BlueSecure s’est associé au cabinet d’avocats Lawint pour vous proposer une prestation de simulation de contrôle de la CNIL (Commission nationale de l’informatique et des libertés).
L’objectif est de vous aider à anticiper une inspection de l’autorité administrative tout en consolidant votre conformité au RGPD.
Cette démarche peut venir également renforcer le capital confiance de vos clients et partenaires pour lesquels vous traitez des données personnelles.
Nous sommes également en mesure de vous apporter de l’assistance en cas de contrôle effectif de la CNIL.
Les contrôles de la CNIL
Depuis le mois de mai 2018 et l’entrée en vigueur du RGPD, les moyens de contrôle de la CNIL se voient renforcer pour vérifier la mise en œuvre du règlement européen.
À ce titre, l’autorité réalise chaque année des milliers d’actes d’investigation, notamment en instruisant des plaintes, en traitant des signalements de violations de données personnelles ou en ouvrant des procédures formelles de contrôle.
Environ 300 contrôles sont réalisés tous les ans en s’appuyant notamment sur un programme annuel élaboré en fonction des thèmes d’actualité et des grandes problématiques (technologies émergentes) dont la CNIL est saisie. Ces thématiques représentent environ 25 % des procédures formelles de contrôle menées par la CNIL. A titre d’exemple, voici les programmes de ces dernières années :
2018 : Les méthodes de recrutement, les agences immobilières, le stationnement payant.
2019 : Le respect du droit des personnes, les données de mineurs, La répartition des responsabilités entre responsable de traitements et sous-traitants.
2020 : Les données de santé, la mobilité et les données de géolocalisation, le respect des dispositions applicables aux cookies.
La CNIL peut de sa propre initiative se rendre dans tout local professionnel et vérifier sur place et sur pièce les fichiers. La Commission use de ses pouvoirs d’investigation pour instruire les plaintes et disposer d’une meilleure connaissance de certains fichiers.
La CNIL surveille par ailleurs la sécurité des systèmes d’information en s’assurant que toutes les précautions sont prises pour empêcher que les données ne soient déformées ou communiquées à des personnes non autorisées.
Les réclamations et les signalements alimentent également le planning de contrôle de la CNIL.
Les faits régulièrement dénoncés sont par exemple : non-respect d’un droit (accès, opposition, suppression), collecte de données excessives (vidéosurveillance, données bancaires, appels téléphoniques), atteinte à la sécurité et à la confidentialité des données (violation de données, accès par des personnes non autorisées).
Les sanctions
À l’issue de contrôles ou de plaintes, en cas de méconnaissance des dispositions de la loi de la part des responsables de traitement et des sous-traitants, la CNIL peut notamment :
- Prononcer un avertissement ;
- Mettre en demeure l’entreprise ;
- Limiter temporairement ou définitivement un traitement ;
- Suspendre les flux de données ;
- Ordonner de satisfaire aux demandes d’exercice des droits des personnes ;
- Ordonner la rectification, la limitation ou l’effacement des données ;
- Prononcer une amende administrative pouvant s’élever jusqu’à 20 millions d’euros ou jusqu’à 4 % du chiffre d’affaires annuel mondial total de l’exercice précédent, le montant le plus élevé étant retenu.
Notre démarche
Notre mission se décompose en 3 étapes :
1. Préparation des points de contrôle
Cette phase est préparée en interne par le Cabinet d’avocats Lawint, avec un point de contact unique pour le client aux fins de complément et validation préalable au lancement de la simulation.
Les thématiques traitées seront notamment :
- La vérification du registre des traitements ;
- La sécurité informatique ;
- La base juridique des traitements / collecte du consentement ;
- Les durées de conservation ;
- Les mentions RGPD sur les documents.
2. Simulation du contrôle
L’objectif est de recréer les conditions d’un contrôle réel, avec un casting de référents juridiques et techniques.
La simulation de contrôle est donc réalisée par 3 personnes comprenant 2 juristes du cabinet d’avocats Lawint (spécialisés en droits des données) et 1 expert BlueSecure (Auditeur sécurité certifié ISO 27001).
Le contrôle se déroule sur place, sur une journée complète.
Les conditions d’accueil par l’entreprise et le déroulement de la journée doivent être les mêmes que pour des contrôleurs officiels le jour J.
En dehors des évaluations des points de contrôle juridiques et techniques établis, les auditeurs observeront l’environnement de l’organisation (confidentialité des échanges, gestion des accès, cloisonnements…).
3. Rapport
A l’issue de la simulation de contrôle, sera remis un rapport complet structuré comme suit :
- Compte-rendu et constats de l’analyse préalable au contrôle ;
- Rapport sur le cadre de la simulation et le déroulé de la journée ;
- Constats détaillés de l’ensemble des points de contrôle de la simulation ;
- Préconisations : les do et don’t, sur les comportements à adopter en cas de véritable contrôle et préconisations d’amélioration tant sur le plan juridique que technique.
Ce rapport couvrira aussi bien les aspects procédures internes, les points juridiques et contractuels ainsi que la sécurité du système d’information.
Les bénéfices de notre offre
- Se préparer à un éventuel contrôle réel de la CNIL ;
- Réaliser un audit avec un point de vue externe : des processus, dispositions juridiques et techniques en place ;
- Bénéficier d’un rapport vous permettant de consolider votre mise en conformité ;
- Renforcer la confiance auprès de vos partenaires et clients en les informant de cette démarche.
Contactez-nous
Si vous souhaitez davantage d’informations sur notre offre de simulation de contrôle de la CNIL.
Ou si vous êtes contrôlé par la CNIL et que vous souhaitez bénéficier d’une assistance, n’hésitez pas à nous contacter :