Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 





















Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Les enjeux pour 2018 : accompagner les professionnels dans leur transition au règlement jusqu’au 25 mai et après

avril 2018 par CNIL

Depuis plusieurs mois, la CNIL propose aux organismes publics et privés, quelle que soit leur taille, un accompagnement pour leur permettre de comprendre ce que change le règlement et conduire cette transition vers le RGPD de manière méthodique. Cet accompagnement se poursuivra après le 25 mai avec notamment l’élaboration de référentiels au niveau européen.

Une évolution substantielle du cadre juridique

Le règlement, s’il reste fidèle aux principes fondateurs de la protection des données en Europe, modifie profondément les obligations pesant sur les organismes, publics ou privés, qui traitent des données. Ce nouveau cadre repose sur une logique de responsabilisation des organismes qui traitent des données, qu’ils soient responsables de traitements – donneurs d’ordre – ou sous-traitants.

Cette notion de responsabilisation (accountability) se traduit tout d’abord par l’affirmation de deux principes : la prise en compte de la protection des données dès la conception du service ou du produit et par défaut (souvent connues sous leur nom anglais de privacy by design et by default). Concrètement, cela signifie qu’à la fois en termes d’organisation interne, de configuration des services ou des produits et de nature et volume de données traitées, les responsables de traitements devront mettre en place des processus et mesures permettant de garantir une protection optimale des données et une minimisation de la collecte.

Le respect de la nouvelle législation européenne implique, pour les administrations comme les entreprises, une adaptation profonde de leurs outils, de leur méthodes et, au-delà, de leur culture en matière de protection des données. Il s’agit d’un enjeu majeur en termes de confiance des personnes et, par conséquent, de compétitivité pour les entreprises.

Les organismes qui traitent des données devront ainsi :

se doter, le plus souvent, d’un délégué à la protection des données, véritable chef d’orchestre de la conformité en interne, qui exercera une mission de conseil et de contrôle interne en la matière. Les administrations devront obligatoirement en désigner un ; de très nombreuses entreprises également.

Le règlement devrait se traduire, en France, par la désignation d’un délégué à la protection des données dans 80 000 à 100 000 organismes au minimum.

tenir un registre des traitements mis en œuvre avec une documentation complète, facilitant ainsi l’information des personnes et l’éventuel contrôle par la CNIL ;
mener des études d’impact sur la protection des données (PIA) pour les traitements à risque ;
notifier les failles de sécurité à la CNIL et, le cas échéant, aux personnes concernées.

Une adaptation accompagnée par la CNIL

Afin d’aider les entreprises établies en France, qu’elles soient nationales ou transnationales, la CNIL met en place un dispositif d’accompagnement depuis plusieurs mois, qu’ils s’agissent d’outils élaborés au niveau européen ou national (voir page 7).

Les outils ou initiatives à venir avant mai

Des modèles-type de mentions d’information ou de formulaires de recueil du consentement ;
Un nouveau modèle de registre simplifié ;
Une information sur les droits des personnes ;
Des dossiers thématiques à destination des professionnels du marketing et du commerce en ligne ;
Un guide élaboré en partenariat avec la BPI à destination des TPE-PME ;
Un plan d’accompagnement à destination des start-ups :

La CNIL a décidé d’optimiser ses efforts à destination de ces acteurs très particuliers par leurs moyens comme par leurs objectifs vis-à-vis des enjeux de régulation. Ils sont souvent très agiles du point de vue du numérique, et sans ressources propres à dédier aux questions de protection des données. Dans l’univers économique du numérique, les start-ups jouent souvent un rôle de pionniers et d’éclaireurs vis-à-vis du reste du marché. Un écosystème réunissant de multiples parties prenantes (investisseurs, mentors, incubateurs/accélérateurs, acteurs publics) s’est d’ailleurs structuré pour les accompagner et favoriser leur développement.

La CNIL est convaincue que les startups ont un rôle déterminant à jouer dans le succès de l’application du RGPD par leur capacité à innover, proposer, inventer et mettre en œuvre avec souplesse et rapidité des solutions nouvelles et créatives répondant aux enjeux de conformité (privacy by design).

La CNIL a déjà de nombreuses occasions d’entrer en contact avec ces entrepreneurs pour les sensibiliser aux questions informatique et libertés, surtout par des actions ad hoc. Ce plan d’accompagnement consiste à :

Mieux structurer des contenus et messages existants afin de faire monter en compétence tout cet écosystème ;
Animer des ateliers réunissant des entrepreneurs intéressés. La CNIL a déjà dans les dernières semaines organisé, dans le cadre du programme French Tech central animé à Station F par la mission French Tech, et ailleurs 3 masterclass réunissant chacune une centaine d’entrepreneurs et 5 ateliers thématiques réunissant une à deux dizaines d’entrepreneurs ;
Etre à l’écoute et tirer parti des qualités d’innovation des startups au profit de nos recommandations et des outils de conformité, en particulier le privacy by design.

Offrir un cadre juridique sécurisé : vers l’élaboration de référentiels et une clarification des exigences liées au analyses d’impact

La modification de la loi Informatique et Libertés va offrir à la CNIL de nouveaux outils de régulation dont des référentiels. Ces textes permettront à la CNIL de décliner, dans un secteur d’activité précis, les grands principes portés par le RGPD : ils offriront ainsi un cadre juridique clair et sécurisé permettant aux responsables de traitement concernés de savoir ce qu’attend le régulateur dans leur champ d’intervention. La conformité à certains de ces référentiels permettra également aux responsables de traitement concernés soit de ne pas avoir à faire d’analyse d’impact, soit de ne pas avoir à obtenir une autorisation de la CNIL pour le traitement de données de santé.

La CNIL prépare activement la rédaction de ces référentiels dont certains seront prêts dès l’entrée en vigueur du RGPD. Ils s’appuieront, pour partie, sur la doctrine établie par la CNIL depuis de nombreuses années (autorisations uniques, normes simplifiées, packs de conformité, etc.) en l’actualisant au regard des nouvelles exigences issues du RGPD. Ces référentiels seront portés par la CNIL au niveau européen pour que les entreprises installées en France puissent bénéficier d’un niveau d’exigence uniforme sur tout le territoire de l’Union.

Concernant les analyses d’impact la CNIL travaille à l’élaboration de deux outils prévus par le RGPD :

la liste des traitements obligatoirement soumis à la réalisation d’une analyse d’impact ;
et la liste des traitements pour lesquels, au contraire, aucune analyse n’est requise.

Ces listes permettront aux responsables de traitement concernés de savoir plus aisément s’ils sont ou non soumis à cette obligation. Ces listes devront également être soumises au mécanisme de coopération européenne afin d’assurer une harmonisation au niveau européen.

Un contrôle pragmatique du respect du RGPD à partir du 25 mai 2018

Dans les premiers mois de mise en œuvre du RGPD, la CNIL distinguera lors de ses contrôles deux types d’obligations s’imposant aux professionnels.

Les principes fondamentaux de la protection des données restent pour l’essentiel inchangés (loyauté du traitement, pertinence des données, durée de conservation, sécurité des données, etc.). Ils continueront donc à faire l’objet de vérifications rigoureuses par la CNIL.

En revanche, pour ce qui est des nouvelles obligations ou des nouveaux droits résultant du RGPD (droit à la portabilité, analyses d’impact, etc.), les contrôles opérés auront essentiellement pour but, dans un premier temps, d’accompagner les organismes dans une courbe d’apprentissage vers une bonne compréhension et la mise en œuvre opérationnelle des textes.


Voir les articles précédents

    

Voir les articles suivants