Contrôle CNIL : comment bien se préparer ?

En 2024, la CNIL a reçu un nombre record de 17 772 plaintes, prononcé 87 sanctions et imposé plus de 55 millions d'euros d'amendes cumulées. La procédure simplifiée — permettant des sanctions rapides jusqu'à 20 000 € sans audience publique — a connu une montée en puissance spectaculaire : 69 décisions en 2024, soit près de trois fois plus qu'en 2023.

Ces chiffres dissipent une idée reçue tenace : aucune structure n'est trop petite pour être contrôlée. La CNIL a ainsi déjà sanctionné un cabinet dentaire de deux salariés ou encore des professions libérales pour défaut de coopération.

Se préparer à un contrôle n'est pas une démarche défensive réservée aux grandes entreprises : c'est une obligation stratégique pour tout organisme qui traite des données personnelles.

Comment la CNIL déclenche-t-elle un contrôle ?

Un contrôle peut être initié de plusieurs façons :

• Suite à une plainte d'un client, d'un salarié ou d'un partenaire ;
• Après une violation de données notifiée à la CNIL ou signalée dans la presse ;
• Dans le cadre de campagnes thématiques : la CNIL choisit chaque année des secteurs prioritaires (cookies et traceurs, cybersécurité, rôle du DPO, etc.) ;
• De manière aléatoire, sans motif particulier.

Le contrôle peut prendre quatre formes : sur place (dans vos locaux), sur pièces (envoi d'un questionnaire et de documents), sur audition (convocation d'un représentant), ou en ligne (analyse de vos sites et applications). Ces modalités sont cumulables.

Les cinq piliers d'une conformité démontrable

La CNIL n'évalue pas une conformité théorique, mais une conformité réelle, opérationnelle et documentée. Voici les points qu'elle vérifie systématiquement.

1. Le registre des activités de traitement (art. 30 RGPD)

C'est le premier document demandé lors de tout contrôle. Il doit lister chaque traitement de données (RH, clients, vidéosurveillance, cookies…), sa finalité, les catégories de données collectées, les destinataires, les durées de conservation et les mesures de sécurité. La CNIL a sanctionné des structures de moins de 250 salariés pour son absence, dès lors que leurs traitements présentaient un caractère régulier.

2. L'information des personnes et la politique de confidentialité

Les personnes dont les données sont collectées doivent être informées de manière claire, lisible et complète (art. 13 et 14 RGPD). Une politique de confidentialité incomplète ou obsolète constitue l'un des manquements les plus fréquemment sanctionnés.

3. La gestion des cookies et des traceurs

Les sites internet font l'objet d'une surveillance particulière. La CNIL exige qu'il soit aussi facile de refuser les cookies que de les accepter. Le dépôt de cookies publicitaires sans consentement préalable — même en présence d'un bandeau — a donné lieu à de nombreuses sanctions.

4. La sécurité des données (art. 32 RGPD)

L'affaire SERGIC l'illustre parfaitement : après qu'un défaut de sécurité exposant les données de candidats locataires a été signalé, la CNIL a effectué deux contrôles successifs. Constatant que la faille n'avait pas été corrigée, elle a infligé une amende de 400 000 € sans mise en demeure préalable. Mots de passe insuffisamment hachés, fonction SHA-1 obsolète, données conservées indéfiniment après désactivation d'un compte : autant de failles relevées en 2024.

5. Le respect des droits des personnes

Toute demande d'exercice des droits (accès, rectification, effacement, portabilité…) doit recevoir une réponse dans un délai d'un mois. Le défaut de réponse ou de traitement de ces demandes dans les délais est régulièrement sanctionné en procédure simplifiée.

Le rôle clé du Délégué à la Protection des Données (DPO)

Le DPO — obligatoire pour les organismes publics, les structures traitant des données sensibles à grande échelle et certains sous-traitants — est l'interlocuteur principal de la CNIL lors du contrôle. En 2023 et 2024, la CNIL a mené une campagne ciblée sur les moyens effectivement accordés aux DPO. Elle a ainsi sanctionné des organismes dont le DPO n'était pas associé aux réunions relatives à la protection des données, ou n'avait pas accès à la messagerie dédiée à l'exercice des droits.

Nommer un DPO sur le papier ne suffit pas : il doit disposer des ressources, de l'indépendance et de l'accès nécessaires à l'exercice effectif de sa mission.

Le déroulement concret d'un contrôle sur place

Lors d'un contrôle sur place, la délégation CNIL se présente munie d'une habilitation officielle. La procédure recommandée est la suivante :

1. Vérifier l'identité des agents via leur carte professionnelle et la délibération les habilitant ;
2. Prévenir immédiatement le DPO ou le responsable légal désigné pour accompagner les contrôleurs ;
3. Accompagner les agents tout au long de leur mission et noter les constatations dans un journal interne ;
4. Relire et signer le procès-verbal à l'issue du contrôle, en faisant consigner toute observation utile.

La coopération avec la CNIL est impérative : son absence constitue elle-même un manquement susceptible d'être sanctionné de façon autonome.

Quelles suites après un contrôle ?

À l'issue du contrôle, plusieurs issues sont possibles :

• Clôture sans observation si la conformité est établie ;
• Lettre d'observations pour des manquements mineurs, avec recommandations ;
• Mise en demeure avec délai de mise en conformité fixé par la présidente de la CNIL ;
• Sanction directe sans mise en demeure préalable — ce que le Conseil d'État a confirmé dans l'affaire Optical Center (CE, 10ème ch., 26 avril 2022, n° 449284) ;
• Publication de la décision de sanction (name and shame).

Les amendes peuvent atteindre 20 millions d'euros ou 4% du chiffre d'affaires annuel mondial, le montant le plus élevé étant retenu.