Contrôles CNIL : Les RSSI en première ligne face à l’impératif de conformité Pour les responsables de la sécurité des systèmes d’information, un contrôle de la CNIL représente un défi majeur avec des enjeux importants : sanctions financières, atteinte à la réputation, procédures longues et intrusives.
Lors de ce rendez-vous Future of IT Tour Paris – room cyber, Nicolas Taverna, avocat à la Cour chez Poggi Avocats IT, décrypte les mécanismes des contrôles et livre ses recommandations : documentation rigoureuse, gestion des mots de passe conforme aux référentiels ANSSI, audits préventifs et maîtrise de la communication lors du contrôle.
Julien Merali
Pourquoi est-il important pour les RSSI de connaître les impacts d’un contrôle de la CNIL ?
Nicolas Taverna
Quand on pense CNIL, on pense d’abord avocat ou juriste, et quand on pense sécurité informatique, on pense avant tout à un sujet technique relevant du RSSI.
L’environnement réglementaire évolue constamment : RGPD, NIS2, DORA. Les RSSI ont l’habitude d’évoluer dans un environnement de plus en plus réglementé. En ce qui concerne les données personnelles, l’article 32 du RGPD pose une obligation de sécurité des données personnelles.
Le gardien de la sécurité des données personnelles, c’est le RSSI. Par conséquent, lors d’un contrôle de la CNIL sur le volet sécurité des données personnelles, le RSSI est en première ligne.
Julien Merali
Pouvez-vous nous expliquer quels sont les signaux d’alerte qui peuvent déclencher un contrôle de la CNIL ?
Nicolas Taverna
Il existe des signaux plus ou moins forts. Parfois, suite à un incident de sécurité ou à des failles.
Parfois aussi un client ou un usager peut recevoir une alerte (Google ou autre) l’informant que ses données ont été compromises.
Et ne sachant pas forcément comment, il peut soupçonner qu’un incident s’est produit dans votre organisme et vous solliciter. Dans ce cas, il faut lui répondre. Ce n’est pas toujours évident, et si la réponse ne le satisfait pas, cette personne peut signaler la situation à la CNIL, ce qui peut attirer son attention.
Le déclencheur principal qui attire l’attention de la CNIL reste l’incident de sécurité. Selon le niveau de gravité, il faut soit le déclarer à la CNIL, soit également communiquer auprès des personnes concernées.
Julien Merali
Selon la période, la CNIL peut-elle se concentrer sur tel ou tel secteur d’activité ?
Nicolas Taverna
Ce n’est pas forcément par secteur, mais plutôt par thématique. La CNIL compte entre 200 et 300 agents, donc ses ressources sont limitées et elle doit cibler ses actions.
Par exemple, en 2024, les contrôles ont porté sur les programmes de fidélité et les tickets dématérialisés, et en 2025 sur les applications mobiles.
Ces sujets impliquent de la sécurité, mais il n’y a pas eu de contrôles spécifiquement dédiés aux questions cyber.
Julien Merali
Comment les contrôles sont-ils opérés concrètement ?
Nicolas Taverna
Il peut s’agir d’un contrôle sur place : des agents arrivent au siège, ou effectuent une visite dans un point de vente, un entrepôt, ou n’importe quel local. Il existe également des constats sur Internet.
Par exemple, en matière de cybersécurité, il est assez simple pour les agents de la CNIL de se comporter comme un usager d’un site Internet ou un client d’une plateforme e-commerce : créer un compte et observer les exigences concernant le nombre de caractères pour le mot de passe, etc. Ils obtiennent ainsi déjà des indications sur certains éléments de sécurité.
Julien Merali
Une fois le contrôle déclenché, quelles en sont les étapes ?
Nicolas Taverna
Tout d’abord, nous sommes dans un État de droit. Le pouvoir de contrôle de la CNIL, comme celui de toute autorité de l’État, est encadré. Ces pouvoirs sont définis à l’article 19 de la loi Informatique et Libertés.
