La CNIL crée un label sur la gouvernance des données personnelles

Depuis 2012, le parlement et le Conseil européens débattent du projet de réforme sur la protection des données personnelles; après plusieurs accords partiels sur le texte, les négociations finales devraient enfin commencer avant l’été 2015.

Parallèlement, le projet de loi numérique français attendu pour 2015 devrait selon le Premier Ministre « réaffirmer de manière solennelle le droit à la vie privée et à la protection des données personnelles »*.
Afin de sensibiliser les organismes publics et privés et de leur permettre de se préparer à leurs nouvelles obligations, la CNIL a créé un nouveau label portant sur la gouvernance informatique et libertés [1] par une délibération publiée au journal officiel le 15 janvier 2015.

Vers une responsabilisation de l’ensemble des acteurs professionnels sur le sujet de la protection des données personnelles et de la vie privée

Le règlement européen créé un nouveau principe d’ « accountability [2] » qui désigne et rend obligatoire la documentation de l’ensemble des mesures internes définies et prises par un responsable de traitement ou ses sous-traitants afin d'attester de son niveau de conformité. Chaque organisme devra être capable de rendre compte à l’autorité de protection des données, des mesures mises en place en son sein afin de respecter les dispositions de la loi.
Grâce à ce nouvel outil, les organismes pourront rendre compte de l’action qu’ils mènent en la matière et faire face à leur obligation de documenter les mesures prises pour respecter la loi informatique et libertés.
Le référentiel de ce label a été élaboré en tenant compte des dispositions du projet de règlement de protection des données de l’UE et des règles ISO mais aussi en concertation avec les organisations représentatives du secteur.

Les exigences du référentiel portent sur trois points :

  • L’organisation interne liée à la protection des données (politique, cartographie et documentation des traitements, analyse régulière des risques liés à la sécurité des données à caractère personnel que les traitements font peser sur les libertés et la vie privée des personnes concernées.
  • La méthode et les mesures de contrôle de la conformité,
  • La gestion des réclamations et incidents tant concernant la gestion des droits des personnes que la gestion des événements de sécurité et des violations de données.

La consécration du CIL, le « Data Protection Officer » français

Le candidat au label doit obligatoirement disposer d’un correspondant Informatique et libertés [3] (CIL). Il peut en désigner un en interne ou faire appel à un prestataire externe qui pourra l’accompagner dans ses démarches d’obtention du label. Il doit aussi justifier que son CIL bénéficie d’un budget annuel dédié et de moyens lui permettant d’assurer ses missions.

Le meilleur moyen de se préparer aux nouvelles dispositions du futur règlement européennes

La responsabilisation des acteurs et la gestion des risques d’impact sur la vie privée sont deux thèmes majeurs du futur règlement européen. Le projet de règlement encourage la mise en place d’outils tels que les labels [4], il prévoit un statut du CIL, il rend l’analyse des risques obligatoire et devrait aboutir à la notification obligatoire des violations de données personnelles en cas de risques élevés. Autant de sujets couverts par le référentiel de ce nouveau label.

...mais aussi de se constituer des preuves et de prévenir de lourdes sanctions

Les sanctions seront considérablement renforcées et devraient se compter en millions d’euros[5]. Voilà qui devrait sensiblement renforcer la crédibilité de la CNIL et de ses homologues européennes.
En s’engageant dans une démarche de labellisation, les entreprises pourront justifier des mesures prises et démontrer ainsi leur conformité lors de contrôle par la CNIL ou en cas de violation de données; ainsi elles pourront limiter les risques de sanction ou de publicité.  Le label pourrait être une sorte de présomption de conformité.
Pour terminer rappelons qu’un label donne aux entreprises l’opportunité de communiquer leur engagement sur la protection des données personnelles et de la vie privée et d’en faire un avantage concurrentiel y compris sur un plan européen alors que se prépare l’harmonisation de la réglementation sur la protection des données personnelles.

----------------------------
* Discours d’ouverture du « Forum Européen sur la Gouvernance des Données » de Manuel Valls le 08/12/2014 à Paris.
[1] Loi informatique et libertés du 06/01/1978 modifiée en 2004
[2] Article 22 GDPR
[3] Le correspondant informatique et libertés veille au respect des règles de protection des données au sein de l’organisme qui l’a désigné et assure l’interface avec la CNIL.
[4] Article 39 GDPR
[5] Le texte de la Commission prévoit des sanctions pouvant aller jusqu’à 1 million d’euros et 2 % du C.A. d’un groupe, tandis que le Parlement s’est prononcé pour 100 millions d’euros et 5 % du C.A.