Le jour du contrôle

Nous étions convoqués à 9h dans les locaux de la CNIL pour l’audition. Même si vous êtes une petite start-up, que vous traitez peu de données à caractère personnel, cette audition durera toute la journée. Voici son déroulé. Pour rappel, vous pouvez être accompagné de vos Conseils lors de cette audition.

Les contrôleurs de la CNIL étaient au nombre de trois avec deux juristes et un auditeur des systèmes d’information.

De 9h à 11h, la CNIL a posé des questions relatives, entre autres, à :

–       L’activité de notre cliente : sa date de création, le nombre de salariés, nombre de clients, montant du chiffre d’affaires.

En effet, pour rappel, en cas de sanction financière pour des manquements au RGPD, le montant peut aller jusqu’à 2 à 4% du chiffre d’affaires annuel. C’est pourquoi la CNIL demande systématiquement les trois derniers bilans comptables lors d’une audition.

–       Le type de données à caractère personnel traitées.

–       Les sous-traitants avec lesquels travaille l’entreprise, c’est-à-dire les prestataires qui traitent des données à caractère personnel au nom et pour le compte de l’entreprise.

–       Si des durées de conservation des données sont définies et, si oui, lesquelles.

Ensuite, la CNIL demande à voir le parcours utilisateur complet sur le site internet pour comprendre exactement le flux des données et vérifier la conformité du site internet au RGPD. C’est donc l’entreprise convoquée qui crée un compte sur son site internet, en projetant l’image au mur et en prenant des captures d’écran à chaque changement de fenêtre.

Après, nous avons fait une pause déjeuner de 12h à 14h, temps pendant lequel nous avons également rassemblé les documents qui nous avaient été demandés par la CNIL. Dans sa convocation à l’audition, la CNIL demandait certains documents que nous avions préparés en amont tels que :

–       Le registre des traitements,

–       Les 3 derniers bilans comptables,

–       Les analyses d’impact, si certaines avaient été réalisées,

–       Les contrats conclus avec les sous-traitants.

Pendant l’audition du matin, la CNIL a demandé certains documents complémentaires, comme une copie de newsletter envoyée ou encore une roadmap sécurité, ainsi que les captures d’écran du parcours utilisateur qui avaient été prises, que nous avons rassemblés pendant la pause déjeuner pour les remettre à la CNIL en début d’après-midi.

Nous avons repris l’audition à 14h avec un aspect plus technique. Une fois de plus, notre cliente était aux commandes, cette fois de ses bases de données, et l’auditeur CNIL des systèmes d’information lui demandait de faire certaines commandes, notamment pour déterminer le nombre de clients s’étant inscrits depuis la création du site internet, le nombre de clients ayant résilié, le nombre de prospects, etc. Cette dernière phase a duré environ une heure.

De 15h à 17h30, les contrôleurs de la CNIL se sont retirés pour rédiger leur procès-verbal de l’audition. Ils nous l’ont ensuite soumis pour relecture, y ont apporté les modifications que nous avions revues ensemble et l’ont donné à signer à notre cliente. Nous avons enfin pu quitter les locaux de la CNIL à 19h.

A la fin de cette journée intense et éprouvante, côté BOLD, nous étions plutôt satisfaits du déroulé de cette journée qui semblait s’être bien passée, après un mois et demi de préparation intensive par l’ensemble de la Team Data de BOLD.

De son côté, notre cliente était soulagée que le contrôle soit fini pour le moment car cette mise en conformité express l’avait désorganisée et l’avait empêchée d’avancer sur des aspects business.

Nous ne pouvons que vous conseiller d’anticiper au maximum votre conformité RGPD. Tous nos clients ayant fait l’objet de contrôles CNIL, que ce soit des contrôles sur pièces ou une audition, ont ressenti une désorganisation. En effet, ces contrôles sont cadencés, même concernant les contrôles sur pièces. Ces derniers sont d’ailleurs extrêmement faciles pour la CNIL à réaliser et demandent des réponses dans un temps donné, de deux semaines à un mois.

En outre, plus votre nombre de traitements sera important, plus il y aura d’éléments à mettre en conformité avec le RGPD et plus la désorganisation sera grande s’il est nécessaire de réaliser une mise en conformité RGPD express. Pour cela, il est primordial de mettre en place une roadmap avant tout contrôle CNIL pour échelonner votre mise en conformité RGPD et ne pas avoir à la réaliser à la hâte.

Ce qu’il faut retenir ? Toute entreprise peut faire l’objet d’un contrôle CNIL. La CNIL nous a d’ailleurs confirmé faire des contrôles inopinés notamment sur des traitements novateurs ou de nouvelles pratiques. Cela signifie donc que toutes les start-ups peuvent faire l’objet d’un contrôle CNIL.

Dans son rapport d’activité 2020, la CNIL indique que ces contrôles font suite à des plaintes ou des signalements (40% des cas), sont effectués à l’initiative de la CNIL selon l’actualité (32%) ou en lien avec les thématiques prioritaires annuelles (15%) ou encore font suite à des mises en demeure ou des sanctions (3%).

Quelles peuvent être les suites du contrôle ? Elles peuvent être de quatre types :

–       Une clôture sèche : tout est parfait ou presque.

–       Une clôture avec observations. Il s’agit d’une clôture avec des recommandations sur les points à mettre en conformité.

–       Une mise en demeure de se mettre en conformité, qui peut être publique ou non.

–       Une sanction financière (jusqu’à 2% ou 4% du chiffre d’affaires annuel) qui peut être publique ou non.

Nos conseils : votre entreprise est dotée d’un ensemble de stratégies : une stratégie de communication, une stratégie commerciale, une stratégie marketing, etc. Ne négligez pas votre stratégie juridique et planifiez votre mise en conformité RGPD en amont, avant de le faire à la hâte en raison d’un contrôle CNIL ou d’une pression d’investisseurs. Même si vous faites l’objet d’un contrôle CNIL alors que vous n’avez pas encore amorcé votre mise en conformité RGPD, nous pourrons vous accompagner. Better call Bold.

Suite et fin.

Deux mois après l’audition sur place, notre cliente a reçu un courrier de la CNIL faisant état de quatre observations indiquant des éléments de conformité RGPD à renforcer ou à mettre en place de façon effective. La CNIL a également indiqué clore la procédure de contrôle.

Toutefois, la CNIL a rappelé que cette clôture ne préjugeait pas de vérifications ultérieures qui pourraient être effectuées auprès de notre cliente. En effet, une entité contrôlée peut à nouveau faire l’objet d’un contrôle plusieurs mois plus tard pour vérifier que les éléments de conformité RGPD restant à mettre en place l’ont bien été.

Un grand merci à Eléonore Zahlen et Margaud Vercruysse pour leur aide sur ce contrôle ainsi qu’à nos clients pour leur confiance

Pour aller plus loin : nous vous recommandons la lecture de l’article d’Alan sur leur contrôle CNIL, appréhendé du côté entreprise: https://blog.alan.com/tech-et-produit/controles-par-la-cnil