Un inspecteur de la CNIL s’est annoncé dans vos locaux ou vous avez reçu un avis de contrôle.
En tant qu’avocate en droit des données, j’interviens dès la notification pour analyser votre situation, préparer vos réponses et vous accompagner face à l’autorité de contrôle.
La CNIL a constaté un manquement dans vos pratiques et vous enjoint de vous mettre en conformité dans un délai fixé.
J’analyse la décision, identifie les points à corriger en priorité et rédige une réponse structurée pour démontrer votre démarche de mise en conformité.
Un accès non autorisé, une fuite ou une perte de données déclenche des obligations de notification sous 72 heures. Un délai manqué ou une notification incomplète constitue un manquement supplémentaire.
J’interviens rapidement pour qualifier l’incident, rédiger la notification à la CNIL et vous accompagner dans les mesures correctives à mettre en œuvre.
Mon cabinet d’avocat en contrôle CNIL vous accompagne à chaque stade d’une procédure CNIL, qu’il s’agisse d’un contrôle inopiné, d’une mise en demeure ou d’une mise en conformité préventive. Grâce à une expertise croisée en droit des données personnelles, en droit du numérique et en procédure administrative, je vous propose un accompagnement sur mesure pour défendre vos intérêts.
Dès la remise de la lettre de mission, je cadre le périmètre du contrôle et prépare vos réponses aux questionnaires de la CNIL. Chaque document susceptible d’être demandé est analysé avant d’être transmis aux contrôleurs.
Si la CNIL a retenu des manquements et fixé un délai pour y remédier, j’analyse les griefs point par point et bâtis avec vous le plan de mise en conformité à transmettre dans les délais impartis.
L’article 33 du RGPD impose une notification à la CNIL dans les 72 heures suivant la prise de connaissance d’une violation. Je qualifie l’incident et son niveau de risque pour les droits des personnes concernées, puis détermine si une communication individuelle s’impose au titre de l’article 34.
Je passe en revue l’ensemble de vos traitements : bases légales, registre des activités au titre de l’article 30, contrats sous-traitants conformes à l’article 28, AIPD requises pour les traitements à risque. Vous repartez avec une feuille de route priorisée.
Si la formation restreinte est saisie, je prépare vos observations en réponse au rapport du rapporteur désigné. Je conteste les griefs retenus et valorise les éléments en votre faveur pour limiter ou écarter la sanction pécuniaire.
Premier document demandé lors d’un contrôle, le registre des activités de traitement prévu à l’article 30 est aussi votre preuve de sérieux face à l’autorité. Je vous aide à le constituer et à le tenir à jour : traitements recensés, bases légales qualifiées, flux sous-traitants cartographiés, données sensibles identifiées au sens de l’article 9.
Un inspecteur de la CNIL se présente dans vos locaux sans préavis ?
Les contrôles sur place peuvent être inopinés, et votre première réaction conditionne souvent la suite de la procédure.
J’interviens en urgence dès la présentation de l’inspecteur : relecture de la lettre de mission, conseil sur les documents à fournir ou à ne pas fournir, et positionnement de votre organisation face à la procédure dès les premières heures.
Votre site collecte des données sans base légale valide ?
Un formulaire sans mention d’information, un cookie déposé sans consentement explicite : ces pratiques figurent parmi les manquements les plus fréquemment relevés lors des contrôles CNIL.
J’analyse vos traitements actuels, identifie les bases légales absentes ou insuffisantes et vous accompagne pour régulariser votre situation avant ou pendant la procédure, en vous évitant d’aggraver votre dossier par une réponse précipitée.
Un salarié ou un client a déposé une plainte auprès de la CNIL ?
La CNIL peut ouvrir une procédure à la suite d’une plainte. Dans ce cas, vos réponses doivent être savamment choisies.
Je prends connaissance de la plainte, prépare vos éléments de réponse et vous aide à démontrer que le droit exercé a été traité de manière conforme, ou à régulariser si ce n’est pas le cas.
Vous avez transféré des données vers un prestataire hors Union Européenne ?
Un transfert vers un pays tiers sans mécanisme de protection adéquat constitue un manquement grave. C’est un point que la CNIL surveille activement, notamment pour les outils SaaS et l’hébergement cloud.
J’identifie les flux concernés, vérifie les clauses contractuelles applicables et vous aide à régulariser les transferts en sécurisant vos contrats avec les prestataires impliqués.
Dès votre prise de contact, j’étudie la nature de la procédure engagée par la CNIL : contrôle, mise en demeure ou procédure de sanction. Je prends connaissance des documents reçus et vous explique les enjeux et les délais à respecter.
Je passe en revue vos traitements de données personnelles, vos contrats sous-traitants, vos politiques d’information et vos mesures de sécurité pour établir un état des lieux précis et objectif.
