La Commission Nationale de l’Informatique et des Libertés (CNIL) est l’autorité de contrôle française pour l’application du RGPD. Elle a mené 321 contrôles en 2024.
Chaque année, la CNIL rend publique la liste des thématiques de contrôles prioritaires. Pour rappel, la CNIL peut déclencher des contrôles suite à une plainte ou à une violation de données (cyberattaque), à son initiative (sujet d’actualité, activités sensibles…) et dans le cadre des thématiques de contrôles prioritaires.
Les thématiques de contrôles prioritaires 2025
P1
Le droit d’effacement
Après le droit d’accès en 2024, la CNIL va désormais contrôler le bon respect du droit d’effacement : traitement des demandes des personnes concernées, suites données, respect des délais règlementaires, suppression effective des données concernées.
P 2
Les applications mobiles
En octobre 2024, la CNIL a publié ses Recommandations relatives aux applications mobiles. Dans ce prolongement, elle mènera une série de contrôles des éditeurs d’applications et des fournisseurs de kits de développement logiciel (SDK).
P3
La cybersécurité
des collectivités territoriales
En prévision de l’entrée en application de la NIS 2 et au regard de la vulnérabilité de nombre d’administrations, la CNIL va mener une double action, à la fois de sensibilisation et de contrôle des collectivités territoriales.
L’objectif est de renforcer leur niveau de cybersécurité pour mieux protéger les données personnelles des usagers.
P4
Données traitées par l’administration pénitentiaire
Les établissements pénitentiaires détiennent de nombreuses données personnelles sensibles relatives aux détenus.
La CNIL vérifiera les conditions de traitement des données des personnes incarcérées ainsi que l’ensemble des mesures de sécurité mises en place par les établissements pénitentiaires.
Le fait qu’une thématique soit désignée prioritaire pour l’année en cours signifie que des moyens vont être dédiés spécifiquement par la CNIL pour contrôler la bonne mise en œuvre des préconisations sur ces sujets. Ces contrôles pourront avoir lieu sur place ou à distance.
Rappelons qu’un contrôle de la CNIL sur un sujet spécifique peut être étendu à l’ensemble de vos activités si les agents constatent des manquements qui laissent présumer que le RGPD n’est pas ou peu pris en compte dans l’organisation de vos activités.
Il est donc essentiel que vos équipes soient préparées à cette éventualité et qu’en tant que dirigeant (ou président) vous ayez bien évalué les risques liés à votre niveau de conformité au RGPD.
Point important : la CNIL coopère avec les autres autorités nationales de contrôle. Concrètement, elle peut transmettre tout élément dont elle prend connaissance durant un contrôle à une autre autorité, comme la DGCCRF ou l’Autorité de la Concurrence par exemple.
Les conseils d’ALLIER PRIVACY
Les contrôles de la CNIL peuvent se dérouler selon 3 modalités :
- sur place : 2 agents (au minimum) se présentent dans vos locaux, sans préavis.
- sur pièces : vous recevez une demande de documentation sur un ou plusieurs points de conformité.
- à distance : la CNIL contrôle la conformité de votre site internet (bandeau de cookies, sécurité, information des personnes…).
Tous les types de contrôles auront un impact sur vos activités courantes. Le contrôle sur place sera néanmoins celui-ci qui mobilisera le plus vos équipes, pour une période indéterminée.
Le maître-mot, en particulier pour les contrôles sur place, est l’anticipation :
Réunissez toute la documentation relative à vos actions de conformité dans un seul endroit, clairement identifié (classeur ou dossier numérique par exemple).
Identifiez les fonctions qui seront en première ligne lors du contrôle sur place : le dirigeant, le DRH, le responsable informatique/DSI, la personne en charge de la mise en application du RGPD (relais RGPD, DPO…). Informez, ou mieux formez, ces personnes à la gestion du contrôle sur place.
Rédigez et diffusez une note spécifique à la gestion d’un tel contrôle, précisant notamment les personnes à contacter, les modalités de prise en charge de l’équipe de la CNIL (accueil, salle, matériel…). Cela évitera à vos équipes de paniquer et d’avoir des attitudes qui pourraient être perçues par les agents de contrôle comme de l’obstruction.
Vérifiez au moins une fois par an que votre conformité est à jour : registre des traitements, information aux personnes, site internet, affichage vidéosurveillance, procédures…
Enfin, souvenez-vous que la CNIL prend en compte le degré de coopération de l’organisme. L’obstruction, même passive, conduit généralement à une aggravation des sanctions.
Pour en savoir plus sur le déroulement des contrôles de la CNIL, vous pouvez consulter la page dédiée : le contrôle de la CNIL.