DPO : Dialogue avec la CNIL – 15 février 2018

Réunion animée par Maître Corinne Thiérache, Avocat Associé, Cabinet ALERION, avec l’intervention dIngrid Nkouenjin, Juriste, Service des Correspondants Informatique et Libertés, CNIL

Comme le précise Maître Corinne Thiérache, lidée de cette réunion a émergé au sein du GESTE afin que la CNIL puisse échanger directement avec les acteurs économiques concernés. Les questions ont quant à elles été élaborées au sein du groupe de travail DPO. Côté actualité, il est rappelé quà compter du 25 mai lensemble des acteurs devront être en conformité avec le RGPD et le projet de loi relatif à la protection des données personnelles

I Question n°1 : Quelles sont les préconisations de la CNIL sur une liste à venir de données à caractère personnel, durées de conservation, archivage, minimisation, consentement et anonymisation ?

Pour ce qui est de la définition dune donnée personnelle, du principe de durée de conservation, de la minimisation, du consentement et de larchivage, il ny a pas de nouveautés au sein du RGPD par rapport à la loi Informatique et libertés, les informations relatives à ces notions sont déjà publiées sur le site de la CNIL.

Pour ce qui est de lanonymisation, cela fait partie des mesures préconisées par larticle 32 du RGPD pour garantir un niveau de sécurité adapté aux risques.

Le DPO

I Question n°2 : Quel profil recruter ? Selon Ingrid Nkouenjin, la première caractéristique à prendre en compte est quil est indispensable de recruter quelquun qui sintéresse tout particulièrement au RGPD. De plus, le texte précise quil doit être compétent et faire preuve de connaissances ainsi que de capacités de communication. Il sagit donc dun un expert capable de comprendre les aspects réglementaire et techniques

I Question n°3 : Peutil y avoir des risques de conflit dintérêts en cas de cumul avec une autre fonction au sein dune même société (notamment RSSI ou DSI)

A loccasion du recrutement, il faut en effet sassurer que le DPO ne se retrouvera pas en situation de conflit dintérêt en ayant à décider de la finaliet des moyens mis en ceuvre dans le cadre dun traitement de données. L’appréhension du risque et du conflit dintérêt résulte de lanalyse interne

Dans le cas le Directeur juridique de lentreprise serait nommé DPO, sauf si ce dernier a une délégation de pouvoir du responsable de traitement, il ne sera pas décisionnaire des finalités et moyens de traitement, donc il ny a pas de risque de conflit dintérêt sauf si il estime luimême que cela peut présenter un risque

Ingrid Nkouenjin rappelle quau sens du RGPD cest lentreprise qui est responsable, et non le DPO

I Question n°4 : DPO interne ou externe ? Comme le précise Ingrid Nkouenjin, trois solutions sont offertes par le RGPD: nommer un DPO interne, externe ou mutualisé

Lavantage qua un DPO interne est quil connaît son entreprise

Le DPO externe peut quant à lui apporter un regard extérieur et dépasser les conflits internes de lorganisme. Cependant, linconvénient est quil nest pas physiquement présent au sein de lentreprise, un relai interne est donc nécessaire. Lexternalisation peut être un avantage pour les petites structures par exemple

Le schéma du DPO mutualisé peut convenir à un groupe qui a plusieurs filiales

Il est conseillé dévaluer le besoin de lentreprise en réalisant laudit en premier lieu

I Question n°5: Exemples dans lesquels la désignation dun DPO sera obligatoire. Plusieurs cas dans lesquels la désignation est obligatoire sont prévus par le texte, notamment pour les organismes publics

Quun DPO soit désigné ou non, il faudra obligatoirement un référent au sein de lentreprise.

I Question n°6 : Signification de la notion de traitement « à grande échelle » de données

Dans ses lignes directrices, le G29 recommande que plusieurs facteurs soient pris en considération pour déterminer si le traitement est mis en oeuvre à grande échelle

le nombre de personnes concernées ; le volume de données et/ou le spectre de données traitées ; la durée, ou la permanence, des activités de traitement des données ; létendue géographique de lactivité de traitement

Plus généralement, en cas de doute, le G29 conseille de désigner un DPO

I Question n°7 : Estce que le service CIL de la CNIL a vocation à sétoffer

Aujourdhui, le service CIL de la CNIL est composé de cinq juristes, un chef de service et une assistante. Selon Ingrid Nkouenjin, le service a logiquement vocation à sétoffer dans la mesure les estimations portent sur 20 000 DPO personnes physiques qui seront accompagnés par le service contre 5 000 CIL aujourdhui

I Question n°8 : Comment la CNIL vatelle sorganiser face au nombre important de DPO ? Un travail va être fait au niveau des têtes de réseau qui remonteraient les questions globales qui concernent tout le secteur via une adresse mail dédiée

La principale caractéristique du service des CIL est quil travaille en collaboration avec tous les services de la CNIL, ce qui permet doffrir une réponse cohérente

| Question n°9 : Quand le formulaire de désignation du DPO sera-t il publié ? Le formulaire sera publié sur le site de la CNIL en mars

Laccountability

I Question n°10 : Registres et fiches de traitement : quels documents la CNIL doit pouvoir consulter à tout moment

Au niveau macro, certains documents de base doivent être mis à disposition des services de la CNIL : registres, analyses dimpact, ..

