Règlement européen sur la protection des données (RGPD)

J - 80 : comment la CNIL gère-t-elle cette période transitoire ?

Afin d’accompagner au mieux les entreprises dans leur mise en conformité avec le Règlement européen sur la protection des données, la CNIL concentre tous ses efforts et ressources dans l’élaboration d’outils d’aide à la mise en conformité et abandonne progressivement certaines de ses prérogatives telles que la délivrance de labels ou d’autorisation de traitement.

Ce qu’il faut retenir : Afin d’accompagner au mieux les entreprises dans leur mise en conformité avec le Règlement européen sur la protection des données, la CNIL concentre tous ses efforts et ressources dans l’élaboration d’outils d’aide à la mise en conformité et abandonne progressivement certaines de ses prérogatives telles que la délivrance de labels ou d’autorisation de traitement.

Pour approfondir : A quelques jours de l’entrée en application du Règlement européen sur la protection des données (« RGPD ») et dans l’attente de la nouvelle loi « CNIL » actuellement en discussion au Parlement, beaucoup d’entreprises ne savent pas comment gérer au quotidien la protection des données personnelles durant cette période transitoire.

Dans l’attente de l’entrée en application du RGPD, les dispositions de la loi informatique et libertés restent pleinement applicables. Toutefois, afin de faciliter le passage au règlement, la CNIL prévoit un mode de fonctionnement transitoire.

Par trois communiqués de presse en date du 19, 23 et 26 février 2018, la CNIL a apporté quelques précisions sur son mode de fonctionnement et ses attentes durant cette période de transition vers le nouveau cadre de protection.

1. – Le sort des formalités préalables et demandes d’instruction en cours

Tant que le RGPD n’est pas entré en application ce sont les dispositions de la loi informatique et libertés qu’il faut appliquer.

La loi informatique prévoit notamment des obligations de formalités préalables à la mise en œuvre d’un traitement de données à caractère personnel.

Pourtant, la CNIL annonce d’ores et déjà qu’elle ne sera pas en mesure de traiter, dans le délai imparti, l’ensemble des demandes qui lui sont soumises notamment les demandes d’autorisation qu’elle a déjà reçues et qui sont en cours d’instruction ou qui lui seront adressées d’ici le 24 mai 2018.

Dès lors, la CNIL appelle les entreprises à privilégier dès à présent les actions de mise en conformité avec les règles de fond du RGPD et à préparer si nécessaire une analyse d’impact, en s’appuyant sur les outils d’aide mis à disposition par la CNIL. Cette analyse d’impact est notamment obligatoire pour les traitements antérieurs au 25 mai 2018 n’ayant pas fait l’objet de formalités préalables auprès de la CNIL.

S’agissant particulièrement des demandes de label CNIL, la Commission met progressivement fin à son activité de labellisation au profit de la nouvelle procédure de certification prévue par le RGPD.

Afin de ne plus délivrer de label à compter du 25 mai 2018, la CNIL refusera d’instruire tout dossier qui lui sera soumis après le 30 mars prochain.

Les derniers labels resteront valables pendant toute la période d’échéance à l’issue de laquelle leurs bénéficiaires ne pourront plus demander leur renouvellement auprès de la CNIL mais devront se rapprocher de certificateurs, qui procèderont à l’instruction de leurs demandes.

A ce titre, Le Règlement européen et le projet de loi actuellement en discussion au Parlement prévoient en lieu et place des labels CNIL des certifications délivrées par des organismes certificateurs agréés par la CNIL ou accrédités par l’organisme national d’accréditation (COFRAC).

Une certification de Délégués à la Protection des Données est ainsi en cours d’élaboration.         

2. – Les outils de mise en conformité à disposition des entreprises

Afin d’aider les entreprises à anticiper les impacts du RGPD, la CNIL a élaboré un certain nombre d’outils d’aide à la mise en conformité.

En effet, d’ici le 25 mai 2018, la CNIL a d’ores et déjà mis à disposition des entreprises les outils d’anticipation suivants :

  • La méthode en 6 étapes pour se préparer au RGPD
  • La foire aux questions disponible sur son site internet ;
  • Le logiciel PIA, qui facilite la réalisation des analyses d’impact sur la protection des données ;
  • Un modèle de registre.

Par ailleurs, ces outils seront bientôt complétés puisque la CNIL publiera bientôt des modèles-type de mentions d’information, de formulaires de recueil du consentement ainsi qu’un formulaire de désignation du délégué à la protection des données.

De plus, la CNIL prépare la rédaction de référentiels pour guider les professionnels dans leurs démarches de conformité. Ces référentiels seront essentiellement fondés sur des normes déjà adoptées par la CNIL sous la forme d’autorisations uniques, normes simplifiées, packs de conformité, etc.

