IT : DSI/CIO - RSSI/CISO - CDO

Quel est l’impact d’un contrôle CNIL sur les DSI ? Par POGGI Avocats IT

Photo de Agora DSI et CIO Agora DSI et CIO29 janvier 2026

Comment anticiper un contrôle CNIL ?

Les enseignements clés d’un atelier de Future of IT Paris avec Julien Merali, Directeur du pôle IT d’Agora Managers Groupe et Nicolas Taverna, Avocat spécialisé en droit des nouvelles technologies chez Poggi Avocats IT* (partenaire historique de l’Agora DSI et de FOIT).

Décryptage expert : comment se déroule un contrôle CNIL, quels sont les signaux avant-coureurs, et comment s’y préparer efficacement ?

Workshop Future of IT Tour Paris-2026

1. Signaux déclencheurs d’un contrôle CNIL

Les contrôles peuvent être déclenchés par :

  • Plaintes : clients mécontents, salariés, syndicats, CSE ou activistes de la protection des données.
  • Programmes annuels : la CNIL publie chaque année en mars ses priorités (ex. : programmes de fidélité, applications mobiles).
  • Hasard : parmi les 15 000 plaintes annuelles, seulement 300 à 400 contrôles sont réalisés, en fonction des ressources de la CNIL.

2. Déroulement d’un contrôle

  • Forme : contrôle sur site (visite surprise) ou à distance (ex. : vérification des cookies sur un site web).
  • Préparation : les agents se présentent sans prévenir, souvent en binôme (un juriste et un informaticien).
  • Première étape : présentation de la mission, vérification des documents RGPD (registres, analyses d’impact, etc.).
  • Deuxième étape : vérification technique des systèmes d’information (accès aux bases de données, requêtes SQL, etc.).

« Une fois que l’agent de la CNIL a cerné l’architecture des outils et des systèmes en place, il se concentre sur la localisation et l’accès aux données personnelles. Par exemple, dans le cadre d’un contrôle sur un programme de fidélité, il demandera à accéder directement à la base de données concernée — disons une base Oracle SQL hébergeant les données clients.

Un expert interne, maîtrisant les requêtes SQL et disposant des droits d’accès, sera alors désigné pour collaborer avec l’agent. L’écran de l’ordinateur est projeté sur un grand écran, et des requêtes précises sont exécutées sous supervision : extraction du nombre de comptes actifs, vérification des processus d’anonymisation, analyse des volumétries, etc.

Tout est systématiquement tracé : enregistrements vidéo des manipulations, captures d’écran, ou logs des requêtes. L’objectif ? Garantir une preuve tangible des vérifications effectuées. »

Le Conseil : limiter le périmètre pour maîtriser les risques

 » J’appelle ça un peu la règle de la garde à vue. « 
Lors d’un contrôle CNIL, la stratégie est simple mais cruciale.

Comprendre le périmètre du contrôle car ce n’est pas open bar.

On répond de manière complète et coopérative, mais strictement à la question posée. Élargir le champ de ses réponses, c’est risquer d’attirer l’attention sur des aspects non initialement ciblés par l’agent. La CNIL, en professionnel aguerri, saura exploiter toute ouverture pour approfondir ses investigations.

Exemple concret : Si l’agent interroge sur la base de données CRM, on se limite à ce périmètre. Inutile d’évoquer spontanément d’autres systèmes, comme une base dédiée à l’IA, sauf si explicitement demandé. L’objectif ? Ne pas créer de nouvelles pistes d’audit. »

Cas d’usage

Julien Merali : L’architecture des systèmes d’information est souvent complexe. Comment gérer les dépendances entre les différents systèmes ? Et comment la CNIL appréhende-t-elle les données sauvegardées ou archivées ?

Nicolas Taverna : Excellente question sur les dépendances système. Cela m’amène au deuxième point qui s’est révélé être un vrai casse-tête lors du contrôle CNIL lié au problème de la cantine.

