Les cadres de référence
La CNIL élabore des cadres de référence permettant de guider les organismes dans la mise en conformité de leur traitement. Ces instruments de régulation ont vocation à donner davantage de sécurité juridique aux organismes. Ils sont élaborés en concertation avec les acteurs ou secteurs concernés.
Les lignes directrices de la CNIL
Elles viennent en complément de celles adoptées au niveau européen par le Comité européen à la protection des données (CEPD). Elles donnent des éléments d’interprétation des textes en informant les acteurs des procédures à suivre et règles à appliquer Elles n’ont pas de caractère contraignant (droit souple) mais donnent de la sécurité juridique aux acteurs qui savent qu’en les respectant, ils sont conformes à la réglementation.
Exemple : les lignes directrices de la CNIL sur les AIPD afin de préciser le périmètre de l'obligation d'effectuer une AIPD, les conditions de réalisation de celle-ci et les cas dans lesquels une AIPD doit lui être transmise.
Les référentiels sectoriels
Ils concernent un secteur ou une thématique particulière et constituent l’interprétation appliquée à un secteur par la CNIL des textes relatifs à la protection des données. Un référentiel constitue un cadre de référence qui va permettre à un organisme de mettre en conformité un traitement de données spécifique et le cas échéant, l’aider à faire l’analyse d’impact ou même pour certains d’entre eux, dispenser de la réalisation d’une analyse d’impact. Ils ont vocation à remplacer les autorisations uniques, normes simplifiées et packs de conformité. Ils n’ont pas de caractère contraignant (droit souple) mais donnent de la sécurité juridique aux acteurs qui savent qu’en les respectant, ils sont conformes à la réglementation.
Exemple : Le référentiel gestion des clients.
Les recommandations
Elles portent sur des sujets précis et facilitent la mise en conformité des traitements de données à caractère personnel avec les textes relatifs à la protection des données à caractère personnel en proposant des solutions opérationnelles. Elles n’ont pas de caractère contraignant (droit souple) mais donnent de la sécurité juridique aux acteurs qui savent qu’en les respectant, ils sont conformes à la réglementation.
Exemple : Les recommandations de la CNIL sur les mots de passe ou celle sur les cookies et traceurs
Les règlements type
Ce sont des cadres de référence contraignants qui indiquent aux organismes comment encadrer leurs traitements de données biométriques, génétiques, de santé ou d’infraction et assurer la sécurité de leurs systèmes de traitement de données à caractère personnel. Les organismes qui mettent en oeuvre ces traitements sont tenus de respecter les indications données dans le règlement type, sous peine de sanctions.
Exemple : Le règlement type « biométrie sur les lieux de travail »
Les méthodologies de référence en santé (MR)
Ce sont des guides méthodologiques, dédiés à la recherche en santé qui précisent les règles à observer, notamment quant aux modalités de collecte, de vérification et d’exploitation statistique des données et quant à la nature des données susceptibles d’être collectées. Ces méthodologies sont conçues en concertation avec l'Institut national des données de santé et les représentants du secteur concerné. Elles ont un caractère contraignant et nécessitent la réalisation d’un engagement de conformité sur le site internet de la CNIL. La Commission a entrepris la mise en œuvre d’un programme de simplification des démarches dans le domaine de la santé.
Exemple : Les 6 méthodologies de référence homologuées et publiées par la CNIL
Les méthodologies de référence en matière d’anonymisation
La loi Informatique et Libertés permet le recours à des méthodologies de référence en matière d’anonymisation. Ces méthodologies sont constituées d’un ensemble d’exigences spécifiques à un contexte donné, elles vont décrire des critères pratiques à respecter qui permettront de s’assurer de la conformité à la loi de processus d’anonymisation. Elles sont homologuées et publiées par la CNIL.