L’entrée en application du Règlement général sur la protection des données (ci-après indifféremment désigné « RGPD » ou « Règlement ») [1] le 25 mai 2018 conduit à l’évolution du cadre juridique de la protection des données à caractère personnel. Elle emporte également un changement significatif de culture en la matière, la responsabilisation des acteurs étant au cœur du nouveau dispositif. Cette responsabilisation passe notamment par la mise en place d’analyses d’impact pour certains des traitements de données à caractère personnel mis en œuvre. Par la documentation interne de la conformité de ces traitements mais aussi, plus généralement, par la nécessité d’instaurer une véritable gouvernance de la conformité en matière de protection des données à caractère personnel.
Le Règlement place au cœur de cette gouvernance : un acteur clé
Le Délégué à la protection des données (DPO) [2]. Véritable chef d’orchestre de la conformité, le DPO bénéficie par définition d’une vision transversale des activités de l’entité qui l’a désignée. Ayant une mission à la fois de conseil et de contrôle, il n’est cependant pas décisionnaire des modalités de mise en œuvre d’un traitement. In fine, en cas de manquement au RGPD, c’est bien le responsable du traitement ou le sous-traitant, personne morale, pris en la personne de son représentant légal, qui sera susceptible d’être sanctionné par l’autorité de contrôle. Le Règlement ne prévoit en effet aucune sanction à l’encontre du DPO en cas de manquement constaté au sein de l’entité qui l’a désignée.
Le CIL : l’acteur légitime de la transition vers le RGPD
En France, les entités publiques et privées peuvent, depuis 2005, désigner auprès de la Commission nationale de l’informatique et des libertés (Cnil), un Correspondant à la protection des données, plus connu sous l’appellation « CIL ».
Cet acteur de la protection des données a fait son entrée dans le paysage français de la protection des données à la faveur de la transposition de la directive 95/46/CE du 24 octobre 1995. Le décret d’application de la loi n° 78-17 du 6 janvier 1978 [4] encadre juridiquement la désignation du CIL, ses missions et les modalités pour mettre un terme ses fonctions.
Si le DPO devient dans certains cas obligatoires, ce n’est pas le cas du CIL, dont la désignation est toujours facultative, tant pour les entités publiques que privées. Dès lors, certaines entités se sont abstenues de désigner officiellement un CIL auprès de la Cnil, tout en confiant à un collaborateur dédié, clairement identifié, certaines missions ayant trait à cette fonction (cartographie et analyse des traitements, mise en œuvre de contrôles des traitements, sensibilisations et accompagnement des demandes d’autorisation auprès de l’autorité de contrôle le cas échéant, etc.). Il a ainsi pu être fait référence à ce collaborateur comme « le faisant fonction de » CIL.
Les missions du CIL
Le CIL – ou le faisant fonction – a pour mission principale de veiller au respect de la réglementation applicable en matière de protection des données à caractère personnel. Dans cette perspective, les CIL et/ou les faisant fonction ont pu – en fonction des ressources qui leur ont été attribuées – d’ores et déjà instaurer un cadre, plus ou moins formalisé, visant à garantir la conformité de leur entité à cette réglementation. Ce cadre peut être constitué d’un ensemble de mesures diverses, à l’instar d’une procédure interne tendant à vérifier la conformité des traitements avant leur mise en œuvre ainsi qu’à tenir une liste à jour des traitements, une politique interne de protection des données ou encore un mode opératoire précis pour le traitement des demandes des personnes concernées.
Aussi, toute entité publique ou privée ayant entamé un processus d’intégration des exigences du RGPD pourra utilement exploiter ces mesures. En effet, le Règlement n’a pas vocation à imposer aux entités traitant des données à caractère personnel, à quelque titre que ce soit (qu’elles agissent en qualité de responsable du traitement, de sous-traitant ou de responsables conjoints), de faire « table rase » de leur conformité existante en matière de protection des données, mais bien de faire évoluer ce dispositif vers un « niveau élevé ».
