Cette approche implique le déplacement d’une délégation de la CNIL dans les locaux du responsable de traitement.
  • En Ligne : Le contrôle se fait sur des données accessibles publiquement en ligne.
  • Sur Convocation : Le responsable de traitement reçoit une convocation pour un entretien à la Commission à une date spécifiée, transmise au moins 8 jours avant l’audition.
  • Sur Pièces : Un questionnaire est envoyé au responsable du traitement, qui doit le remplir en y joignant les pièces justificatives nécessaires.

Le contrôle de la CNIL

L’objectif fondamental d’un contrôle de la CNIL est de s’assurer que les traitements mis en œuvre par l’organisme respectent les dispositions de la loi Informatique et Libertés ainsi que du RGPD. Avant le contrôle, quelle qu’en soit la méthode, la CNIL peut demander des documents à l’organisme contrôlé.

Pour mener à bien sa mission de vérification des conditions de traitement des données personnelles, les agents de contrôle de la CNIL peuvent prendre copie de toute information, technique et juridique.

Pendant le contrôle, les agents de la CNIL sont habilités à :

  • Demander la communication de tout document nécessaire à l’accomplissement de leur mission et en prendre copie.
  • Réaliser des entretiens avec le personnel détenteur d’informations pertinentes pour évaluer la conformité des traitements de données personnelles.
  • Accéder aux programmes informatiques et aux données, et demander la transcription à des fins de contrôle.
  • Obtenir des copies de contrats, formulaires, dossiers papier, bases de données, etc.

À l’issue du contrôle, un procès-verbal est établi, comprenant les informations collectées, les constatations réalisées, et la liste des documents copiés. Différentes décisions peuvent découler de ce processus, allant de la clôture de la procédure à l’émission d’avertissements, de mises en demeure jusqu’à la transmission du dossier à la formation restreinte de la CNIL, habilitée à prononcer d’éventuelles sanctions.

3. Les clés pour anticiper le contrôle CNIL

Un contrôle de la CNIL peut avoir de lourdes conséquences pour l’organisme ou le sous-traitant visé. En effet, en cas de manquements constatés, la CNIL peut décider de mettre en demeure le responsable de traitement d’adopter des mesures correctrices. A défaut, l’organisme pourra être sanctionné. Il est donc impératif de se préparer efficacement à une éventuelle évaluation pour développer les réflexes appropriés.

Évaluation de la conformité initiale :

Entreprendre une évaluation permet de déterminer son niveau de maturité et de définir des axes d’amélioration pour la gestion de la protection des données. La CNIL met à disposition sur son site un document d’autoévaluation de maturité en gestion de la protection des données, couvrant huit activités types :

  • Définir et mettre en œuvre des procédures de protection des données
  • Piloter la gouvernance de la protection des données
  • Recenser et tenir à jour la liste des traitements
  • Assurer la conformité juridique des traitements
  • Former et sensibiliser
  • Traiter les demandes des usagers internes et externes
  • Gérer les risques de sécurité
  • Gérer les violations de données

Chaque activité est liée à des caractéristiques spécifiques et aux responsables impliqués, accompagnées de niveaux de contrôle échelonnés de 0 à 5 pour évaluer le degré de maturité.

Une fois l’auto-évaluation effectuée, il est essentiel d’identifier les éventuelles lacunes et d’engager des actions correctrices en conséquence.

Recourir à des prestataires externes pour simuler un contrôle CNIL constitue également une démarche proactive. Cela permet de mettre en lumière d’éventuels manquements à la conformité, offrant ainsi l’opportunité de rectifier les pratiques. Découvrez la prestation de Digitemis

4. Mise en place d’une documentation solide

La constitution d’une documentation solide s’avère cruciale pour attester de la conformité au RGPD. Cette démarche englobe la documentation sur le traitement des données personnelles, les documents relatifs à l’information des personnes concernées et enfin la partie contractuelle avec la définition des rôles et responsabilités de chacun. Voici une liste des documents essentiels :

  • Le registre des traitements
  • Les analyses d’impact relatives à la protection des données
  • L’encadrement des transferts de données hors hébergement de l’Union européenne
  • Les mentions d’information
  • Les modèles de recueil du consentement des personnes concernées
  • Les procédures mises en place pour l’exercice des droits
  • Les contrats avec leurs sous-traitants
  • Les procédures internes en cas de violations de données
  • Les preuves que les personnes concernées ont donné leur consentement lorsque le traitement de leurs données repose sur cette base

Afin d’assurer une protection continue des données, il est impératif de réexaminer et d’actualiser régulièrement cette documentation. Cette démarche garantit non seulement la conformité constante avec les exigences réglementaires, mais elle démontre également l’engagement continu de l’organisme envers la protection des données personnelles.

