« Accompagnement renforcé » : la CNIL lance un nouveau dispositif innovant d’accompagnement
La CNIL complète sa stratégie d’accompagnement avec une nouvelle offre destinée aux entreprises du numérique qui présentent un fort potentiel de développement économique ou d’innovation. L’appel à candidature est ouvert jusqu’au 3 avril 2023.
La protection des données est mieux assurée quand elle est correctement anticipée et prise en compte par les entreprises. La CNIL encourage les démarches de responsabilisation et de contrôle interne afin de respecter la protection des données dès la conception.
Cette démarche est particulièrement importante pour les entreprises qui traitent ou seront amenées à traiter des données à grande échelle ou des données sensibles et qui sont engagées dans une évolution rapide de leurs activités ou une croissance accélérée. La protection des données ne doit pas être négligée par ces acteurs innovants qui doivent conduire de nombreux chantiers en parallèle pour consolider leur développement.
Afin d’apporter un appui adapté et d’accompagner ces entreprises dans la prise en compte de la protection des données, la CNIL propose une nouvelle offre d’accompagnement renforcé.
En quoi consiste l’accompagnement renforcé de la CNIL ?
L’objectif de ce dispositif est de conseiller sur plusieurs mois les entreprises retenues sur les conditions de mise en œuvre de leurs traitements, ou de leurs projets, en lien avec leur cœur d’activité au regard de leurs obligations liées à la protection des données.
Les équipes de la CNIL pourront se déplacer au sein de l’entreprise afin d’échanger directement avec les personnes concernées et appréhender les réalités concrètes des traitements mis en œuvre ou des projets envisagés.
Une fois le périmètre de l’accompagnement défini avec l’entreprise, cet accompagnement s’articulera autour de 3 principales modalités :
- un appui juridique et technique dans des délais rapides (réponses à des questions juridiques, formation et assistance à la réalisation d’AIPD, recommandations en matière de cybersécurité, etc.) ;
- une revue de conformité des traitements mis en œuvre : ce passage en revue des grands enjeux en termes de conformité conduira à la délivrance de recommandations juridiques et techniques ;
- des actions de sensibilisation aux enjeux de la protection des données notamment à destination des salariés et/ou des dirigeants.
L’accompagnement renforcé vise à apporter aux entreprises sélectionnées des réponses pragmatiques et concrètes, adaptées à leurs enjeux, et de la sécurité juridique sur leurs activités impliquant des données personnelles.
Cet accompagnement n’apporte pas une « immunité » en termes de conformité : l’entreprise reste pleinement responsable des conditions de mise en œuvre de ses traitements, au titre du principe de responsabilité du RGPD. De plus, cet accompagnement ne saurait se substituer à la mise en place d’une gouvernance de la conformité (recrutement d’un DPO et d’une équipe dédiée, conseil externe) qui est une condition nécessaire pour en bénéficier.
Pour cette première session, les entreprises retenues seront accompagnées de manière échelonnée pour une durée de 6 mois chacune.
Ce nouveau dispositif vient compléter les instruments déjà offerts par la CNIL, notamment :
- l’accompagnement général et sectoriel : publications sur cnil.fr de fiches pratiques, guides, référentiels, lignes directrices pour aider les professionnels d’un secteur ;
- l’accompagnement individuel : réponses écrites aux demandes de conseil, organisation de réunions avec les services de la CNIL, permanences téléphoniques ;
- l’accompagnement innovant : outil AIPD, MOOC L’Atelier RGPD, bac à sable.
Qu’est-ce que la CNIL attend des entreprises ?
Compte tenu du fort investissement des services de la CNIL, les entreprises devront faire preuve d'un réel engagement tout au long de cet accompagnement.
Il est attendu de ces entreprises qu’elles tiennent le plus grand compte des recommandations qui seront formulées et qu’elles consacrent des moyens opérationnels suffisants (ex : présence du DPO, disponibilité des services techniques…).
Quelles garanties pour l’entreprise ?
Conformément à la Charte d’accompagnement de la CNIL, les services de contrôle et de sanction de l’institution n’auront pas accès aux éléments dont les équipes auront eu connaissance pendant l’accompagnement.
Les agents de la CNIL sont soumis au secret professionnel tout au long de la procédure (dossier de candidature, échanges avec les entreprises sélectionnées, phase opérationnelle, etc.). Les échanges intervenant dans le cadre de l’accompagnement renforcé sont confidentiels à l’égard des tiers (par ex. : concurrents, clients ou salariés).
Quels sont les critères de sélection ?
L’offre d’accompagnement renforcé est destinée aux acteurs privés du numérique qui présentent un fort potentiel de développement économique, avec des questions présentant de réels enjeux en matière de protection des données.
