Le rôle de la CNIL.

La Commission Nationale de l’informatique et des libertés (CNIL) est l’autorité de contrôle en France. Il s’agit d’une autorité administrative indépendante qui n’a pas pour but principal de contrôler constamment les différentes entités en France. Effectivement elle a un rôle d’accompagnement des professionnels dans leur mise en conformité au RGPD. Elle va également aider les individus à maîtriser leurs données personnelles et exercer leurs droits.

Elle a donc différentes missions :

  • Informer et conseiller : sensibilisation, proposition au gouvernement, …
  • Réguler : autorise les traitement les plus sensibles, labellise les audits et formations
  • Sanctionner : inflige des sanctions, dont financières aux responsable de traitement hors respect de la loi
  • Protéger : aide les citoyens dans l’exercice de leurs droits (saisine)
  • Contrôler : programmes annuels de contrôle, instruction de plaintes
  • Anticiper : direction des études, de l’innovation et de la prospective pour décrypter, comprendre, anticiper et évaluer les innovations et usages des TIC.

C’est une autorité administrative indépendante ce qui signifie qu’elle ne reçoit d’instruction d’aucune autorité. Les ministres, autorités publiques, dirigeants d’entreprises publiques ou privées, ne peuvent s’opposer à l’action de la CNIL pour quelque motif que ce soit. Ils doivent en outre prendre toutes mesures utiles afin de faciliter ses différentes missions. Le Président de la CNIL est nommé par le président de la République mais celui-ci recrute librement ses collaborateurs.

La CNIL se réunie également en deux formations : en séance plénière ou en formation restreinte.
Les activités de la CNIL en formation restreinte sont nombreuses et elle se réunie une fois par semaine :

  • Examen de projets de loi et décrets soumis à la CNIL pour avis par le Gouvernement
  • Etude en vue d’autorisation de traitements sensibles
  • Etude de rapports sur les évolutions de l’informatique en vue d’éclairer les membres dans leur mission
  • Auditions sur son initiative ou à la demande de personnes concernée.

En formation restreinte, il n’y a que 5 membres et 1 président distinct du président de la CNIL. Cette formation se réunie au moins 1 fois par mois et à pour mission :

  • Mesures à l’encontre de RT qui ne respectent pas le règlement
  • A l’issue de contrôles ou de plaintes, elle peut prononcer diverses sanctions : avertissement, mise en demeure, sanction pécuniaire,…
  • Ces sanctions peuvent être rendues publiques.

Effectivement depuis la mise en application du RGPD le 25 mai 2018, la CNIL a vue le nombre de plainte augmenter tout comme le nombre de ses contrôles. Par exemple en 2018, la CNIL a procédé à 310 contrôles dont la majorité (204) se sont fait sur place.
Attention la CNIL ne donne pas une sanction administrative tout le temps, dans la majorité des cas elle demande à l’entité concernée de se mettre en conformité, elle réalise des mises en demeure, puis sanction par une peine pécuniaire.

Thématiques du programme annuel 2020 de contrôle de la CNIL :

  • La sécurité des données de santé
  • Mobilités et services de proximité, les nouveaux usages des données de géolocalisation : Recommandation de modes de transport, optimisation des parcours de déplacement… Attention à la proportionnalité des données, durées de conservation, infos aux PC et mesures de sécurité
  • Les cookies et traceurs, notamment mode de recueil du consentement.

La CNIL n’est donc pas une autorité administrative ayant pour seul et unique but de sanctionner la non conformité au RGPD, son rôle de conseil et d’accompagnement sont bien plus importants mais font moins parler.

D’autres articles en relation avec la CNIL : la certification de Compétences de DPO

Sous-traitance et RGPD

Un sous-traitant au sens du RGPD c’est un partenaire qui traite des données personnelles pour votre compte dans le cadre d’un service ou d’une prestation. (par exemple votre expert comptable quand il établit vos fiches de paye)

En tant que responsable de traitement, vous êtes concerné si vous choisissez de confier un traitement de ces données à ce type de prestataire.

