webleads-tracker

MENU
Nos expertises Présentation du cabinet Présentation Notre approche Nos départements Nos avocats Nos distinctions Nous contacter Equipe numerique Agenda / évènements Nos événements Autres événements Lexique Newsletters Rechercher Nos sites internet Data / Données personnelles Propriété intellectuelle Services numériques E-commerce Contenus illicites / E-réputation International Startup et Legaltechs / Tendances Partenaires Medias Contact Newsletter
SUIVEZ NOUS SUR
la lettre du numérique
L'actualité juridique et économique des acteurs du numérique par Simon Associés
simon associés simon associés
Accueil >Data / Données personnelles
 

Règlement européen sur la protection des données (RGPD)

J - 80 : comment la CNIL gère-t-elle cette période transitoire ?

Afin d’accompagner au mieux les entreprises dans leur mise en conformité avec le Règlement européen sur la protection des données, la CNIL concentre tous ses efforts et ressources dans l’élaboration d’outils d’aide à la mise en conformité et abandonne progressivement certaines de ses prérogatives telles que la délivrance de labels ou d’autorisation de traitement.

Ce qu’il faut retenir : Afin d’accompagner au mieux les entreprises dans leur mise en conformité avec le Règlement européen sur la protection des données, la CNIL concentre tous ses efforts et ressources dans l’élaboration d’outils d’aide à la mise en conformité et abandonne progressivement certaines de ses prérogatives telles que la délivrance de labels ou d’autorisation de traitement.

Pour approfondir : A quelques jours de l’entrée en application du Règlement européen sur la protection des données (« RGPD ») et dans l’attente de la nouvelle loi « CNIL » actuellement en discussion au Parlement, beaucoup d’entreprises ne savent pas comment gérer au quotidien la protection des données personnelles durant cette période transitoire.

Dans l’attente de l’entrée en application du RGPD, les dispositions de la loi informatique et libertés restent pleinement applicables. Toutefois, afin de faciliter le passage au règlement, la CNIL prévoit un mode de fonctionnement transitoire.

Par trois communiqués de presse en date du 19, 23 et 26 février 2018, la CNIL a apporté quelques précisions sur son mode de fonctionnement et ses attentes durant cette période de transition vers le nouveau cadre de protection.

1. – Le sort des formalités préalables et demandes d’instruction en cours

Tant que le RGPD n’est pas entré en application ce sont les dispositions de la loi informatique et libertés qu’il faut appliquer.

La loi informatique prévoit notamment des obligations de formalités préalables à la mise en œuvre d’un traitement de données à caractère personnel.

Pourtant, la CNIL annonce d’ores et déjà qu’elle ne sera pas en mesure de traiter, dans le délai imparti, l’ensemble des demandes qui lui sont soumises notamment les demandes d’autorisation qu’elle a déjà reçues et qui sont en cours d’instruction ou qui lui seront adressées d’ici le 24 mai 2018.

Dès lors, la CNIL appelle les entreprises à privilégier dès à présent les actions de mise en conformité avec les règles de fond du RGPD et à préparer si nécessaire une analyse d’impact, en s’appuyant sur les outils d’aide mis à disposition par la CNIL. Cette analyse d’impact est notamment obligatoire pour les traitements antérieurs au 25 mai 2018 n’ayant pas fait l’objet de formalités préalables auprès de la CNIL.

S’agissant particulièrement des demandes de label CNIL, la Commission met progressivement fin à son activité de labellisation au profit de la nouvelle procédure de certification prévue par le RGPD.

Afin de ne plus délivrer de label à compter du 25 mai 2018, la CNIL refusera d’instruire tout dossier qui lui sera soumis après le 30 mars prochain.

Les derniers labels resteront valables pendant toute la période d’échéance à l’issue de laquelle leurs bénéficiaires ne pourront plus demander leur renouvellement auprès de la CNIL mais devront se rapprocher de certificateurs, qui procèderont à l’instruction de leurs demandes.

A ce titre, Le Règlement européen et le projet de loi actuellement en discussion au Parlement prévoient en lieu et place des labels CNIL des certifications délivrées par des organismes certificateurs agréés par la CNIL ou accrédités par l’organisme national d’accréditation (COFRAC).

Une certification de Délégués à la Protection des Données est ainsi en cours d’élaboration.         

2. – Les outils de mise en conformité à disposition des entreprises

Afin d’aider les entreprises à anticiper les impacts du RGPD, la CNIL a élaboré un certain nombre d’outils d’aide à la mise en conformité.

En effet, d’ici le 25 mai 2018, la CNIL a d’ores et déjà mis à disposition des entreprises les outils d’anticipation suivants :

  • La méthode en 6 étapes pour se préparer au RGPD
  • La foire aux questions disponible sur son site internet ;
  • Le logiciel PIA, qui facilite la réalisation des analyses d’impact sur la protection des données ;
  • Un modèle de registre.