La difficulté réside dans le fait qu’une même donnée peut exister dans plusieurs systèmes. Par exemple, une adresse client et un nom présents dans le CRM se retrouvent également dans l’ERP. Dans l’ERP, on stocke des factures et des commandes qui contiennent elles aussi les noms, prénoms et adresses dans différentes tables. La donnée existe donc aux deux endroits.

La CNIL nous a demandé de faire une extraction des types de clients anonymisés dans le CRM, puis de leur indiquer ce que nous avions dans l’ERP pour ces mêmes numéros clients. Et là, comment répondre à cette demande ? Ce n’était pas évident techniquement.

Le système possédait bien un mécanisme de transfert des factures de l’ERP vers le CRM pour permettre aux clients d’accéder à leurs factures via leur compte. Il existait donc un lien entre les deux systèmes, mais uniquement à sens unique, de type ETL (Extract, Transform, Load). Les factures étaient transférées vers le CRM, mais aucune information ne circulait dans l’autre sens, du CRM vers l’ERP.

Ce que nous avons expliqué à la CNIL, c’est que la logique des deux systèmes est fondamentalement différente. Le CRM fonctionne avec une logique client : il existe un champ « client » et on peut effectuer une recherche par numéro de client. Dans l’ERP, ce n’est pas possible. Il n’y a pas de champ client dédié. L’ERP étant un SAP, sa logique n’est pas organisée par client mais par commande. On peut rechercher une commande ou un numéro de commande.

Certes, on pourrait objecter qu’il suffit de récupérer le numéro de facture depuis le CRM anonymisé et de le saisir dans l’ERP pour retrouver l’adresse et le nom de la personne. C’est techniquement possible. Mais in fine, nous avons deux outils avec des finalités différentes et des durées de conservation différentes. Le CRM conserve les données trois ans, tandis que l’ERP les conserve dix ans, à condition de les archiver correctement.

Et c’est là qu’on arrive à mon dernier casse-tête de la journée : l’archivage. Je serais d’ailleurs intéressé pour échanger avec les prestataires de services d’archivage présents ici.

Le responsable en charge du SAP nous a expliqué qu’il ne pouvait pas tout archiver en raison de problèmes de dépendances entre différents objets. Si on anonymise ou archive trop rapidement un objet, on risque une régression fonctionnelle. Par exemple, lorsqu’un client demande un retour produit, cela peut bloquer l’archivage de la facture associée. Il faut alors effectuer des manipulations, un prétraitement pour forcer le statut de l’objet et pouvoir l’archiver.

Le problème, c’est qu’on est en production. Il est toujours délicat de forcer l’archivage en environnement de production, car on craint toujours de provoquer une régression ou un dysfonctionnement.

Julien Merali : Il y a un grand sujet particulièrement complexe : l’anonymisation. Peux-tu d’abord nous rappeler ce qu’est l’anonymisation ? As-tu des exemples concrets de difficultés pratiques rencontrées ?

Nicolas Taverna : Par exemple, on peut garder un numéro client tout en effaçant le nom et le prénom en les remplaçant par des valeurs nulles. On peut conserver l’année de naissance mais pas la date complète. On peut garder la ville mais pas l’adresse exacte, notamment pour des fins statistiques. Ce sont des exemples de ce type d’approche.

J’ai un retour d’expérience sur ce sujet où il y a eu quelques couacs avec un client que nous avions accompagnés dans un contrôle de la CNIL.

Il y a eu un problème en production sur le processus d’anonymisation des bases de données. Lorsque les bases sont très volumineuses, le processus d’anonymisation relance des opérations sur l’ensemble des données, ce qui a créé un problème de saturation de la base. Ils ont donc dû mettre le processus en pause, optimiser le système, puis le remettre en route brique par brique.

Le problème, c’est qu’au niveau de la remise en route, il y a eu un loupé. Résultat : il n’y a pas eu d’anonymisation pendant plusieurs semaines avant le contrôle. Ils s’en sont rendu compte à l’occasion du contrôle CNIL. Heureusement, la CNIL ne l’a pas détecté, car ils ne voient pas forcément tout immédiatement.

C’est là qu’on constate que le contrôle CNIL fonctionne. Il révèle les petits dysfonctionnements qui passent inaperçus au quotidien. Suite à cet incident, ils ont rectifié le tir en mettant en place un système d’alerte.

