Qu’est-ce qu’un label de la CNIL ?
C’est la reconnaissance par la CNIL qu’un produit ou une procédure est conforme aux dispositions de la loi "Informatique & libertés". Celles-ci font l’objet de référentiels publiés.
Quel est l’intérêt d’obtenir le label ?
Le label permet d’indiquer au public que la procédure ou le produit proposé correspond aux exigences de la Commission. Le label ne vise pas à dispenser de formalités leurs titulaires.
Qu’est-ce que m’apporte un produit ou une procédure bénéficiant du label de la CNIL ?
Un label de la CNIL est destiné à améliorer la confiance des utilisateurs, en termes de protection de la vie privée, envers des produits et des procédures.
Sur quels textes juridiques la procédure de labellisation se repose-t-elle ?
Le pouvoir de labellisation de la CNIL a été créée par l’article 11 3/ c de la loi du 6 janvier 1978 modifiée.
Le règlement intérieur de la CNIL du 23 mai 2006 modifié le 8 septembre 2011 prévoit la procédure applicable.
Qu’est-ce qu’un référentiel ?
Il s’agit d’une liste d’exigences auxquelles le produit ou la procédure doit répondre afin d’obtenir le label. Ces exigences représentent les critères permettant d’évaluer la conformité d’un produit ou d’une procédure aux dispositions de la loi "Informatique & libertés".
À quelles conditions un produit ou une procédure peut-il être labéllisé ?
Pour être labellisé, le produit ou la procédure doit être conforme au référentiel adopté par la Commission. Les référentiels sont publics et disponibles sur le site de la CNIL.
Quels sont les référentiels actuellement disponibles ?
Dans un premier temps, la Commission a créé des labels relatifs à des procédures. Les premiers référentiels adoptés par la Commission concernent des formations "informatique et libertés" et des audits de traitements de données personnelles. Les produits ne sont pas concernés pour l’instant.
Qu’est-ce qu’une procédure d’audit de traitements ?
Un audit de traitements permet de vérifier la conformité de traitements à la loi "Informatique & libertés". La procédure décrit de la manière dont un tel audit doit être préparé, réalisé et finalisé. Elle comprend également des exigences relatives à l’organisme réalisant l’audit et aux auditeurs eux-mêmes.
Puis-je obtenir un label de la CNIL pour les traitements de mon entreprise ?
Non, le label d’audit de traitements délivré par la CNIL ne s’applique pas directement à des traitements mis en œuvre. Il s’applique à la procédure d’audit qui est utilisée pour vérifier que ces traitements sont conformes à la Loi "Informatique et libertés".
Puis-je demander un label de la CNIL pour la procédure d’audit de traitements de mon entreprise ?
Oui, le label de la CNIL peut être délivré à des procédures d’audits de traitements mises en œuvre par des prestataires (cabinet de conseils, d’avocats, etc.) ou par des entreprises (on parle alors d’audit interne).
Qui peut demander un label ?
Toute personne dont la procédure ou le produit correspond à un référentiel publié par la CNIL.
Comment obtenir un label ?
Si un référentiel existe, le demandeur adresse sa demande conformément au formulaire qui diffusé sur le site de la Commission. Il doit apporter tous les éléments pour démontrer que sa procédure est conforme aux exigences du référentiel. La Commission doit dès lors se prononcer sur l’adéquation de la procédure qui lui est présentée au référentiel.
Que faire si aucun référentiel ne correspond à votre procédure ou produit ?
S’il n’y a pas de référentiel, seule une organisation professionnelle ou une institution regroupant principalement des responsables de traitement peut demander à la Commission de créer un référentiel. Toutefois, la Commission peut ne pas accéder à cette demande.
Quelle est la distinction entre la demande de création d’un label et la demande d’obtention d’un label ?
La demande de création d’un label correspond à la requête d’organisations professionnelles ou d’institutions regroupant principalement des responsables de traitement afin que la Commission adopte un référentiel sur une nouvelle catégorie de procédures ou de produits.
La demande d’obtention d’un label est la demande réalisée par un organisme afin d’obtenir un label pour la procédure qu’il met en œuvre.
Deux entités juridiques distinctes qui proposent un service commun peuvent-elles faire une demande de label ?
