18 Oct DPO : Dialogue avec la CNIL – 15 février 2018
Réunion animée par Maître Corinne Thiérache, Avocat Associé, Cabinet ALERION, avec l’intervention d‘Ingrid Nkouenjin, Juriste, Service des Correspondants Informatique et Libertés, CNIL.
Comme le précise Maître Corinne Thiérache, l‘idée de cette réunion a émergé au sein du GESTE afin que la CNIL puisse échanger directement avec les acteurs économiques concernés. Les questions ont quant à elles été élaborées au sein du groupe de travail DPO. Côté actualité, il est rappelé qu‘à compter du 25 mai l‘ensemble des acteurs devront être en conformité avec le RGPD et le projet de loi relatif à la protection des données personnelles.
I Question n°1 : Quelles sont les préconisations de la CNIL sur une liste à venir de données à caractère personnel, durées de conservation, archivage, minimisation, consentement et anonymisation ?
Pour ce qui est de la définition d‘une donnée personnelle, du principe de durée de conservation, de la minimisation, du consentement et de l‘archivage, il n‘y a pas de nouveautés au sein du RGPD par rapport à la loi Informatique et libertés, les informations relatives à ces notions sont déjà publiées sur le site de la CNIL.
Pour ce qui est de l‘anonymisation, cela fait partie des mesures préconisées par l‘article 32 du RGPD pour garantir un niveau de sécurité adapté aux risques.
Le DPO
I Question n°2 : Quel profil recruter ? Selon Ingrid Nkouenjin, la première caractéristique à prendre en compte est qu‘il est indispensable de recruter quelqu‘un qui s‘intéresse tout particulièrement au RGPD. De plus, le texte précise qu‘il doit être compétent et faire preuve de connaissances ainsi que de capacités de communication. Il s‘agit donc d‘un un expert capable de comprendre les aspects réglementaire et techniques.
I Question n°3 : Peut–il y avoir des risques de conflit d‘intérêts en cas de cumul avec une autre fonction au sein d‘une même société (notamment RSSI ou DSI) ?
A l‘occasion du recrutement, il faut en effet s‘assurer que le DPO ne se retrouvera pas en situation de conflit d‘intérêt en ayant à décider de la finalité et des moyens mis en ceuvre dans le cadre d‘un traitement de données. L’appréhension du risque et du conflit d‘intérêt résulte de l‘analyse interne.
Dans le cas où le Directeur juridique de l‘entreprise serait nommé DPO, sauf si ce dernier a une délégation de pouvoir du responsable de traitement, il ne sera pas décisionnaire des finalités et moyens de traitement, donc il n‘y a pas de risque de conflit d‘intérêt sauf si il estime lui–même que cela peut présenter un risque.
Ingrid Nkouenjin rappelle qu‘au sens du RGPD c‘est l‘entreprise qui est responsable, et non le DPO.
I Question n°4 : DPO interne ou externe ? Comme le précise Ingrid Nkouenjin, trois solutions sont offertes par le RGPD: nommer un DPO interne, externe ou mutualisé.
L‘avantage qu‘a un DPO interne est qu‘il connaît son entreprise.
Le DPO externe peut quant à lui apporter un regard extérieur et dépasser les conflits internes de l‘organisme. Cependant, l‘inconvénient est qu‘il n‘est pas physiquement présent au sein de l‘entreprise, un relai interne est donc nécessaire. L‘externalisation peut être un avantage pour les petites structures par exemple.
Le schéma du DPO mutualisé peut convenir à un groupe qui a plusieurs filiales.
Il est conseillé d‘évaluer le besoin de l‘entreprise en réalisant l‘audit en premier lieu.
I Question n°5: Exemples dans lesquels la désignation d‘un DPO sera obligatoire. Plusieurs cas dans lesquels la désignation est obligatoire sont prévus par le texte, notamment pour les organismes publics.
Qu‘un DPO soit désigné ou non, il faudra obligatoirement un référent au sein de l‘entreprise.
