RGPD J-43 : Les conseils de la CNIL dans cette période de transition

Par Amélie SZCZEPANSKI

 

Le 25 mai prochain, le règlement général sur la protection des données (RGPD) va s’appliquer après 2 ans de période d’adaptation. A quelques semaines de cette application, la question se pose de savoir comment l’appréhender. Doit-on à présent ne se conformer qu’au règlement européen ? Doit-on continuer à remplir les formalités exigées par la CNIL ? Sont-elles amenées à disparaître ? Comment vont se dérouler les contrôles ? Doit-on faire une analyse d’impact sur tous les traitements et dans quel délai ? La CNIL est venue répondre à ces questions à l’occasion d’une communication sur son site.

Quelles règles doit-on à présent appliquer ?

La CNIL conseille donc à tous les responsables de traitement de « privilégier dès à présent les actions de mise en conformité avec les règles de fond du RGPD et à préparer si nécessaire une analyse d’impact ». La CNIL annonce par ailleurs qu’il lui sera impossible de traiter les demandes d’autorisation en cours dans les délais. C’est pourquoi elle invite à ne plus déposer ces demandes et à appliquer le RGPD. Cela signifie se mettre en conformité avec ces exigences dès le départ, notamment en réalisant une analyse d’impact (PIA).

Quel délai pour l’analyse d’impact ?

A propos de l’analyse d’impact, la CNIL annonce une certaine souplesse pour les traitements dont l’engagement de conformité est déjà en cours. Il faut entendre par conformité les traitements ayant fait l’objet d’une déclaration auprès de la CNIL avec récépissé. Un délai de 3 ans est donc laissé à compter du 25 mai 2018, soit jusqu’au 25 mai 2021, pour réaliser une analyse d’impact sur les traitements à risque nécessitant une telle action.

En revanche, l’analyse d’impact doit être réalisée sans délai pour tous les autres cas, c’est-à-dire :

  • « pour les traitements antérieurs au 25 mai 2018 n’ayant pas fait l’objet de formalités préalables auprès de la CNIL ;
  • pour les traitements, antérieurs au 25 mai 2018 et régulièrement mis en œuvre, mais qui ont fait l’objet d’une modification substantielle depuis l’accomplissement de leur formalité préalable ;
  • pour tout nouveau traitement après le 25 mai 2018 ».

Quel changement pour les contrôles de la CNIL ?

En ce qui concerne les contrôles qu’effectuera la CNIL, aucun changement important n’est attendu. En effet, elle précise que les contrôles se feront toujours en ligne, sur pièce et/ou sur place. Qu’ils s’effectueront sur la base d’un programme annuel des contrôles, des plaintes reçues et des informations figurant dans les médias.

Dans les prochains mois, la CNIL apportera cependant une distinction sur 2 types d’obligations :

  • Le respect des principes fondamentaux,
  • le respect des nouvelles obligations et nouveaux droits.

Les principes fondamentaux restant principalement inchangés, la CNIL annonce qu’elle demandera un respect rigoureux de leur application et se montrera par conséquent relativement sévère dans le respect de ces principes.

En revanche, pour ce qui est des nouvelles obligations et nouveaux droits, la CNIL fera preuve d’une certaine bienveillance. Fidèle à sa ligne de conduite d’être avant tout un guide et une aide à la conformité plus qu’un organisme de sanction, les contrôles sur ces questions auront pour but « d’accompagner les organismes vers une bonne compréhension et la mise en œuvre opérationnelle des textes ». Bien entendu cet accompagnement n’existera qu’en présence de bonne foi et de coopération de la part du responsable de traitement contrôlé.

 


Actualité du Groupe


13 septembre 2018 : Apéro RGPD gratuit au Pathé Brumath le 11 octobre 2018
12 septembre 2018 : ActeCil anime une conférence RGPD gratuite en Martinique
12 septembre 2018 : L’édition 2018 du code de la protection des données vient de paraître !
12 septembre 2018 : La Minute RGDP : violation de données personnelles
12 septembre 2018 : Prélèvement de l’impôt à la source et RGPD : bénéficiez de l’expertise d’ActeCil !
12 septembre 2018 : Eviter une sanction après une mise en demeure, est-ce possible ?
9 août 2018 : NOUVEAU : In English ! La formation e-learning de sensibilisation des collaborateurs à la protection des données est disponible en anglais !
9 août 2018 : La Minute RGPD : La Vidéosurveillance au Travail
9 août 2018 : La CNIL a sanctionné l’OPH de Rennes
9 août 2018 : La problématique majeure du défaut d’information
accueil Blog Actu-CIL