RGPD : comment la CNIL vous accompagne dans cette période transitoire ?

19 février 2018

A quelques mois de l’entrée en application du règlement général sur la protection des données (RGPD), les professionnels doivent concentrer leurs actions sur la mise en conformité aux nouvelles règles applicables à partir du 25 mai 2018. La CNIL met à leur disposition de nombreux outils leur permettant de se préparer et fait le point sur la transition vers ce nouveau cadre juridique.

Rappel sur le RGPD

Le RGPD est une étape majeure dans la protection des données. Il vise à renforcer l’importance de cet enjeu auprès de ceux qui traitent les données et à responsabiliser les professionnels. Il consacre et renforce les grands principes de la loi Informatique et Libertés, en vigueur depuis 1978, et accroît sensiblement les droits des citoyens en leur donnant plus de maitrise sur leurs données.

En pratique, la plupart des formalités préalables actuelles auprès de la CNIL (déclarations, autorisations) vont disparaître, au profit d’une logique de conformité continue. Les organismes qui traitent des données personnelles devront veiller au respect des textes tout au long du cycle de vie de la donnée. En contrepartie de cette réduction du contrôle en amont, le RGPD renforce les pouvoirs de sanction des CNIL nationales.

Pour s’assurer de leur conformité à tout instant, les responsables de traitements disposeront de nouveaux outils (analyses d’impact, registre) et de nouvelles personnes ressources (les délégués à la protection des données).

Le RGPD consacre donc un nouveau mode de régulation. Ces règles seront précisées et complétées par le projet de loi actuellement en discussion au Parlement.

Il est essentiel que les responsables de traitement se préparent activement, dès maintenant, à cette échéance. La CNIL aide les acteurs dans la transition vers le nouveau cadre juridique et renforce l’accompagnement des professionnels dans leurs démarches de conformité.  Elle souhaite également préciser certaines modalités de transition entre la loi Informatique et libertés actuelle et le nouveau régime applicable à compter du 25 mai 2018.

Comment la CNIL vous accompagne-t-elle vers le RGPD ?

Outils disponibles

Les professionnels peuvent d’ores et déjà s’appuyer sur de nombreux outils de préparation et de mise en conformité au RGPD, disponibles sur le site internet de la CNIL, qui seront prochainement enrichis.

  • La méthode en 6 étapes pour se préparer permet aux organismes de s’assurer qu’ils ont anticipé et mis en œuvre l’essentiel des mesures nécessaires pour être prêts en mai 2018.
  • Le G29 (groupe des CNIL européennes) a déjà adopté plusieurs lignes directrices, qui assurent une compréhension et une interprétation communes des points clés du RGPD au niveau européen. Des lignes directrices relatives à l’autorité chef de file, au délégué à la protection des données, au droit à la portabilité et aux analyses d’impact sur la protection des données (PIA) ont déjà été adoptées. D’autres lignes directrices ont été ou seront adoptées d’ici mai (profilage, notification des violations, transferts, transparence, consentement, etc.) et présentées sur le site de la CNIL.
  • Des foires aux questions (FAQ) disponibles sur le site et dans la rubrique « besoin d’aide » permettent aux professionnels comme au public de prendre connaissance, rapidement et simplement, des principales nouveautés issues du RGPD.
  • La CNIL met également à disposition des outils pratiques, comme le logiciel PIA, qui facilite la réalisation des analyses d’impact sur la protection des données, ou encore un modèle de registre. Seront aussi mis en ligne prochainement des modèles-type de mentions d’information, de formulaires de recueil du consentement, un formulaire de désignation du délégué à la protection des données, etc.

Outils à venir

  • La CNIL prépare activement la rédaction de référentiels pour guider les professionnels dans leurs démarches de conformité. Ces référentiels seront issus des normes déjà adoptées par la CNIL dans les dernières années (autorisations uniques, normes simplifiées,  packs de conformité, etc.), sur lesquelles les organismes peuvent d’ores et déjà s’appuyer pour s’assurer que leurs traitements sont légaux. Ces référentiels, sectoriels pour certains, permettront aux professionnels de se prémunir contre des sanctions.
  • Concernant les études d’impact, dans un souci de simplification, la CNIL travaille à l’élaboration de deux outils prévus par le RGPD : la liste des traitements obligatoirement soumis à analyse d’impact et la liste des traitements pour lesquels, au contraire, aucune analyse n’est requise. Ces listes permettront aux responsables de traitement de savoir plus aisément s’ils sont ou non soumis à cette obligation.  La conformité aux référentiels sectoriels mentionnés plus haut sera prise en compte dans l’élaboration de la liste des dispenses.
  • Des actions plus spécifiques à destination de certaines structures ou types d’entreprises. Compte tenu de la complexité particulière du RGPD pour les petites et moyennes entreprises, la CNIL élabore, en partenariat avec la Banque publique d'investissement (BPI), un guide spécialement conçu pour elles. Le « pack TPE-PME » sera disponible dès avril 2018.

De même, la CNIL renforce ses actions à l’égard des start-ups : elle organise à Station F des ateliers de sensibilisation générale et sectorielle au RGPD (santé, fintech, etc.) et développera prochainement une offre de services et d’accompagnement dédiée à ces structures.

Comment la CNIL contrôlera-t-elle le respect du RGPD à partir du 25 mai 2018 ?

