Règlement européen sur la protection des données (RGPD)

J - 80 : comment la CNIL gère-t-elle cette période transitoire ?

Afin d’accompagner au mieux les entreprises dans leur mise en conformité avec le Règlement européen sur la protection des données, la CNIL concentre tous ses efforts et ressources dans l’élaboration d’outils d’aide à la mise en conformité et abandonne progressivement certaines de ses prérogatives telles que la délivrance de labels ou d’autorisation de traitement.

Ce qu’il faut retenir : Afin d’accompagner au mieux les entreprises dans leur mise en conformité avec le Règlement européen sur la protection des données, la CNIL concentre tous ses efforts et ressources dans l’élaboration d’outils d’aide à la mise en conformité et abandonne progressivement certaines de ses prérogatives telles que la délivrance de labels ou d’autorisation de traitement.

Pour approfondir : A quelques jours de l’entrée en application du Règlement européen sur la protection des données (« RGPD ») et dans l’attente de la nouvelle loi « CNIL » actuellement en discussion au Parlement, beaucoup d’entreprises ne savent pas comment gérer au quotidien la protection des données personnelles durant cette période transitoire.

Dans l’attente de l’entrée en application du RGPD, les dispositions de la loi informatique et libertés restent pleinement applicables. Toutefois, afin de faciliter le passage au règlement, la CNIL prévoit un mode de fonctionnement transitoire.

Par trois communiqués de presse en date du 19, 23 et 26 février 2018, la CNIL a apporté quelques précisions sur son mode de fonctionnement et ses attentes durant cette période de transition vers le nouveau cadre de protection.

1. – Le sort des formalités préalables et demandes d’instruction en cours

Tant que le RGPD n’est pas entré en application ce sont les dispositions de la loi informatique et libertés qu’il faut appliquer.

La loi informatique prévoit notamment des obligations de formalités préalables à la mise en œuvre d’un traitement de données à caractère personnel.

Pourtant, la CNIL annonce d’ores et déjà qu’elle ne sera pas en mesure de traiter, dans le délai imparti, l’ensemble des demandes qui lui sont soumises notamment les demandes d’autorisation qu’elle a déjà reçues et qui sont en cours d’instruction ou qui lui seront adressées d’ici le 24 mai 2018.

Dès lors, la CNIL appelle les entreprises à privilégier dès à présent les actions de mise en conformité avec les règles de fond du RGPD et à préparer si nécessaire une analyse d’impact, en s’appuyant sur les outils d’aide mis à disposition par la CNIL. Cette analyse d’impact est notamment obligatoire pour les traitements antérieurs au 25 mai 2018 n’ayant pas fait l’objet de formalités préalables auprès de la CNIL.

S’agissant particulièrement des demandes de label CNIL, la Commission met progressivement fin à son activité de labellisation au profit de la nouvelle procédure de certification prévue par le RGPD.

Afin de ne plus délivrer de label à compter du 25 mai 2018, la CNIL refusera d’instruire tout dossier qui lui sera soumis après le 30 mars prochain.

Les derniers labels resteront valables pendant toute la période d’échéance à l’issue de laquelle leurs bénéficiaires ne pourront plus demander leur renouvellement auprès de la CNIL mais devront se rapprocher de certificateurs, qui procèderont à l’instruction de leurs demandes.

A ce titre, Le Règlement européen et le projet de loi actuellement en discussion au Parlement prévoient en lieu et place des labels CNIL des certifications délivrées par des organismes certificateurs agréés par la CNIL ou accrédités par l’organisme national d’accréditation (COFRAC).

Une certification de Délégués à la Protection des Données est ainsi en cours d’élaboration.         

2. – Les outils de mise en conformité à disposition des entreprises

Afin d’aider les entreprises à anticiper les impacts du RGPD, la CNIL a élaboré un certain nombre d’outils d’aide à la mise en conformité.

En effet, d’ici le 25 mai 2018, la CNIL a d’ores et déjà mis à disposition des entreprises les outils d’anticipation suivants :

  • La méthode en 6 étapes pour se préparer au RGPD
  • La foire aux questions disponible sur son site internet ;
  • Le logiciel PIA, qui facilite la réalisation des analyses d’impact sur la protection des données ;
  • Un modèle de registre.

Par ailleurs, ces outils seront bientôt complétés puisque la CNIL publiera bientôt des modèles-type de mentions d’information, de formulaires de recueil du consentement ainsi qu’un formulaire de désignation du délégué à la protection des données.

