Un contrôle de la CNIL peut tomber à tout moment.
Qu’il soit déclenché par une plainte, un signalement ou simplement dans le cadre d’une campagne sectorielle, aucune organisation — PME, start-up ou géant du web — n’est à l’abri.
Pourtant, peu de dirigeants ou DPO savent vraiment comment se déroule un audit de la CNIL.
- Quels sont les différents types de contrôles ?
- Quels documents sont exigés ?
- Quels sont les pièges les plus courants à éviter ?
👉 Dans ce guide complet, basé sur notre expérience terrain, vous allez découvrir :
- Les 4 formats de contrôle (sur place, en ligne, sur pièces, sur convocation)
- Les thématiques prioritaires de la CNIL en 2025
- Les erreurs fréquentes qui déclenchent des sanctions
- Et nos meilleurs conseils concrets pour réussir votre prochain audit RGPD
Mais comment se déroule réellement un contrôle de la CNIL ?
Le rôle ambivalent de la CNIL : prévention… mais aussi contrôleur
La CNIL est bien plus qu’un “gendarme des données”. C’est une autorité à double casquette : elle accompagne les organisations dans leur mise en conformité, mais peut aussi les sanctionner sévèrement en cas de manquement.
🤝 Une mission d’accompagnement : guides, outils, webinaires
Avant de sanctionner, la CNIL informe. Elle publie régulièrement :
- des guides pratiques RGPD
- des modèles types (registre des traitements, mentions légales…)
- des webinaires pédagogiques
- et même des outils gratuits comme l’outil PIA pour les analyses d’impact
Elle répond également aux questions juridiques des entreprises et des collectivités, et encourage les démarches proactives de mise en conformité.
🔍 Un pouvoir de contrôle… et de sanction
Mais la CNIL est aussi une autorité de contrôle indépendante, dotée de moyens concrets :
- Contrôles sur site, en ligne, sur pièces ou sur convocation
- Audits déclenchés à la suite de plaintes, de signalements ou d’un ciblage sectoriel
- Pouvoir de sanction : amendes pouvant atteindre 20 millions d’euros ou 4 % du chiffre d’affaires mondial
Les différents types de contrôles
La CNIL peut intervenir de différentes manières, avec des niveaux d’exigence et d’imprévisibilité variables. Voici les 4 formats possibles de contrôle :
| 🧾 Type de contrôle | ⚙️ Description | 💡 À savoir |
|---|---|---|
| Sur place (inopiné) | Visite physique dans vos locaux par les agents de la CNIL. Accès direct aux documents, ordinateurs et logiciels. | Peu ou pas de préavis. Peut durer plusieurs heures. Nécessite une organisation irréprochable. |
| En ligne | Inspection de votre site web, app mobile ou services SaaS. | Ciblage fréquent des formulaires, cookies, mentions légales, sécurité des transmissions. |
| Sur convocation | Invitation officielle à vous présenter dans les bureaux de la CNIL. | Vous devez vous expliquer sur des pratiques précises. Nécessite une préparation argumentée. |
| Sur pièces | Demande de documents à fournir par email ou courrier (registre des traitements, politique de confidentialité…). | Très fréquent. Un oubli ou un document obsolète peut déclencher un contrôle plus poussé. |
Un client dans le secteur médical a été contrôlé suite à une plainte sur la collecte de données de santé. La CNIL a d’abord demandé des documents, puis a convoqué le DPO. À chaque étape, la rapidité et la cohérence des réponses ont été déterminantes.
Contrôle sur site
Le contrôle sur place est une visite inopinée réalisée par la CNIL dans les locaux de l’entreprise contrôlée. Il permet d’accéder directement aux documents et aux systèmes informatiques de l’entreprise.
Contrôle en ligne
Le contrôle en ligne est un audit à distance, sans préavis, effectué directement depuis les navigateurs et outils techniques utilisés par la CNIL.
L’autorité analyse votre site internet, votre application mobile ou votre plateforme SaaS pour vérifier la conformité des traitements de données accessibles au public. Ce type de contrôle ne nécessite ni contact préalable ni demande de documents : tout commence par une simple navigation.
Voici les éléments qu’elle peut vérifier en quelques minutes, sans jamais vous contacter :
🍪 Les cookies et traceurs
- L’affichage du bandeau de consentement
- Le bon fonctionnement du refus (et non uniquement l’acceptation)
- L’absence de dépôt de cookies non essentiels avant consentement
- Le délai d’expiration des cookies
- Le niveau de granularité du choix utilisateur (marketing, analytics…)
Erreur fréquente : des cookies de tracking Google Analytics, Facebook Pixel ou Hotjar qui se déclenchent avant tout consentement explicite.