Cela étant dit, il s’agit d’un pouvoir assez intrusif. En effet, les agents de la CNIL peuvent demander à accéder aux systèmes d’information et poser des questions à vos équipes.
Il existe un devoir de coopération. Si vous ne coopérez pas suffisamment, cela pourrait vous être reproché en cas de procédure de sanction.
Julien Merali
Une fois le contrôle effectué, à quoi peut-on s’attendre ?
Nicolas Taverna
Après un contrôle, si tout va bien, il ne se passera rien. On sera dans une situation de « pas de nouvelles, bonnes nouvelles ». Ensuite, il peut y avoir des rappels à l’ordre plus ou moins informels.
Si des manquements sont constatés, cela ne mènera pas forcément à une sanction. Cela peut être une mise en demeure, qui est un acte formel. Il est alors fortement recommandé de suivre les recommandations et de se mettre en conformité pour éviter qu’une procédure de sanction ne suive.
Enfin, dernier cas de figure : se retrouver face à une procédure de sanction en bonne et due forme.
Je vais détailler un peu cette procédure. La CNIL est répartie en différents organes.
Il y a la présidence de la CNIL qui décide du lancement d’une enquête, appelée « vérification ». Des équipes dépendant du secrétariat général mènent cette enquête. À la fin, un procès-verbal remonte à la présidence.
La Présidence décide alors de saisir ou non la formation restreinte de la CNIL, qui fait office de tribunal, à cheval entre le technique et le juridique. Cette instance engage une procédure contradictoire : des griefs vous sont notifiés indiquant les manquements qui vous sont reprochés.
Un rapporteur formule ses observations, vous pouvez être assisté d’avocats et de conseillers techniques, car la discussion est juridico-technique. Vous pouvez également présenter vos observations, à l’écrit puis à l’oral lors d’une audience devant la formation restreinte. À l’issue de cette procédure contradictoire, une décision de sanction est rendue.
Il peut s’agir de sanctions pécuniaires, d’injonctions, et la décision peut être rendue publique ou non. Parfois, la simple publication de la décision constitue déjà un préjudice important pour l’organisation concernée.
Julien Merali
Revenons au jour J : comment se déroule concrètement un contrôle sur place et comment doit-on réagir ?
Nicolas Taverna
Tout d’abord, comme mentionné, la CNIL ne vous prévient pas : les contrôles sont inopinés. Les constats sur Internet se font à distance, vous ne les voyez donc pas.
Pour un contrôle sur place, généralement vers 9h du matin, les agents fonctionnent par binôme : un agent juridique et un agent technique.
Les deux se présentent à l’accueil en annonçant qu’il s’agit d’un contrôle de la CNIL et demandent à parler au directeur. L’organisation dépend de la structure. Il est conseillé de les faire entrer dans une salle de réunion, de leur offrir un café, et que le directeur ou la direction juridique, ou une personne ayant de l’autorité, descende les accueillir.
S’il y a un DPO, interne ou externe, il est bien de l’appeler pour qu’il vienne dès que possible. En revanche, dans les premières heures, il n’est pas forcément nécessaire d’avoir immédiatement le DSI, le RSSI ou des personnes techniques. Il est préférable de prendre le temps de comprendre l’objet du contrôle.
Julien Merali
Il s’agit donc de gagner du temps pour comprendre ce qui est attendu ?
Nicolas Taverna
Exactement. Il faut être poli, ne pas paniquer et ne pas se précipiter pour éviter de se prendre les pieds dans le tapis. Généralement, le contrôle commence par la présentation de l’ordre de mission. Les agents disposent d’un ordre de mission qui délimite le périmètre du contrôle.
Ils ne vont pas tout fouiller sur tous les sujets. Il peut s’agir de traitements en rapport avec, par exemple, les programmes de fidélité. Si le contrôle fait suite à un incident de sécurité, on peut s’attendre à ce que les aspects sécurité du RSSI en rapport avec l’incident soient examinés attentivement.