De plus, la CNIL prépare la rédaction de référentiels pour guider les professionnels dans leurs démarches de conformité. Ces référentiels seront essentiellement fondés sur des normes déjà adoptées par la CNIL sous la forme d’autorisations uniques, normes simplifiées, packs de conformité, etc.

Par ailleurs, pour simplifier l’interprétation des dispositions du RGPD, la CNIL élabore actuellement la liste des traitements obligatoirement soumis à analyse d’impact et la liste des traitements pour lesquels, au contraire, aucune analyse n’est requise.

Enfin, des actions plus spécifiques à certaines structures ou types d’entreprises sont également à venir. Un « pack TPE-PME » élaboré par la CNIL, en partenariat avec la Banque publique d’investissement (BPI), sera bientôt publié. Initialement prévu pour la fin d’année 2017, dans son communiqué en date du 19 février dernier la CNIL a annoncé sa publication à la fin du mois de mars 2018.

3. – Que se passera-t-il le 25 mai 2018 ?

Face au renforcement important du montant des sanctions beaucoup se demandent comment les contrôles de la CNIL se dérouleront à compter de l’entrée en application du RGPD.

Pour la CNIL il est certain que le 25 mai 2018 n’est pas une date couperet mais une marche à monter. D’une manière générale, ses pouvoirs de contrôle restent inchangés et elle continuera à procéder à des vérifications dans les locaux des organismes, en ligne, sur audition et sur pièces dans les mêmes conditions.

Toutefois, dans le cadre de ses contrôles, la CNIL prononcera ses décisions en distinguant deux types d’obligations.

D’une part, les principes fondamentaux de la protection des données restent inchangés et continueront à faire l’objet de vérifications strictes et rigoureuses par la CNIL.

D’autre part, les nouvelles obligations et nouveaux droits résultant du RGPD (tels que le droit à la portabilité, les analyses d’impact, etc.) pour lesquelles les contrôles auront essentiellement pour but, dans un premier temps, d’aider et accompagner les entreprises à comprendre les impacts du RGPD et à trouver comment implémenter ces nouvelles obligations.

Pour être prêt au 25 mai 2018 et identifier l’ensemble des actions de mise en conformité avec le RGPD, l’audit de conformité est l’étape préalable et incontournable.

Seul un diagnostic de l’existant et une analyse traitement par traitement pourront faire apparaître les écarts de conformité avec le RGPD et les actions correctives à mettre en place.

Pour se prémunir contre des sanctions lourdes, cet audit sera notamment l’occasion de déceler des points de non-conformité aux principes fondamentaux et obligations préexistantes pour lesquels la mise en conformité doit intervenir sans délais.

A rapprocher : L’actualité de la CNIL ; Règlement européen sur la protection des données personnelles

Sommaire

Autres articles

some
Publication d’un avis de la Commission Supérieure du Numérique et des Postes portant recommandations dans le domaine de la sécurité numérique
La CSNP a publié [...] un avis portant recommandations dans le domaine de la sécurité numérique, et plaidant notamment pour la création d’un parquet national consacré à la cybercriminalité et pour la création d’un dispositif dédié au paiement des rançons
some
Le Conseil d’Etat se prononce sur la conservation des données de connexion à des fins de sauvegarde de la sécurité nationale
Dans une décision en date du 21 avril 2021, le Conseil d’Etat s’est prononcé sur la conformité du droit français au droit européen en matière de conservation des données de connexion par les fournisseurs de services de communications électroniques.
some
La cour d’appel de Paris apporte des précisions sur le régime applicable en matière de violation de licence de logiciel
La cour d’appel de Paris a, dans un arrêt du 19 mars 2021, considéré que la violation d’un contrat de licence de logiciel ne relevait pas de la responsabilité délictuelle mais de la responsabilité contractuelle.
some
Le révolutionnaire avis client
À l’heure où le marketing traditionnel est remis en cause, l’importance de l’avis client est grandissante. 88 % des internautes consultent les avis clients avant un achat en ligne et 73 % avant un achat en boutique .
some
La Commission européenne apporte des éclaircissements concernant les transferts de données personnelles vers le Royaume Uni
La Commission européenne a annoncé avoir engagé des démarches pour autoriser de façon générale les transferts de données à caractère personnel vers le Royaume Uni en publiant le 19 février 2021 deux projets de décisions dites « d’adéquation ».
some
Dépôt d’une marque de mauvaise foi et intention d’usage
La CJUE précise que le dépôt d’une marque sans intention de l’utiliser peut être considéré comme ayant été effectué de mauvaise foi, que si la preuve en est rapportée ; aucune présomption ne découle du fait que le demandeur au…