En une phrase. Un contrôle CNIL est une procédure encadrée (art. 19 LIL) qui peut prendre 4 formes : sur place, sur pièces, en ligne, sur audition. La CNIL réalise ~400 contrôles/an depuis 2023 (vs 200/an avant 2020). Un contrôle non préparé conduit en moyenne à 3 manquements relevés ; une organisation préparée à 1 ou aucun. Ce guide fournit la checklist exhaustive : documents à produire, droits et obligations durant l’inspection, post-contrôle.
Le programme annuel CNIL 2025 ciblait : mobile apps, IA, e-commerce/cookies, secteur santé, collectivités. 2026 reconduit ces thématiques + NIS 2 (en coordination avec ANSSI).
Pour approfondir : PSSI ANSSI, cartographie SI, PCA ANSSI.
Points clés
- La CNIL réalise ~400 contrôles/an : 25 % sur place, 30 % en ligne, 40 % sur pièces, 5 % audition.
- Un contrôle sur place est annoncé 24h avant (sauf risque de dépérissement preuves).
- Documents à produire : registre des traitements, PIA, politique sécurité, DPA sous-traitants, registre violations.
- L’opposition au contrôle est sanctionnée pénalement (1 an + 15 K€, art. 226-22-1 CP).
- Avocat recommandé dès la notification de griefs.
1. Les 4 types de contrôle
| Type | Lieu | Délai préavis | Fréquence |
|---|---|---|---|
| Sur place | Locaux organisme | 24h (sauf urgence) | 25 % |
| Sur pièces | À distance (échange documentaire) | n/a | 40 % |
| En ligne | Investigation web/app | n/a | 30 % |
| Sur audition | Locaux CNIL | Convocation | 5 % |
2. Déclencheurs d’un contrôle
| Origine | Part |
|---|---|
| Programme annuel CNIL (thématique) | 35 % |
| Plaintes des personnes | 30 % |
| Suite à violation notifiée | 15 % |
| Signalement DPO ou tiers | 10 % |
| Médias / actualité | 5 % |
| Coopération européenne | 5 % |
3. Documents à préparer en priorité
Le « kit minimum » à avoir prêt en permanence :
- Registre des traitements (art. 30 RGPD) à jour, signé DPO
- Politique de protection des données (interne + externe)
- Mentions d’information (sites, formulaires, RH)
- PIA (Privacy Impact Assessment) pour traitements à risque élevé
- Procédure exercice des droits + journal des demandes
- Registre des violations (art. 33 RGPD)
- Contrats sous-traitants (DPA art. 28 RGPD)
- Cartographie des flux intra/extra-UE + garanties (CCT, BCR)
- Politique de conservation des données
- Politique de sécurité (PSSI) + analyse de risque
- Liste des cookies + bandeau consentement
- Désignation DPO (lettre de mission, déclaration CNIL)
- Plan de formation RGPD et registre des formations
- Procédure notification violations documentée
- Politique BYOD / télétravail si applicable
4. Avant le contrôle : les 30 jours qui précèdent
Idéalement, exercice « test » annuel. Sinon, dès notification du contrôle :
- J-30 : Inventaire documentaire complet
- J-21 : Mise à jour registre et PIA
- J-14 : Audit cookies (Cookie Quick Check, Tarte au citron)
- J-7 : Briefing dirigeants + équipe (rôles, NDA)
- J-3 : Préparation salle, documents imprimés, café
- J-1 : Briefing final, rappel droits
5. Le jour du contrôle : déroulé type
Contrôle sur place type (1 journée) :
- 9h — Accueil agents CNIL, vérification mandat (ordre de mission)
- 9h15 — Présentation organisme, organigramme, DPO
- 10h — Entretien dirigeant et/ou DSI
- 11h — Présentation registre et traitements ciblés
- 14h — Investigation technique (postes, serveurs, logs)
- 16h — Récapitulatif oral, demande de pièces complémentaires
- 17h — Signature procès-verbal de fin de contrôle
6. Droits et obligations pendant le contrôle
Obligations :
- Coopérer (art. 19 LIL) — opposition = délit pénal
- Fournir les documents demandés
- Permettre l’accès aux locaux professionnels
- Permettre l’accès aux SI
Droits :
- Vérifier l’ordre de mission (mandat des agents)
- Être assisté d’un avocat ou conseil
- Demander copie du procès-verbal
- Faire valoir le secret professionnel (avocats, médecins)
- Refuser l’accès à l’habitation privée sans autorisation judiciaire
7. Procès-verbal : points de vigilance
Le PV mentionne :
- Date, heure, lieu
- Identité des agents CNIL
- Identité des personnes auditionnées
- Documents consultés et saisis (copies)
- Déclarations recueillies
- Observations de l’organisme
À vérifier : exactitude factuelle. Refuser de signer un PV inexact (avec mention « refus de signer pour cause de… ») est un droit.