Oui, on parle alors de "label conjoint" mais en contrepartie ils doivent s’engager à maintenir leur collaboration. Si un des deux venait à interrompre leur collaboration, une nouvelle demande devrait être présentée.
Combien de temps dure la procédure d’obtention d’un label ?
La décision de recevabilité de la demande doit intervenir au plus tard deux mois après la date de réception de la demande. Le délai nécessaire à l’instruction peut varier en fonction de la complexité du produit ou de la procédure.
Quelle est la procédure d’instruction des demandes ?
Des échanges peuvent avoir lieu entre les services de la Commission et le demandeur afin d’expliciter certains points du dossier. Lorsque celui-ci est complet, il est présenté en séance de Commission pour qu’elle décide de l’attribution ou non du label. A tout moment, le demandeur peut retirer sa demande d’obtention d’un label.
Comment le label est-il délivré ?
Par une décision de la Commission réunie en séance plénière. La décision de délivrance du label prend la forme d’une délibération. Elle est transmise au demandeur et publiée sur le site Légifrance.
Peut-on faire appel d’un refus de délivrance d’un label par la CNIL ?
Il n’existe pas de procédure d’appel en tant que telle. Toutefois, comme toutes les décisions de la CNIL, il est possible de faire un recours devant le Conseil d’Etat dans un délai de deux mois pour en obtenir l’annulation.
Pendant combien de temps peut-on se prévaloir du label ?
Les labels sont délivrés pour trois ans.
A qui dois-je m'adresser pour bénéficier d'une formation ou d'un audit labellisé par la CNIL ?
Pour bénéficier d'une formation ou d'un audit labellisé, il faut s’adresser directement à l’organisme dont la procédure a été labellisée.
Que faire lorsque le délai de trois ans est arrivé à échéance ?
Il convient de faire une demande de renouvellement de label 6 mois avant sa date d’expiration. La CNIL procède alors à une nouvelle instruction.
Que faire si le produit ou la procédure est modifié pendant la période de validité de trois ans ?
Il convient de le signaler à la CNIL qui appréciera le caractère substantiel ou non de la modification. Si celle-ci est jugée importante, elle pourra nécessiter une nouvelle évaluation de la conformité du produit ou de la procédure au référentiel.
Le titulaire d'un label CNIL a-t-il des obligations vis-à-vis de la Commission ?
Chaque référentiel définit les obligations du titulaire par rapport à la Commission (par exemple transmission d’un rapport annuel).
La Commission vérifie-t-elle que le titulaire est toujours en conformité avec les exigences du label ?
Oui. La CNIL peut vérifier à tout moment que le produit ou la procédure labellisé respecte les conditions définies dans le référentiel.
Peut-on signaler à la CNIL un manquement à un label ?
Oui. Toute personne peut le signaler à la CNIL à condition d’avoir eu recours au produit ou à la procédure labellisé.
La CNIL peut-elle retirer un label ?
Oui. Dans ce cas, le Président de la CNIL informe d'abord le titulaire des éléments qui remettent en cause son label. Ce dernier a un mois pour répondre. Si aucune information satisfaisante a été communiquée à la CNIL, un rapporteur est désigné afin d’exposer les faits à la Commission qui décide du retrait ou non du label.
Le refus de délivrance ou le retrait du label veut-il dire que le demandeur/le titulaire n’est pas en conformité avec la loi informatique et libertés ?
Non. Le refus/retrait indique que le produit ou la procédure ne répond pas ou plus aux exigences du référentiel défini par la CNIL (par exemple : expérience des auditeurs dans le cadre de la procédure d’audit).
Comment savoir si un produit ou une procédure est labellisé ?
La CNIL tient à jour sur son site internet une liste des produits et procédures labellisés avec l’identité de leur titulaire. En outre, le titulaire peut utiliser le logo Label CNIL.
Le référentiel peut-il changer ?
Oui, la CNIL peut décider de modifier son référentiel. Dans ce cas, les labels octroyés selon l’ancien référentiel restent valables. Toutefois, lors de sa demande de renouvellement, le titulaire devra démontrer la conformité du produit ou de la procédure au nouveau référentiel adopté par la CNIL.