Sur la base de l’audit, je priorise les actions à mener, prépare vos réponses à l’autorité et vous conseille sur les mesures correctives à mettre en oeuvre pour démontrer votre engagement en faveur de la conformité.
Je rédige ou complète vos documents RGPD — registre des traitements, politique de confidentialité, clauses sous-traitants, mentions légales — et vous accompagne dans leur mise en oeuvre opérationnelle.
Une fois la procédure clôturée, je reste disponible pour adapter vos pratiques à l’évolution de la réglementation, anticiper de futurs contrôles et maintenir durablement votre conformité.
Le cabinet Aurore Bonavia, avocat en droit des données personnelles et en contentieux CNIL, accompagne les entreprises, associations et organismes publics dans la gestion des contrôles CNIL, la réponse aux mises en demeure et la mise en conformité RGPD. Certifiée DPO par Bureau Veritas, je combine expertise juridique et maîtrise opérationnelle du RGPD pour vous offrir un accompagnement concret, réactif et adapté à votre secteur d’activité.
La CNIL (Commission Nationale de l’Informatique et des Libertés) est l’autorité administrative française chargée de veiller à la protection des données personnelles. Elle dispose d’un pouvoir de contrôle et de sanction pouvant atteindre 20 millions d’euros ou 4 % du chiffre d’affaires mondial annuel.
Un contrôle peut être déclenché par une plainte, un signalement ou dans le cadre des campagnes thématiques annuelles de la CNIL. Il peut prendre quatre formes : sur place dans vos locaux, en ligne sur vos systèmes accessibles à distance, sur convocation au siège de la CNIL, ou sur pièces via transmission de documents.
L’avocat spécialisé en droit CNIL analyse vos pratiques de traitement, prépare votre défense face à l’autorité de contrôle, rédige les réponses aux mises en demeure et vous représente dans les procédures de sanction. Il sécurise également votre documentation RGPD pour anticiper les prochains contrôles et transformer votre conformité en avantage concurrentiel durable.
Le cabinet Aurore Bonavia allie expertise en droit des données personnelles et certification DPO pour vous offrir un accompagnement à la fois juridique et opérationnel. Je connais les pratiques de contrôle de la CNIL, les points de vigilance et les arguments qui font la différence devant la formation restreinte.
Un accompagnement clair, concret et réactif, en présentiel ou à distance, partout en France.
Combien de temps dure un contrôle CNIL ?
Cela varie selon le type de contrôle. Un contrôle en ligne peut se conclure en quelques semaines. Un contrôle sur place implique généralement une présence de quelques heures à une journée dans vos locaux, suivie d’échanges écrits qui peuvent s’étendre sur plusieurs mois avant la clôture de la procédure.
Quelles sanctions risque-t-on en cas de contrôle CNIL ?
Les sanctions vont du simple rappel à l’ordre jusqu’à une amende administrative pouvant atteindre 20 millions d’euros ou 4 % du chiffre d’affaires mondial annuel. Le montant tient compte de la gravité du manquement, de votre coopération avec la CNIL et des mesures correctives mises en place.
L'entreprise peut-elle refuser de se soumettre à un contrôle CNIL ?
Le refus d’un contrôle CNIL constitue en lui-même un manquement susceptible de sanction. Vous n’êtes pas tenu de tout remettre immédiatement ni de répondre à toutes les questions sur le vif, mais vous devez coopérer. Contacter un avocat dès la notification du contrôle vous permet de définir ce que vous pouvez et devez transmettre.
Quelle est la différence entre une mise en demeure et une sanction CNIL ?
La mise en demeure est une injonction de vous mettre en conformité dans un délai fixé. Elle n’est pas encore une sanction, mais un avertissement formel. Si vous n’y donnez pas suite, la CNIL peut ouvrir une procédure de sanction et prononcer une amende. Une réponse solide à une mise en demeure peut suffire à clore la procédure.
Mon organisation peut-elle être contrôlée plusieurs fois ?
Oui. Un organisme peut faire l’objet de plusieurs contrôles, notamment pour vérifier le respect d’une mise en demeure ou dans le cadre des campagnes thématiques annuelles lancées par la CNIL. La conformité RGPD est un processus continu, pas une action ponctuelle. C’est pourquoi un suivi dans le temps fait partie intégrante de mon accompagnement.
Faut-il un DPO pour éviter un contrôle CNIL ?
La désignation d’un DPO (Délégué à la Protection des Données) est obligatoire pour certaines catégories d’organismes, notamment ceux traitant des données sensibles à grande échelle. Elle n’empêche pas un contrôle, mais démontre votre engagement dans une démarche de conformité, ce que la CNIL prend en compte lors de l’évaluation des manquements.