Préparation pratique pour le jour du contrôle

Afin d’éviter tout sentiment d’imprévu lors de l’annonce d’un contrôle CNIL, il est recommandé de mettre en place une procédure dédiée à ce type d’événement. Cette procédure devrait, au minimum, inclure les éléments suivants :

  • Définir le personnel référent dans les différents services : Il est essentiel de désigner une personne de référence dans chaque service, en précisant au minimum une personne supplémentaire en cas d’absence.
  • Déterminer le lieu d’Installation de la délégation CNIL : Prévoir un lieu spécifique pour l’installation de la délégation CNIL afin de faciliter le déroulement du contrôle.
  • Établir des actions à réaliser pendant et après le Contrôle : Définir clairement les actions à entreprendre tout au long du contrôle ainsi que les étapes post-contrôle pour garantir une gestion fluide des résultats.

Lors de la réception de l’avertissement du contrôle CNIL, la procédure devrait également inclure les étapes suivantes :

  • Identifier le responsable des lieux en interne : Désigner clairement la personne responsable des lieux en interne et communiquer cette information à la délégation CNIL.
  • Informer le personnel concerné par le contrôle : Communiquer rapidement avec le personnel concerné par le contrôle, leur permettant ainsi de se préparer en conséquence en rassemblant la documentation nécessaire.

En structurant une telle procédure, l’organisme renforce sa capacité à réagir efficacement à un contrôle CNIL, réduisant ainsi les incertitudes et démontrant son engagement envers la conformité et la protection des données. 

6. Après le contrôle : suivi et amélioration continue

Comme précédemment évoqué, un procès-verbal détaillé est établi à la suite du contrôle de la CNIL, résumant les observations faites par la délégation. Quelle que soit la décision prise par la CNIL, il est impératif que le responsable des traitements analyse attentivement les conclusions de ce contrôle pour identifier les domaines d’amélioration. Une fois cette évaluation réalisée, il est nécessaire d’élaborer un plan d’action visant à intégrer les enseignements tirés du contrôle dans la stratégie globale de conformité.

L’étape de suivi post-contrôle ne se limite pas à la simple correction des manquements éventuels. Elle offre une opportunité précieuse pour renforcer les processus internes, ajuster les pratiques de traitement des données, et consolider la culture de protection des données au sein de l’organisme. Un suivi rigoureux favorise une amélioration continue et démontre l’engagement constant envers la conformité aux normes en vigueur.

En résumé, après le contrôle CNIL, l’analyse critique des résultats et la mise en place d’un plan d’action réfléchi permettent à l’organisme de transformer les retours du contrôle en opportunités d’amélioration significatives.

Ressources complémentaires

Charte des contrôles de la CNIL

Infographie de la chaîne répressive de la CNIL

Formulaire de plainte en ligne

Autoévaluation de maturité de la CNIL

Contactez-nous

Je partage

Derniers articles

Illustration de sécurité WordPress avec logo central et éléments numériques de sécurité

Renforcer la sécurité WordPress, du développement des plugins à la configuration serveur

Il y a peu, dans le cadre de recherches sur des plugins WordPress, notre pentester Vincent Fourcade a découvert une injection de code, côté client, dans un module du célèbre CMS. Celle-ci fut vérifiée et validée par les équipes de WPScan. Aujourd’hui, une CVE lui a été attribuée. L’occasion de revenir aujourd’hui sur la sécurité, au sens large, dans le CMS WordPress, que ce soit au niveau de la couche applicative, de la configuration du serveur ou du bureau. C’est parti !

Lire l'article

Analyse des Métriques XSS : comprendre l’Impact des injections de code côté client

Lors des tests d’intrusion, l’injection de code côté client est généralement plus aisée à découvrir qu’une injection côté serveur. Le nombre de paramètres dynamiques transitant du back au front, la difficulté d’échapper correctement à l’entrée et à la sortie et la multitude d’encodage liés à l’affichage peuvent être des vrais casse-têtes pour qui souhaite faire la chasse à la XSS. Le JavaScript malveillant semble ainsi avoir de beaux jours devant lui. Cependant, il n’est pas rare qu’à l’issu de l’audit, la criticité d’une telle injection découle directement de la configuration des cookies présents sur l’application. En effet, l’absence de l’attribut HttpOnly majore irrémédiablement les risques liés à ce type d’attaque. Néanmoins, cela signifie-t-il que la présence de cet attribut doive absolument amenuiser la criticité d’une injection ?

Lire l'article