RGPD : la Cnil publie son propre registre des activités de traitement

RGPD : la Cnil publie son propre registre des activités de traitement [DONNEES PERSONNELLES] Ce registre est prévu dans l'article 30 du RGPD. Il permet notamment au DPO de recenser les traitements de données personnelles d'un organisme.

[Article mis à jour le 3 décembre à 12h46] La Cnil est aussi concernée par le RGPD. Pour preuve, elle vient de publier son registre des activités de traitement, prévu dans l'article 30 du règlement européen. Ce registre permet au DPO ou référent RGPD d'un organisme de recenser les traitements de données personnelles mis en œuvre sous la responsabilité de cet organisme, de se poser les bonnes questions, avec les différents métiers de l'organisme, sur les objectifs des fichiers mis en place ou encore de définir un plan d'action "conformité RGPD ". Le registre de la Cnil intègre l'identification de la présidente de la CNIL (Marie-Laure Denis) et du délégué à la protection des données (Anne Debet), la liste des activités de traitement, (gestion des demandes de conseil, gestion des plaintes...) et une fiche de registre par activité de traitement, soit 54 fiches.

La Cnil a aussi intégré des informations non obligatoires dans ce registre mais jugées "utiles au pilotage des traitements sous sa responsabilité et à l'information des personnes concernées", est-il précisé sur son site. Cela permet aussi aux responsables de traitement de mieux interpréter certaines notions du RGPD en donnant des exemples concrets. "Le registre de la Cnil est publié dans un objectif de transparence et de pédagogie. Il n'est pas prescriptif, et va au-delà du minimum exigé par les textes. Par ailleurs, selon l'activité de votre propre organisme, le registre ne comprendra pas les mêmes éléments", rappelle tout de même l'organisme. 

Qu'est-ce que le RGPD ?

Le sigle RGPD signifie règlement général pour la protection des données personnelles. En anglais, le sigle est GDPR pour general data protection regulation. Il désigne le nouveau texte de référence européen en matière de protection des données personnelles. Il a été conçu pour adapter et moderniser la législation et harmoniser le cadre juridique européen dans ce domaine. Toutes les entreprises, organismes publics et associations des 28 Etats membres de l'Union européenne qui collectent des données à caractère personnel sur les résidents européens sont concernés. Les organisations issues de pays en dehors de l'UE sont aussi concernées si elles collectent et traitent des données personnelles de résidents européens. Les Gafa, Uber, Airbnb et autres sont donc également soumis au règlement. 

Le texte du RGPD

Le texte du RGPD a été adopté définitivement  le 14 avril 2016 par le Parlement européen après de longues négociations, et promulgué au Journal Officiel le 27 avril 2016. Il remplace l'ancien texte de référence européen de 1995 en matière de protection des données personnelles. Cette ancienne directive avait servi en France de fondement à la loi Informatique et libertés. La version finale du texte RGPD est disponible en PDF en français sur le site de l'Union européenne ou sur le site de la CNIL.

Les mots-clés du texte RGPD
Terme RGPD  Définition 
Accountability L'obligation de mettre en œuvre des mécanismes et des procédures internes permettant de démontrer le respect des règles relatives à la protection des données.
Analyse d'impact  Description systématique des opérations de traitements (pourquoi effectuer ce traitement sur une donnée et quelle est sa nécessité).
Consentement  "Un acte positif clair par lequel la personne concernée manifeste de façon libre, spécifique, éclairée et univoque son accord au traitement des données à caractère personnel la concernant", mentionne le texte.
Data protection officer (DPO) Personne dans une organisation dont le rôle est de contrôler la mise en conformité au RGPD.
Donnée à caractère personnel (DCP) Désigne "toute information se rapportant à une personne physique identifiée ou identifiable", selon le texte. Exemples : nom et prénom, téléphone, email…
Droit à l'oubli Ce droit impose à l'entreprise l'obligation d'effacer les données à caractère personnel sous plusieurs motifs dans les plus brefs délais.
Droit à la portabilité Ce droit permet aux utilisateurs de récupérer leurs données personnelles dans un format lisible pour les stocker ou les transmettre à un tiers.
Profilage Forme de traitement automatisé de données personnelles visant à évaluer certains aspects personnels relatifs à une personne.
Privacy by design  Ce concept impose de réfléchir à la protection des données personnelles en amont de la conception  d'un produit ou d'un service. 
Responsable du traitement La personne physique ou morale, l'autorité publique, le service ou autre organisme qui, seul ou conjointement avec d'autres, détermine les finalités et les moyens du traitement des données.

RGPD : le PDF du texte

Pour ceux qui souhaitent lire l'intégralité du texte, voici ci-dessous le règlement général sur la protection des données personnelles au format PDF ou à télécharger directement en cliquant ici

Quand le RGPD s'applique-t-il ?

Le RGPD est entré en vigueur le 25 mai 2018. Comme il s'agit d'un règlement européen, et non pas d'une directive, le texte est entré en application simultanément dans tous les Etats membres de l'Union européenne, sans transposition dans les droits nationaux. Autrement dit, le parlement français n'a pas eu besoin de voter la transposition du texte en France. Depuis le 25 mai 2018, tout traitement en infraction avec le RGPD peut déboucher sur des sanctions. Des amendes jusqu'à 20 millions d'euros ou 4% du chiffre d'affaires annuel de l'exercice précédent peuvent être prononcées. C'est le montant le plus élevé qui est retenu entre ces deux cas de figure. Pour les géants du web, comme Facebook ou Google, la note pourrait atteindre des dizaines ou des centaines de millions d'euros. Cependant, les multinationales ne sont pas forcément les entreprises les plus exposées, car elles ont des armées de juristes et d'experts qui travaillent à plein temps sur le sujet. En revanche, le risque est plus élevé pour les petites entités comme les TPE, PME ou associations, souvent peu renseignées en la matière.

