4. Risques de malveillance 4.1. Généralités 4.1.3. Informatique et libertés

Délibération n° 2017-219 du 13 juillet 2017 portant modification du référentiel pour la délivrance de labels en matière de procédures de gouvernance tendant à assurer la protection des données 

NOR: CNIL1726150X

La Commission nationale de l'informatique et des libertés,

• Vu la Convention n° 108 du Conseil de l'Europe pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel ;
• Vu le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE ;
• Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l'informatique, aux fichiers et aux libertés, notamment son article 11-3° c) ;
• Vu le décret n° 2005-1309 du 20 octobre 2005 modifié pris pour l'application de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés ;
• Vu la délibération n° 2013-175 du 4 juillet 2013 portant adoption du règlement intérieur de la CNIL, notamment ses articles 32 et suivants ;
• Vu la délibération n° 2014-500 du 11 décembre 2014 portant adoption d'un référentiel pour la délivrance de labels en matière de procédures de gouvernance Informatique et Libertés ;

Après avoir entendu M. Maurice RONAI, commissaire, président du Comité de labellisation, en son rapport et Mme Nacima BELKACEM, commissaire du Gouvernement, en ses observations,

Formule les observations suivantes :
L'article 11-3° c) de la loi du 6 janvier 1978 modifiée dispose que la CNIL « délivre un label à des produits ou à des procédures tendant à la protection des personnes à l'égard du traitement des données à caractère personnel ».
Depuis le 11 décembre 2014, la Commission peut délivrer des labels en matière de procédures de gouvernance Informatique et Libertés.
Or, à l'entrée en application du règlement européen, le 25 mai 2018, le référentiel de labellisation ne sera plus en conformité avec la règlementation en vigueur.
Aussi, pour pouvoir continuer à délivrer un label conforme aux règles applicables en matière de protection des données, la commission a décidé de faire évoluer dès à présent son référentiel pour prendre en compte les dispositions du règlement européen.
Par conséquent, la présente délibération fixe le référentiel modifié d'évaluation des procédures de gouvernance tendant à la protection des personnes à l'égard du traitement des données à caractère personnel.
Décide
De l'adoption du référentiel annexé à la présente délibération permettant l'évaluation des demandes de label relatives aux procédures de gouvernance tendant à assurer la protection des données au sein des organismes.
Cette délibération abroge la délibération n° 2014-500 du 11 décembre 2014 portant adoption d'un référentiel pour la délivrance de labels en matière de procédures de gouvernance Informatique et Libertés.
Les labels en matière de procédure de gouvernance Informatique et Libertés délivrés au regard de la délibération du 11 décembre 2014 restent valides jusqu'au 25 mai 2018. Les organismes titulaires de ces labels souhaitant mettre leur procédure en conformité avec le référentiel annexé à la présente délibération doivent présenter une nouvelle demande de label. Celui-ci pourra leur être délivré pour une durée de trois ans.
Cette délibération sera publiée au Journal officiel de la République française.

La Présidente,
I. Falque-Pierrotin

ANNEXE
RÉFÉRENTIEL AUX FINS DE LABELLISATION DES PROCÉDURES DE GOUVERNANCE TENDANT À LA PROTECTION DES DONNÉES

Le demandeur, candidat au label, peut être un organisme privé ou public. Il doit disposer obligatoirement d'un délégué à la protection des données qui peut être une personne physique ou personne morale, interne ou externe à l'organisme demandeur, mutualisé avec d'autres ou non.
Dans le référentiel ci-après, le demandeur s'entend indifféremment - sauf précision contraire - comme responsable de traitement ou sous-traitant.

1. Evaluation du dispositif interne lié à la protection des données
1.1. Exigences relatives à la politique de protection des données

EOR01. Le demandeur met en place en interne une politique appropriée en matière de protection des données.
Cette politique comprend l'ensemble des principes nécessaires pour garantir la mise en œuvre de traitements équitables et transparents, compte tenu des circonstances particulières et du contexte dans lesquels les données à caractère personnel sont traitées.
Cette politique indique les coordonnées du demandeur, celles du délégué à la protection des données (1), ainsi que les engagements du demandeur concernant le respect des principes énoncés par le règlement européen général sur la protection des données (2), au regard notamment :

 

• de la mise en œuvre de traitements licites ;
• du respect des droits des personnes ;
• des éventuels transferts vers un pays tiers ;
• des destinataires des données collectées ;
• de la durée de conservation des données collectées ;
• des mesures de sécurité des données.

EOR02. Le demandeur porte à la connaissance des personnes extérieures concernées par ses traitements sa politique en matière de protection des données et ce dans un format concis, transparent, compréhensible et aisément accessible.
Cette politique comprend toute information nécessaire pour garantir la mise en œuvre de traitements équitables et transparents, compte tenu des circonstances particulières et du contexte dans lesquels les données à caractère personnel sont traitées.
Cette politique indique les coordonnées du demandeur, celles du délégué à la protection des données, ainsi que les engagements du demandeur concernant le respect des principes énoncés par le règlement européen général sur la protection des données, au regard notamment :

 

• de la mise en œuvre de traitements licites ;
• du respect des droits des personnes ;
• des éventuels transferts vers un pays tiers ;
• des destinataires des données collectées ;
• de la durée de conservation des données collectées ;
• des mesures de sécurité des données.

