Plusieurs acteurs ont informé la CNPD d'avoir été contactés par des sociétés privées offrant des services de conseil et d’audit en matière de protection des données, en indiquant que ces services se feraient prétendument sous le mandat ou pour le compte de la CNPD.
La CNPD précise que, dans le cadre de sa mission de vérification de la bonne application du RGPD, elle effectue toutes les enquêtes avec son propre personnel. Aucune société externe n’a été mandatée pour effectuer des enquêtes en son nom ou sous son mandat.
Les précisions suivantes peuvent être utiles aux entreprises contactées dans le cadre d’une enquête :
- en cas de contrôle non annoncé sur place, les agents de la CNPD vont toujours s’identifier à l’aide d’une carte de légitimation spécifique à la CNPD ;
- en cas de contrôle annoncé, cette annonce prend la forme écrite (lettre recommandée avec accusé de réception), et, le cas échéant, les agents de la CNPD s’identifieront à l’aide de la carte de légitimation ;
- en cas de doute, et avant de donner accès à vos locaux et/ou données, nous vous recommandons de contacter la CNPD par téléphone pour obtenir confirmation de l’existence du contrôle et de l’identité des agents qui y procèdent ;
- en cas de contact téléphonique d’un prétendu agent de la CNPD, vous pouvez confirmer son identité grâce à l’annuaire officiel de l’état (https://annuaire.public.lu/?idMin=5246), en vérifiant que le numéro entrant correspond bien à un numéro de la CNPD. Alternativement, vous pouvez appeler vous-même le standard de la CNPD qui vous mettra alors en relation avec l’agent concerné.
La CNPD reste à votre disposition en cas de questions.