La CNIL dispose d’un pouvoir de contrôle qu’elle peut exercer à tout moment sur votre organisme. Comprendre ce qui peut déclencher un contrôle, ce qu’elle est en droit d’exiger, et comment se déroulent concrètement ses investigations est indispensable pour anticiper et réagir efficacement.
La compétence de la CNIL
Le décret n°2019-536 pris pour l’application de cette loi fixe précisément l’étendue et les modalités des pouvoirs d’enquête de la CNIL.
Le pouvoir de la CNIL est donc strictement réglementé et s’exerce sous le contrôle du juge administratif.
La CNIL est investie, par la Loi Informatique et Libertés, d’un pouvoir de contrôle et de sanction des organismes afin d’assurer le respect du Règlement général à la protection des données (RGPD) en France.
Qu’est-ce qui déclenche un contrôle de la CNIL ?
Plusieurs situations peuvent conduire la CNIL à diligenter un contrôle :
→ Les thématiques prioritaires de contrôle annuelles de la CNIL. Pour consulter celles décidées en 2026, consulter le site internet de la CNIL.
→ Les suites d’une procédure de contrôle antérieure pour s’assurer que l’organisme s’est mis en conformité.
→ Les initiatives en lien avec l’actualité ou une révélation de la presse. Exemple : ce sont des articles de presse révélant l’utilisation de drones équipés de caméras par les forces de police lors du confinement de 2020 qui ont déclenché un contrôle de la CNIL et une sanction du ministère de l’Intérieur.
→ Le dépôt d’une plainte ou la notification d’une violation de données auprès de la CNIL. Exemple : à la suite d’une fuite de données ayant touché Free courant 2024, la CNIL a lancé une procédure de contrôle face aux réclamations massives de clients.
L’étendue du pouvoir de la CNIL
Quel que soit le mode de contrôle choisi par la CNIL, ses membres et agents sont légalement autorisés à vous demander :
- La communication et la conservation de la copie de tous documents nécessaires à l’accomplissement de leur mission, quel qu’en soit le support.
- Les renseignements juridiques ou techniques leur permettant d’apprécier la conformité d’un traitement de données, auprès des membres du personnel de leur choix (DPO, informaticien, etc.).
- L’accès aux programmes informatiques et aux données et leur transcription.
Parmi les documents que la CNIL peut concrètement demander lors d’un contrôle (liste non exhaustive) :
| Document | Référence |
|---|---|
| Le registre des activités de traitements | art. 30 du RGPD |
| Le registre des violations de données | art. 33 du RGPD |
| Les analyses d’impact à la protection des données | art. 35 du RGPD |
| Les contrats avec les prestataires | art. 28 du RGPD |
| Les procédures et politiques internes (gestion des droits, conservation des données, charte informatique…) | art. 24 du RGPD, pour en savoir plus cliquez ici.) |
⚠️ Pour assurer la présentation de ces documents à la CNIL, les personnes concernées par le contrôle devront savoir où ils se trouvent. Il est donc impératif de faciliter l’accès à cette documentation.
Les différents types de contrôles de la CNIL
1. Le contrôle sur place
Le contrôle sur place se déroule en quatre étapes :
- 1ère étape — Arrivée inopinée des agents de la CNIL dans vos locaux
Les agents demandent à rencontrer le responsable des lieux (ex : représentant légal) et une personne en capacité de présenter les traitements visés (ex : DPO).
- 2ème étape — Présentation de la mission de contrôle
Selon la Charte des contrôles de la CNIL, les agents mandatés doivent, dès le début de leur intervention, remettre au responsable des lieux un certain nombre d’informations essentielles. Cela inclut notamment la copie de la décision de contrôle ainsi que l’ordre de mission général désignant les agents en charge de la vérification.
Ils doivent également notifier au responsable des lieux son droit de s’opposer au contrôle, ainsi que la possibilité de se faire assister par le conseil de son choix. Enfin, les agents sont tenus de présenter de manière claire l’objet du contrôle ainsi que son périmètre, afin de garantir la transparence de la procédure.
- 3ème étape — Déroulement des vérifications
La CNIL procède à ses vérifications concernant la conformité des traitements et sollicite les documents listés en section 3.