Les critères de sélection sont les suivants :
- la mise en œuvre par l’entreprise de produits, services ou procédés innovants : afin d’apporter aux entreprises des réponses pragmatiques et de la sécurité juridique sur des problématiques nouvelles ;
- l’impact des traitements de l’entreprise sur les personnes : seront privilégiées les entreprises mettant en œuvre ou envisageant de mettre en œuvre des traitements susceptibles d’engendrer un risque élevé pour les personnes. L’objectif de l’appui de la CNIL sera, en lien avec l’entreprise concernée, d’atténuer ce risque au maximum ;
- la taille et la pérennité de l’entreprise seront prises en compte : la CNIL souhaite accompagner prioritairement les entreprises qui en ont besoin, et disposant de projets solides ;
- l’engagement dans la conformité RGPD : les entreprises témoignant d’un réel engagement de tenir le plus grand compte des recommandations apportées et ayant des moyens opérationnels suffisants à y consacrer seront privilégiées ;
- les questions juridiques, sociétales ou éthiques soulevées par les traitements mis en œuvre par les entreprises seront également prises en compte.
Que doit contenir un dossier de candidature ?
Le format du dossier de candidature est libre. Il doit couvrir les points-clés suivants :
- Présentation générale de l’entreprise et de son cœur d’activité ;
- Description des traitements ou projets liés à l’activité principale de l’entreprise pour lesquels un accompagnement renforcé est jugé nécessaire : finalité(s) et état d’avancement des traitements (déjà mis en œuvre ou à venir) ;
- Descriptif sommaire des risques identifiés en matière de vie privée et de protection des données personnelles sur ces traitements (ex. : autoévaluation des risques RGPD et/ou SSI le cas échéant) ;
- Présentation du modèle d’affaires de l’entreprise et de ses perspectives de croissance : bref descriptif de l’actionnariat le cas échéant, positionnement sur le marché, plan d’affaires sur trois ans et état des financements collectés ou en cours ;
- Présentation des personnes qui seront les interlocuteurs de la CNIL (ex. : DPO, responsable juridique, RSSI, etc.) et coordonnées du ou des interlocuteur(s) identifié(s) dans le cadre de l’accompagnement ;
- Engagement dans la démarche de l’accompagnement renforcé : ressources qui y seront consacrées, présence d’une assistance à la conformité au sein de l’entreprise, place des données personnelles dans le modèle d’affaires de l’entreprise ;
- Questionnements du candidat : sur quel(s) point(s) en lien avec la vie privée et les données personnelles le candidat souhaite-t-il un accompagnement renforcé (ex. : difficultés juridiques et/ou technologiques identifiées).
L’entreprise peut également ajouter tout document qu’elle juge utile pour sa candidature.
Comment candidater ?
- Une fois le dossier complété, un courriel doit être adressé à [email protected] afin qu’un lien soit mis à la disposition des entreprises candidates pour leur permettre d’envoyer leurs documents via une plateforme sécurisée.
- Les dossiers de candidatures peuvent être adressés à la CNIL jusqu’au lundi 3 avril 2023.
- La CNIL examinera le dossier au regard des critères de sélection exposés ci-dessus. En cas de question sur l’offre d’accompagnement renforcé ou sur les modalités de candidature, l’entreprise peut également adresser une demande à cette même adresse. Un agent de la CNIL la recontactera.
Quelles seront les suites données ?
À l'issue d’une phase de pré-instruction des dossiers, la présidente de la CNIL sélectionnera les entreprises qui pourront bénéficier de cet accompagnement sur la base des critères de sélection.
À compter de cette sélection, les services de la CNIL recontacteront les entreprises retenues pour formaliser, au moyen d’une convention, les modalités de l’accompagnement.
Une entreprise qui n’est pas retenue pourra bénéficier des autres outils d’accompagnement de la CNIL (demande de conseil par exemple) ou encore être orientée vers d’autres interlocuteurs.
Quand débutera l’accompagnement renforcé ?
Pour cette première session, l’accompagnement renforcé débutera au courant du 2e trimestre 2023 pour les premières entreprises sélectionnées.
L’accompagnement des entreprises sera échelonné dans le temps en tenant compte de leurs contraintes de calendrier : il est possible que l'accompagnement débute plusieurs mois après la sélection d’une entreprise.
« Accompagnement renforcé » et « bac à sable », quelles différences ?
Accompagnement renforcé
- Toutes les thématiques sont possibles
- Traitements en projet ou déjà mis en œuvre associés au cœur de métier de l’entreprise
- Accompagnement varié (appui juridique et technique dans des délais rapides, revue de conformité des traitements, actions de sensibilisation)
- Il n’est pas nécessaire de soulever de nouvelles questions juridiques
Bac à sable
- Les bacs à sable portent chacun sur une thématique unique (santé numérique en 2021, outils numériques dans l’éducation en 2022)
- Projets en phase de conception
- Résolution de questions juridiques spécifiques
- Intérêt pour les questions juridiques nouvelles pour préciser la doctrine de la CNIL