RGPD 2022 : 6 conseils pour réussir son contrôle CNIL
Accompagnement marketing du pôle Cloud Computing.
Sommaire
Objectif 1 : Anticiper
Les signaux qui tirent l’alerte
- Réclamations de prospects ou de clients auprès de la CNIL
- Ancien salarié en conflit
- Concurrents malveillants
- Thèmes de contrôles annoncés par la CNIL en début d’année
- Articles de presse sur des sanctions CNIL pour valeur d’exemple.
Objectif 2 : Se préparer
Réunir la documentation
- Le Registre de traitement
- La cartographie des flux de données
- Le PIA
- Les preuves de l’information des personnes sur leurs droits
- Les procédures de gestion des demandes d’exercice des droits
- Le registre des incidents
- Les formations régulières de vos collaborateurs
Nous vous conseillons de récupérer tout ce qui démontre que vous prenez en compte la protection des données et de garder des traces écrites pour justifier que vos choix étaient délibérés.
Afin d’éviter que les contrôleurs identifient d’autres sujets potentiels de contentieux, veillez à segmenter vos échanges par sujet : 1 écrit = 1 sujet.
Objectif 3 : Comprendre le profil des contrôleurs
Les contrôleurs sont par natures septiques. Ils ont une mission à réaliser et pour la mener à bien ils vont poser beaucoup de questions. Généralement ils ne se contentent pas des premières réponses mais creusent en revenant sur le sujet ou lors d’entretiens avec d’autres salariés.
Faut-il déclarer une faille auprès de la CNIL ?
La réponse est oui. Même si déclarer une faille augmente la probabilité d’être contrôlé, ne pas l’être augmente la probabilité d’une plus forte amende.
La Ni-Ni stratégie
De votre côté, ne soyez Ni antipathique, Ni sympathique.
Focalisez vous sur votre meilleur allié : l’effet halo.
L’idée est d’argumenter les premières réponses sur le fond et la forme, pour donner l’impression que vous maitrisez votre sujet et que vous êtes investi dans la protection des données.
Identifiez rapidement si cela porte sur une zone de risque important.
Ne négligez pas qu’il peut y avoir un agenda caché. Par exemple, ils pourront vous fournir une liste de réclamations clients qu’ils ont reçues, sans l’avoir évoqué de prime abord.
Objectif 4 : Organiser le jour J
Les contrôleurs peuvent être présent de 6h à 21h et peut durer plusieurs jours. En réalité, il est peu probable qu’ils viennent plusieurs jours d’affilée et probablement pas à 6h du matin… En revanche, ils peuvent revenir plusieurs fois au cours des prochains mois.
Dès leur arrivée, ils prendront déjà en compte la sécurité de vos locaux, de celle de vos éventuelles salles de serveurs, des ordinateurs, la présence des écrans de veille ou non, de la vidéosurveillance…
Les contrôleurs souhaitent échanger entre eux librement et vous ne souhaitez pas non plus qu’ils communiquent en votre absence avec des collaborateurs. Limitez autant que possible les contacts avec les collaborateurs de la société en fournissant directement les informations demandées.
Ils seront a minima 2 contrôleurs, l’un qui interviewe et l’autre qui pré-rédige en direct le procès-verbal de contrôle.
Il est possible qu’un(e) informaticien(ne) soit présent pour des questions techniques.
Ne sous-estimez pas ses compétences. Il/elle peut demander des requêtes en base à vos équipes IT et toutes sortes d’autres opérations sous son contrôle. Respectez les bonnes pratiques IT.
L’importance d’un POC (Point Of Contact) :
Désignez un team leader, car ils devront se consacrer à 100% aux contrôleurs.
Tous les documents doivent transiter par lui avant d’être transmis, pour éviter toute dissonance. Une seule personne envoie des emails et historise les échanges.
Objectif 5 : Garder la maîtrise du contrôle en cours
Une autre stratégie NI-NI
Lors des entretiens ne diffusez ni trop, ni trop peu d’informations. Evitez de « sur-justifier » certains points car cela peut faire mauvaise impression. Soyez le plus clair possible.
Le tip
Lorsqu’il y un point d’incertitude, la réponse la plus pertinente est probablement « je n’ai pas la réponse tout de suite mais je reviens vers vous avant la fin du contrôle [ou dans les huit jours] ».
Reformuler le plus souvent
Cela évite les incompréhensions et permet de valider ce qu’ils recherchent et de s’assurer que le procès-verbal sera proche de vos vues.
Si vous êtes capables de corriger en temps réel un non-respect de la réglementation, faites-le. Cela démontre votre réactivité. Attention toutefois à respecter les process interne garants de sécurité, comme les cycles de développements informatiques, pour ne pas non plus donner l’image de la société qui mettrait en production sans contrôle…
Option grand stratège…
Si vous sentez la possibilité qu’il peut y avoir des sujets sur lesquels ils auront du grain à moudre seraient mineurs en termes d’impact, vous pourriez être tenté de les y guider pour les occuper hors zones de risques. C’est une stratégie audacieuse mais qui n’est pas sans risque…
Objectif 6 : Conclure le contrôle
Ne rien négliger jusqu’à la fin !
A la fin du contrôle, lorsque les contrôleurs vont imprimer un procès-verbal avec les échanges et les pièces transmises, prenez le temps de le relire et faites changer la moindre formulation qui vous semble ambiguë.
La suite de la procédure sera prise en charge par des personnes qui n’étaient pas présentes lors des entretiens et qui n’auront presque que ce PV comme indication. C’est donc un document crucial.
Enfin, ne cherchez pas à savoir auprès des contrôleurs si l’issue du contrôle est positive ou non, c’est peine perdue.
Post-contrôle
Vous avez huit jours pour fournir les dernières informations. Prenez le temps de les collecter et de les vérifier, avant un envoi groupé.
Vous vous demandez : Que faire lorsque la CNIL frappe à ma porte ? Comment préparer mon équipe à cet entretien ? Comment réagir aux questions des contrôleurs ? Quels documents me seront demandés ?
Vous êtes au bon endroit !
de votre projet