- La nouvelle GED gére tout le cycle de vie des documents !
- PARTAGE D’EXPERIENCE - Noisy-le-Grand prend les rênes de sa gouvernance documentaire
- PARTAGE D’EXPERIENCE - Un hypermarché en quête du zéro papier
- PARTAGE D’EXPERIENCE - Parcours des patients, Ramsay Santé trouve la voie
- RGPD : comment se passe un contrôle de la CNIL? Témoignages de l’entreprise et de l’avocat
La société contrôlée est POLIGMA, start-up créée en 2015 qui propose des outils de Big Data auprès des candidats à des élections pour leur permettre de mieux connaître leur électorat et de construire des campagnes électorales efficaces, et pour des élus en mandat de gouverner leur territoire et leurs équipes.
L’attention de la CNIL a été attirée car la collecte et la manipulation de données dites sensibles à des fins politiques constituent le cœur de leur activité. En amont, pendant et à l’issue du contrôle, ils étaient accompagnés par le Cabinet Le Clainche Avocats, partenaire de Spigraph avec son logiciel tagOMEGA qui cartographie les données personnelles présentes dans le Système d’Information.
Premier constat : Tenter de se mettre en conformité à partir du moment où la CNIL vous informe de son contrôle est trop tard.
« La CNIL nous a informés un jeudi que ses agents effectueraient un contrôle sur place le mercredi suivant à 8h00. » précise Stéphane BOISSON, Fondateur de l’entreprise POLIGMA. Aucun délai légal n’est prévu par la loi. Les agents de la CNIL peuvent se présenter pour un contrôle inopiné sur site.
Deuxième constat : Être prêt à leur donner accès à tout ; et tout connaître de vos process de collecte et gestion des données à caractère personnel
« Les agents de la CNIL ont contrôlé de la cave au grenier et sont restés dans nos locaux de 8h à 22h avec un procès-verbal de 22 pages délivré le soir même. Il faut une disponibilité à 100% et être en capacité de répondre à toutes les questions, techniques et juridiques. » précise Stéphane BOISSON.
« Représentée par un(e) juriste et un(e) informaticien(ne), le contrôle peut durer plusieurs jours. L’objectif pour la CNIL est de prendre en copie un maximum d’informations, à la fois techniques (bases de données, algorithmes, programmes, codes source ) mais aussi juridiques (contrats, formulaires, devis, emails clients comme partenaires) notamment pour identifier à chaque fois si on délivre correctement l’information. A la suite de quoi la CNIL ramène tous ces éléments dans ses locaux pour une période de minimum 4 mois. » explique Maître Le Clainche.
Troisième constat : Porter une attention particulière au procès-verbal
Il est très important d’ajuster le contenu du PV au mot et à la virgule près pour ne laisser aucune ambiguïté car c’est lui qui va fonder ou non des poursuites ultérieures.
La CNIL privilégie les principes d’information et de transparence avec les utilisateurs. Il est donc important de mettre en avant la politique de traitements et l’information sur tous les supports de collecte de données (formulaires de collecte, emails, devis, factures, contrats ). Plus simplement, dès qu’il y a communication, l’organisme doit pouvoir dire comment les données sont collectées, qui en est responsable et à quoi elles vont servir. S’il y a une demande d’accès aux données personnelles, il est du devoir de l’organisation de ressortir toutes les données en rapport avec le principal intéressé en sa possession sous une forme intelligible.
« C’est un vrai challenge : retrouver de l’information dans une base de données c’est facile, mais ressortir celles contenues dans les emails, tableurs, documents dans lesquels la personne est nommément désignée l’est beaucoup moins. Si nous avions eu tagOMEGA à l’époque nous aurions gagné un temps considérable. » insiste Me Le Clainche.
Quatrième constat : Être conforme à 100% est impossible, mais l’intention d’y parvenir est le plus important
« Le plus intéressant à tirer de ce contrôle est de comprendre ce que la CNIL recherche en priorité car, bien que la conformité totale soit un objectif idéal à atteindre, aucune entreprise n’est conforme à 100 %. » conclut Me Le Clainche.
« Dès la création de notre société, nous avions intégré ce principe de respect des données personnelles et, grâce également à l’accompagnement de notre avocat, nous sommes non seulement sortis la tête haute de ce contrôle mais en plus nous avons été plébiscités dans notre méthodologie. Cette reconnaissance appréciée de nos clients valorise notre image de marque et notre sérieux ; et devient même un avantage concurrentiel certain. » conclut Stéphane BOISSON.
Visionnez le webinar complet “Webinar RGPD :
Retour d’expérience d’un client et de son Avocat DPO Externe suite à un contrôle de la CNIL.”
https://register.gotowebinar.com/register/4848863177091835150
Communiqué