Que recherchez vous ?

Nous vous apportons toutes les réponses à vos questions. Vous ne trouvez pas les informations ? Appelez-nous au 01 89 16 62 01
Vous pouvez nous contacter au 01 89 16 62 01

Les questions les plus posées !

Comment se passe un contrôle de la CNIL ?

La CNIL a le pouvoir d’effectuer des contrôles auprès de l’ensemble des responsables de traitement. Ils peuvent se dérouler sur place, sur pièces, sur audition ou en ligne. Ces missions d’investigation sont un moyen d’action indispensable pour vérifier l’application de la loi informatique et libertés sur le terrain. Elles permettent aussi d’apprécier concrètement les enjeux émergents en matière de protection des données à caractère personnel.

Ce qui se passe avant un contrôle de la CNIL ?

  • La décision de procéder à une mission de contrôle est prise par le Président de la CNIL, sur proposition du service des contrôles.
  • La décision de prévenir, ou non, le responsable de traitement visé par un contrôle sur place est prise en opportunité. Lorsque le contrôle se déroule sur audition, la convocation doit parvenir à la personne auditionnée au moins 8 jours avant la date du contrôle.
  • Il peut être demandé au responsable de traitement visé par un contrôle de communiquer préalablement des documents (ex. : moyens informatiques utilisés, organisation générale de l’organisme contrôlé).
  • Lorsque le contrôle se fait sur place, la décision du Président de la CNIL est notifiée au début du contrôle au responsable des lieux où se situe le ou les traitements qui font l’objet des vérifications. De même, le procureur de la République territorialement compétent est informé de la date, de l’heure et de l’objet du contrôle 24 heures avant que celui-ci ne débute.
  • Lorsque le contrôle est effectué à la demande d’un homologue d’un Etat membre de l’Union européenne, la CNIL en informe le responsable du traitement. Elle l’informe que les informations recueillies ou détenues par la CNIL sont susceptibles d’être communiquées à cette autorité.
  • Les agents de la CNIL participant aux contrôles sont habilités dans les conditions prévues à l’article 19 de la loi et par les articles 57 à 60 du décret du 20 octobre 2005 modifié. Ils peuvent être assistés d’experts. Certains contrôles nécessitent des habilitations particulières, notamment pour les fichiers couverts par le secret défense.

Ce qui se passe pendant un contrôle de la CNIL ?

  • Une mission de contrôle vise prioritairement à obtenir copie du maximum d’informations, techniques et juridiques, pour apprécier les conditions dans lesquelles sont mis en œuvre des traitements de données à caractère personnel.
  • La délégation de la CNIL peut demander communication de tous documents nécessaires à l’accomplissement de sa mission, quel qu’en soit le support, et en prendre copie.
  • Les contrôleurs peuvent accéder aux programmes informatiques et aux données, et en demander la transcription pour les besoins du contrôle.
  • La délégation peut demander copie de : contrats (ex.: contrats de location de fichiers, contrats de sous-traitance informatique), formulaires, dossiers papiers, bases de données, etc.
  • Un procès-verbal de fin de mission est établi à l’issue du contrôle, pour préciser notamment la liste des documents dont une copie a été effectuée.

Pour qui le DPO est-il obligatoire ?

Il existe au moins 2 types d’entreprises ou d’organisations pour lesquelles le DPO est obligatoire : D’un côté, les organismes et les entreprises publiques, et de l’autre les entreprises dont le traitement des données est suffisamment spécifique pour justifier le recrutement de cette fonction.

Plus exactement, selon l’article 37 du RGPD, il est nécessaire de recruter un DPO dans les cas suivants :

  • lorsque la gestion des données personnelles exige un suivi régulier et systématique à grande échelledes personnes concernées,
  • lorsqu’il s’agit d’un un traitement à grande échelle de données dites « sensibles » (données de santé, données biométriques, opinions politiques, convictions religieuses…) et de données à caractère personnel relatives à des condamnations pénales et à des infractions.

Pas concerné ? Le RGPD s’applique tout de même

Si la gestion des données personnelles au sein de votre entreprise ne relève pas de ses spécificités, dans ce cas, vous n’êtes peut-être pas tenu d’embaucher un DPO. Cela ne veut pas dire pour autant que vous échappez à la réglementation du RGPD. Il vous faut donc bon gré mal gré mettre en œuvre les applications du règlement, et ce même si vous ne disposez pas forcément des compétences au sein de votre structure.

Vous n’avez pas donc pas besoin de disposer d’un DPO en interne, mais il est tout de même nécessaire de désigner un pilote pour la gestion des données personnelles au sein de votre entreprise. Ceci dit, il peut s’agir de l’un de vos collaborateurs si vous pensez que ce dernier est à même d’effectuer cette tâche avec efficacité, ou bien il peut s’agir d’un organisme externe, par exemple, d’un prestataire en sécurité informatique et / où d’un cabinet d’avocats pour la gestion juridique.

Chez Ivision, nous avons mis en place un partenariat avec le cabinet d’avocats Marvell afin de vous proposer :

  • la réalisation d’audits de conformité pour vous permettre d’évaluer les mesures concrètes à appliquer au sein de votre entreprise pour respecter le RGPD,
  • un accompagnement sur la mise en place des différentes actions préconisées.

Nous proposons 2 types d’audit de conformité afin de répondre aux besoins des structures pour lesquels le RGPD et sa mise en application n’est pas critique, mais également pour les structures qui ont besoin d’un accompagnement plus pointu. Pour en savoir plus, rendez-vous sur notre page audits de conformité.

Enfin, sachez que pour respecter la réglementation du RGPD, il vous faut également :
cartographier le traitement de vos données personnelles avec l’élaboration d’un registre des traitements
– au sein de ce registre, identifier les processus qui ne respectent pas le règlement et mettre des mesures concrètes pour y remédier
– travailler à la protection des données sous tous ses aspects, notamment en matière d’accès, de stockage et de sécurité informatique en général
documenter toutes ces actions de façon à être à même de prouver aux organismes régulateur que la structure a bien effectué tout ce qui était en son pouvoir pour respecter l’ensemble des points du règlement.

DPO : quelles sont ses missions ?

Le DPO, c’est le grand chef des données personnelles. Spécialiste du RGPD, ses missions assurent au quotidien la mise en conformité de votre entreprise au règlement. C’est votre interlocuteur privilégié. Il vous sensibilise, vous informe vous conseille. Il peut organiser des formations si vous avez des employés en contact avec des données personnelles.

Le DPO doit également tenir un registre du traitement des données. Interlocuteur privilégié entre votre entreprise et les autorités de contrôle, il est souvent amené à coopérer avec la CNIL par exemple.

Un DPO Partagé ? Nous contacter