RGPD : Comment prouver ma conformité à l’autorité de contrôle ?

Le règlement RGPD en vigueur depuis le 25 mai 2018, impose à tous les organismes et notamment les entreprises de se soumettre à des règles qui visent la protection des données à caractère personnel. Chacun de ces organismes doit apporter la preuve de sa conformité au RGPD auprès de l’autorité de contrôle, la CNIL pour la France.

Le RGPD en général

Le RGPD ou Règlement Général sur la Protection des Données assure de façon plus poussée la protection des données à caractère personnel de chaque citoyen au sein de l’Union européenne.
Pour être en conformité avec le RGPD, chaque organisme doit indiquer de façon exhaustive quelles sont les données collectées, les fins de cette collecte et la durée de conservation desdites données.

Le RGPD concerne tous les acteurs économiques et sociaux qui offrent des biens et services sur le marché de l’Union européenne. Les concernés sont : les entreprises, les associations, les organismes publics, mais aussi les entreprises dont le siège est hors union européenne mais opérant à l’intérieur de l’union sur les données des citoyens ainsi que les sous-traitants dont les activités entrent dans ce cadre. Des contrôles RGPD ont lieu régulièrement pour s’assurer de sa mise en oeuvre, au besoin par des mesures contraignantes.

Le rôle des autorités de contrôle RGPD

Le Délégué à la Protection des Données (DPO ou DPD) a pour principal rôle la surveillance de la conformité au RGPD. Il s’assure que le texte soit respecté au sein de l’entreprise. Les informations collectées par le DPO seront rapidement diffusées aux autorités de contrôle.

Chaque membre de l’Union Européenne dispose d’une autorité de contrôle de la bonne application des dispositions du règlement RGPD. En France, c’est la Commission Nationale de l’Informatique et des Libertés (CNIL) qui a vu son rôle renforcé, et qui peut utiliser des mesures contraignantes au besoin auprès de tous les organismes concernés.

Les étapes à suivre pour prouver sa conformité

Dans le cadre du RGPD, il est important est de mettre en place un certain nombre d’actions en vue d’assurer une protection des données en continu (ce que l’on appelle l’accountability), et d’en apporter la preuve par une documentation écrite. Cela revient donc à montrer comment vos actions ont été mises en place et à les rendre vérifiables à tout moment par l’autorité de contrôle, la CNIL.

Il est nécessaire pour chaque organisme de:

• S’assurer de la nécessité de collecter des données, et de la pertinence des données collectées en rapport avec leur finalité
• Recueillir de façon claire et expresse le consentement des personnes concernées par la collecte
• Établir la politique de collecte, de gestion et de confidentialité des données. Faire le cas échéant une analyse d’impact pour les données sensibles.
• S’assurer du bon traitement des données par vos éventuels sous-traitants, dans le strict cadre du règlement RGPD
• Informer sous 72 heures la CNIL en cas de perte ou de vol des données
• Mettre à jour vos documents contractuels tels que les conditions générales de ventes, vos mentions légales, ainsi que vos divers documents contractuels.

Actuellement, il est indiqué de tenir des registres tels que le registre des traitements (article 30), le registre des activités de sous-traitance (article 30.2) et e registre des violations de données à caractère personnel (article 33).

La présentation de ces registres sous forme écrite à l’autorité de contrôle est non seulement un gage de bonne foi, mais aussi une preuve de la conformité au Règlement RGPD.

Afin d’établir et de mettre à jour ces registres, il faut au préalable:

• Rassembler les informations disponibles.
• Élaborer la liste des traitements.
• Identifier et analyser les risques.

Bien plus qu’un simple répertoire, le registre est également un outil de pilotage qui permet en interne de vérifier que tout est en règle. La bonne tenue desdits registres met les organismes à l’abri des sanctions de la CNIL, car la demande du registre lors d’un contrôle sera systématique.

Des outils de conformité

L’article 42-1 et 2 du RGPD dispose :  » Les États membres, les autorités de contrôle, le comité et la Commission encouragent, en particulier au niveau de l’Union, la mise en place de mécanismes de certification en matière de protection des données ainsi que de labels et de marques en la matière, aux fins de démontrer que les opérations de traitement effectuées par les responsables du traitement et les sous-traitants respectent le présent règlement. Les besoins spécifiques des micro, petites et moyennes entreprises sont pris en considération.

Outre l’application par les responsables du traitement ou les sous-traitants soumis au présent règlement, les mécanismes de certification, les labels ou les marques en matière de protection des données approuvés en vertu du paragraphe 5 du présent article peuvent être établis aux fins de démontrer que des responsables du traitement ou des sous-traitants qui ne sont pas soumis au présent règlement en vertu du l’article 3 fournissent des garanties appropriées dans le cadre des transferts de données à caractère personnel vers un pays tiers ou à une organisation internationale dans les conditions visées à l’article 46, paragraphe 2, point f). Ces responsables du traitement ou sous-traitants prennent l’engagement contraignant et exécutoire, au moyen d’instruments contractuels ou d’autres instruments juridiquement contraignants, d’appliquer ces garanties appropriées, y compris en ce qui concerne les droits des personnes concernées. »

Conformément à ces dispositions, la CNIL adopte désormais deux référentiels en matière de certification de Délégué à la Protection des données (DPO ou DPD) permettant ainsi l’identification des compétences et du savoir-faire du délégué à la protection des données.

• un référentiel de certification qui fixe entre autres les conditions de recevabilité des candidatures ainsi que la liste des 17 compétences et savoir-faire attendus pour être certifié comme DPO.

• un référentiel d’agrément qui fixe les critères applicables aux organismes qui souhaitent être habilités par la CNIL à certifier les compétences du DPO sur la base du référentiel de certification élaboré par la CNIL ;

En bref, la loi Informatique et Libertés, telle que modifiée par la loi du 20 juin 2018, attribue donc à la CNIL une nouvelle compétence. Elle peut adopter des référentiels de certification, et agréer les organismes chargés de délivrer cette certification.

Nul doute que ces nouvelles dispositions contribueront à la mise en conformité des organismes et plus globalement à la protection des données personnelles grâce à des personnels qualifiés qui concrétisent la bonne volonté des responsables du traitement.