Données personnelles : un label CNIL pour la gouvernance responsable
La CNIL délivrera une certification « Gouvernance Informatique et Libertés » aux entreprises candidates qui répondront à ses exigences en matière de gestion des données.
Mettre en place une politique formalisée de protection des données personnelles, réaliser une cartographie de l’ensemble des traitements mis en oeuvre et disposer de procédures spécifiques de gestion des incidents : voilà quelques-unes des conditions à remplir pour bénéficier du label « Gouvernance Informatique et Libertés ».
La CNIL est à l’origine de cette nouvelle certification qui doit permettre aux entreprises et organismes publics de démontrer la conformité de leurs opérations vis-à-vis de la loi du 6 janvier 1978 modifiée. Ne pourront toutefois en bénéficier que les structures disposant d’un correspondant Informatique et Libertés (CIL). Cette personne physique ou morale, interne ou externe à l’organisme demandeur, éventuellement mutualisée avec d’autres, est chargée de faire l’intermédiaire avec la CNIL.
En premier lieu, il conviendra de renseigner quelques éléments administratifs via le formulaire dédié (document RTF, 19 pages). Le demandeur doit ensuite se soumettre à l’évaluation de sa procédure de gouvernance des données personnelles. Cette démarche est effectuée au regard de 25 exigences classées en trois thématiques : organisation interne en matière de protection de l’information, contrôle de la conformité des traitements vis-à-vis de la loi Informatiques et Libertés, gestion des réclamations et de l’exercice du droit des personnes.
Le demandeur devra notamment s’assurer d’avoir instauré, en interne, une politique formalisée de protection des données personnelles visant à s’assurer du rôle et de la responsabilité de chacun des acteurs impliqués dans la mise en oeuvre de traitements. Il s’agira d’évaluer la pertinence des données au regard de la finalité, de limiter la durée de conservation, de restreindre les accès, d’adopter des mesures de sécurité physiques et logiques, d’informer les personnes ou encore de définir, le cas échéant, des règles en matière de transfert des données hors de l’Union européenne.
Le tout devra être accessible, formulé clairement et disponible en langue française. Même exigence pour la politique à destination des personnes extérieures concernées par les traitements. L’entreprise (ou l’organisme public) devra aussi faire en sorte que les politiques soient diffusées et validées préalablement par le CIL à chaque nouvelle désignation – à défaut, tous les trois ans.
Dans les yeux du CIL
Certaines exigences inscrites au référentiel d’évaluation sont relatives au CIL. La fonction devra notamment être rattachée à un membre de l’instance exécutive, lequel sera reçu formellement au moins une fois par an, indépendamment de la présentation du bilan annuel d’activité. Les missions qui lui sont confiées devront par ailleurs être formalisées dans un document spécifique.
Il appartiendra également au demandeur de s’assurer que le CIL ait participé à l’ensemble des ateliers d’information de la CNIL relatifs aux principes fondamentaux, à la sécurité et aux RH. Des compétences qui seront « régulièrement entretenues ». Le CIL bénéficiera aussi d’un budget annuel dédié et de moyens « lui permettant d’assurer ses missions ». Il pilotera la mise en conformité et sera inclus dans des circuits de validation pour l’ensemble des activités liées à la protection des données.
Le CIL aura aussi soin de réaliser une cartographie de l’ensemble des traitements mis en oeuvre : nom et adresse du responsable, finalité, service(s) chargé(s) de la mise en oeuvre, catégorie des données traitées et origine de leur collecte, destinataire habilités à les recevoir, durée de conservation, existence ou non de la sous-traitance d’une activité…
Il incombera enfin au CIL de réaliser des actions de sensibilisation « avec une forme et une fréquence adaptées au contextes ». Il sera également associé aux échanges avec la CNIL lors de ses missions de contrôle a posteriori. Pour une inspection, il facilitera le déroulement de la mission ; pour une mise en demeure, il veillera à la cohérence des actions correctives ; pour des poursuites, il contribuera à la rédaction des observations et s’assurera du suivi des actions.
Transparence et traçabilité
La CNIL a également des exigences relatives à l’analyse de la conformité des traitements vis-à-vis de la loi Informatique et Libertés. Cette dernière constituera le référentiel à partir duquel le CIL devra mener ou faire conduire ses analyses. Au moins une fois tous les trois ans, l’organisme demandeur devra mener une démarche particulière pour préserver la confidentialité, l’intégrité et la disponibilité des données à caractère personnel au regard des risques présentés par chaque traitement mis en oeuvre.
Sur le volet des réclamations, une procédure spécifique de gestion (accès, rectification, opposition) est nécessaire. Elle comprendra a minima les modalités d’exercice, la chaîne de traitement et les délais de communication, avec des outils d’aide à la gestion des demandes et réclamations. Le tout s’assortira d’une architecture de journalisation permettant de conserver, sur une durée de 6 mois hors contraintes légales spécifiques, une trace des événements de sécurité au moment où ils ont eu lieu.
Le CIL aura aussi à sa charge une procédure spécifique de gestion des violations de données : détection, information du CIL en moins de 24 heures, détermination de la nature de l’incident, formulation de recommandations et transmission au responsable de traitement, plan d’actions appropriées, réalisation des actions correctives… et révision de l’étude des risques le cas échéant.
—— A voir aussi ——
Quiz ITespresso.fr : maîtrisez-vous vos informations personnelles sur Internet ?
Crédit illustration : kentoh – Shutterstock.com