webleads-tracker

MENU
Nos expertises Présentation du cabinet Présentation Notre approche Nos départements Nos avocats Nos distinctions Nous contacter Equipe numerique Agenda / évènements Nos événements Autres événements Lexique Newsletters Rechercher Nos sites internet Data / Données personnelles Propriété intellectuelle Services numériques E-commerce Contenus illicites / E-réputation International Legaltechs / Tendances Partenaires Medias Contact Newsletter
SUIVEZ NOUS SUR
la lettre du numérique
L'actualité juridique et économique des acteurs du numérique par Simon Associés
simon associés
Accueil >Data / Données personnelles
 

Règlement européen sur la protection des données (RGPD)

J - 80 : comment la CNIL gère-t-elle cette période transitoire ?

Afin d’accompagner au mieux les entreprises dans leur mise en conformité avec le Règlement européen sur la protection des données, la CNIL concentre tous ses efforts et ressources dans l’élaboration d’outils d’aide à la mise en conformité et abandonne progressivement certaines de ses prérogatives telles que la délivrance de labels ou d’autorisation de traitement.

Ce qu’il faut retenir : Afin d’accompagner au mieux les entreprises dans leur mise en conformité avec le Règlement européen sur la protection des données, la CNIL concentre tous ses efforts et ressources dans l’élaboration d’outils d’aide à la mise en conformité et abandonne progressivement certaines de ses prérogatives telles que la délivrance de labels ou d’autorisation de traitement.

Pour approfondir : A quelques jours de l’entrée en application du Règlement européen sur la protection des données (« RGPD ») et dans l’attente de la nouvelle loi « CNIL » actuellement en discussion au Parlement, beaucoup d’entreprises ne savent pas comment gérer au quotidien la protection des données personnelles durant cette période transitoire.

Dans l’attente de l’entrée en application du RGPD, les dispositions de la loi informatique et libertés restent pleinement applicables. Toutefois, afin de faciliter le passage au règlement, la CNIL prévoit un mode de fonctionnement transitoire.

Par trois communiqués de presse en date du 19, 23 et 26 février 2018, la CNIL a apporté quelques précisions sur son mode de fonctionnement et ses attentes durant cette période de transition vers le nouveau cadre de protection.

1. – Le sort des formalités préalables et demandes d’instruction en cours

Tant que le RGPD n’est pas entré en application ce sont les dispositions de la loi informatique et libertés qu’il faut appliquer.

La loi informatique prévoit notamment des obligations de formalités préalables à la mise en œuvre d’un traitement de données à caractère personnel.

Pourtant, la CNIL annonce d’ores et déjà qu’elle ne sera pas en mesure de traiter, dans le délai imparti, l’ensemble des demandes qui lui sont soumises notamment les demandes d’autorisation qu’elle a déjà reçues et qui sont en cours d’instruction ou qui lui seront adressées d’ici le 24 mai 2018.

Dès lors, la CNIL appelle les entreprises à privilégier dès à présent les actions de mise en conformité avec les règles de fond du RGPD et à préparer si nécessaire une analyse d’impact, en s’appuyant sur les outils d’aide mis à disposition par la CNIL. Cette analyse d’impact est notamment obligatoire pour les traitements antérieurs au 25 mai 2018 n’ayant pas fait l’objet de formalités préalables auprès de la CNIL.

S’agissant particulièrement des demandes de label CNIL, la Commission met progressivement fin à son activité de labellisation au profit de la nouvelle procédure de certification prévue par le RGPD.

Afin de ne plus délivrer de label à compter du 25 mai 2018, la CNIL refusera d’instruire tout dossier qui lui sera soumis après le 30 mars prochain.

Les derniers labels resteront valables pendant toute la période d’échéance à l’issue de laquelle leurs bénéficiaires ne pourront plus demander leur renouvellement auprès de la CNIL mais devront se rapprocher de certificateurs, qui procèderont à l’instruction de leurs demandes.

A ce titre, Le Règlement européen et le projet de loi actuellement en discussion au Parlement prévoient en lieu et place des labels CNIL des certifications délivrées par des organismes certificateurs agréés par la CNIL ou accrédités par l’organisme national d’accréditation (COFRAC).

Une certification de Délégués à la Protection des Données est ainsi en cours d’élaboration.         

2. – Les outils de mise en conformité à disposition des entreprises

Afin d’aider les entreprises à anticiper les impacts du RGPD, la CNIL a élaboré un certain nombre d’outils d’aide à la mise en conformité.

En effet, d’ici le 25 mai 2018, la CNIL a d’ores et déjà mis à disposition des entreprises les outils d’anticipation suivants :

  • La méthode en 6 étapes pour se préparer au RGPD
  • La foire aux questions disponible sur son site internet ;
  • Le logiciel PIA, qui facilite la réalisation des analyses d’impact sur la protection des données ;
  • Un modèle de registre.