Résumé du RGPD en quatre points 

Du RGPD se dégage quatre principes clés : le consentement, la transparence, le droit des personnes et la responsabilité (accountability).

  1. Le consentement. L'article 7 stipule que "le consentement devrait être donné par un acte positif clair par lequel la personne concernée manifeste de façon libre, spécifique, éclairée et univoque son accord au traitement des données à caractère personnel la concernant, par exemple au moyen d'une déclaration écrite, y compris par voie électronique, ou d'une déclaration orale." Le consentement peut être retiré à tout moment par les personnes le demandant. Pour les entreprises à caractère BtoB, la collecte du consentement n'est pas obligatoire si la finalité de la collecte est bien respectée (les cases pré-cochées sont autorisées).
  2. La transparence. Comme il est précisé dans l'article 12 du RGPD, les organisations doivent fournir aux individus des informations claires et sans ambiguïté sur la façon dont sont traitées leurs données. Celles-ci doivent être accessibles par tous, via des documents contractuels, des formulaires de collecte ou les pages "privacy" des sites web.
  3. Le droit des personnes. De nouveaux droits sont apparus dans le règlement comme le droit à l'oubli pour tous les utilisateurs. Les organisations n'ont plus qu'un mois (au lieu de deux) pour supprimer les données suite à une demande. Le droit à la portabilité des données est aussi une nouveauté. Il permet à un individu de récupérer les informations qu'il a fournies sous une forme réutilisable pour, le cas échéant, les transférer à un tiers. 
  4. Le principe de responsabilité (accountability). Il regroupe toutes les mesures qui visent à responsabiliser davantage les entreprises dans le traitement des données à caractère personnel. Les organismes doivent par exemple mettre en place des mesures adéquates pour garantir la sécurité des données. Elles doivent également appliquer le "privacy by design", un concept qui impose de réfléchir à la protection des données personnelles en amont de la conception  d'un produit ou d'un service. Elles doivent aussi choisir des sous-traitants qui soient conformes au RGPD ou encore désigner un data protection officer (DPO), chargé de contrôler la conformité de l'organisme avec le RGPD.

Le rôle de la Cnil dans le RGPD

Comme auparavant, la Cnil procède à des vérifications dans les locaux des organisations ou en ligne. Les contrôles sont effectués sur la base d'un programme annuel, des plaintes reçues par la Cnil, ou encore des informations présentes dans les médias. Ils peuvent également faire suite à un précédent contrôle. Etant donné que les principes fondamentaux de la protection des données restent globalement inchangés (sécurité des données, loyauté du traitement, durée de conservation...), ils continuent donc à faire l'objet de vérifications rigoureuses de la part de la Cnil.

En revanche, les nouvelles obligations et les nouveaux droits résultant du RGPD (droit à la portabilité, analyses d'impact...) font l'objet de contrôles. Mais ils sont pour l'instant non punitifs. Le Conseil d'État autorise la Cnil à laisser faire jusqu'à mi-2020. L'objectif est d'aider les organismes à bien comprendre les enjeux et la mise en œuvre opérationnelle des nouvelles dispositions. Autre nouveauté à noter, les contrôles effectués sur les acteurs internationaux sont réalisés par plusieurs organismes afin de rendre une décision à portée européenne.

Le DPO, chef d'orchestre du RGPD

Le délégué à la protection des données personnelles ou data protection officer en anglais est chargé d'assurer la mise en conformité RGPD de l'organisme pour lequel il travaille. Il doit s'assurer que les collaborateurs respectent les dispositions du règlement quand ils utilisent des données à des fins commerciales ou à des fins internes (au sein des logiciels RH par exemple). Il est donc amené à collaborer avec tous les départements. La désignation d'un DPO est obligatoire pour "les autorités ou les organismes publics, les organismes dont les activités de base les amènent à réaliser un suivi régulier et systématique des personnes à grande échelle et les organismes dont les activités de base les amènent à traiter à grande échelle des données dites sensibles ou relatives à des condamnations pénales et infractions", précise la Cnil. Enfin, le DPO peut être mutualisé, c'est-à-dire désigné pour plusieurs organismes sous certaines conditions (être facilement joignable par exemple).

Le DPO est en quelque sorte le successeur du correspondant informatique et libertés (CIL), facultatif depuis 2005, qui est chargé de veiller au respect de la loi Informatique et libertés dans les organismes publics et privés. Les missions du DPO sont toutefois plus strictes. Il doit être doté de certaines qualifications (qualités professionnelles, connaissances du droit en matière de protection de données). Ses missions diffèrent toutefois du CIL puisqu'il a une dimension de conseil et de sensibilisation sur les nouvelles obligations du règlement.  

RGPD : la Cnil publie son propre registre des activités de traitement
RGPD : la Cnil publie son propre registre des activités de traitement

Sommaire Définition Texte du RGPD RGPD PDF Date d'application du RGPD Résumé du RGPD La Cnil et le RGPD Le DPO et le RGPD  ​​​​​​ [Article mis à jour le 3 décembre à 12h46] La Cnil est aussi concernée par le...