Die französische Datenschutz-Aufsichtsbehörde CNIL hat in einer Stellungnahme vom 19. Februar 2018 ihren Kontrollansatz umrissen.
Im Ergebnis will die CNIL die Einhaltung der Verarbeitungsgrundsätze weiterhin streng prüfen (“vérifications rigoureuses”). Bei den neuen Rechten und Pflichten nach der DSGVO (z.B. beim Recht auf Datenportabilität oder bei der Pflicht zur Durchführung von Datenschutz-Folgenabschätzung) legt die CNIL das Gewicht dagegen eher auf Beratung und Begleitung der Unternehmen – vorausgesetzt, diese bemühen sich angemessen um eine vernünftige Umsetzung der DSGVO (bspw. durch ein Umsetzungsprojekt nach der 6‑Schritt-Methode der CNIL):
En revanche, pour ce qui est des nouvelles obligations ou des nouveaux droits résultant du RGPD (droit à la portabilité, analyses d’impact, etc.), les contrôles opérés auront essentiellement pour but, dans un premier temps, d’accompagner les organismes vers une bonne compréhension et la mise en œuvre opérationnelle des textes. En présence d’organismes de bonne foi, engagés dans une démarche de conformité et faisant preuve de coopération avec la CNIL, ces contrôles n’auront normalement pas vocation à déboucher, dans les premiers mois, sur des procédures de sanction sur ces points.