La CNIL publie sa charte d'accompagnement des professionnels
19.02.2021
La CNIL a publié, le 12 février 2021, une charte d'accompagnement à destination des professionnels. L'occasion pour l'autorité administrative d'afficher sa politique en la matière et de rappeler les limites de son action.
Aux termes de l’article 8 de la Loi « Informatique et Libertés » la CNIL a notamment pour mission de “conseiller les organismes qui envisagent de mettre en œuvre des traitements automatisés de données à caractère personnel".
Avec l'entrée en vigueur du RGPD (Règlement général sur la protection des données) en 2018, les obligations des professionnels au regard de la conformité en matière de protection des données à caractère personnel ont été renforcées, et leurs attentes en termes d’accompagnement sont mécaniquement plus importantes.
Conformément à cette mission d'accompagnement qui est la sienne, la CNIL a donc publié, le 12 février dernier, une charte d’accompagnement des professionnels (la « Charte »), qui détaille sa politique d’accompagnement. Cette Charte s’adresse aussi bien aux responsables de traitement qu'à leurs sous-traitants et à leurs fournisseurs techniques.
La Charte explique que l’accompagnement de la CNIL s’exerce à trois niveaux :
un accompagnement général ;
un accompagnement sectoriel ;
un accompagnement individuel.
L’accompagnement général et sectoriel se traduit par la publication d'instruments dits « de droit souple » et d’informations disponibles sur le site de la CNIL. Il se caractérise également par une collaboration avec des « têtes de réseaux » afin de faciliter l'application du RGPD ainsi que sa compréhension.
En effet, la CNIL s'appuie sur les fédérations professionnelles et sur des groupes d'intérêt pour déployer ses instruments d’accompagnement. Elle entend encourager les secteurs les moins ouverts au dialogue à faire appel à ses services.
Pour rassurer, la Commission promet un « équilibre » entre accompagnement et répression. Elle met ainsi en avant l'organisation de « clubs de conformité », permettant un échange libre sur les problématiques identifiées par les professionnels.
La CNIL accompagne également les professionnels, de manière individuelle, par la mise à disposition d’une permanence téléphonique.
Toutefois, elle rappelle que c’est aux professionnels de s’occuper de la conformité des traitements qu’ils mettent en œuvre et de déployer les moyens de conformité en internes, la CNIL n’ayant pas vocation à combler le manque de ressources des entreprises en la matière.
L’autorité administrative limite ainsi le service d’information et de conseils personnalisés aux cas où le DPO ou le conseil juridique de l’organisme n’est pas en mesure de répondre à la problématique posée, la priorité étant donnée aux demandes d’un collectif sectoriel ou alors présentant un intérêt particulier (sociétal, économique ou bien technologique par exemple).
La CNIL entend ainsi rappeler aux entreprises leurs responsabilités et limiter sa fonction de conseil individuel. Faire appel à la CNIL ne garantit donc pas contre le risque de sanction.
La CNIL profite également de cette Charte pour faire la promotion de ses méthodes « modernes et efficaces » (par exemple le bac à sable réglementaire, une collecte décentralisée d'information ainsi que le recours à des expérimentations) et rappelle qu’elle met à la disposition des professionnels des outils tels que des formations, des outils de conformité aux nouvelles obligations imposées par le RGPD ou encore, pour les « start-up », une stratégie adaptée.
En conclusion, si la CNIL est là pour accompagner les entreprises dans leur mise en conformité au RGPD, c’est bien à ces dernières de déployer, en interne, et via leur délégué à la protection des données, direction de la compliance, juristes dédiés ou conseils externes, les ressources permettant d’assurer de cette conformité.