I Question n°6 : Signification de la notion de traitement « à grande échelle » de données ?
Dans ses lignes directrices, le G29 recommande que plusieurs facteurs soient pris en considération pour déterminer si le traitement est mis en oeuvre à grande échelle :
– le nombre de personnes concernées ; – le volume de données et/ou le spectre de données traitées ; – la durée, ou la permanence, des activités de traitement des données ; – l‘étendue géographique de l‘activité de traitement.
Plus généralement, en cas de doute, le G29 conseille de désigner un DPO.
I Question n°7 : Est–ce que le service CIL de la CNIL a vocation à s‘étoffer?
Aujourd‘hui, le service CIL de la CNIL est composé de cinq juristes, un chef de service et une assistante. Selon Ingrid Nkouenjin, le service a logiquement vocation à s‘étoffer dans la mesure où les estimations portent sur 20 000 DPO personnes physiques qui seront accompagnés par le service contre 5 000 CIL aujourd‘hui.
I Question n°8 : Comment la CNIL va–t–elle s‘organiser face au nombre important de DPO ? Un travail va être fait au niveau des têtes de réseau qui remonteraient les questions globales qui concernent tout le secteur via une adresse mail dédiée.
La principale caractéristique du service des CIL est qu‘il travaille en collaboration avec tous les services de la CNIL, ce qui permet d‘offrir une réponse cohérente.
| Question n°9 : Quand le formulaire de désignation du DPO sera-t il publié ? Le formulaire sera publié sur le site de la CNIL en mars.
L‘accountability
I Question n°10 : Registres et fiches de traitement : quels documents la CNIL doit pouvoir consulter à tout moment ?
Au niveau macro, certains documents de base doivent être mis à disposition des services de la CNIL : registres, analyses d‘impact, ...
Au niveau micro, ce sont notamment les fiches de registre correspondantes, les éléments montrant les questionnements du responsable de traitement et ce qui a été fait dans l‘organisme qui doivent être mis à disposition.
Ingrid Nkouenjin précise que la coresponsabilité ne s‘applique qu‘entre responsables de traitement, le sous–traitant pouvant voir sa propre responsabilité engagée : voir le guide publié sur le site de la CNIL en septembre 2017.
I Question n°11 : Quand les documents de mise en conformité seront–ils mis à jour ? Beaucoup de documents sont d‘ores et déjà accessibles sur le site de la CNIL.
De nombreuses fiches et documents sont en cours de préparation et seront prochainement publiés. Un guide TPE/PME va également être publié, la CNIL ayant pleinement conscience de leurs difficultés et de leurs besoins. Ces entreprises disposent également d‘un relai au sein des CCI.
La CNIL organise également des ateliers de sensibilisation toujours dans une logique d‘accompagnement. Un mécanisme de e–learning est à l‘étude pour mettre l‘accompagnement à disposition du grand public et de l‘ensemble des organismes.
I Question n°12 : Un régime transitoire sera–t–il prévu ? Dans quelles conditions ? Comme le rappelle Ingrid Nkouenjin nous sommes en période transitoire depuis 2016 avec l‘adoption du RGPD.
Si, comme l‘a précisé Isabelle Falque–Pierrotin à l‘occasion des 40 ans de la CNIL, la protection des données existe depuis 1978 en France avec des principes fondamentaux tels que l‘information, de nouvelles règles sont prévues par le RGPD. La CNIL tiendra compte de la courbe d‘apprentissage de ces nouveaux droits et obligations dans le cadre des contrôles effectués à compter du 26 mai.
Si l‘organisme contrôlé n‘a jamais rien mis en place en matière de protection des données, la CNIL sera exigeante, notamment sur la violation des principes fondamentaux qui existent depuis 40 ans. En revanche, toute réflexion sur la portabilité, la minimisation, ou autre sera prise en compte.
I Question n°13 : La CNIL envisage–t–elle de valider les solutions de management de la conformité (Provacy, Oryga, One Trust,
SmartGDPR, ...)? La CNIL est attentive aux outils proposés sur le marché et prend connaissance de leur offre mais ne les validera pas.
