Articles

Un nouvel outil de conformité au RGPD : les certifications

Avec l’entrée en application prochaine du règlement européen à la protection des données (RGPD), la CNIL met en place un nouvel outil de conformité, la certification, et met progressivement fin à son activité de labellisation.

Conformément à l’article 42 du RGPD, les certifications seront délivrées par des organismes certificateurs agréés par la CNIL ou accrédités par l’organisme national d’accréditation (COFRAC). La CNIL aura pour mission d’élaborer ou d’approuver les référentiels de certification qui seront utilisés par les certificateurs, ainsi que, le cas échéant, les référentiels d’agrément.

Que deviennent les labels actuels à l’entrée en application du règlement ?

  • La CNIL prévoit de ne plus délivrer de nouveau label après le 25 mai 2018.
  • Les labels émis avant l’entrée en application du règlement restent valables jusqu’à leur date d’échéance, mais n’emportent pas tous de conséquence sur le plan de la conformité RGPD.
  • Seuls les labels Gouvernance et Formation dont les référentiels ont été mis à jour pour tenir compte du RGPD, pourront  offrir à leurs bénéficiaires un tel argument de conformité.

Quand sera-t-il possible de se faire certifier ?

  • Les référentiels de certification seront élaborés après une phase de consultation publique, approuvés par la CNIL et publiés sur son site. Il appartiendra ensuite aux candidats de se rapprocher des certificateurs, qui procèderont à l’instruction de leurs demandes.
  • Les travaux sur les premiers référentiels ont déjà débuté. Une certification de Délégués à la Protection des Données est ainsi en cours d’élaboration : des organismes de certification agréés par la CNIL délivreront des certifications de DPO, sur la base d’un référentiel rédigé par la CNIL. Parallèlement, des travaux sont menés en matière de certification de formation RGPD avec le COFRAC.

Quels sont les avantages de la certification ?

La certification ne limite pas la responsabilité des responsables de traitement ou des sous-traitants en cas de violation du Règlement et n’interdit pas un contrôle ou une sanction de la CNIL. Toutefois, l’application de mécanismes de certification permet aux responsables de traitement de démontrer le respect de leurs obligations et de limiter, le cas échéant, les amendes administratives susceptibles d’être prononcées.

Combien de temps une certification est elle valable ?

La certification sera délivrée à un responsable du traitement ou à un sous-traitant pour une durée maximale de trois ans et pourra être renouvelée tant que les exigences applicables continueront d’être satisfaites.

Auteur: Damien Billerit, élève-avocat

Références :

Check-list RGPD

Les guides et check-list RGPD

Dans le cadre de l’application du RGPD en mai 2018, les guides et check-list fleurissent. Chaque organisation doit élaborer son propre référentiel en fonction de son activité et de ses risques; dans ce cadre, il est possible de s’aider des guides suivants:

 

G29

Les lignes directrices du G29

Le G29 représente le groupe des « CNIL européennes ».

L’origine du nom provient de l’article 29 de la directive du 24 octobre 1995 qui institue un groupe ayant un « caractère consultatif et indépendant ».

Le G29 a publié plusieurs lignes directrices destinées à clarifier certains points du RGPD, tels que:

  • Le délégué à la protection des données (5.04.17)
  • La désignation d’une autorité de contrôle chef de file (5.04.17)
  • La portabilité des données (5.04.17)
  • Les sanctions administratives (3.10.17)
  • Les analyses d’impact (4.10.17)
  • Le consentement (28.11.17)
  • La notification de violation de données (06.02.18)

Références : Guidelines G29 ; Lignes directrices et G29 (CNIL).

Dois-je nommer un DPO?

Dois-je nommer un Data Protection Officer (DPO)/ Délégué à la Protection des Données (DPD) ?

La nomination d’un DPO (interne ou externe, mutualisé ou non) est recommandée dans tous les cas, mais elle est obligatoire dans les 3 cas suivants (article 37, §1 du RGPD et guidelines du G29 ) :

Le traitement est effectué par une autorité publique ou un organisme public ;

 Exemples : les autorités nationales, régionales et locales ; les organismes du secteur public (État, collectivités territoriales, associations formées par ces collectivités ou organismes) ; les organismes de droit public.

 Les activités de base du responsable du traitement ou du sous-traitant consistent en des opérations de traitement qui, du fait de leur nature, de leur portée et/ou de leurs finalités, exigent un suivi régulier et systématique à grande échelle des personnes concernées ;

Exemples : Hôpitaux ; sociétés de sécurité privée assurant la surveillance d’un certain nombre de centres commerciaux ; les sociétés traitant les données de voyage des passagers utilisant un moyen de transport public urbain ; les sociétés internationales de restauration géolocalisant leurs clients ; les compagnies d’assurances ; les banques ; les moteurs de recherche ; les fournisseurs de services de téléphone ou internet ;exploitation d’un réseau de télécommunication ; fourniture de services de télécommunications ; reciblage par courrier électronique ;  activités de marketing fondées sur les données ; profilage et notation à des fins d’évaluation des risques ; géolocalisation par exemple par des applications mobiles ; programmes de fidélité ; publicité comportementale ; surveillance des données sur le bien-être, la santé et la condition physique au moyen de dispositifs portables ; système de télévision en circuit fermé ; dispositifs connectés.

 Les activités de base du responsable du traitement ou du sous-traitant consistent en un traitement à grande échelle de catégories particulières de données visées à l’article 9 et de données à caractère personnel relatives à des condamnations pénales et à des infractions visées à l’article 10.

Il sera toutefois nécessaire de vérifier si la législation de l’État membre n’impose pas la nomination d’un DPO, dans la mesure où cette faculté est prévue au §4 du même article.

Dans tous les cas, la décision de nommer ou non un DPO doit être documentée (principe d’accountability).

Pour rappel, les violations des dispositions relatives au DPO peuvent entrainer des amendes pouvant s’élever jusqu’à 10 000 000 d’euros ou 2% du chiffre d’affaires mondial (art.83.4.a du RGPD)

Références : article 37, §1 du RGPD ; Guidelines/Lignes directrices concernant les délégués à la protection des données, adoptées le 13.12.2016 et révisées le 5.04.2017 ; Devenir délégué à la protection des données, CNIL 23.05.2017

Qu’est- ce que le RGPD ou GDPR ?

Règlement Général pour la Protection des Données (RGPD) ou General Data Protection Regulation (GDPR)

Le RGPD (ou GDPR) constitue une évolution majeure de la règlementation européenne relative à la protection des données à caractère personnel.

Il poursuit plusieurs objectifs tels que :

  • Harmonisation et mises à jour des règlementations au sein de l’Union européenne ;
  • Renforcement des droits et obligations des différents acteurs ;
  • Responsabilisation des acteurs.

Les sanctions deviennent réellement dissuasives : jusqu’à 20 M€ ou 4% du chiffre d’affaires annuel mondial.

S’agissant d’un règlement, il est obligatoire dans tous ses éléments et directement applicable dans tout État membre.

Ce règlement est entré en vigueur le 24 mai 2016 ; il est applicable à partir du 25 mai 2018.

Références :