EOR03. Le demandeur garantit que le délégué à la protection des données contrôle le respect des politiques mises en place en matière de protection des données. Ces politiques sont réexaminées et actualisées si nécessaire, a minima tous les trois ans.

1.2. Exigences relatives au délégué à la protection des données

EOR04. Le demandeur a désigné un délégué pour l'ensemble des traitements mis en œuvre par l'organisme.
EOR05. Le demandeur prévoit que le délégué fait rapport directement au niveau le plus élevé de la direction de l'organisme.
EOR06. Le demandeur précise clairement l'étendue des missions du délégué dans une lettre de mission ou dans un contrat.
EOR07. Le demandeur s'assure que le délégué désigné dispose au moment de sa désignation des qualités professionnelles, connaissances juridiques spécialisées et pratiques en matière de protection des données requises.
EOR08. Le demandeur justifie comment permettre au délégué d'entretenir ses connaissances spécialisées.
EOR09. Le demandeur justifie les ressources nécessaires et les conditions de travail fournies au délégué pour qu'il exerce ses missions.
EOR10. Le demandeur s'assure que le délégué pilote la mise en conformité des traitements, dès leur conception et par défaut, et qu'il est associé systématiquement et en amont des réflexions sur toutes les questions relatives à la protection des données.
EOR11. Le responsable de traitement et, si nécessaire, le représentant du responsable de traitement tiennent, ou peuvent faire tenir par le délégué à la protection des données, un registre des activités de traitement, comprenant, a minima par traitement :

 

• nom et coordonnées du responsable de traitement et le cas échéant du responsable conjoint du traitement, du représentant du responsable de traitement et du délégué ;
• la ou les finalités du traitement ;
• une description des catégories de personnes concernées ;
• une description des catégories de données à caractère personnel ;
• la durée de conservation associée à chaque catégorie de données ;
• les catégories de destinataires, y compris les destinataires dans des pays tiers ou des organisations internationales ;
• les transferts de données à caractère personnel vers un pays tiers ou une organisation internationale (y compris leur identification) ainsi que les documents attestant de l'existence de garanties appropriées, conformément à l'article 49 paragraphe 1, 2ème alinéa du RGPD ;
• une description des mesures de sécurité techniques et organisationnelles (cf. article 32, paragraphe 1) ;
• l'existence ou non d'une sous-traitance (avec contrat de sous-traitance ou autre acte juridique définissant l'objet et la durée du traitement, la nature et la finalité du traitement, le type de données à caractère personnel et les catégories de personnes concernées, et les obligations et droits du responsable de traitement).

OU, si la demande est formulée par le sous-traitant :

• nom et coordonnées du (ou des) sous-traitant (s) et de chaque responsable de traitement pour lequel le sous-traitant agit, ainsi que, le cas échéant, les noms et coordonnées du représentant du responsable de traitement ou du sous-traitant et du délégué ;
• les catégories de traitements effectués pour le compte de chaque responsable du traitement ;
• les transferts de données à caractère personnel vers un pays tiers ou une organisation internationale (y compris leur identification) ainsi que les documents attestant de l'existence de garanties appropriées, conformément à l'article 49 paragraphe 1, 2ème alinéa du RGPD ;
• une description des mesures de sécurité techniques et organisationnelles.

EOR12. Le demandeur justifie comment le délégué l'informe et le conseille, ainsi que les employés procédant au traitement, en matière de protection des données à caractère personnel.
EOR13. Le demandeur s'assure que le délégué est le point de contact avec l'autorité de contrôle, et qu'il coopère avec cette dernière.

2. Evaluation de la méthode de vérification de la conformité des traitements à la loi Informatique et Libertés et au règlement européen à la protection des données.
2.1. Exigences relatives à l'analyse de la conformité

EM01. Le délégué analyse les projets de traitements et les traitements en termes :

• de finalité du traitement ;
• de proportionnalité du traitement au regard de la finalité ;
• de minimisation des données collectées au regard de la finalité ;
• de licéité du traitement ;
• de sécurité des données collectées ;
• de durée de conservation des données collectées ;
• de destinataires des données collectées ;
• d'encadrement des relations avec les sous-traitants ;
• d'information claire et préalable des personnes concernées ;
• de conditions d'exercice des droits des personnes ;
• et le cas échéant d'encadrement des transferts de données hors Union européenne.

