Contrôle sur site de la CNIL : Comment vous préparer ?


1.       À quoi s’attendre lors de la venue de la CNIL ?

Quelques éléments à savoir en cas de venue sur site de contrôleurs de la CNIL :

  • Vous pouvez être notifié en amont ou non, de la venue des contrôleurs. Vous (ou votre DPO) pourrez parfois être informés la veille si la CNIL souhaite confirmer l’adresse de vos locaux.
  • Les investigations durent généralement entre 1 et 3 jours, et sont menées par des juristes et des techniciens de la CNIL. A leur arrivée, les contrôleurs vous remettent le PV de la décision de contrôle (qui indique notamment son périmètre) et se présentent.
  • Avant le début des investigations, de nombreux documents vous seront demandés, à la fois concernant votre société (ex : bilans comptables, KBIS, etc.) et votre documentation de conformité RGPD (registres, procédures, documentation de sécurité, etc.).
  • S’en suivront de longs entretiens entre les contrôleurs, la direction et ses conseils, ainsi que vos équipes concernées par les activités contrôlées. Des vérifications techniques seront également réalisées sur vos outils de traitement.

💡 À la fin de chaque journée de contrôle, les contrôleurs rédigent sur place le PV de contrôle retraçant les investigations menées dans la journée. Le représentant de la société sera ensuite appelé pour lire et signer le PV.


2.       Que se passe-t-il après la venue des contrôleurs ?

Les investigations des contrôleurs ne s’arrêteront pas toujours au contrôle mené dans vos locaux.

De nombreux échanges pourront intervenir dans les mois suivant le contrôle sur site. Ces échanges seront généralement l’occasion de vous demander :

  • Des informations complémentaires sur tout ou partie des activités contrôlées.
  • Des documents, attestations ou preuves justifiant vos réponses.

💡 Bon à savoir :

  • La CNIL pourra également être amenée à contacter vos partenaires commerciaux.
  • La CNIL vous adressera ses demandes par email et vous devrez y répondre dans un délai de 8 jours suivant la réception de la demande.
  • Vos retours devront être justifiés. Ils nécessiteront donc de partir à la recherche de preuves tangibles permettant d’appuyer vos propos.
  • Vos retours devront être envoyés de manière sécurisée. Vous devrez donc demander à votre contact CNIL de vous envoyer un lien sécurisé pour y déposer vos retours. 


3.       Comment vous préparer ?

Nos conseils pratiques :

  • Rassemblez et tenir à votre disposition la documentation de conformité de votre société.
  • Organisez des sessions de mise en situation avec votre DPO. Ces sessions vous permettront de préparer et de briefer vos équipes.
  • Organisez la venue des contrôleurs lorsque vous êtes informé(e) en amont du contrôle (préparation de la salle de réunion, accueil, etc.).
  • Anticipez les manquements qui vous seront reprochés et corrigez-les ! Vos efforts pourront être pris en compte par les contrôleurs.

Ce qu’il ne faut pas faire :

  • Penser que votre société n’est pas concernée. Dès lors que vous traitez des données, vous êtes à risque.
  • Décider de ne pas être accompagné par votre avocat (et/ou DPO). L’avocat est là pour encadrer et mener au mieux les échanges avec les contrôleurs.
  • Refuser l’entrée dans vos locaux des contrôleurs de la CNIL et, de manière générale, refuser de coopérer avec les demandes adressées tout au long du contrôle.

Actualités juridiques