RGPD : les leviers de la CNIL pour accompagner la transition

LégislationRégulationsSécurité

Certifications, analyses d’impact, conformité continue… La CNIL rappelle aux responsables de traitement de données les obligations qui seront les leurs avec le RGPD.

Plutôt que de raisonner en « formalités préalables », adoptez dès à présent une logique de « conformité continue ».

La CNIL fait passer le message en prévision du 25 mai 2018, date d’entrée en application du RGPD.

En tant que nouveau règlement européen relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, le texte abrogera la directive 95/46/CE.

Cette dernière repose en grande partie sur la notion de « formalités préalables ». En l’occurrence, des déclarations et des demandes d’autorisation à la CNIL.

Les cartes seront redistribuées avec le RGPD : tout organisme « responsable de traitement » au sens de la loi* devra pouvoir justifier à tout moment de sa conformité.

Cette approche impliquera la réalisation d’analyses d’impact avant la mise en œuvre de tout traitement de données personnelles susceptible de présenter un risque élevé.

La CNIL recommande aux organismes concernés de s’engager sans plus attendre sur cette voie, en exploitant éventuellement le logiciel libre mis à leur disposition.

D’autres ressources sont en ligne, dont un « guide en 6 étapes pour se préparer », dans la continuité des lignes directrices adoptées par le G29 (groupe des autorités européennes chargées de la protection des données).

La CNIL prévoit d’y ajouter des formulaires de recueil du consentement et des modèles-types de mentions d’information, ainsi qu’un « pack TPE-PME » élaboré avec Bpifrance. Une offre de service et d’accompagnement pour les start-up est aussi sur la feuille de route, en parallèle d’ateliers de sensibilisation organisés à Station F.

Des référentiels sectoriels – les « packs de conformité » – ont déjà été publiés dans les domaines des véhicules connectés et de la « silver économie » pour permettre aux professionnels de s’aligner sur les dispositions du RGPD.

Passe ta certif

Pour la CNIL, la transition entraînera la fin de l’activité de labellisation. Les demandes ne seront plus traitées à partir du 30 mars 2018, au profit d’un nouvel outil de conformité : les certifications.

Des organismes agréés les délivreront, sur la base de référentiels que la Commission aura élaborés ou approuvés.

Des travaux ont démarré sur une certification de « Délégués à la Protection des Données » (titre qui sera donné, dans chaque organisme, à la personne référente pour toutes les questions de protection des données personnelles).

Les labels resteront valables jusqu’à leur date d’échéance, mais seuls deux d’entre eux, actualisés, garantiront une conformité au RGPD.

Le premier (« Formation ») garantit un haut niveau de qualité en matière de formations informatique et libertés, qu’elles soient dispensées en présentiel ou en e-learning. Le second (« Gouvernance ») s’applique à l’ensemble des mesures, règles et bonnes pratiques permettant la gestion des données à caractère personnel d’un organisme.

En contrepartie à la réduction de leurs capacités de contrôles en amont, les autorités européennes de protection des données voient leurs pouvoirs de sanction renforcés.

La CNIL tient par là même à rassurer : elle n’exigera pas, pour les traitements qui auront « régulièrement fait l’objet d’une formalité préalable avant le 25 mai (récépissé, autorisation, avis) », la réalisation immédiate d’une analyse d’impact. Un « délai raisonnable pouvant être estimé à 3 ans » sera accordé pour l’effectuer.

À court terme, la Commission distinguera, dans sa politique de contrôle, deux types d’obligations.

D’un côté, les principes fondamentaux de la protection des données (loyauté du traitement, durée de conservation, sécurité…), qui « continueront […] à faire l’objet de vérifications rigoureuses ».

De l’autre, les nouvelles obligations et les nouveaux droits : les contrôles serviront, dans un premier temps, à accompagner les organismes vers une bonne compréhension et la mise en œuvre opérationnelle des textes ».

* Est responsable du traitement « la personne physique ou morale, l’autorité publique, le service ou tout autre organisme qui, seul ou conjointement avec d’autres, détermine les finalités et les moyens du traitement (article 4).


Lire la biographie de l´auteur  Masquer la biographie de l´auteur