Vous allez logiquement avoir des obligations tout comme vos sous-traitants :

  • Une obligation de transparence et de traçabilité :
    • Il faut que vous recensiez par écrit vos instructions sur le ou les traitements.
    • Dans le cas où vos sous-traitants souhaitent sous-traiter eux aussi, ils doivent obtenir votre accord avant.
    • Les sous-traitants doivent tenir un registre où ils recensent tous les traitements qu’ils réalisent pour vous.
    • Ils doivent également vous permettre d’accéder à toutes les informations nécessaires pour démontrer le respect de leurs obligations.
  • Une obligation de garantir la sécurité des données traitées.
  • Une obligation de notification dès lors qu’il y a une violation de données qui s’apparente à une obligation d’assistance, d’alerte et de conseil.

Vous devez donc mettre en place une procédure pour s’assurer que vos sous-traitants sont bien conforme au RGPD.
Il faut qu’ils justifient de la mise en place de mesures technique et organisationnelles pour sécuriser les données des traitements que vous leur avez confiés.

Il faut donc revoir vos contrat de sous-traitance en ajoutant certaines clauses. Par exemple une clause de rappel du rôle du sous-traitant, une clause sur le respect des mesures de sécurité posées par l’article 32 du RGPD, etc…

Attention : Une victime pourra aussi se retourner contre le responsable de traitement pour réparer le préjudice subi.
Vos sous-traitants peuvent voir alors leur responsabilité engagée dans le cas où ceux-ci n’auraient pas respecté le contrat ou n’auraient pas respecté le RGPD. Il faut donc faire très attention à la rédaction et à la révision de vos contrats de sous-traitance.

Vous trouverez ici un exemple de contrat de sous-traitance. Ce document n’est qu’un exemple. Il convient de l’adapter à vos besoins et de le faire valider par votre juriste interne ou votre cabinet d’avocat.

Conserver le CV d’un candidat

Pour pouvoir garder le CV d’un candidat il suffit de lui dire que l’on souhaite garder son CV et de lui permettre de s’y opposer.

Une solution simple et efficace sans être obligé d’avoir un système expert pour cela est de lui envoyer un email.

On va inclure dans cet email un lien mailto: qui lui permettra, juste en cliquant dessus de vous répondre et vous demander de réaliser:
– Une modification de ses données
– Un effacement du CV s’il ne souhaite pas que vous le conserviez

Voici un email d’exemple que vous pouvez utiliser et l’explication du lien mailto:

Madame, Monsieur (Civilité, Prénom, Nom) ;

Suite à votre candidature nous sommes au regret de vous informer que votre profil n’a pas été retenu.

  • Sachez que l’ensemble de vos données enregistrées dans notre système a été effacé afin de répondre à notre politique de protection des données et notre souci de minimisation des données détenues sur des tiers.
  • Votre profil néanmoins nous intéresse et nous souhaitons pouvoir conserver vos données durant une période qui n’excédera pas 24 mois. Si vous souhaitez vous opposer à cette conservation ou pour exercer un autre droit durant cette période veuillez cliquer sur le bouton ci-dessous.

RGPD@masociete.fr


En cliquant sur le lien ci dessus…..le destinataire de cet email va vous envoyer un email qui sera déjà pré-rempli comme ci-dessous.

Bonjour, (veuillez remplir les trois champs ci-dessous)

– nom:
– prénom:
– adresse mail:

Veuillez choisir parmi les deux options ci-dessous:

1) je ne souhaite pas que vous conserviez mes données collectées lors de ma candidature et vous en demande l’effacement

2) je souhaite obtenir la rectification de mes données :

—nouveau nom :
— nouveau numéro de téléphone :
— nouvelle adresse email :
— autre :

 

Syntaxe à utiliser pour créer le lien mailto :

mailto: rgpd-france@masociete .fr?subject=Mes%20données%20personnelles

&cc=
&bcc=

&body= Bonjour%2C%20%28veuillez%20remplir%20les%20trois%20champs%20ci-dessous%29%0A-%20nom%3A%20%0A-%20pr%C3%A9nom%3A%20%0A-%20adresse%20mail%3A%20%0A%0AVeuillez%20choisir%20parmi%20les%20deux%20options%20ci-dessous%3A%0A1%29%20je%20ne%20souhaite%20pas%20que%20vous
%20conserviez%20mes%20donn%C3%A9es%20collect%C3%A9es%20lors%20de
%20ma%20candidature%20et%20vous%20en%20demande%20l%27effacement
%0A%0A2%29%20je%20souhaite%20obtenir%20la%20rectification%20de%20mes
%20donn%C3%A9es%20%3A%0A—nouveau%20nom%20%3A%0A—%20nouveau%20num%C3%A9ro%20de%20t%C3%A9l%C3%A9phone%20%3A
%0A—%20nouvelle%20adresse%20email%20%3A%0A—%20autre%20

