Tout le monde la redoute (sauf les 3 Suisses), mais personne ne s’en préoccupe vraiment. Et pourtant, la CNIL a le pouvoir d’effectuer des contrôles auprès de l’ensemble des organismes qui traitent des données personnelles. Les organismes publics peuvent ainsi faire l’objet d’un contrôle de la CNIL.
Ce contrôle, même s’il est rare (l’organisme de contrôle en a effectué 345 en 2022), ses répercussions peuvent être importantes, que ce soit en termes d’image ou de finances. Le contrôle de la CNIL ne se fait pas forcément sur place. En effet, ils peuvent s’effectuer également via des contrôles en ligne (sur votre site internet, par exemple), sur pièces (en vous demandant de lui fournir certains documents) ou via une audition du responsable de traitement (le maire ou le président) dans les locaux de la CNIL.
Vous pouvez consulter le site http://umap.openstreetmap.fr/fr/map/cartographie-des-controles-de-la-cnil-par-annee-et_83366#6/46.667/5.418 qui présente sous forme de cartographie la totalité des contrôles CNIL. Si la collectivité dispose d’un temps de réflexion lors des contrôles à distance de la CNIL, dans ce cas, votre réflexe premier doit être de prévenir le SICTIAM (Syndicat mixte d’Ingénierie pour les Collectivités et Territoires Innovants des Alpes et de la Méditerranée) en tant que DPO pour vous accompagner dans votre réponse. C’est une autre histoire en cas de contrôle sur place.
Une délégation de la CNIL peut intervenir dans votre établissement à tout moment, sans que vous n’ayez été informé de leur venue. En effet, les missions de vérification sur place s’effectuent généralement de façon inopinée. Par conséquent, il est essentiel, en tant que référent RGPD de votre collectivité, de formaliser une procédure qui décrit ce qu’il faut faire en cas de contrôle sur place de la CNIL.
Pour vous aider dans votre démarche, nous avons ajouté à notre ressource documentaire sur Madis un modèle de procédure simple et concret que vous pouvez utiliser et bien entendu adapter à votre situation. N’hésitez pas à envoyer votre document finalisé à l’adresse dpo@sictiam.fr pour que nous puissions vous donner notre avis.
Le mois prochain, nous verrons comment réagir le jour J !