Mise à jour des labels formation et gouvernance pour prendre en compte les exigences du RGPD

20 septembre 2017

Pour préparer l’entrée en application du règlement européen sur la protection des données (RGPD), les labels Formation et Gouvernance Informatique et Libertés ont été actualisés et constituent désormais de véritables outils de conformité à ce futur cadre juridique.

 

 

 

Première autorité de protection des données en Europe à avoir développé une activité de labellisation, la CNIL a déjà élaboré 4 référentiels :

  • Le label formation garantit un haut niveau de qualité en matière de formations informatique et libertés, qu’elles soient dispensées en présentiel ou en e-learning.
  • Le label coffre-fort numérique atteste d’un service de qualité, respectueux de l’intégrité, de la disponibilité et de la confidentialité des données qui y sont stockées par les particuliers ou les professionnels.
  • Le label procédures d’audit informatique et libertés s’applique à la procédure utilisée pour vérifier que ces traitements sont conformes à la Loi "Informatique et libertés". Le référentiel décrit les différentes étapes et processus selon lesquels un tel audit doit être préparé, réalisé et finalisé. Elle comprend également des exigences relatives à l’organisme réalisant l’audit et aux auditeurs eux-mêmes.
  • Le label gouvernance s’applique à l’ensemble des mesures, règles et bonnes pratiques permettant la gestion des données à caractère personnel d’un organisme. Les exigences du label concernent l’organisation interne de la gestion des données personnelles ; la procédure de vérification de la conformité des traitements à la loi ; la gestion des plaintes et incidents.
123
labels délivrés par la CNIL depuis 2012

dont 30 à titre de renouvellements.

Les labels CNIL, des outils pour prouver sa conformité au RGPD

Alors que la directive de 1995 reposait en grande partie sur la notion de « formalités préalables » (déclaration, autorisations), le règlement européen repose sur une logique de conformité, dont les acteurs sont responsables, sous le contrôle et avec l’accompagnement du régulateur.

Afin d’assurer une protection optimale des données personnelles qu’ils traitent de manière continue, les responsables de traitements et les sous-traitants devront mettre en place des mesures de protection des données appropriées et démontrer cette conformité à tout moment (accountability).

Le futur règlement européen sur la protection des données (RGPD), qui entre en application le 25 mai 2018,  transforme les labels en un outil d’accountability : l’obtention d’un label peut servir d’élément à son titulaire pour démontrer qu’il respecte le règlement.

Afin de proposer dès à présent des labels conformes à la nouvelle règlementation, et pour permettre aux organismes labellisés d’adapter dès que possible leurs procédures et produits labellisés, la CNIL a actualisé ses référentiels « Formation » et « Gouvernance Informatique et Libertés ». La mise à jour des référentiels en matière de procédure d’audit et de coffre-fort numérique est prévue pour fin 2017.

  • Le référentiel « Gouvernance informatique et libertés » constitue désormais  une véritable « feuille de route » pour assurer la conformité au règlement et prouver sa conformité.
  • Le référentiel « Formation informatique et libertés » permet quant à lui de proposer des formations concernant le règlement européen, avant même son entrée en application.

Les entreprises françaises ayant déjà intégré ces outils pourront aborder plus sereinement l’entrée en application du règlement puisqu’elles auront  déjà fait une bonne partie du chemin vers l’accountability, clé de voûte de la conformité à l’heure du règlement.

Que doivent faire les organismes déjà détenteurs du label gouvernance et formation ?

Tous les organismes ayant déjà obtenu un label gouvernance et formation recevront un courrier de la CNIL.

Afin de pouvoir continuer à bénéficier du label à compter du 25 mai 2018, ils doivent effectuer avant cette date une nouvelle demande grâce aux formulaires ci-dessous.

Seuls les éléments de justification des nouvelles exigences identifiées dans l’annexe peuvent être adressés à la CNIL.

Une fois la mise en conformité au nouveau référentiel de labellisation confirmée, un nouveau label « Gouvernance – RGPD » sera délivré par la CNIL, pour une durée de trois ans.

Document reference

Formulaires de demande d'un label CNIL

Les mots clés associés à cet article