Le RGPD, c’est maintenant : les changements à retenir et les outils pour bien se préparer
Depuis plusieurs mois, la CNIL propose aux organismes publics et privés un accompagnement pour leur permettre de comprendre ce que change le règlement et conduire leur transition vers le RGPD de manière méthodique. Cet accompagnement se poursuivra après le 25 mai.
Les changements à retenir
-
Fin des déclarations auprès de la CNIL
Le RGPD supprime les déclarations de fichiers à effectuer auprès de la CNIL.
Seules certaines formalités préalables vont subsister (demande d’avis pour les secteurs police/justice, demande d’autorisation pour certains traitements de données de santé notamment).
-
La responsabilisation des acteurs
En contrepartie de la disparition de l’accomplissement de démarches administratives auprès de la CNIL, les administrations, sociétés et associations traitant des données à caractère personnel, mais aussi leurs prestataires et sous-traitants, sont désormais pleinement responsables de la protection des données qu’ils traitent.
Il leur appartient d’assurer la conformité au RGPD de leurs traitements de données personnelles tout au long de leur cycle de vie et d’être en mesure de démontrer cette conformité.
La CNIL vous accompagne
Les professionnels peuvent d’ores et déjà s’appuyer sur de nombreux outils de préparation et de mise en conformité au RGPD, disponibles sur le site internet de la CNIL :
-
Comprendre le RGPD
- Un guide pratique de sensibilisation au RGPD pour les TPE-PME
- Des pages dédiées pour les collectivités territoriales et pour le secteur de la Santé
- Un guide du sous-traitant
- Des questions/réponses sur le RGPD
- Des journées d'information sur le RGPD
-
Démarrer sa mise en conformité
- La méthode en 6 étapes pour mettre en œuvre l’essentiel des mesures nécessaires ;
- Un modèle de registre ;
- Des modèles-type de mentions d’information ;
- Un formulaire de désignation du délégué à la protection des données ;
- Un formulaire de notification des violations de données personnelles ;
- Un formulaire de déclaration de la CNIL comme autorité chef de file pour les traitements de données transfrontaliers ;
- Un logiciel pour mener une analyse d’impact sur la protection des données (PIA) ;
- Les lignes directrices du G29
Le G29 (groupe des CNIL européennes) a déjà adopté plusieurs lignes directrices, qui assurent une compréhension et une interprétation communes des points clés du RGPD au niveau européen. Des lignes directrices relatives à l’autorité chef de file, au délégué à la protection des données, au droit à la portabilité et aux analyses d’impact relatives à la protection des données (AIPD), au profilage, à la notification des violations, ont déjà été adoptées.
- Des informations sur les transferts de données hors UE avec l’actualisation de la carte de la protection des données dans le monde ;
- Une information sur les droits des personnes.
La CNIL a décidé de maintenir temporairement accessibles sur son site ses différentes normes (autorisations uniques, normes simplifiées, dispenses, etc.), dans l’attente de l’élaboration de référentiels pleinement à jour au regard du RGPD, afin de permettre aux responsables de traitement de s’y référer en tant que de besoin, à titre d’éléments de doctrine.
Les outils à venir dans les mois qui viennent
- Concernant les analyses d’impact (publication en juin), la CNIL travaille à l’élaboration :
- De lignes directrices ;
- De la liste des traitements obligatoirement soumis à la réalisation d’une analyse d’impact ;
- De la liste des traitements pour lesquels, au contraire, aucune analyse n’est requise.
Ces listes permettront aux responsables de traitement concernés de savoir s’ils sont ou non soumis à cette obligation. Ces listes devront également être soumises au mécanisme de coopération européenne afin d’assurer une harmonisation de ces instruments au niveau européen.
- Des référentiels : ces nouveaux textes permettront à la CNIL de décliner, dans un secteur d’activité précis, les grands principes portés par le RGPD pour offrir un cadre juridique clair et sécurisé permettant aux responsables de traitement concernés. Ils s’appuieront sur la doctrine établie par la CNIL depuis de nombreuses années (autorisations uniques, normes simplifiées, packs de conformité, etc.) en l’actualisant au regard des nouvelles exigences issues du RGPD. Certains de ces référentiels seront portés par la CNIL au niveau européen.