Est-il toujours nécessaire de faire une déclaration auprès de la CNIL?

Depuis l’application du Règlement général sur la protection des données à caractère personnel (RGPD), les processus antérieurs ont été modifiés voire supprimés. On passe ainsi à des applications législatives beaucoup plus strictes tout en garantissant une meilleure protection de nos données personnelles. C’est un changement significatif pour les organismes qui ont l’obligation de tenir des registres et d’apporter la preuve de leur conformité au RGPD.

La Commission nationale de l’informatique et des libertés (CNIL) est instaurée, dans le but de veiller à ce que « l’informatique ne porte atteinte ni à l’identité humaine, ni aux droits de l’homme, ni à la vie privée, ni aux libertés individuelles ou publiques ». Après l’entrée en vigueur du règlement européen sur la protection des données à caractère personnel (RGPD), la loi n°2018-493 du 20 juin 2018 renforce et renouvelle les missions de la Commission nationale de l’informatique et des libertés, dans sa lutte pour la protection des données personnelles. Avant l’application de ce règlement législatif, chaque entreprise était dans l’obligation de déclarer tout traitement de données à caractère personnel auprès de la CNIL. Mais qu’en est-il de cette déclaration après application du RGPD?

Les déclarations auprès de la CNIL

La loi Informatiques et Libertés exigeait que tout traitement de données personnelles fasse l’objet de procédures préalables telles que des obligations d’information par le biais de déclaration. Par déclaration CNIL, on entend :

• Déclaration normale
• Déclaration simplifiée
• Déclaration de modification
• Déclaration de suppression
• Déclaration CNIL unique

Certains organismes faisaient l’objet d’une dispense de déclaration.

Au-delà de ces déclarations s’ajoute le régime des autorisations de la CNIL :

• L’autorisation unique
• L’autorisation normale
• Les autorisations spécifiques au secteur public telles que l’autorisation par arrêté du ou des ministre(s) compétent(s), l’autorisation arrêté ou par l’organe délibérant, l’autorisation par décret en Conseil d’Etat.

Ou tout simplement des demandes :

• d’avis.
• d’autorisation.
• d’autorisation recherches médicales.
• d’autorisation évaluation de pratiques de soins.

Il était parfois difficile d’appréhender le type de déclaration à faire, c’est pourquoi de nombreuses entreprises n’ont pas jugées utiles de se référer à ce type de déclaration.
Pour autant, l’intérêt  de déclarer tous les traitements personnels à risques, était indéniable.

Par la suite, selon un critère organique bien défini, certaines dispenses à ces déclarations sont apparues concernant :

• Les organismes, publics ou privés, qui ont désigné un Correspondant Informatique et Libertés (CIL).
• Certains traitements de données personnelles courants.
• Les données relatives à certains traitements mis en oeuvre par l’Etat (loi 26 III de la loi Informatique et Libertés).
• Les traitements mis en oeuvre par des particuliers (vidéosurveillance, informations relatives à la vie privée,…).

Ce système à la fois complexe et contraignant par ses diverses démarches ainsi que ses dispenses parfois peu compréhensibles, laisse place à de nouvelles réformes instituées par le RGPD.

Les nouvelles missions de la CNIL

En tant que première « autorité administrative indépendante » (AAI), la Commission nationale de l’informatique et des libertés a pour rôle :

• De contrôler que la loi Informatique et Libertés est bel et bien respectée.
• De surveiller et de s’assurer que la sécurité des traitements des données est conforme au règlement.
• De simplifier des normes pour pouvoir conseiller et accompagner en toute sérénité.
• De veiller aux droits d’accès aux données personnelles contenues dans les traitements pour tout individu qui a adressé une plainte auprès de la CNIL.
• De participer au développement d’innovations technologiques pour une meilleure protection de la vie privée (« privacy by design« ).
• D’avertir et de sanctionner les organismes qui agissent en violation du règlement.

Depuis l’application de la nouvelle loi depuis le 25 mai 2018, la CNIL doit renforcer ses contrôles et protéger les individus d’éventuelles fuites de données. Pour cela, le RGPD lui a confié de nouvelles missions telles que:

• Le droit de formuler des avis et des recommandations préalables sur les traitements de données à caractère personnel. Déterminer si certaines données peuvent être consultées pour « la prévention, la recherche, la constatation ou la poursuite d’infractions pénales ou l’exécution des condamnations pénales ou des mesures de sûreté ».
• Le droit de décision et d’autorisation de certains traitements (données biométriques par exemple).
• Le droit de contrôle et d’intervention. Par exemple, ordonner « l’effacement ou la destruction de données ou interdire temporairement ou définitivement un traitement ».
• Le droit de sanctionner graduellement, en fonction des dysfonctionnements. La CNIL commence par un avertissement et peut finir par informer le premier ministre.

Le renforcement de ces mesures montre que la Commission Nationale Informatique et Libertés reste intransigeante sur le respect de la vie privée et des données à caractère personnel des individus. La protection et la sécurité du traitement des données personnelles sont les principales préoccupations de ce dispositif. Toutefois, pour veiller à cette protection, elle accompagne et renseigne les organismes afin qu’ils se mettent en conformité.

La fin des déclarations

Suite au bouleversement des procédures législatives relatives au RGPD, les déclarations CNIL sont abolies  D’autres obligations entrent en vigueur, notamment l’obligation pour les organismes de remplir un ou plusieurs registres internes.

Actuellement, 3 types de registres sont à tenir :

• Le registre des traitements (article 30.1).
• Le registre des activités de sous-traitance (article 30.2).
• Le registre des violations de données à caractère personnel (article 33).

A noter que seuls les deux premiers registres, sont importants pour le recensement des traitements de données personnelles.

Pour chaque traitement, plusieurs informations sont à prendre en compte :

• Le nom et les coordonnées du responsable du traitement ou du/des sous-traitant(s).
• Les finalités du traitement.
• Une description des catégories de personnes concernées.
• Les catégories de destinataires qui ont reçus ces données personnelles.
• L’identification d’un pays tiers ou organisme international qui a reçu le transfert de données.
• Les délais prévus pour l’effacement des différentes catégories de données.
• Une description générale des mesures de sécurité.

Ce registre doit être présenté sous une forme écrite. Le format est libre et peut être constitué au format papier ou électronique.

Simple à faire, il suffit de remplir régulièrement le registre en :

• Rassemblant les informations disponibles.
• Élaborant la liste des traitements.
• Identifiant et en analysant les risques.

Bien plus qu’un simple répertoire, il est également un outil de pilotage qui permet en interne de vérifier que tout est en règle.
Un travail en amont est donc désormais nécessaire pour que les organisations évitent d’être sanctionnées par la CNIL, car la demande du registre lors d’un contrôle sera systématique.

Là encore, pour une meilleure conformité à la collecte des traitements de données, les organismes apprennent à se responsabiliser face à d’éventuelles fuites des données.

Le respect de la vie privée d’autrui est alors mieux encadré grâce à ce nouveau registre. Avec un certain recul, on se rend compte que les déclarations CNIL précédentes étaient devenues obsolètes.
La commission, étape par étape, sera toujours disponible pour vous accompagner vers cette meilleure conformité. La recherche d’un délégué à la protection des données est également accessible via le téléservice de la CNIL.