RGPD Facile pour PME : Recap sur les activités de TPE PME

Episode #03 : Récap sur les activités des TPE et PME

Toujours dans l’introduction à notre série : RGPD facile pour PME ou comment démêler une pelote quand on a le nez dans le guidon ? …on récapitule pour faire un tour d’horizon des Activités des TPE et PME en relations avec les données personnelles.

Ici il s’agit d’arriver à vulgariser le RGPD et surtout aider les dirigeants de TPE et PME à mettre leur entreprise en conformité:

  • Pas après pas
  • Sujet après sujet
  • En termes simples
  • Vidéos de 1 à 2 minutes

Notre prochain sujet sera :
La traitement de la Paie des salariés….vaste sujet !

Article précédent : Qu’est-ce qu’une activité de traitement ?

RGPD Facile pour PME : Activité de traitement

Episode #02 : une Activité de Traitement : Qu’est-ce que c’est ?

Toujours dans l’introduction à notre série : RGPD facile pour PME ou comment démêler une pelote quand on a le nez dans le guidon ? …on explique aujourd’hui le terme et la notion d’Activité de Traitement de données

Ici il s’agit d’arriver à vulgariser le RGPD et surtout aider les dirigeants de TPE et PME à mettre leur entreprise en conformité:

  • Pas après pas
  • Sujet après sujet
  • En termes simples
  • Vidéos de 1 à 2 minutes

Notre prochain sujet sera :
Réccapitulatif sur les Données, Les personnes concernées et les Activités de traitement

Article précédent : Qu’est ce qu’une DCP ?

RGPD Facile pour PME : DCP

Episode #01 : DCP ou Donnée à Caractère Personnel : Qu’est-ce que c’est ?

Toujours dans l’introduction à notre série : RGPD facile pour PME ou comment démêler une pelote quand on a le nez dans le guidon ? …on explique aujourd’hui le terme et la notion de Donnée à Caractère Personnel

Ici il s’agit d’arriver à vulgariser le RGPD et surtout aider les dirigeants de TPE et PME à mettre leur entreprise en conformité:

  • Pas après pas
  • Sujet après sujet
  • En termes simples
  • Vidéos de 1 à 2 minutes

Notre prochain sujet sera :
Qu’est ce qu’une Qu’est ce qu’une Activité de Traitement !

Article précédent : RGPD Facile pour les PME : Introduction

RGPD Facile pour PME

Episode #00 : Introduction

Introduction à notre série : RGPD facile pour PME ou comment deméler une pelote quand on a le nez dans le guidon ?

Ici il s’agit d’arriver à vulgariser le RGPD et surtout aider les dirigeants de TPE et PME à mettre leur entreprise en conformité:

  • Pas après pas
  • Sujet après sujet
  • En termes simples
  • Vidéos de 1 à 2 minutes

A la suite de cette introduction notre premier sujet sera :
Qu’est ce qu’une Donnée à Caractère Personnel ?

Certification de DPO – Décryptage et démêlage de pelote

Formation, certification, accréditation, agrément, formation certifiante, DPO certifié et certification de compétences… Y comprendre quelque chose, faire le tri dans les mots, discerner le vrai du faux !

Comme tout organisme de formation de DPO, nous sommes confrontés jour après jour à des questions du type :

«Votre formation de DPO est-elle certifiante ? »
«Votre formation de DPO est-elle certifiée par la CNIL ? »
«Est-ce que votre formation donne la certification de DPO ? »
«Est-ce que vous avez l’agrément CNIL pour vos formations ? »

Alors, avant de développer une explication technique sur le mécanisme de certification de DPO selon les référentiels CNIL, commençons par remettre les choses à leur place !