Les vulnérabilités concernées seront scrutées. Mais durant la matinée, la première heure du contrôle portera sur des thématiques assez générales.
Julien Merali
Quels sont les documents à préparer ? Le RGPD implique beaucoup de documentation.
Nicolas Taverna
Les contrôleurs de la CNIL vont d’abord vouloir comprendre l’activité de la société, son organisation, les différents groupes. Une fois qu’ils auront une vision générale, ils demanderont à accéder aux documents incontournables.
Nous connaissons tous les exigences du RGPD : ils vont consulter les registres de traitement concernant les traitements faisant l’objet du contrôle. Ils examineront également le registre de violations de données. Pour rappel, toutes les violations de données, indépendamment de leur degré de gravité, doivent être consignées dans ce registre, même celles qui ne sont pas déclarées à la CNIL.
Enfin, il y a les analyses d’impact (PIA pour Privacy Impact Assessment, ou AIPD pour Analyse d’Impact relative), qui sont des documents à la fois juridiques et très techniques. Elles portent sur les traitements à risques et constituent une analyse de sécurité.
Généralement, ces documents sont élaborés conjointement par le DPO et le RSSI. Les traitements à risques concernent soit de grandes bases de données, soit des traitements impliquant de l’IA, dès lors qu’il existe un risque pour les droits des personnes justifiant cette analyse des risques.
Julien Merali
Comment la CNIL vérifie-t-elle que la documentation correspond à la réalité ?
Nicolas Taverna
La CNIL ne se contente pas du documentaire. Dans les documents, on dit ce qu’on fait, mais elle va ensuite ouvrir le capot pour vérifier qu’on fait bien ce qu’on dit.
À ce stade, il faut impliquer des personnes compétentes. En fonction de l’objet du contrôle et du périmètre du SI qui sera scruté, il faut faire venir des personnes qui connaissent bien leur domaine et qui peuvent accéder au système.
Et là, il faut alors trouver le juste équilibre : ne pas trop en dire pour éviter de se prendre les pieds dans le tapis, mais montrer une coopération suffisante.
Si l’on traîne trop les pieds, cela peut être contreproductif. C’est un dosage subtil. C’est pourquoi les avocats et le DPO sont souvent présents. Mais le rôle du DSI ou du RSSI, selon les sujets examinés, est essentiel.
La CNIL n’accède pas directement aux serveurs. Ce n’est pas une saisie comme celle effectuée par des huissiers qui viendraient prendre le matériel. Les agents vont s’asseoir avec vous et vous demander : « Monsieur, pouvez-vous accéder à telle base de données ?
Pouvez-vous entrer telle ligne de commande ? » Selon ce que recherche la CNIL, ils vous poseront des questions et vous demanderont d’effectuer vous-même certaines manipulations sur votre SI. Ils enregistreront ces actions, ou vous demanderont de les enregistrer.
Il peut s’agir d’un enregistrement vidéo continu ou de captures d’écran à des moments clés. Tous ces enregistrements, captures d’écran et réponses seront joints au procès-verbal et constitueront des preuves, pour ou contre vous, en cas de procédure de sanction ultérieure.
Julien Merali
Une fois que les agents de la CNIL sont repartis et que le procès-verbal est signé, à quoi peut-on s’attendre et dans quel délai ?
Nicolas Taverna
Dans 99 % des cas, il y aura un questionnaire complémentaire, car il est difficile en une journée d’avoir tout le monde et toutes les réponses. Un jeu de questions va approfondir certains détails, demandant par exemple des extractions de données ou des éléments de volumétrie.
Ces demandes sont un peu plus complexes et n’auront pas forcément pu être traitées le jour du contrôle. Concernant la sécurité, il y aura systématiquement des questions sur la sécurité des bases de données.