Par ailleurs, pour simplifier l’interprétation des dispositions du RGPD, la CNIL élabore actuellement la liste des traitements obligatoirement soumis à analyse d’impact et la liste des traitements pour lesquels, au contraire, aucune analyse n’est requise.

Enfin, des actions plus spécifiques à certaines structures ou types d’entreprises sont également à venir. Un « pack TPE-PME » élaboré par la CNIL, en partenariat avec la Banque publique d’investissement (BPI), sera bientôt publié. Initialement prévu pour la fin d’année 2017, dans son communiqué en date du 19 février dernier la CNIL a annoncé sa publication à la fin du mois de mars 2018.

3. – Que se passera-t-il le 25 mai 2018 ?

Face au renforcement important du montant des sanctions beaucoup se demandent comment les contrôles de la CNIL se dérouleront à compter de l’entrée en application du RGPD.

Pour la CNIL il est certain que le 25 mai 2018 n’est pas une date couperet mais une marche à monter. D’une manière générale, ses pouvoirs de contrôle restent inchangés et elle continuera à procéder à des vérifications dans les locaux des organismes, en ligne, sur audition et sur pièces dans les mêmes conditions.

Toutefois, dans le cadre de ses contrôles, la CNIL prononcera ses décisions en distinguant deux types d’obligations.

D’une part, les principes fondamentaux de la protection des données restent inchangés et continueront à faire l’objet de vérifications strictes et rigoureuses par la CNIL.

D’autre part, les nouvelles obligations et nouveaux droits résultant du RGPD (tels que le droit à la portabilité, les analyses d’impact, etc.) pour lesquelles les contrôles auront essentiellement pour but, dans un premier temps, d’aider et accompagner les entreprises à comprendre les impacts du RGPD et à trouver comment implémenter ces nouvelles obligations.

Pour être prêt au 25 mai 2018 et identifier l’ensemble des actions de mise en conformité avec le RGPD, l’audit de conformité est l’étape préalable et incontournable.

Seul un diagnostic de l’existant et une analyse traitement par traitement pourront faire apparaître les écarts de conformité avec le RGPD et les actions correctives à mettre en place.

Pour se prémunir contre des sanctions lourdes, cet audit sera notamment l’occasion de déceler des points de non-conformité aux principes fondamentaux et obligations préexistantes pour lesquels la mise en conformité doit intervenir sans délais.

A rapprocher : L’actualité de la CNIL Règlement européen sur la protection des données personnelles

Sommaire

Autres articles

some
Le rapport de la CNIL pour l’année 2021 met en lumière la prise de conscience du citoyen dans la protection de leurs données personnelles
42e rapport d’activité de la CNIL (année 2021) « Protéger les données personnelles, Accompagner l’innovation, Préserver les libertés individuelles » Madame Marie-Laure Denis, présidente de la CNIL affirmait que « plus que jamais, c’est le respect d’un équilibre entre accompagnement…
some
Sanction de 1.5 million d’euros pour un éditeur-intégrateur de progiciel à destination des laboratoires d’analyse médicale
Délibération de la CNIL du 15 avril 2022 Article rédigé par Eve-Anne Dujardin et Valentine Quiniou.
some
Du Big Data à la Smart Data : les 3 clefs d’évaluation pour que les données rentrent dans les actifs des entreprises
Qu’il s’agisse de données à caractère personnel, y compris des données ouvertes, voire les données industrielles leur valorisation devient un enjeu économique. Ainsi, tout jeux de données recèle une valeur, à condition qu’il soit composé de données qualifiées. Après l’époque…
some
L’autorité de protection des données irlandaise, cible de nombreuses controverses
Irish Council for Civil Libertie’s 2021 report on the enforcement capacity of data protection authorities Plusieurs organisations font état de défaillances de la Data Protection Commission (DPC), l’autorité de protection des données irlandaise, et estiment que cette dernière freine la…
some
La valorisation de la donnée restera-t-elle l’apanage des G.A.F.A.M. ?
Journal du Management Juridique n°84 L’explosion du volume des données informatiques, du fait du développement de l’Internet et des nouvelles technologies de l’information, a ouvert de nouveaux horizons aux entreprises. Certaines utilisent déjà une partie de ces données pour prédire…
some
« AlerteCyber » : mise en place d’un dispositif d’alerte destiné aux petites entreprises en cas de cyberattaque
« AlerteCyber » : mise en place d’un dispositif d’alerte destiné aux petites entreprises en cas de cyberattaque Communiqué de presse du Gouvernement, 20 juillet 2021 Le contexte de crise sanitaire a largement contribué à la multiplication d’attaques informatiques visant…