  • Une formation de DPO ne peut pas être certifiante, selon les modalités de la CNIL
  • Aucune formation n’est et ne sera certifiée par la CNIL
  • Un organisme de formation ne peut pas certifier un DPO
  • Il n’y a pas d’agrément CNIL pour les formations de DPO
  • Un organisme de formation ne peut pas être aussi un organisme de certification

Décryptage…

Les référentiels de la CNIL pour la certification de DPO

Dans son référentiel CNIL1827457X, la CNIL définit les contours de l’examen de certification de compétences de DPO, à savoir :

  • Les prérequis pour qu’une personne physique puisse accéder à l’examen de certification des compétences de DPO
  • Les domaines de compétences et savoir faire que doit maîtriser un candidat à la certification

Dans son autre référentiel CNIL1827455X, la CNIL définit les règles par lesquelles elle donnera l’agrément, à des organismes de certification, leur permettant de faire passer l’examen et délivrer la Certification de compétences de DPO. Il détermine en outre les modalités de l’examen de certification et les domaines à évaluer.

Ainsi donc, ce sont des Organismes de Certification, agréés par la CNIL, qui seront en mesure de faire passer le test de certification.

A ce jour, 23 mars 2019, aucun organisme de certification n’est encore agréé par la CNIL et les dossiers sont en cours d’examen.

Les formations de DPO ouvrant accès à l’examen de certification

Pour pouvoir passer l’examen de certification des compétences de DPO, un candidat doit :

  • justifier de 2 ans d’expérience dans la protection des données personnelles
    ou
  • avoir 2 ans d’expérience autre et avoir suivi une formation de 35 heures sur le RGPD, les compétences et savoir-faire du DPO…

Cette formation est dispensée par des Organismes de Formation (à ne pas confondre avec les Organismes de Certification).

Quelle formation choisir ?

A priori, n’importe quelle formation de DPO d’au moins 35 heures, dispensée par un organisme de formation enregistré auprès de la Direccte (avec un numéro d’organisme de formation valide), peut permettre à un candidat de se présenter à l’examen de certification.

Dans les faits, il est probable que chaque organisme de certification qui sera agréé par la CNIL, sera libre d’accepter ou refuser les candidats en fonction de la formation qu’ils auront suivie.
Les modalités de validation des formations de DPO, par les organismes de certification, sont laissées à leur appréciation.

La question la plus pertinente à poser, à ce jour, pour le choix d’un organisme de formation est donc « Votre formation est-elle validée par un organisme de certification ayant déposé un dossier d’agrément auprès de la CNIL ? ».

Toutefois, un dernier conseil : N’attendez pas pour vous former, il y aura bientôt la queue au portillon… Soyez juste vigilant dans le choix de vos organismes de formation.

Certification – agrément – accréditation

… faire le tri entre ces trois mots.

Certification

La certification est un processus par lequel un Organisme de Certification et non pas un Organisme de Formation peut délivrer une certification de Compétences du DPO à un candidat.

Agrément

La Cnil a publié en octobre 2018 un référentiel (NOR : CNIL1827455X) qui définit les règles par lesquelles elle peut donner un Agrément à un organisme de certification lui permettant de délivrer la Certification de compétences de DPO

Ce référentiel définit essentiellement 2 points :

  • Les conditions d’agrément des Organismes de Certification par la CNIL, le maintien de cet agrément et son contrôle continu
  • Les conditions de délivrance de la certification de compétences de DPO y compris les conditions du test et son contenu

Accréditation

Pour pouvoir être agréé par la CNIL un organisme de certification doit avant tout être accrédité selon la Norme ISO 17024 (certification de personnes). Cette accréditation à un organisme de certification est délivrée, en France, par le COFRAC (Comité Français d’Accréditation). L’accréditation ISO 17024 ne peut être donnée à un organisme de certification que s’il est totalement indépendant des organismes de formation dans le domaine d’activité cible.

Les référentiels de certification de la CNIL

Certification des compétences du DPO

Référentiel : CNIL1827457X

Les prérequis le candidat ou la candidate doit pouvoir :

  • justifier d’une expérience professionnelle d’au moins 2 ans dans des projets, activités ou tâches en lien avec les missions du DPO s’agissant de la protection des données personnelles ; ou
  • justifier d’une expérience professionnelle d’au moins 2 ans ainsi que d’une formation d’au moins 35 heures en matière de protection des données personnelles reçue par un organisme de formation.

