Les procédures de contrôle et d’investigation de la Cnil concernent toutes les sociétés traitant des données à caractère personnel, quelle que soit leur taille.
La Cnil prête également une très grande attention aux signalements et plaintes des particuliers. Elle engage régulièrement sur le fondement de plaintes reçues, des procédures de vérification des pratiques des responsables de traitement et de leurs sous-traitants.
Il est donc nécessaire pour chaque entreprise amenée à traiter des données personnelles d’être prête à répondre aux questions soulevées dans un laps de temps relativement court.
Lors de la réception par un de nos clients d’une notification de plainte par la Cnil, nous avons pu constater l’importance d’une procédure interne efficace pour répondre rapidement aux demandes d’information formulées.
Notre client s’est en effet trouvé confronté à une première difficulté : le délai pour répondre à cette demande d’information.
Ce délai est en général de trente jours, mais peut se révéler en réalité très court lorsque la notification arrive au milieu des congés d’été.
Cet échange nous a permis de clarifier la durée qui nous était allouée pour répondre.
Il a également permis de préciser certaines des demandes de la Commission, tout en clarifiant certains points de l’activité de notre client qui ont pu être écartés du périmètre de la demande d’information.
Nous avions d’ores et déjà procédé à la vérification de la conformité de ses traitements de données et de ses sous-traitants. La cartographie interne des flux de données était également connue de chaque salarié impliqué.
Chaque question a donc rapidement pu être attribuée à un interlocuteur interne et trouver une réponse.
Une fois les derniers points clarifiés avec la personne en charge du suivi de la demande au sein de la Commission, nous avons été en mesure de produire rapidement l’ensemble des informations demandées par la Cnil.
Nous ne pouvons donc qu’encourager la mise en place d’une organisation interne claire s’agissant des traitements de données, afin que chaque salarié ait connaissance des données personnelles traitées dans son périmètre.
En cas de contrôle ou de demande d’informations de la Cnil, nous recommandons également de prendre contact avec la personne identifiée dans la lettre reçue. Les échanges permettent de clarifier ce qui est attendu du destinataire de la lettre et facilitent grandement la production de réponses.