Ils ont créé une table avec les clients en cours d’anonymisation et un champ de statut. Le système d’alerte vérifie si un statut reste bloqué sur la même valeur pendant trop longtemps. Si c’est le cas, cela signifie qu’il y a probablement un blocage quelque part, et une alerte est déclenchée pour qu’une personne vienne vérifier.

3. Pouvoirs de la CNIL

  • Accès aux systèmes d’information sous supervision.
  • Audition des collaborateurs.
  • Rédaction d’un procès-verbal.
  • Pas d’accès direct : les agents ne manipulent pas eux-mêmes les systèmes, mais demandent à un responsable habilité de le faire sous leur contrôle.
    Durée : une journée sur place, mais l’enquête peut durer jusqu’à deux ans.

4. Issues possibles après un contrôle

  • Clôture simple : pas de manquement identifié.
  • Rappel à l’ordre : recommandations informelles pour corriger des points mineurs.
  • Mise en demeure : obligation formelle de corriger sous un délai précis.
  • Sanction : en cas de manquements graves, la CNIL peut saisir sa « formation restreinte » (procédure contradictoire similaire à un procès).

5. Conseils pour bien réagir

  • Répondre précisément : ne pas élargir le champ des réponses pour éviter d’ouvrir de nouvelles pistes d’investigation.
  • Préparer la documentation : registres RGPD, analyses d’impact, preuves des processus d’anonymisation.
  • Anticiper les questions techniques : désigner un responsable compétent pour accompagner les agents.
  • Gérer l’anonymisation : exemple de bonnes pratiques (suppression des noms, conservation partielle des données pour des fins statistiques).
  • Archivage : prévoir des solutions techniques pour archiver les données personnelles sans bloquer les systèmes.

6. Anticipation et prévention

Prévoir des budgets et des outils adaptés (ex. : licences pour l’archivage).
Intégrer les contraintes RGPD dès la conception des projets informatiques.
Former les équipes aux procédures de contrôle.

Interview réalisée par Julien Merali, Directeur du pôle IT d’Agora Manager Groupe.

* POGGI Avocats IT
NOTRE EXPERTISE POUR VOS PROJETS NUMERIQUES.
Fort de plus de 30 années d’expérience, nous mettons notre expertise et notre connaissance de l’industrie numérique à votre service aussi bien dans les domaines des infrastructures, des solutions applicatives que des données. Représentant des éditeurs, des ESN ou des donneurs d’ordres, en conseil comme en contentieux, nous vous apportons notre vision 360° sur vos projets numériques. Nous intervenons pour nos clients en qualité de service juridique IT externalisé ou en soutien des équipes internes, sur des missions récurrentes ou ponctuelles, à forte valeur ajoutée, sur des projets en France et à dimension internationale.


Un rendez-vous de l’Agora des DSI CIO

Photo de Agora DSI et CIO Agora DSI et CIO29 janvier 2026
Afficher plus
Photo de Agora DSI et CIO

Agora DSI et CIO

L'Agora des DSI & CIO est l'une des 17 communautés d'Agora Managers Clubs, le premier réseau français permettant aux décideurs exerçant la même fonction au sein d'une entreprise de plus de 500 salariés, de créer un lieu permanent d'échanges et de partages d'expériences pour mutualiser leurs compétences et trouver ensemble, les meilleures solutions.

Articles similaires

VIP Free Pro Taïg Khris

Oser transformer : Parcours, innovation et impact avec Free Pro et Taïg Khris

2 mai 2025
Myriam Quéméner, magistrate

Justice et cybersécurité, où en sommes nous ? 

14 avril 2025
Guillaume de Landtsheer, Directeur Général de NetApp France

Stocker, gérer, sécuriser les données numériques pour assurer la victoire. Avec NetApp et Olivier Panis.

14 avril 2025
Manuel Pereira, responsable du pôle accessibilité numérique à l’Association Valentin Haüy

L’accessibilité numérique

24 mars 2025
© 2026  |  AGORA MANAGERS TV
Bouton retour en haut de la page