Généralement, cela commence par : qui y a accès ? Comment procède-t-on pour les authentifications ? Peut-on y accéder par VPN ? Quelle est la robustesse des mots de passe utilisés par les équipes ?
Il faut répondre de façon précise. Dès qu’il existe un site Internet avec des usagers ou clients pouvant créer un compte et saisir des données personnelles, il y a presque toujours des questions sur la robustesse et les modalités de stockage des mots de passe. C’est un incontournable, même pour des contrôles qui ne portent pas spécifiquement sur la sécurité.
Julien Merali
Concernant les questions complémentaires, comment doit-on se préparer à y répondre sans se tirer une balle dans le pied ?
Nicolas Taverna
C’est encore ce fil de crête dont je parlais. J’appelle cela « la règle de la garde à vue ».
On répond à la question, mais uniquement à la question. On évite d’en dire trop car cela peut ouvrir d’autres portes, susciter d’autres questions. On répond à toute la question, mais rien que la question, tout en veillant à ne pas donner l’impression à l’enquêteur qu’on traîne les pieds. Il faut doser.
Quand la CNIL demande de la volumétrie sur des bases de données, elle vous demande également des captures d’écran de la requête effectuée. Par exemple, s’il s’agit d’une base SQL, quelle requête SQL avez-vous faite et quel est le résultat ?
Ainsi, elle peut documenter que vous apportez les bonnes réponses. C’est pareil pour les questions concernant la sécurité des bases de données. Reprenez en détail ce que demande la CNIL. Souvent, il y aura des allers-retours avec vos prestataires si vous faites appel à eux.
Par exemple, si vous utilisez Oracle, il faudra demander à Oracle des informations. Si le site Internet e-commerce est hébergé sur une plateforme, par exemple Salesforce, on lui demandera quel est l’algorithme utilisé — ces informations figurent aussi dans les contrats.
La CNIL demandera une copie des contrats, qu’on n’a pas toujours sous la main. Il ne faut donc pas hésiter à demander un délai si vous n’avez pas tous les éléments immédiatement. Les prestataires ne répondent pas toujours rapidement. Dans ce cas, montrez votre bonne foi et votre volonté de répondre. Quand vous n’avez pas tout, demandez un délai et fournissez les éléments un peu plus tard.
Julien Merali
Vous avez évoqué l’importance de la gestion des mots de passe. Avez-vous des exemples concrets de pratiques sanctionnées par la CNIL sur ce sujet ?
Nicolas Taverna
Les mots de passe sont vraiment un dada de la CNIL, elle examine systématiquement ce point. C’est aussi une bonne illustration de l’approche de la CNIL en matière de sécurité. Elle ne va pas seulement vérifier si les pratiques correspondent aux standards ou aux règles de l’art.
Elle se réfère aux recommandations de l’ANSSI. Par exemple, pour les mots de passe, elle applique encore récemment des recommandations de 2021, qui ne sont pas forcément ce qu’il y a de plus actuel. Les RSSI savent probablement mieux que la CNIL ce qui constitue une bonne gestion des mots de passe.
Néanmoins, la CNIL se base sur ce référentiel de l’ANSSI. Elle a récemment sanctionné une société parce que, pour ses clients souhaitant accéder à leur compte, il fallait saisir huit caractères dont un numérique. Cela n’était pas considéré comme suffisant. La CNIL estimait qu’il n’y avait pas assez d’entropie, de hasard, et que le mot de passe n’était pas assez robuste.
L’autre question systématiquement posée concerne le stockage des mots de passe. On stocke l’empreinte chiffrée du mot de passe avec un chiffrement par une clé de hachage censée être à sens unique. La position de l’ANSSI est qu’il faut utiliser des fonctions de hachage relativement lentes pour les calculs.
Il existe une fonction assez courante appelée SHA-256. La société en question utilisait cette fonction pour le stockage des mots de passe. Or, la position de l’ANSSI est que cette fonction est trop rapide, ce qui donne un avantage à l’attaquant, et qu’il ne faut donc pas l’utiliser.
