Vous vous êtes sans doute demandé à quoi ressemblait un contrôle de la CNIL dans le cadre du RGPD ? Découvrez le témoignage d’un client et de son Avocat DPO Externe suite à un contrôle.
La société contrôlée est POLIGMA, start-up créée en 2015 qui propose des outils de Big Data auprès des candidats à des élections pour leur permettre de mieux connaître leur électorat et de construire des stratégies électorales efficaces en campagne, et pour des élus en mandat de gouverner leur territoire et leurs équipes.
L’attention de la CNIL a été attirée car la collecte et la manipulation de données dites sensibles à des fins politiques constituent le cœur de leur activité. En amont, pendant et à l’issue du contrôle, ils étaient accompagnés par le Cabinet Le Clainche Avocats, partenaire de Spigraph avec son logiciel tagOMEGA qui cartographie les données personnelles présentes dans le Système d’Information.
Premier constat : Tenter de se mettre en conformité à partir du moment où la CNIL vous informe de son contrôle est trop tard.
« La CNIL nous a informés un jeudi que ses agents effectueraient un contrôle sur place le mercredi suivant à 8h00. » précise Stéphane BOISSON, Fondateur de l’entreprise POLIGMA. Aucun délai légal n’est prévu par la loi. Les agents de la CNIL peuvent se présenter pour un contrôle inopiné sur site.
Maître Le Clainche explique que la CNIL peut effectuer 3 types de contrôles :
- à distance pour les outils online : ex. sites web (sécurité, cookies, …)
- sur pièces : la CNIL demande de lui communiquer des pièces relatives à la manière dont les données personnelles des clients, salariés, fournisseurs, etc… sont traitées.
- sur place : ce type de contrôle est majoritairement dû à des plaintes ou, plus rarement comme dans le cas de POLIGMA, en fonction de critères prioritaires définis par la CNIL.
Deuxième constat : Être prêt à leur donner accès à tout ; et tout connaître de vos process de collecte et gestion des données à caractère personnel
« Les agents de la CNIL ont contrôlé de la cave au grenier et sont restés dans nos locaux de 8h à 22h avec un procès-verbal de 22 pages délivré le soir même. Il faut une disponibilité à 100% et être en capacité de répondre à toutes les questions, techniques et juridiques. C’est la même sensation qu’un contrôle fiscal, même si je précise n’en n’avoir jamais subi. C’était une véritable chance d’être accompagné par notre Avocat DPO Externe expert en la matière. » précise Stéphane BOISSON, POLIGMA.
« Représentée par un(e) juriste et un(e) informaticien(ne), le contrôle peut durer plusieurs jours. L’objectif pour la CNIL est de prendre en copie un maximum d’informations, à la fois techniques (bases de données, algorithmes, programmes, codes source…) mais aussi juridiques (contrats, formulaires, devis, emails clients comme partenaires) notamment pour identifier à chaque fois si on délivre correctement l’information. A la suite de quoi la CNIL ramène tous ces éléments dans ses locaux pour une période de minimum 4 mois. » explique Maître Le Clainche.
Troisième constat : Porter une attention particulière au procès-verbal
Il est très important d’ajuster le contenu du PV au mot et à la virgule près pour ne laisser aucune ambiguïté car c’est lui qui va fonder ou non des poursuites ultérieures. « Nous avons bien passé deux heures à faire réécrire tout ce qui ne nous convenait pas pour être le plus clair possible. La CNIL investigue dans les détails, non pas pour sévir sur d’éventuelles entorses mais pour identifier les gros manquements. Dans l’ordre, les axes de recherche principaux de la CNIL sont les suivants : Comment sont garantis les droits des personnes (information, consentement, exercice des droits…) ? Quelles sont les bases légales des traitements ? Comment est assurée la chaine de conformité (de la création de vos traitements jusqu’au contrôle de vos sous-traitants, de vos salariés…) ? Pour terminer, le contrôle est axé sur la sécurité informatique. » partage Me Le Clainche.
La CNIL privilégie les principes d’information et de transparence avec les utilisateurs. Il est donc important de mettre en avant la politique de traitements et l’information sur tous les supports de collecte de données (formulaires de collecte, emails, devis, factures, contrats…). Plus simplement, dès qu’il y a communication, l’organisme doit pouvoir dire comment les données sont collectées, qui en est responsable et à quoi elles vont servir. S’il y a une demande d’accès aux données personnelles, il est du devoir de l’organisation de ressortir toutes les données en rapport avec le principal intéressé en sa possession sous une forme intelligible.
« retrouver de l’information dans une base de données c’est facile, mais ressortir celles contenues dans les emails, tableurs, documents dans lesquels la personne est nommément désignée C’est un vrai challenge . »
« C’est un vrai challenge : retrouver de l’information dans une base de données c’est facile, mais ressortir celles contenues dans les emails, tableurs, documents dans lesquels la personne est nommément désignée l’est beaucoup moins. Si nous avions eu tagOMEGA à l’époque nous aurions gagné un temps considérable. » insiste Me Le Clainche.
Quatrième constat : Être conforme à 100% est impossible, mais l’intention d’y parvenir est le plus important
« Le plus intéressant à tirer de ce contrôle est de comprendre ce que la CNIL recherche en priorité, car aucune entreprise n’est conforme à 100%. Cela reste un objectif idéal à atteindre et tout doit être mis en œuvre pour vérifier et contrôler que ce qui était conforme hier le soit encore aujourd’hui. Les réglementations et jurisprudences évoluent constamment. » conclut Me Le Clainche.
« Dès la création de notre société, nous avions intégré ce principe de respect des données personnelles et, grâce également à l’accompagnement de notre avocat, nous sommes non seulement sortis la tête haute de ce contrôle mais en plus nous avons été plébiscités dans notre méthodologie. Cette reconnaissance appréciée de nos clients valorise notre image de marque et notre sérieux ; et devient même un avantage concurrentiel certain. » conclut Stéphane BOISSON, POLIGMA.
Visionnez le webinar complet « Webinar RGPD : Retour d’expérience d’un client et de son Avocat DPO Externe suite à un contrôle de la CNIL. »
Joel PASCAL