📄 Les mentions légales et politiques
- Présence et accessibilité de la politique de confidentialité
- Contenu conforme aux obligations RGPD (base légale, finalités, durée de conservation…)
- Affichage clair des droits (accès, rectification, effacement, opposition…)
- Mentions d’éditeur et coordonnées du DPO si nommé
📝 Les formulaires de contact ou d’inscription
- Existence d’une information “avant collecte” (champ obligatoire, base légale…)
- Présence de cases à cocher pour l’abonnement marketing (et non pré-cochées)
- Respect du principe de minimisation (pas de collecte inutile)
- Mesures de sécurité visibles (captcha, https, jeton CSRF…)
🔒 La sécurité du site
- Utilisation du protocole HTTPS sur toutes les pages
- Présence de headers de sécurité (HSTS, Content Security Policy…)
- Détection de failles ou d’expositions connues (scan technique)
📱 Les applications mobiles ou SaaS
- Permissions demandées à l’installation (géolocalisation, contacts…)
- Partage de données avec des SDK tiers (pubs, analytics, crash reports…)
- Absence de consentement in-app
- Politiques de confidentialité inaccessibles ou tronquées
Convocation
La convocation est une invitation à se présenter aux locaux de la CNIL pour répondre aux questions des membres de la commission.
La matinée a commencé par une présentation en détail d’Alan, nos chiffres, nos effectifs, nos activités.
Puis la discussion s’est orientée vers les traitements de données liés à notre parcours client, nos opérations d’assurances et de prospection. Nous avons décortiqué tous nos flux de données, leur finalité, base légale, notre position de responsable de traitement, ou encore les règles que nous nous imposons quand nous traitons des données de santé.
Contrôlés par la CNIL; blog Alan
Contrôle de Documents
Enfin, le contrôle sur pièces est une demande d’envoi de documents par courrier ou par voie électronique.
Les thématiques privilégiées par la CNIL
La CNIL choisit chaque année des thématiques spécifiques sur lesquelles concentrer ses contrôles.
Ces thèmes peuvent varier d’une année à l’autre, selon l’actualité ou selon les problématiques identifiées par l’autorité.
Cependant, la CNIL reste également très attentive aux plaintes qui lui sont adressées par les utilisateurs, salariés, consommateurs et clients. Ces remontées peuvent en effet l’aiguiller vers une entité en particulier qui aurait suscité des inquiétudes.
2025–2028 – Aperçu stratégique futur (plan stratégique CNIL)
Selon son plan stratégique, la CNIL structure son action autour de quatre axes pour les années à venir :
- Intelligence artificielle éthique, notamment les grands modèles de langage
- Protection des mineurs en ligne, avec attention accrue aux réseaux sociaux, applis éducatives, etc.
- Cybersécurité, comme enjeu sociétal majeur
- Usages numériques du quotidien, incluant applications mobiles et identité numérique (eID/N)
2025 – Les priorités actuelles
Pour 2025, la CNIL concentre ses contrôles sur :
- Les applications mobiles
Contrôles ciblant les éditeurs d’app, les fournisseurs de SDK, la gestion des permissions et le paramétrage des outils de collecte de données - La cybersécurité des collectivités territoriales
Face à une hausse des cyberattaques (+ 20 % en 2024), les collectivités sont particulièrement visées sur leurs mesures de sécurité, gestion des accès, sauvegarde, etc. - Le traitement des données par l’administration pénitentiaire
Données hautement sensibles des détenus, vidéosurveillance, communications internes : un champ de contrôle renforcé. - Le droit à l’effacement des données
Coordination d’actions avec les homologues européens, avec un focus sur la mise en œuvre de ce droit très demandé.
Les écueils à éviter lors d’un contrôle de la CNIL
Un contrôle n’est pas seulement une vérification administrative. C’est aussi un test grandeur nature de votre organisation.
Voici les erreurs à ne surtout pas commettre :
⚡ Check-list pour réussir son contrôle
- Répondre en retard ou partiellement
→ La CNIL interprète cela comme un manque de transparence.
✅ Conseil : centralisez les demandes et désignez un interlocuteur unique (souvent le DPO). - Avoir une documentation obsolète
→ Registre des traitements, politiques internes, contrats sous-traitants…
✅ Conseil : mettez à jour vos documents tous les 6 à 12 mois. - Ne pas préparer les équipes
→ Un collaborateur mal formé peut donner une mauvaise réponse en contrôle.
✅ Conseil : sensibilisez vos salariés avec des cas pratiques et des Q/R simulées. - Ignorer les sous-traitants
→ La CNIL contrôle aussi vos partenaires (hébergeurs, prestataires marketing).
✅ Conseil : vérifiez que vos contrats intègrent bien les clauses RGPD obligatoires. - Sous-estimer la sécurité technique
→ Mauvaise gestion des accès, mots de passe faibles, absence de chiffrement.
✅ Conseil : testez régulièrement vos mesures de sécurité (audit IT, pentest).
En conclusion
Un contrôle de la CNIL n’arrive jamais « par hasard ». Qu’il soit déclenché par une plainte, un signalement ou dans le cadre d’une campagne sectorielle, il mettra à l’épreuve votre conformité RGPD.
La bonne nouvelle ? Avec une préparation en amont, vous pouvez transformer ce moment stressant en preuve de sérieux et de confiance vis-à-vis de vos clients et partenaires.