La Commission est toutefois sensible aux retours d‘expérience des acteurs ayant déjà utilisé certains outils.
Référentiel, certification, code de conduite
I Question n°14 : Les normes simplifiées ont–elles vocation à être transformées en référentiel sectoriel ou seront–elles abandonnées avec l‘application du RGPD ?
Les normes simplifiées n‘ont plus lieu d‘exister avec l‘application du RGPD. Il est en revanche toujours possible de s‘y référer comme référentiels de bonnes pratiques.
Les organismes bénéficiant d‘un label gouvernance pour trois ans continueront à en bénéficier jusqu‘à son terme, il deviendra ensuite un référentiel.
I Question n°15: Un référentiel de compliance va–t–il être publié par la CNIL dans une logique d‘accountability ? Il n‘y aura pas de label compliance. S‘agissant du référentiel et de la certification, un label gouvernance existe déjà.
I Question n°16 : Les accords sectoriels seront–ils toujours valables
Le RGPD prévoit la validation d‘accords sectoriels, il s‘agira donc d‘une mise à jour par les secteurs à l‘aune du règlement.
Interaction et interprétation
I Question n°17 : Quel est l‘impact du RGPD sur les règles applicables en France en matière de sollicitation commerciale ?
L‘article L34–5 du Code des postes et des communications électroniques prévoit que l‘autorisation des personnes doit être demandée pour toute prospection commerciale. Le RGPD n‘impacte pas cet article. L‘avis du 26 septembre 2016 est donc toujours valable.
Aucun consentement supplémentaire ne doit donc être recueilli au titre du RGPD qui fait directement référence à la directive de 2002 dont est issu l‘article L34–5.
En revanche, les conditions de validité du consentement prévues par le RGPD doivent être prises en compte.
Les Etats membres n‘ayant pas tous la même position, ce point va être remonté au niveau du G29 pour qu‘une zone d‘ajustement soit trouvée.
I Question n°18 : Comment la CNIL appréhende–t–elle « l’intérêt légitime » ? Le principe de base de la licéité du traitement est qu‘il doit reposer sur l‘un des six fondements légaux dont fait partie l’intérêt légitime : article 6.1. f) du RGPD: « le traitement est nécessaire aux fins des intérêts légitimes poursuivis par le responsable du traitement ou par un tiers, à moins que ne prévalent les intérêts ou les libertés et droits fondamentaux de la personne concernée qui exigent une protection des données à caractère personnel, notamment lorsque la personne concernée est un enfant. »
Dans un avis publié en 2014, le G29 précisait déjà que l‘intérêt légitime entraine de nombreuses obligations. En effet, une mise en balance est nécessaire entre l‘intérêt du responsable de traitement et l‘incidence sur le respect de la vie privée des personnes. L‘intérêt légitime signifie aussi que la personne a eu le droit de s‘opposer au traitement
Questions en suspens
I Question n°19 : Quel est l‘avis de la CNIL sur les initiatives Passport de WPP et Consent Advertising de l‘IAB Europe ?
La Commission n‘a pas encore été informée officiellement sur ces initiatives.
I Question n°20 : Quel sera l‘impact du consentement au sens du RGPD sur les pratiques actuelles en matière de cookies? La position actuelle est maintenue s‘agissant de la durée de conservation, l‘information des personnes et leur droit d‘opposition. Le point du consentement va être remonté au niveau du G29 afin que les autorités se concertent.
En matière de dépôt de cookies, l‘information de l‘internaute telle que prévue aujourd‘hui est maintenue en l‘état en attendant que la rédaction du Règlement ePrivacy soit finalisée.
A date, les éditeurs restent compliant dans la mesure où ils respectent la recommandation de la CNIL du 5 décembre 2013 relative aux cookies et autres traceurs.
Comme le précise Ingrid Nkouenjin, il n‘est pas demandé aux éditeurs d‘anticiper le Règlement ePrivacy qui est toujours en cours de discussion.