Les 17 compétences et savoir-faire du DPO :

  • Le candidat connaît et comprend les principes de licéité du traitement, de limitation des finalités, de minimisation des données, d’exactitude des données, de conservation limitée des données, d’intégrité, de confidentialité et de responsabilité.
  • Le candidat sait identifier la base juridique d’un traitement.
  • Le candidat sait déterminer les mesures appropriées et le contenu de l’information à fournir aux personnes concernées.
  • Le candidat sait établir des procédures pour recevoir et gérer les demandes d’exercice des droits des personnes concernées.
  • Le candidat connaît le cadre juridique relatif à la sous-traitance en matière de traitement de données personnelles.
  • Le candidat sait identifier l’existence de transferts de données hors Union européenne et sait déterminer les instruments juridiques de transfert susceptibles d’être utilisés.
  • Le candidat sait élaborer et mettre en œuvre une politique ou des règles internes en matière de protection des données.
  • Le candidat sait organiser et participer à des audits en matière de protection des données.
  • Le candidat connaît le contenu du registre d’activités de traitement, du registre des catégories d’activités de traitement et de la documentation des violations de données ainsi que de la documentation nécessaire pour prouver la conformité à la réglementation en matière de protection des données.
  • Le candidat sait identifier des mesures de protection des données dès la conception et par défaut adaptées aux risques et à la nature des opérations de traitement.
  • Le candidat sait participer à l’identification des mesures de sécurité adaptées aux risques et à la nature des opérations de traitement.
  • Le candidat sait identifier les violations de données personnelles nécessitant une notification à l’autorité de contrôle et celles nécessitant une communication aux personnes concernées.
  • Le candidat sait déterminer s’il est nécessaire ou non d’effectuer une analyse d’impact relative à la protection des données (AIPD) et sait en vérifier l’exécution.
  • Le candidat sait dispenser des conseils en matière d’analyse d’impact relative à la protection des données (en particulier sur la méthodologie, l’éventuelle sous-traitance, les mesures techniques et organisationnelles à adopter).
  • Le candidat sait gérer les relations avec les autorités de contrôle, en répondant à leurs sollicitations et en facilitant leur action (instruction des plaintes et contrôles en particulier).
  • Le candidat sait élaborer, mettre en œuvre et est en capacité de dispenser des programmes de formation et de sensibilisation du personnel et des instances dirigeantes en matière de protection des données.
  • Le candidat sait assurer la traçabilité de ses activités, notamment à l’aide d’outils de suivi ou de bilan annuel. 

Agrément d’organismes de certification pour la certification des compétences du DPO

Référentiel : CNIL1827455X

Concernant l’organisme de certification

  • L’organisme de certification doit être accrédité ISO 17024

Concernant le test de certification

  • Epreuve écrite sous forme de QCM d’au moins 100 questions avec 4 propositions doit au moins une est exacte
  • Les questions portent sur 3 domaines
    • Domaine 1. – Réglementation générale en matière de protection des données et mesures prises pour la mise en conformité : 50% des questions ;
    • Domaine 2. – Responsabilité : 30% des questions ;
    • Domaine 3. – Mesures techniques et organisationnelles pour la sécurité des données au regard des risques : 20% des questions.
  • L’épreuve écrite est réussie :
    •  si, au total, au moins 75% des réponses sont exactes ; et
    • si, pour chacun des trois domaines, au moins 50% des réponses aux questions sont exactes.

Concernant la délivrance de la certification

  • Elle est délivrée pour une période de 3 ans
  • Renouvelable selon les conditions suivantes
    • Passage d’un nouvel examen selon les mêmes conditions
    • Justifier d’au moins 1 an d’expérience du métier de DPO au cours des trois années
  • Elle est délivrée avec un certificat portant la mention « Délégué à la protection des données certifié conformément au référentiel de certification des compétences du DPO de la CNIL »

Concernant les questions de l’examen de certification

Le QCM porte sur les trois domaines cités ci-dessus dont voici le détail.