Par ailleurs, ces outils seront bientôt complétés puisque la CNIL publiera bientôt des modèles-type de mentions d’information, de formulaires de recueil du consentement ainsi qu’un formulaire de désignation du délégué à la protection des données.

De plus, la CNIL prépare la rédaction de référentiels pour guider les professionnels dans leurs démarches de conformité. Ces référentiels seront essentiellement fondés sur des normes déjà adoptées par la CNIL sous la forme d’autorisations uniques, normes simplifiées, packs de conformité, etc.

Par ailleurs, pour simplifier l’interprétation des dispositions du RGPD, la CNIL élabore actuellement la liste des traitements obligatoirement soumis à analyse d’impact et la liste des traitements pour lesquels, au contraire, aucune analyse n’est requise.

Enfin, des actions plus spécifiques à certaines structures ou types d’entreprises sont également à venir. Un « pack TPE-PME » élaboré par la CNIL, en partenariat avec la Banque publique d'investissement (BPI), sera bientôt publié. Initialement prévu pour la fin d’année 2017, dans son communiqué en date du 19 février dernier la CNIL a annoncé sa publication à la fin du mois de mars 2018.

3. – Que se passera-t-il le 25 mai 2018 ?

Face au renforcement important du montant des sanctions beaucoup se demandent comment les contrôles de la CNIL se dérouleront à compter de l’entrée en application du RGPD.

Pour la CNIL il est certain que le 25 mai 2018 n’est pas une date couperet mais une marche à monter. D’une manière générale, ses pouvoirs de contrôle restent inchangés et elle continuera à procéder à des vérifications dans les locaux des organismes, en ligne, sur audition et sur pièces dans les mêmes conditions.

Toutefois, dans le cadre de ses contrôles, la CNIL prononcera ses décisions en distinguant deux types d’obligations.

D’une part, les principes fondamentaux de la protection des données restent inchangés et continueront à faire l’objet de vérifications strictes et rigoureuses par la CNIL.

D’autre part, les nouvelles obligations et nouveaux droits résultant du RGPD (tels que le droit à la portabilité, les analyses d’impact, etc.) pour lesquelles les contrôles auront essentiellement pour but, dans un premier temps, d’aider et accompagner les entreprises à comprendre les impacts du RGPD et à trouver comment implémenter ces nouvelles obligations.

Pour être prêt au 25 mai 2018 et identifier l’ensemble des actions de mise en conformité avec le RGPD, l’audit de conformité est l’étape préalable et incontournable.

Seul un diagnostic de l’existant et une analyse traitement par traitement pourront faire apparaître les écarts de conformité avec le RGPD et les actions correctives à mettre en place.

Pour se prémunir contre des sanctions lourdes, cet audit sera notamment l’occasion de déceler des points de non-conformité aux principes fondamentaux et obligations préexistantes pour lesquels la mise en conformité doit intervenir sans délais.

A rapprocher : L’actualité de la CNIL Règlement européen sur la protection des données personnelles

VOIR AUSSI

La mise en conformité avec le RGPD des PME

Guide de la CNIL et de BPI France du 17 avril 2018

- Vu : 1046

Consciente des difficultés que peuvent rencontrer les entreprises dans leurs démarches, la CNIL a édité une méthodologie présentée en six étapes leur permettant d’appréhender concrètement les actions de mise en conformité à mettre en place.

> Lire la suite

Du nouveau pour l'action de groupe en matière de données à caractère personnel

Loi n°2016–1547 du 18 novembre 2016

- Vu : 56

La loi de modernisation de la justice du XXIème siècle introduit en droit français l’action de groupe en matière de données à caractère personnel. Limitée exclusivement à la cessation du manquement constaté, cette action de groupe ne permet pas aux personnes concernées d’obtenir la réparation de leur préjudice.

> Lire la suite


Les plus vus...
La mise en conformité avec le RGPD des PME
22 mai 2018 - Vu : 1046
Consciente des difficultés que peuvent rencontrer les entreprises dans leurs démarches, la CNIL a édité une méthodologie présentée ...
> Lire la suite
Protéger ses marques efficacement - 15 mai 2018 - Nantes
16 avril 2018 - Vu : 682
SIMON ASSOCIÉS organise un petit-déjeuner sur le thème de la protection des marques le 15 mai 2018 à ...
> Lire la suite
Interview de Stéphane BAÏKOFF sur le RGPD par France 3 Pays de la Loire
28 mai 2018 - Vu : 514
Interview vidéo de Stéphane BAÏKOFF sur le RGPD, en direct du plateau de "9h50 le Matin" sur France ...
> Lire la suite
Partage de responsabilité entre acteurs d’un traitement de données personnelles : l’article 82 du RGPD
22 mai 2018 - Vu : 398
L’article 82 du RGPD confirme le principe du droit à réparation issu de la Directive 95/46/CE (non transposée en ...
> Lire la suite
Copyright ©2017 La lettre du Numérique | Création et réalisation Webcd©