À noter : Les vérifications de la CNIL n’ont pas pour objet de recueillir des explications sur des faits pour lesquels une personne serait mise en cause dans le cadre d’une procédure tendant à la sanctionner (CE, 18 avril 2025, Req. n°482872).
- 4ème étape — Dressage et signature du procès-verbal
Le Responsable des lieux signe le procès-verbal dressé par les agents de la CNIL. Et adresse éventuellement ses réserves et/ou observations.
2. Le contrôle en ligne
- Contrôle à partir d’un poste informatique ou d’un terminal mobile sur toutes les données librement accessibles sur Internet.
- Les agents peuvent utiliser une identité d’emprunt (faux noms, prénoms, adresses mails) pour remplir des formulaires, tester des liens de désinscription, vérifier les politiques de confidentialité ou le respect des règles sur les cookies.
- À l’issue du contrôle, la CNIL dresse un procès-verbal et peut demander la transmission de pièces complémentaires dans un délai imparti.
3. Le contrôle sur pièces
- Envoi d’un questionnaire à l’organisme précisant l’objet du contrôle, le délai pour répondre et les documents à transmettre au format demandé.
- L’organisme répond par courrier LRAR ou via la plateforme sécurisée de la CNIL ; la CNIL instruit ensuite les réponses et pièces justificatives.
- La présidente de la CNIL décide des suites à donner à la procédure ou peut ordonner un nouveau contrôle selon d’autres modalités.
Exemple : La CNIL a réalisé un contrôle sur pièces auprès du ministère de la Santé concernant l’application « StopCovid France ».
4. Le contrôle sur audition
- 8 jours avant l’audition, l’organisme reçoit un courrier de convocation précisant l’objet, la date, le lieu et l’heure de l’audition, ainsi que la possibilité de se faire assister du conseil de son choix.
- Le jour J, les étapes sont les mêmes que pour un contrôle sur place.
Quelles limites au contrôle de la CNIL ?
Peut-on opposer le secret professionnel à la CNIL ?
Le secret professionnel n’est pas opposable aux agents de la CNIL lors d’un contrôle.
De même, le secret médical n’est plus opposable en la présence d’un médecin accompagnant la CNIL.
Par exception, peuvent uniquement être opposés à la CNIL 2 cas :
- Le secret professionnel applicable aux relations entre un avocat et son client ;
- Le secret des sources des traitements journalistiques ;
Peut-on refuser un contrôle de la CNIL ?
Il est possible de s’opposer à un contrôle … cependant, l’opposition doit être rigoureusement motivée et justifiée (l’absence du DPO ou du responsable de traitements n’est pas suffisant).
La Présidente de la CNIL peut saisir le Juge des Libertés et de la Détention aux fins d’autoriser la visite.
L’ordonnance délivrée par le juge peut faire l’objet d’un recours, qui ne suspendra pas son exécution — soit la mise en œuvre du contrôle.
Les agents de la CNIL devront présenter la copie de l’ordonnance au Responsable des lieux.
Se préparer avant d’être contrôlé
Faire face à un contrôle de la CNIL ne s’improvise pas. Mais loin d’être une épreuve subie, il peut devenir un véritable levier de structuration et de crédibilité pour votre organisation. Car au-delà du risque de sanction, l’objectif reste avant tout de garantir un usage des données conforme, transparent et sécurisé. [cnil.fr]
La clé ? L’anticipation. Cartographier vos traitements, maintenir vos registres à jour, formaliser vos procédures et vous entraîner à travers des simulations de contrôle : autant de réflexes indispensables pour aborder sereinement toute vérification.
Mais vous n’avez pas à avancer seul. S’appuyer sur un expert, c’est non seulement sécuriser votre conformité, mais aussi gagner en efficacité et en tranquillité d’esprit au quotidien.
👉 Et si vous faisiez le point dès maintenant sur votre niveau de conformité ?
Nos experts vous accompagnent pour évaluer vos pratiques, identifier vos axes d’amélioration et vous préparer concrètement à un éventuel contrôle CNIL.
Article protégé par des droits de propriété intellectuelle. Propriété d’ADNOV. Reproduction, représentation, adaptation, modification, copie, transfert, diffusion, en tout ou partie, strictement interdits.