  • Domaine 1. – Réglementation générale en matière de protection des données et mesures prises pour la mise en conformité (50% des questions)
    • 1.1. Règlement européen et loi française sur la protection des données – fondamentaux :
      • 1.1.1. Champ d’application.
      • 1.1.2. Définitions et notions.
      • 1.1.3. Organismes soumis aux obligations règlementaires.
    • 1.2. Règlement européen et loi française sur la protection des données – principes:
      • 1.2.1. Licéité du traitement.
      • 1.2.2. Loyauté et transparence.
      • 1.2.3. Limitation des finalités.
      • 1.2.4. Minimisation des données.
      • 1.2.5. Exactitude des données.
      • 1.2.6. Conservation limitée des données.
      • 1.2.7. Intégrité, confidentialité des données.
    • 1.3. Règlement européen et loi française sur la protection des données – validité du traitement:
      • 1.3.1. Bases juridiques d’un traitement.
      • 1.3.2. Consentement.
      • 1.3.3. Consentement des mineurs.
      • 1.3.4. Catégories particulières de données à caractère personnel.
      • 1.3.5. Données relatives aux condamnations pénales et aux infractions.
    • 1.4. Droits des personnes concernées:
      • 1.4.1. Transparence et information.
      • 1.4.2. Accès, rectification et effacement (droit à l’oubli).
      • 1.4.3. Opposition.
      • 1.4.4. Décisions individuelles automatisées.
      • 1.4.5. Portabilité.
      • 1.4.6. Limitation du traitement.
      • 1.4.7. Limitations des droits.
    • 1.5. Mesures prises pour la mise en conformité :
      • 1.5.1. Politiques ou procédure en matière de protection des données
      • 1.5.2. Qualification des acteurs d’un traitement de données : responsables du traitement, responsables conjoints du traitement, sous-traitants
      • 1.5.3. Formalisation des relations (contrat sous-traitant, accord entre responsables conjoints du traitement).
      • 1.5.4. Codes de conduite et certifications.
    • 1.6. Délégué à la protection des données (DPO):
      • 1.6.1. Désignation et fin de mission.
      • 1.6.2. Qualités professionnelles, connaissances spécialisées et capacité à accomplir ses missions.
      • 1.6.3. Fonction du DPO (moyens, ressources, positionnement, indépendance, confidentialité, absence de conflit d’intérêts, formation).
      • 1.6.4. Missions du DPO et rôle du DPO en matière d’audits.
      • 1.6.5. Relations du DPO avec les personnes concernées et gestion des demandes d’exercice des droits.
      • 1.6.6. Coopération du DPO avec l’autorité de contrôle.
      • 1.6.7. Qualités personnelles, travail en équipe, management, communication, pédagogie.
    • 1.7. Transferts de données hors de l’Union européenne :
      • 1.7.1. Décision d’adéquation.
      • 1.7.2. Garanties appropriées.
      • 1.7.3. Règles d’entreprise contraignantes.
      • 1.7.4. Dérogations.
      • 1.7.5. Autorisation de l’autorité de contrôle.
      • 1.7.6. Suspension temporaire.
      • 1.7.7. Clauses contractuelles.
    • 1.8. Autorités de contrôle:
      • 1.8.1. Statut.
      • 1.8.2. Pouvoirs.
      • 1.8.3. Régime de sanction.
      • 1.8.4. Comité européen de protection des données.
      • 1.8.5. Recours juridictionnels.
      • 1.8.6. Droit à réparation.
    • 1.9. Doctrine et jurisprudence:
      • 1.9.1. Lignes directrices du G29.
      • 1.9.2. Avis, lignes directrices et recommandations du comité européen de protection des données.
      • 1.9.3. Jurisprudence française et européenne.

  • Domaine 2. – Responsabilité (30% des questions)
    • 2.1. Analyse d’impact relative à la protection des données (AIPD).
    • 2.2. Protection des données dès la conception et par défaut.
    • 2.3. Registre des activités de traitement (responsable de traitement) et registre des catégories d’activités de traitement (sous-traitant).
    • 2.4. Violations de données à caractère personnel, notification des violations et communication à la personne concernée.

  • Domaine 3. – Mesures techniques et organisationnelles pour la sécurité des données au regard des risques (20% des questions)
    • 3.1. Pseudonymisation et chiffrement des données personnelles.
    • 3.2. Mesures pour garantir la confidentialité, l’intégrité et la résilience des systèmes et des services de traitement.
    • 3.3. Mesures permettant de rétablir la disponibilité des données et l’accès aux données en cas d’incident physique ou technique.