8. Après le contrôle : la procédure
Trois issues possibles :
- Clôture sans suite (~50 %) — pas de manquement majeur
- Mise en demeure (~30 %) — délai 1 à 6 mois pour conformité
- Notification de griefs (~20 %) — engagement procédure sanction
Si mise en demeure : respecter scrupuleusement le délai et notifier la conformité avant échéance.
Si notification de griefs : avocat impératif, préparation mémoire en défense (2-4 mois), audition Comité Restreint (CR).
9. Sanctions encourues
| Type | Montant max | Pour |
|---|---|---|
| Procédure simplifiée | 20 K€ | Manquements limités, 2 max |
| Sanction formelle | 20 M€ ou 4 % CA mondial | Violations majeures |
| Procédure d’urgence | Injonction sous astreinte | Cessation immédiate |
| Pénal (opposition) | 1 an prison + 15 K€ | Refus contrôle (CP 226-22-1) |
| Pénal (entrave DPO) | 1 an prison + 15 K€ | CP 226-16-1 A |
10. Erreurs fréquentes à éviter
- Improviser les réponses sans recueil préalable
- Promettre des délais irréalistes
- Mentir ou dissimuler (aggravation systématique)
- Désigner un interlocuteur non compétent (junior, intérimaire)
- Refuser sans motif valable des accès (interprété comme obstruction)
- Ne pas inviter le DPO (anomalie majeure)
- Ne pas conserver de trace de tout ce qui est remis
11. Cas particulier : contrôle en ligne
Depuis 2018, la CNIL pratique le contrôle 100 % en ligne :
- Investigation sites web (cookies, mentions, formulaires)
- Test applications mobiles (permissions, SDK tiers)
- Captures écran horodatées comme preuves
- Pas de préavis
Exemples : campagnes cookies 2020-2024 ayant abouti à 100+ mises en demeure et 20+ sanctions.
12. Préparer pour réussir : audit blanc annuel
Recommandation forte : audit blanc RGPD annuel réalisé par cabinet externe (avocat, DPO mutualisé, cabinet conseil). Délivrables :
- Rapport gap analysis
- Plan d’actions priorisé
- Liste des documents à produire/mettre à jour
- Coaching équipe RH/DSI/Marketing
Coût indicatif : 5 000 à 25 000 € pour une ETI selon périmètre. ROI : éviter une sanction qui démarre à 50 K€.
FAQ
La CNIL prévient-elle avant un contrôle ?
Pour un contrôle sur place : 24h de préavis minimum (sauf risque de dépérissement de preuves). Pour un contrôle sur pièces ou en ligne : aucun préavis. La CNIL peut aussi auditionner sur convocation aux locaux CNIL.
Peut-on refuser un contrôle CNIL ?
Non. L’opposition à un contrôle est un délit pénal (art. 226-22-1 CP) : 1 an d’emprisonnement et 15 000 € d’amende. La personne morale risque le quintuple (75 K€). Le seul refus possible : l’accès à des locaux strictement privatifs (habitation) sans autorisation judiciaire.
Faut-il un avocat pour un contrôle CNIL ?
Recommandé mais pas obligatoire pour le contrôle initial. Impératif dès la notification de griefs (engagement de la procédure de sanction). Honoraires d’un cabinet RGPD spécialisé : 250-500 € HT/h, dossier complet 15-50 K€.
Que se passe-t-il si on ne respecte pas la mise en demeure ?
La CNIL engage la procédure de sanction formelle. Les non-conformités persistantes après mise en demeure sont des facteurs aggravants majeurs dans le calcul du montant. Exemple : Carrefour 2,25 M€ en 2020 après mises en demeure répétées.
Combien de temps conserver les pièces du contrôle ?
Minimum 5 ans après clôture (prescription des actions civiles). Pour les sanctions ayant fait l’objet d’un recours : durée de la procédure + 10 ans. Conservez toutes les communications avec la CNIL : courriers, e-mails, PV, demandes de pièces.
Legiscope automates this for you
Stop doing compliance manually. Legiscope's AI handles ROPA creation, DPA audits, and gap analysis — in minutes, not weeks.
Start free trial