D’une manière générale, les pouvoirs de contrôle de la CNIL restent inchangés. Elle continuera à procéder à des vérifications dans les locaux des organismes, en ligne, sur audition et sur pièces. Les modalités de déclenchement des contrôles restent également les mêmes : la décision de réaliser un contrôle s’effectuera sur la base du programme annuel des contrôles, des plaintes reçues par la CNIL, des informations figurant dans les médias, ou pour faire suite à un précédent contrôle.

La principale nouveauté réside dans le fait que les contrôles effectués sur des acteurs internationaux s’effectueront dans un contexte de coopération très poussée qui conduira à une décision harmonisée à portée européenne.

Dans ce contexte et, en particulier, face au renforcement important du montant des sanctions, de nombreux organismes s’interrogent sur les orientations que suivra la CNIL, dans les premiers mois de mise en œuvre du RGPD, dans sa politique de contrôle.

La CNIL distinguera deux types d’obligations s’imposant aux professionnels.

Les principes fondamentaux de la protection des données restent pour l’essentiel inchangés (loyauté du traitement, pertinence des données, durée de conservation, sécurité des données, etc.). Ils continueront donc à faire l’objet de vérifications rigoureuses par la CNIL.

En revanche, pour ce qui est des nouvelles obligations ou des nouveaux droits résultant du RGPD (droit à la portabilité, analyses d’impact, etc.), les contrôles opérés auront essentiellement pour but, dans un premier temps, d’accompagner les organismes vers une bonne compréhension et la mise en œuvre opérationnelle des textes. En présence d’organismes de bonne foi, engagés dans une démarche de conformité et faisant preuve de coopération avec la CNIL, ces contrôles n’auront normalement pas vocation à déboucher, dans les premiers mois, sur des procédures de sanction sur ces points.

Quelles formalités préalables à partir du 25 mai 2018 ?

L’action de la CNIL comme les démarches des responsables de traitement doivent être centrées sur la mise en conformité aux règles essentielles du RGPD, qui sont applicables dès le 25 mai 2018.

Dans cet esprit, la CNIL entend faciliter la transition entre les formalités préalables prévues par la loi du 6 janvier 1978, qui disparaîtront pour l’essentiel, et la nouvelle obligation d’analyse d’impact, exigée par le RGPD  avant la mise en œuvre de tout traitement de données susceptible de présenter un risque élevé.

Que deviennent les formalités préalables en cours d’instruction devant la CNIL le 25 mai ?

 

Le RGPD entraînera la disparition de la très grande majorité des formalités préalables prévues par la loi de 1978, à l’exception de quelques hypothèses (données de santé, traitements régaliens).

Dans ce contexte, et compte tenu des actions nécessaires à l’accompagnement des responsables de traitement,  la CNIL ne sera pas nécessairement en mesure de traiter, dans le délai imparti, l’ensemble des demandes d’autorisation qu’elle a déjà reçues et qui sont en cours d’instruction ou qui lui seront adressées d’ici le 24 mai 2018.

Elle ne sera pas non plus nécessairement en mesure de traiter, dans ce délai, les déclarations incomplètes ou déposées à tort (dans des cas relevant en réalité du régime d’autorisation).

La CNIL invite dès lors les responsables de traitement à privilégier dès à présent les actions de mise en conformité avec les règles de fond du le RGPD et à préparer si nécessaire une analyse d’impact, en s’appuyant sur les outils d’aide mis à disposition par la CNIL. Cette analyse leur permettra, le cas échéant, de mettre en œuvre leurs traitements de données rapidement après le 25 mai.

L’obligation d’analyse d’impact s’applique-t-elle aux traitements déjà en cours au 25 mai ?

Dans un souci de simplicité et d’accompagnement, la CNIL n’exigera pas la réalisation immédiate d’une analyse d’impact pour les traitements qui ont régulièrement fait l’objet d’une formalité préalable auprès de la CNIL avant le 25 mai 2018 (récépissé, autorisation, avis de la CNIL), ou qui ont été consignés au registre d’un correspondant informatique et libertés. De tels traitements ne seront donc pas soumis immédiatement à l’obligation d’analyse d’impact.

Cependant, le RGPD imposant une réévaluation dynamique des risques, une telle analyse d’impact, pour les traitements en cours et qui sont susceptibles de présenter un risque élevé, devra en principe être réalisée dans un délai raisonnable qui peut être estimé à 3 ans à compter du 25 mai 2018.

En revanche, l’analyse d’impact devra être réalisée, sans attendre l’issue de ce délai de trois ans, dans tous les autres cas où un traitement est susceptible de présenter un risque élevé :

  • pour les traitements antérieurs au 25 mai 2018 n’ayant pas fait l’objet de formalités préalables auprès de la CNIL ;
  • pour les traitements, antérieurs au 25 mai 2018 et régulièrement mis en œuvre, mais qui ont fait l’objet d’une modification substantielle depuis l’accomplissement de leur formalité préalable ;
  • pour tout nouveau traitement après le 25 mai 2018.  

En tout état de cause, la réalisation d’une étude d’impact constitue, dans tous les cas, une bonne pratique facilitant la démarche de mise en conformité au RGPD. Pour plus d’informations sur les PIA, et notamment sur les cas dans lesquels une analyse d’impact sera obligatoire.

 

Les mots clés associés à cet article