Contrôle CNIL
Un contrôle CNIL se prépare
avant, pas pendant.
Recevoir un courrier de la CNIL n'a rien d'une fatalité. Ce qui compte, c'est ce que vous pouvez montrer le jour où on vous le demande — et ça se construit en amont, pas dans l'urgence.
Quatre formes de contrôle, un même objectif
La CNIL dispose de plusieurs modalités pour vérifier qu'un organisme respecte le RGPD. Elles ne se valent pas en termes de délai de réaction ni de formalisme, mais elles convergent toutes vers la même question : pouvez-vous justifier vos traitements de données ?
- ✓ Contrôle sur place — des agents de la CNIL se déplacent dans vos locaux, avec ou sans préavis, pour examiner vos systèmes et interroger vos équipes ;
- ✓ Contrôle sur pièces — un questionnaire écrit vous est adressé, avec un délai fixé pour y répondre et fournir les documents demandés ;
- ✓ Contrôle sur audition — un représentant de votre organisme est convoqué pour être entendu sur vos pratiques ;
- ✓ Contrôle en ligne — la CNIL examine à distance votre site ou votre application (bandeau cookies, formulaires, mentions d'information) sans vous prévenir.
Dans les quatre cas, les premiers éléments demandés sont presque toujours les mêmes : le registre des traitements (article 30 du RGPD), la preuve du recueil du consentement pour les cookies non essentiels, et la description des mesures de sécurité en place. Un contrôle ne porte pas seulement sur le site web : il peut viser n'importe quel traitement de données de l'organisme, RH compris.
Les 3 réflexes en cas de contrôle
Ne pas paniquer, respecter les délais
Un contrôle sur pièces fixe un délai de réponse précis : il se tient. Un contrôle sur place s'accompagne de droits (assistance d'un conseil, procès-verbal contradictoire) qu'il faut connaître avant, pas découvrir sur l'instant.
Rassembler la documentation existante
Registre des traitements, contrats de sous-traitance (article 28), analyses d'impact le cas échéant (article 35), preuves de consentement. Le but n'est pas de tout produire en une nuit, mais de retrouver ce qui existe déjà et de combler les trous identifiés.
Faire cadrer la réponse par un DPO ou un juriste
Ce qui est écrit ou dit à la CNIL engage l'organisme. Un DPO ou un juriste aide à formuler une réponse complète et exacte, sans sur-exposer l'organisme sur des points qui ne sont pas demandés.
La plupart des contrôles se soldent, en cas de manquement, par une mise en demeure assortie d'un délai pour se mettre en conformité — avant toute sanction financière au titre de l'article 83 du RGPD. Il y a donc une marge de manœuvre, à condition de la saisir dans les temps.
VIGIL vous garde prêt, pas juste le jour J
Un dossier de conformité qui vit tout au long de l'année vaut mieux qu'un dossier reconstitué en urgence. C'est tout l'objet de l'accompagnement VIGIL, avec une IA sans jargon conçue par un polytechnicien et des juristes de magistère (Sorbonne, Assas) en appui.
Registre à jour
Votre registre des traitements est tenu à jour au fil de l'eau, pas reconstitué en catastrophe.
Documentation centralisée
Contrats de sous-traitance, analyses d'impact, preuves de consentement : tout est réuni au même endroit.
Questions traitées au fil de l'eau
L'IA répond à vos questions de conformité au quotidien ; vous pouvez faire relire une réponse par un juriste, la transmission n'est jamais imposée, vous gardez la main.
Appui le jour du contrôle
Si un contrôle survient, un juriste vous aide à cadrer la réponse, facturé au temps passé sur les heures de votre formule.
Mieux vaut être prêt avant qu'un courrier arrive
Faites le point sur votre niveau de préparation avec VIGIL. Consultez aussi le détail des offres sur la page tarifs.
Faire le point avec nousContenu à visée informative, à jour au moment de sa rédaction. Il ne constitue pas un conseil juridique personnalisé au sens de la loi n°71-1130 du 31 décembre 1971 — chaque situation mérite une analyse dédiée.