RGPD : Comment la CNIL accompagne-t-elle les entreprises ?

Dans une longue actualité du 19 février, la Cnil précise son rôle dans le cadre de l'adaptation au RGPD.

Sous le titre "RGPD : comment la CNIL vous accompagne dans cette période transitoire ?", ce texte rappelle tout d'abord les grandes lignes du RGPD et signale les divers outils déjà mis à disposition par la Commission, outils que nous avons déjà signalés ici-même.

Les outils attendus

L'un des intérêts de ce texte est la partie intitulée "Outils à venir", dans laquelle la Cnil évoque enfin ses obligations légales, aux termes du Règlement européen, spécialement la liste des traitements nécessitant une analyse d'impact (article 35, point 4) et celle — facultative — des traitements ne nécessitant pas ce type d'analyse (article 35, point 5). Il est significatif de lire cette présentation sous la plume de la Cnil :
"Concernant les études d’impact, dans un souci de simplification, la CNIL travaille à l’élaboration de deux outils prévus par le RGPD : la liste des traitements obligatoirement soumis à analyse d’impact et la liste des traitements pour lesquels, au contraire, aucune analyse n’est requise."

On aurait aimé avoir des précisions sur les dates prévues pour la publication, au moins de la première liste, en principe avant le 25 mai puisqu'il ne s'agit pas d'un simple "souci de simplification" mais dans ce cas d'une obligation légale du RGPD.

Des référentiels remplaçant les normes et autorisations uniques

Il est également intéressant de noter que la Commission "prépare activement la rédaction de référentiels pour guider les professionnels dans leurs démarches de conformité. Ces référentiels seront issus des normes déjà adoptées par la CNIL dans les dernières années (autorisations uniques, normes simplifiées,  packs de conformité, etc.), sur lesquelles les organismes peuvent d’ores et déjà s’appuyer pour s’assurer que leurs traitements sont légaux. Ces référentiels, sectoriels pour certains, permettront aux professionnels de se prémunir contre des sanctions."

Une action en direction des TPE-PME

L'article nous apprend également que "Compte tenu de la complexité particulière du RGPD pour les petites et moyennes entreprises, la CNIL élabore, en partenariat avec la Banque publique d'investissement (BPI), un guide spécialement conçu pour elles. Le « pack TPE-PME » sera disponible dès mars 2018."

Les contrôles de la Cnil dans le cadre du RGPD

Sous le titre "Comment la CNIL contrôlera-t-elle le respect du RGPD à partir du 25 mai 2018 ?" l'article poursuit la présentation des actions de la Cnil dans les semaines et les mois qui viennent.

Des informations précieuses sur les contrôles sont ainsi fournies et nous renvoyons à leur lecture.

Quelles formalités préalables à partir du 25 mai 2018 ?

Sous ce titre, la Commission rappelle notamment que "les démarches des responsables de traitement doivent être centrées sur la mise en conformité aux règles essentielles du RGPD, qui sont applicables dès le 25 mai 2018." Elle évoque la période transitoire entre l'actuel régime des formalités préalables auprès de la Cnil qui pour la plupart disparaîtront au 25 mai et la nouvelle obligation d'analyse d'impact prévue par le RGPD (article 35). Des informations quant à la nécessité de conduire des analyses d'impact sur les traitements en cours sont également fournies ; le lecteur concerné en prendra connaissance avec profit.

En savoir plus

Consulter l'article du 19 février sur le site de la Cnil
https://www.cnil.fr/fr/rgpd-comment-la-cnil-vous-accompagne-dans-cette-periode-transitoire

Voir toutes nos actualités sur le RGPD.

Didier FROCHOT