Le demandeur veille à documenter la manière dont ces principes sont respectés pour chaque traitement.
EM02. L'analyse effectuée permet d'identifier les traitements susceptibles d'engendrer un risque élevé pour les droits et libertés des personnes concernées, pour lesquels il est nécessaire de réaliser une analyse d'impact relative à la protection des données.
L'analyse d'impact relative à la protection des données comprend a minima :

• une description systématique des opérations de traitement envisagées et des finalités, y compris l'intérêt légitime poursuivi ;
• une évaluation de la nécessité et de la proportionnalité des opérations de traitements au regard des finalités ;
• une évaluation des risques pour les droits et libertés des personnes concernées ;
• les mesures envisagées pour faire face aux risques, y compris les garanties, mesures et mécanismes de sécurité visant à assurer la protection des données à caractère personnel et à apporter la preuve du respect du RGPD, compte tenu des droits et des intérêts légitimes des personnes concernées et des autres personnes affectées.

La procédure du demandeur prévoit la possibilité de demander l'avis des personnes concernées.
EM03. L'analyse effectuée par le demandeur permet de déterminer les mesures techniques et organisationnelles adaptées au risque présenté par le traitement pour les personnes concernées.
EM04. La procédure du demandeur encadre le recours à des sous-traitants dans la mise en œuvre des traitements. A ce titre, elle impose le recours à un contrat définissant l'objet, la durée du traitement, la nature et la finalité du traitement, le type de données à caractère personnel et les catégories de personnes concernées, et les obligations et droits du demandeur. Le contrat respecte les prescriptions de l'article 28 du RGPD.
La procédure du demandeur permet d'assurer que le sous-traitant auquel il recourt :

• présente des garanties suffisantes concernant la mise en œuvre de mesures techniques et organisationnelles adaptées afin que le traitement réponde aux exigences du RGPD et garantisse la protection des droits des personnes ;
• recourt lui-même à un sous-traitant uniquement avec autorisation préalable du responsable de traitement.

EM05. La procédure du demandeur prévoit la réalisation d'une analyse permettant de déterminer les mesures techniques et organisationnelles adaptées au risque présenté par le traitement pour les personnes concernées.
EM06. La procédure du demandeur prévoit que le délégué est consulté pour toute analyse d'impact et qu'il vérifie son exécution. Le délégué peut dispenser des conseils au responsable du traitement. Si ce dernier ne suit pas les observations formulées, la documentation de l'analyse d'impact relative à la protection des données doit en mentionner la raison.

2.2. Exigences relatives à l'analyse de la conformité dans le temps

EM07. La procédure du demandeur prévoit que les mesures techniques, organisationnelles et de mise en conformité, visées aux exigences EM01 et EM03, sont régulièrement testées, analysées et évaluées, afin de vérifier leur efficacité.
EM08. La procédure du demandeur (responsable de traitement) prévoit un examen régulier de la conformité du traitement au regard de l'analyse d'impact visée à l'exigence EM01, et a minima lorsqu'il y a modification du risque présenté par l'opération de traitement.
EM09. La procédure du demandeur prévoit que les mesures correctives adoptées en cas de manquement constaté lors de l'examen de conformité sont documentées et régulièrement mises à jour.

3. Evaluation de la gestion des réclamations et incidents
3.1. Exigences relatives à la gestion des réclamations et à l'exercice des droits des personnes

EG01. Le demandeur met en place une procédure facilitant l'exercice des droits des personnes (droit d'accès, de rectification, d'effacement, de limitation du traitement, à la portabilité, de définir le sort de ses données après son décès), comprenant, conformément à l'article 12 du RGPD et a minima les modalités :

 

• d'identification/authentification de la personne concernée exerçant ses droits ;
• permettant de respecter les délais de réponse.

EG02. La procédure du demandeur prévoit que le délégué, en tant que point de contact des personnes concernées, pilote la gestion des demandes des personnes concernées relatives au traitement de leurs données et à l'exercice de leurs droits.

3.2. Exigences relatives à la gestion des violations de données

EG03. Le demandeur (responsable de traitement) met en place une procédure de notification d'une violation de données à caractère personnel à l'autorité de contrôle compétente, si possible dans les 72 heures après en avoir pris connaissance.
Si le demandeur est sous-traitant, celui-ci doit notifier au responsable de traitement dans les meilleurs délais après en avoir pris connaissance.
La notification à l'autorité compétente doit comporter a minima :

• la nature de la violation ;
• les catégories et nombre de personnes concernées par la violation ;
• les catégories et nombre approximatif d'enregistrements de données à caractère personnel concernés ;
• le nom et les coordonnées du délégué ;
• les conséquences probables de la violation de données ;
• ainsi que les mesures prises et/ou à prendre pour remédier ou atténuer les éventuelles conséquences négatives.

EG04. Le demandeur met en place une procédure permettant, en cas de violation de données à caractère personnel susceptible d'engendrer un risque élevé pour les droits et libertés d'une personne physique, d'en informer les personnes concernées dans les meilleurs délais.
Cette information doit comporter a minima :

• la nature de la violation ;
• le nom et les coordonnées du délégué ;
• les conséquences probables de la violation de données ;
• ainsi que les mesures prises ou qui vont l'être pour remédier ou atténuer les éventuelles conséquences négatives.

(1) Ci-après « le délégué ».
(2) Ci-après « RGPD ».

Source Légifrance