Nous vous en parlions le mois dernier, à quelques semaines de l’entrée en application du règlement général sur la protection des données (RGPD), les professionnels doivent concentrer leurs actions sur la mise en conformité aux nouvelles règles applicablesà partir du 25 mai 2018. La CNIL met à leur disposition de nombreux outils leur permettant de se préparer et fait le point sur la transition vers ce nouveau cadre juridique.
Rappel sur le RGPD
Le RGPD est une étape majeure dans la protection des données personnelles. Il vise à renforcer l’importance de cet enjeu auprès de ceux qui traitent les données et à responsabiliser les professionnels. Il consacre et renforce les grands principes de la loi Informatique et Libertés, en vigueur depuis 1978, et accroît sensiblement les droits des citoyens en leur donnant plus de maitrise sur leurs données. En pratique, la plupart des formalités préalables actuelles auprès de la CNIL (déclarations, autorisations) vont disparaître, au profit d’une logique de conformité continue. Les organismes qui traitent des données personnelles devront veiller au respect des textes tout au long du cycle de vie de la donnée. En contrepartie de cette réduction du contrôle en amont, le RGPD renforce les pouvoirs de sanction des CNIL nationales. Pour s’assurer de leur conformité à tout instant, les responsables de traitements disposeront de nouveaux outils (analyses d’impact, registre) et de nouvelles personnes ressources (les délégués à la protection des données). Le RGPD consacre donc un nouveau mode de régulation. Ces règles seront précisées et complétées par le projet de loi actuellement en discussion au Parlement. Il est essentiel que les responsables de traitement se préparent activement, dès maintenant, à cette échéance. La CNIL aide les acteurs dans la transition vers le nouveau cadre juridique et renforce l’accompagnement des professionnels dans leurs démarches de conformité. Elle souhaite également préciser certaines modalités de transition entre la loi Informatique et libertés actuelle et le nouveau régime applicable à compter du 25 mai 2018.
Comment la CNIL vous accompagne-t-elle vers le RGPD ?
Outils disponibles Les professionnels peuvent d’ores et déjà s’appuyer sur de nombreux outils de préparation et de mise en conformité au RGPD, disponibles sur le site internet de la CNIL, qui seront prochainement enrichis.
La méthode en 6 étapes pour se préparer permet aux organismes de s’assurer qu’ils ont anticipé et mis en œuvre l’essentiel des mesures nécessaires pour être prêts en mai 2018.
Le G29 (groupe des CNIL européennes) a déjà adopté plusieurs lignes directrices, qui assurent une compréhension et une interprétation communes des points clés du RGPD au niveau européen. Des lignes directrices relatives à l’autorité chef de file, au délégué à la protection des données, au droit à la portabilité et aux analyses d’impact sur la protection des données (PIA) ont déjà été adoptées. D’autres lignes directrices ont été ou seront adoptées d’ici mai (profilage, notification des violations, transferts, transparence, consentement, etc.) et présentées sur le site de la CNIL.
Des foires aux questions (FAQ) disponibles sur le site et dans la rubrique « besoin d’aide » permettent aux professionnels comme au public de prendre connaissance, rapidement et simplement, des principales nouveautés issues du RGPD.
La CNIL met également à disposition des outils pratiques, comme le logiciel PIA, qui facilite la réalisation des analyses d’impact sur la protection des données, ou encore un modèle de registre. Seront aussi mis en ligne prochainement des modèles-type de mentions d’information, de formulaires de recueil du consentement, un formulaire de désignation du délégué à la protection des données, etc.
Outils à venir
La CNIL prépare activement la rédaction de référentiels pour guider les professionnels dans leurs démarches de conformité. Ces référentiels seront issus des normes déjà adoptées par la CNIL dans les dernières années (autorisations uniques, normes simplifiées, packs de conformité, etc.), sur lesquelles les organismes peuvent d’ores et déjà s’appuyer pour s’assurer que leurs traitements sont légaux. Ces référentiels, sectoriels pour certains, permettront aux professionnels de se prémunir contre des sanctions.
Concernant les études d’impact, dans un souci de simplification, la CNIL travaille à l’élaboration de deux outils prévus par le RGPD : la liste des traitements obligatoirement soumis à analyse d’impact et la liste des traitements pour lesquels, au contraire, aucune analyse n’est requise. Ces listes permettront aux responsables de traitement de savoir plus aisément s’ils sont ou non soumis à cette obligation. La conformité aux référentiels sectoriels mentionnés plus haut sera prise en compte dans l’élaboration de la liste des dispenses.
Comment la CNIL contrôlera-t-elle le respect du RGPD à partir du 25 mai 2018 ?
D’une manière générale, les pouvoirs de contrôle de la CNIL restent inchangés. Elle continuera à procéder à des vérifications dans les locaux des organismes, en ligne, sur audition et sur pièces. Les modalités de déclenchement des contrôles restent également les mêmes : la décision de réaliser un contrôle s’effectuera sur la base du programme annuel des contrôles, des plaintes reçues par la CNIL, des informations figurant dans les médias, ou pour faire suite à un précédent contrôle. La principale nouveauté réside dans le fait que les contrôles effectués sur des acteurs internationaux s’effectueront dans un contexte de coopération très poussée qui conduira à une décision harmonisée à portée européenne. Dans ce contexte et, en particulier, face au renforcement important du montant des sanctions, de nombreux organismes s’interrogent sur les orientations que suivra la CNIL, dans les premiers mois de mise en œuvre du RGPD, dans sa politique de contrôle. La CNIL distinguera deux types d’obligations s’imposant aux professionnels. Les principes fondamentaux de la protection des données restent pour l’essentiel inchangés (loyauté du traitement, pertinence des données, durée de conservation, sécurité des données, etc.). Ils continueront donc à faire l’objet de vérifications rigoureuses par la CNIL. En revanche, pour ce qui est des nouvelles obligations ou des nouveaux droits résultant du RGPD (droit à la portabilité, analyses d’impact, etc.), les contrôles opérés auront essentiellement pour but, dans un premier temps, d’accompagner les organismes vers une bonne compréhension et la mise en œuvre opérationnelle des textes. En présence d’organismes de bonne foi, engagés dans une démarche de conformité et faisant preuve de coopération avec la CNIL, ces contrôles n’auront normalement pas vocation à déboucher, dans les premiers mois, sur des procédures de sanction sur ces points.
Quelles formalités préalables à partir du 25 mai 2018 ?
L’action de la CNIL comme les démarches des responsables de traitement doivent être centrées sur la mise en conformité aux règles essentielles du RGPD, qui sont applicables dès le 25 mai 2018. Dans cet esprit, la CNIL entend faciliter la transition entre les formalités préalables prévues par la loi du 6 janvier 1978, qui disparaîtront pour l’essentiel, et la nouvelle obligation d’analyse d’impact, exigée par le RGPD avant la mise en œuvre de tout traitement de données susceptible de présenter un risque élevé.