La période transitoire offre donc aux CIL une occasion d’exploiter et de valoriser leur travail et leurs compétences.
L’importance du CIL ou du DPO : savoir tirer profit des outils de conformité existants
Pour les entreprises ne disposant pas aujourd’hui de CIL ni de collaborateur faisant fonction, identifier et impliquer dès à présent le futur DPO constitue une des actions prioritaires dans le processus de mise en conformité avec le Règlement.
Cette capitalisation s’illustre lors de la phase d’audit des traitements de données à caractère personnel. Le registre élaboré et tenu par le CIL peut être mis à profit afin d’analyser la conformité des traitements qui y sont portés et d’établir un plan d’actions en vue d’une mise en conformité avec le RGPD. Alternativement, ce registre peut aussi être utilisé comme point de comparaison, une fois la cartographie des traitements réalisée, dans le but d’identifier les écarts entre les traitements de données à caractère personnel portés à la connaissance du CIL et ceux effectivement mis en œuvre.
Par ailleurs, l’organisation interne en matière de protection des données mise en œuvre par le CIL, adaptée à la taille et aux besoins de son entité, peut être valorisée. Ainsi, les réseaux, qualifiés souvent de « réseaux informatiques et libertés » (RIL) et constitués de personnes relais identifiées dans les différentes directions, pourront prendre une part active dans les actions de mise en conformité. Ils exercent enfin un rôle clé dans la sensibilisation des collaborateurs amenés à traiter des données à caractère personnel.
Les procédures d’analyse des traitements de données à caractère personnel déjà en œuvre peuvent aussi être utilisées en les adaptant aux exigences du RGPD. À titre d’illustration, dans certaines entités, les échanges avec le CIL sont formalisés au moyen d’une fiche de recueil d’informations, mise à disposition des équipes métiers. C’est alors à partir des informations recueillies dans le cadre de cette fiche que le CIL formule une première analyse du traitement. Dans la perspective du Règlement, il conviendra de faire évoluer les éléments recueillis dans cette fiche afin d’y faire figurer les éléments permettant au futur DPO d’analyser la conformité au regard du nouveau cadre européen et de déterminer en particulier si une analyse d’impact doit être réalisée. Cette évolution du contenu des supports d’information s’accompagnera également d’une modification et, sans nul doute, d’une formalisation renforcée des modalités d’échanges en internes entre le futur DPO et les équipes métiers, dans la perspective du principe de responsabilisation (« accountability ») auxquels les organismes seront soumis.
Les procédures et guides pour la conformité au RGPD
Plus généralement, les procédures et guides élaborés à l’initiative ou avec la participation du CIL serviront de fond documentaire à la mise en conformité au Règlement général sur la protection des données. Ces procédures et guides peuvent avoir trait notamment aux traitements dans la sphère des ressources humaines, à l’information et à la gestion du consentement des clients et des prospects, à la politique de protection des données internes ou à destination du public, etc.
Il en va de même de la politique contractuelle en matière de protection des données à caractère personnel définie par le CIL ou en collaboration avec ce dernier. Les différentes clauses élaborées constituent un socle pertinent, qu’il conviendra de faire évoluer pour intégrer l’hypothèse de la responsabilité conjointe ainsi que les exigences nouvelles du Règlement général sur la protection des données (notamment la description détaillée des instructions afférentes au traitement confié au sous-traitant).
En conclusion, dans la mesure où le Règlement général sur la protection des données maintient les principes fondamentaux de la protection des données que nous connaissions déjà à l’ère de la directive 95/46/CE du 24 octobre 1995, les entités ayant désigné un CIL ou disposant d’un acteur dédié faisant fonction de CIL doivent s’inscrire dans une continuité certaine et s’appuyer sur le travail réalisé par ce dernier dans leurs actions de mise en conformité avec le RGPD.
