Le RGPD, c’est maintenant : les changements à retenir et les outils pour bien se préparer

24 mai 2018

Depuis plusieurs mois, la CNIL propose aux organismes publics et privés un accompagnement pour leur permettre de comprendre ce que change le règlement et conduire leur transition vers le RGPD de manière méthodique. Cet accompagnement se poursuivra après le 25 mai.

Les changements à retenir

  • Fin des déclarations auprès de la CNIL

Le RGPD supprime les déclarations de fichiers à effectuer auprès de la CNIL.
Seules certaines formalités préalables vont subsister (demande d’avis pour les secteurs police/justice, demande d’autorisation pour certains traitements de données de santé notamment).

  • La responsabilisation des acteurs

En contrepartie de la disparition de l’accomplissement de démarches administratives auprès de la CNIL, les administrations, sociétés et associations traitant des données à caractère personnel, mais aussi leurs prestataires et sous-traitants, sont désormais pleinement responsables de la protection des données qu’ils traitent.
Il leur appartient d’assurer la conformité au RGPD de leurs traitements de données personnelles tout au long de leur cycle de vie et d’être en mesure de démontrer cette conformité.

La CNIL vous accompagne

Les professionnels peuvent d’ores et déjà s’appuyer sur de nombreux outils de préparation et de mise en conformité au RGPD, disponibles sur le site internet de la CNIL :

Le G29 (groupe des CNIL européennes) a déjà adopté plusieurs lignes directrices, qui assurent une compréhension et une interprétation communes des points clés du RGPD au niveau européen. Des lignes directrices relatives à l’autorité chef de file, au délégué à la protection des données, au droit à la portabilité et aux analyses d’impact relatives à la protection des données (AIPD), au profilage, à la notification des violations, ont déjà été adoptées.

La CNIL a décidé de maintenir temporairement accessibles sur son site ses différentes normes (autorisations uniques, normes simplifiées, dispenses, etc.), dans l’attente de l’élaboration de référentiels pleinement à jour au regard du RGPD, afin de permettre aux responsables de traitement de s’y référer en tant que de besoin, à titre d’éléments de doctrine.

Les outils à venir dans les mois qui viennent

  • Concernant les analyses d’impact (publication en juin), la CNIL travaille à l’élaboration :
    • De lignes directrices ;
    • De la liste des traitements obligatoirement soumis à la réalisation d’une analyse d’impact  ;
    • De la liste des traitements pour lesquels, au contraire, aucune analyse n’est requise.

Ces listes permettront aux responsables de traitement concernés de savoir s’ils sont ou non soumis à cette obligation. Ces listes devront également être soumises au mécanisme de coopération européenne afin d’assurer une harmonisation de ces instruments au niveau européen.

  • Des référentiels : ces nouveaux textes permettront à la CNIL de décliner, dans un secteur d’activité précis, les grands principes portés par le RGPD pour offrir un cadre juridique clair et sécurisé permettant aux responsables de traitement concernés. Ils s’appuieront sur la doctrine établie par la CNIL depuis de nombreuses années (autorisations uniques, normes simplifiées, packs de conformité, etc.) en l’actualisant au regard des nouvelles exigences issues du RGPD. Certains de ces référentiels seront portés par la CNIL au niveau européen.