Le 20 septembre dernier, il a été publié au Journal Officiel deux délibérations de la CNIL du 13 juillet 2017 qui modifient les référentiels pour la délivrance de labels en matière de :
- Procédures de gouvernance tendant à assurer la protection des données.
- Formation relative à la protection des personnes à l’égard du traitement des données à caractère personnel.
Ces modifications sont apportées notamment afin d’adapter ces référentiels à l’entrée en application du règlement européen (2016/679 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ce données, communément dénommé sous l’acronyme “RGPD”).
I – Le label en matière de procédures de gouvernance “informatique & libertés”
Les labels actuels sont valables jusqu’au 25 mai 2018. Ensuite, il faudra obtenir un nouveau label dont la validité sera de trois ans.
Pour l’obtention de ces nouveaux labels, il faudra respecter les conditions suivantes :
- Avoir un délégué à la protection des données
- Présenter sa politique en matière de protection des données, au-regard des principes énoncés par le “RGPD”, notamment sur :
- La mise en œuvre de traitement licite ;
- Le respect des droits des personnes ;
- Les destinataires des données collectées ;
- Les mesures de sécurité des données.
- Porter à la connaissance des personnes concernées sa politique en la matière, et notamment, les informations ci-dessus dans un format concis, transparent, compréhensible et facilement accessible.
- Garantir que le délégué à la protection des données contrôle cette politique, et, quelle sera revue et actualisée si nécessaire “a minima” tous les trois ans.
Il est précisé ensuite dans le référentiel concerné les exigences relatives :
- Au délégué à la protection des données
- A l’analyse de la conformité
- Au contrôle de cette conformité dans le temps
- A l’évaluation de la gestion des réclamations et incidents
Vous pouvez consulter la délibération concernée ici.
II – Les labels en matière de formation relative à la protection des personnes à l’égard du traitement des données à caractère personnel
L’entrée en application du “RGPD”, le 25 mai 2018, oblige à la modification du référentiel de labellisation, afin de le mettre en conformité avec cette nouvelle réglementation.
Les labels actuels en matière de formation demeurent valides jusqu’à la date d’entrée en vigueur du “RGPD”. Les organismes qui souhaitent se mettre en conformité avec ce nouveau référentiel doivent présenter une nouvelle demande de label. Ces nouveaux labels seront délivrés pour une durée de trois ans.
Ce référentiel précise, notamment, les notions qui doivent être abordées dans la formation.
Consultez la délibération concernée ici.