Au niveau micro, ce sont notamment les fiches de registre correspondantes, les éléments montrant les questionnements du responsable de traitement et ce qui a été fait dans lorganisme qui doivent être mis à disposition

Ingrid Nkouenjin précise que la coresponsabilité ne sapplique quentre responsables de traitement, le soustraitant pouvant voir sa propre responsabilité engagée : voir le guide publié sur le site de la CNIL en septembre 2017

I Question n°11 : Quand les documents de mise en conformité serontils mis à jour ? Beaucoup de documents sont dores et déjà accessibles sur le site de la CNIL

De nombreuses fiches et documents sont en cours de préparation et seront prochainement publiés. Un guide TPE/PME va également être publié, la CNIL ayant pleinement conscience de leurs difficultés et de leurs besoins. Ces entreprises disposent également dun relai au sein des CCI

La CNIL organise également des ateliers de sensibilisation toujours dans une logique daccompagnement. Un mécanisme de elearning est à létude pour mettre laccompagnement à disposition du grand public et de lensemble des organismes

I Question n°12 : Un régime transitoire seratil prévu ? Dans quelles conditions ? Comme le rappelle Ingrid Nkouenjin nous sommes en période transitoire depuis 2016 avec ladoption du RGPD

Si, comme la précisé Isabelle FalquePierrotin à loccasion des 40 ans de la CNIL, la protection des données existe depuis 1978 en France avec des principes fondamentaux tels que linformation, de nouvelles règles sont prévues par le RGPD. La CNIL tiendra compte de la courbe dapprentissage de ces nouveaux droits et obligations dans le cadre des contrôles effectués à compter du 26 mai

Si lorganisme contrôlé na jamais rien mis en place en matière de protection des données, la CNIL sera exigeante, notamment sur la violation des principes fondamentaux qui existent depuis 40 ans. En revanche, toute réflexion sur la portabilité, la minimisation, ou autre sera prise en compte

I Question n°13 : La CNIL envisagetelle de valider les solutions de management de la conformité (Provacy, Oryga, One Trust

SmartGDPR, ...)? La CNIL est attentive aux outils proposés sur le marché et prend connaissance de leur offre mais ne les validera pas

La Commission est toutefois sensible aux retours dexpérience des acteurs ayant déjà utilisé certains outils

Référentiel, certification, code de conduite

I Question n°14 : Les normes simplifiées ontelles vocation à être transformées en référentiel sectoriel ou serontelles abandonnées avec lapplication du RGPD

Les normes simplifiées nont plus lieu dexister avec lapplication du RGPD. Il est en revanche toujours possible de sy référer comme référentiels de bonnes pratiques

Les organismes bénéficiant dun label gouvernance pour trois ans continueront à en bénéficier jusquà son terme, il deviendra ensuite un référentiel

I Question n°15: Un référentiel de compliance vatil être publié par la CNIL dans une logique daccountability ? Il ny aura pas de label compliance. Sagissant du référentiel et de la certification, un label gouvernance existe déjà

I Question n°16 : Les accords sectoriels serontils toujours valables 

Le RGPD prévoit la validation d‘accords sectoriels, il sagira donc dune mise à jour par les secteurs à laune du règlement

Interaction et interprétation 

I Question n°17 : Quel est limpact du RGPD sur les règles applicables en France en matière de sollicitation commerciale ? 

Larticle L345 du Code des postes et des communications électroniques prévoit que lautorisation des personnes doit être demandée pour toute prospection commerciale. Le RGPD nimpacte pas cet article. Lavis du 26 septembre 2016 est donc toujours valable

Aucun consentement supplémentaire ne doit donc être recueilli au titre du RGPD qui fait directement référence à la directive de 2002 dont est issu larticle L345

En revanche, les conditions de validité du consentement prévues par le RGPD doivent être prises en compte

Les Etats membres nayant pas tous la même position, ce point va être remonté au niveau du G29 pour quune zone dajustement soit trouvée

I Question n°18 : Comment la CNIL appréhendetelle « l’intérêt légitime » ? Le principe de base de la licéité du traitement est quil doit reposer sur lun des six fondements légaux dont fait partie l’intérêt légitime : article 6.1. f) du RGPD: « le traitement est nécessaire aux fins des intérêts légitimes poursuivis par le responsable du traitement ou par un tiers, à moins que ne prévalent les intérêts ou les libertés et droits fondamentaux de la personne concernée qui exigent une protection des données à caractère personnel, notamment lorsque la personne concernée est un enfant. » 

Dans un avis publié en 2014, le G29 précisait déjà que lintérêt légitime entraine de nombreuses obligations. En effet, une mise en balance est nécessaire entre lintérêt du responsable de traitement et lincidence sur le respect de la vie privée des personnes. Lintérêt légitime signifie aussi que la personne a eu le droit de sopposer au traitement 

Questions en suspens

I Question n°19 : Quel est lavis de la CNIL sur les initiatives Passport de WPP et Consent Advertising de lIAB Europe ? 

La Commission na pas encore été informée officiellement sur ces initiatives

I Question n°20 : Quel sera limpact du consentement au sens du RGPD sur les pratiques actuelles en matière de cookies? La position actuelle est maintenue sagissant de la durée de conservation, linformation des personnes et leur droit dopposition. Le point du consentement va être remonté au niveau du G29 afin que les autorités se concertent

En matière de dépôt de cookies, linformation de linternaute telle que prévue aujourdhui est maintenue en létat en attendant que la rédaction du Règlement ePrivacy soit finalisée

A date, les éditeurs restent compliant dans la mesure ils respectent la recommandation de la CNIL du 5 décembre 2013 relative aux cookies et autres traceurs

Comme le précise Ingrid Nkouenjin, il nest pas demandé aux éditeurs danticiper le Règlement ePrivacy qui est toujours en cours de discussion