Par ailleurs, ces outils seront bientôt complétés puisque la CNIL publiera bientôt des modèles-type de mentions d’information, de formulaires de recueil du consentement ainsi qu’un formulaire de désignation du délégué à la protection des données.

De plus, la CNIL prépare la rédaction de référentiels pour guider les professionnels dans leurs démarches de conformité. Ces référentiels seront essentiellement fondés sur des normes déjà adoptées par la CNIL sous la forme d’autorisations uniques, normes simplifiées, packs de conformité, etc.

Par ailleurs, pour simplifier l’interprétation des dispositions du RGPD, la CNIL élabore actuellement la liste des traitements obligatoirement soumis à analyse d’impact et la liste des traitements pour lesquels, au contraire, aucune analyse n’est requise.

Enfin, des actions plus spécifiques à certaines structures ou types d’entreprises sont également à venir. Un « pack TPE-PME » élaboré par la CNIL, en partenariat avec la Banque publique d'investissement (BPI), sera bientôt publié. Initialement prévu pour la fin d’année 2017, dans son communiqué en date du 19 février dernier la CNIL a annoncé sa publication à la fin du mois de mars 2018.

3. – Que se passera-t-il le 25 mai 2018 ?

Face au renforcement important du montant des sanctions beaucoup se demandent comment les contrôles de la CNIL se dérouleront à compter de l’entrée en application du RGPD.

Pour la CNIL il est certain que le 25 mai 2018 n’est pas une date couperet mais une marche à monter. D’une manière générale, ses pouvoirs de contrôle restent inchangés et elle continuera à procéder à des vérifications dans les locaux des organismes, en ligne, sur audition et sur pièces dans les mêmes conditions.

Toutefois, dans le cadre de ses contrôles, la CNIL prononcera ses décisions en distinguant deux types d’obligations.

D’une part, les principes fondamentaux de la protection des données restent inchangés et continueront à faire l’objet de vérifications strictes et rigoureuses par la CNIL.

D’autre part, les nouvelles obligations et nouveaux droits résultant du RGPD (tels que le droit à la portabilité, les analyses d’impact, etc.) pour lesquelles les contrôles auront essentiellement pour but, dans un premier temps, d’aider et accompagner les entreprises à comprendre les impacts du RGPD et à trouver comment implémenter ces nouvelles obligations.

Pour être prêt au 25 mai 2018 et identifier l’ensemble des actions de mise en conformité avec le RGPD, l’audit de conformité est l’étape préalable et incontournable.

Seul un diagnostic de l’existant et une analyse traitement par traitement pourront faire apparaître les écarts de conformité avec le RGPD et les actions correctives à mettre en place.

Pour se prémunir contre des sanctions lourdes, cet audit sera notamment l’occasion de déceler des points de non-conformité aux principes fondamentaux et obligations préexistantes pour lesquels la mise en conformité doit intervenir sans délais.

A rapprocher : L’actualité de la CNIL Règlement européen sur la protection des données personnelles

VOIR AUSSI

Data : L’amélioration de ses services en ligne nécessite une base légale spécifique !

Décision de la CNIL n°MED-2017-075 du 27 novembre 2017

- Vu : 36

La formation restreinte de la CNIL a prononcé une mise en demeure publique à l’encontre de la société WHATSAPP rappelant que lorsqu’il existe plusieurs finalités à un traitement qui nécessitent un consentement de la personne concernée, celui-ci doit être recueilli de manière spécifique...

> Lire la suite

Plus que 10 mois pour mettre en conformité ses fichiers clients et prospects !

Le 14 septembre 2016 a été publiée au Journal Officiel une nouvelle délibération de la CNIL modifiant la norme simplifiée n°48 qui fixe un cadre juridique pour les traitements de données relatifs à la gestion de clients et de prospects («NS-48 »).

> Lire la suite


Les plus vus...
La mise en conformité avec le RGPD des PME
22 mai 2018 - Vu : 789
Consciente des difficultés que peuvent rencontrer les entreprises dans leurs démarches, la CNIL a édité une méthodologie présentée ...
> Lire la suite
Protéger ses marques efficacement - 15 mai 2018 - Nantes
16 avril 2018 - Vu : 413
SIMON ASSOCIÉS organise un petit-déjeuner sur le thème de la protection des marques le 15 mai 2018 à ...
> Lire la suite
Partage de responsabilité entre acteurs d’un traitement de données personnelles : l’article 82 du RGPD
22 mai 2018 - Vu : 302
L’article 82 du RGPD confirme le principe du droit à réparation issu de la Directive 95/46/CE (non transposée en ...
> Lire la suite
Règlement européen sur la protection des données (RGPD)
6 mars 2018 - Vu : 291
Afin d’accompagner au mieux les entreprises dans leur mise en conformité avec le Règlement européen sur la protection ...
> Lire la suite
Copyright ©2017 La lettre du Numérique | Création et réalisation Webcd©