C’était la position retenue, dans une décision du 30 décembre dernier, et la société a été sanctionnée. Vous vous ferez votre propre avis sur la justification de cette sanction, mais voilà comment la CNIL, sur la base des recommandations de l’ANSSI, apprécie ces questions.
Julien Merali
Il y a cette notion de gestion des risques. Comment la CNIL appréhende-t-elle l’obligation de sécurité du RGPD ?
Nicolas Taverna
C’est un sujet assez intéressant. Je ne suis pas tout à fait d’accord avec l’approche de la CNIL et j’en ai discuté avec des RSSI. Qu’est-ce qu’un niveau de sécurité approprié ? C’est subjectif et c’est une question d’appréciation.
On est face à un exercice de gestion des risques avec un aspect coût-bénéfice. La CNIL rappelle qu’elle ne sanctionne pas une violation de données simplement parce qu’il y a eu une violation. Elle sanctionne une vulnérabilité qui n’aurait pas dû exister.
Mais dans les faits, s’il y a une violation, c’est qu’un attaquant a exploité une vulnérabilité. La CNIL aura tendance à sanctionner cette vulnérabilité après coup, sans forcément regarder le schéma d’ensemble de protection du système d’information. C’est ce qui peut être critiqué.
Mais c’est ce qu’elle fait actuellement et le Conseil d’État valide cette approche. Il faut donc être vigilant dans le détail de la protection du SI.
Prenons l’exemple de la décision sur Free consécutive à une violation de données. Chez Free, il leur a été reproché de ne pas avoir analysé les connexions. L’attaquant est passé par un VPN. Ce qui leur est reproché, c’est de ne pas avoir détecté un nombre de connexions ou de tentatives de connexion anormal.
Ensuite, au niveau de l’analyse du trafic sur le réseau interne, dans leur base de données de gestion des abonnés, il y avait bien un monitoring de la fonction de consultation. Donc si on consultait beaucoup de données, il y avait un suivi, une analyse. En revanche, sur la fonction de recherche, il n’y avait pas de monitoring.
L’attaquant, qui était malin, a effectué beaucoup de recherches sans activer la fonction consultation. Il est passé par la fonction développeur de son navigateur web pour extraire les informations directement, les visualiser et les exporter. Il a ainsi accédé à 24 millions de comptes, incluant des IBAN, etc.
Cela illustre que, peut-être, il y avait globalement un très bon système de sécurité, mais on n’a pas une appréciation globale de la gestion des risques. On a une sanction parce qu’une vulnérabilité a été découverte après coup, et la sanction porte sur cette vulnérabilité.
Julien Merali
Quels conseils pouvez-vous donner à ceux qui nous écoutent pour anticiper au mieux un contrôle CNIL ?
Nicolas Taverna
Les RSSI ont davantage l’habitude que les DSI de faire des entraînements, de réaliser des tests, des audits, etc. C’est dans la culture des RSSI d’anticiper. Après, il y a toujours des arbitrages budgétaires. Il est impossible d’avoir quelque chose de parfait, y compris sur le plan de la sécurité juridique.
Sur le volet gestion de crise, les RSSI sont en général bien outillés.
Un mot sur la communication : maintenant, la CNIL attend une communication plus précise vis-à-vis des personnes concernées lors d’un incident.
Elle a sanctionné Free notamment parce qu’ils n’ont pas été assez précis sur les mesures correctives apportées et sur l’impact et le risque en termes de fraude ou d’usurpation d’identité consécutifs à la fuite de données pour leurs utilisateurs, leurs clients.
Pour éviter d’avoir une communication à rallonge, la CNIL accepte par exemple qu’on puisse mettre un lien vers cybermalveillance.gouv.fr.
Interview réalisée par Julien Merali, Directeur du Pôle IT
Un rendez-vous de l’Agora des RSSI
Un événement Agora Managers Groupe
