8

1
8ème conférence de lAFAPDP Jeudi 25 juin
2015
2
Atelier Conformité des traitements quels
outils proposer ?

• Panorama des outils de conformité développés en
  France
• Sophie Nerbonne Directrice de la conformité

3
Au programme

• La CNIL la direction de la conformité
• Un acteur privilégié de la conformité le CIL
• Les outils spécifiques de la conformité
• Label
• RCE Francophones
• Packs de conformité

4
La CNIL et la direction de la conformité
5
Organisation de la CNIL en bref
6
La direction de la conformité

• Comprendre les besoins pour proposer des cadres
  sectoriels opérants
• Sortir dune vision/perception administrative
• Concertation pendant lélaboration des cadres de
  références
• Démarche pragmatique de régulation
• ?Interfaces dédiées pour les professionnels 4
  services sectoriels
• Aider les professionnels à valoriser les données
  qui leur sont confiées dans le respect du droit

7

• Un acteur privilégié de la conformité le CIL

8
Pourquoi désigner ?

• Désigner un CIL, cest dabord
• Une source de sécurité juridique et informatique
• Un gage de confiance  clé de voûte du numérique
• Un accès privilégié à la CNIL
• un avantage différenciant

9

• Le CIL un maillon essentiel de la conformité
• Le CIL doit être considéré comme une personne
   sage et avisée 
• Loyale envers le management
• Avec une liberté dorganisation

10

• Article 44 du décret
• Moins de 50 personnes une liberté de choix
• Salarié/agent de lorganisme ou du groupe
• Professionnel indépendant (avocat, expert
  comptable, consultant, )
• Plus de 50 personnes des choix limités
• Pour répondre aux besoins de proximité et de
  disponibilité, seul peut être désigné CIL
• Un salarié de lorganisme, du groupe ou du GIE
  dont lorganisme est membre
• Une personne mandatée à cet effet par un
  organisme professionnel (ex syndicat
  professionnel) ou par un organisme regroupant
  des responsables de traitements dun même secteur
  dactivité (ex EPCI, fédération dassociations,
  )
• La fonction de CIL peut aussi être mutualisée
  entre différents organismes
• Accompagnement du SCIL dans la démarche de
  mutualisation

11
Aider les CIL dans leur prise de fonction

• Se former
• Monter en compétence, se documenter et mettre en
  place une veille
• Recenser
• Identifier, analyser et classer les traitements
• Porter au registre
• Informer /sensibiliser
• Créer de la visibilité et rencontrer les
  opérationnels
• Organiser un réseau de relais interne
• Piloter
• Initier des procédures internes
• Formaliser la consultation du CIL dans les
  différentes instances de lorganisme

12

• Accompagner les CIL dans lexercice de leur
  fonction
• Conseiller les CIL
• Animer et fédérer le réseau des CIL désignés
• Renforcer la visibilité des CIL des différents
  dossiers traités par la CNIL

Focus objectifs Atelier
13
Lorganisation en réseau un avenir prometteur

• AFCDP multi-secteur - CIL et non CIL
• SUPCIL enseignement supérieur - CIL
• Club CIL de l Apronet collectivités
  territoriales - CIL

14
Quelques chiffres

• Le service des CIL a reçu en 2014
• près de 2600 demandes de conseils
• plus de 4800 appels
• Il a organisé plus de 35 ateliers par an et a
  reçu à cette occasion près de 1100 CIL en 2014.
• A ce jour
• Plus de 4200 CIL
• Plus de 15000 organismes ont désigné un CIL
  (secteur privé majoritaire)

15
Outils spécifiques de conformité label, RCE
francophones, packs de conformité sectoriels
16

• LABEL

17
Lintérêt du label

• Pour les organismes
• La possibilité de se distinguer en garantissant
  un haut niveau de protection des données.
• Pour les clients
• Indicateur de confiance leur permettant
  didentifier et de privilégier ceux qui
  garantissent un haut niveau de protection de
  leurs données personnelles.
• Pour la CNIL
• C'est un moyen d'encourager les organismes à
  adopter des pratiques respectueuses de la
  protection des données.
• gt Lobjectif de la labellisation est dattester
  de la qualité des produits et procédures. Elle ne
  doit pas pour autant aboutir à une
  standardisation des produits et procédures
  proposés sur le marché, les exigences peuvent
  donc être satisfaites par des programmes
  différents.

18
La procédure de labellisation un mécanisme en 2
temps

• 1) La création de référentiels une organisation
  professionnelle ou institution regroupant des
  responsables de traitement adresse à la
  Commission une demande de création de label
  relatif à des produits ou des procédures. Les
  référentiels sont ensuite proposés par le Comité
  de labellisation et adoptés en séance plénière
• 2) La demande dobtention dun label les
  demandeurs, indépendamment de leur appartenance à
  lorganisation professionnelle ayant sollicité la
  création du label, peuvent déposer une demande
  dhomologation individuelle.

19
Les référentiels définition

• une liste dexigences fixées par la Commission
  que doit satisfaire le produit ou la procédure
  pour obtenir le label
• Le demandeur peut démontrer par tous moyens que
  le produit ou la procédure satisfait ces
  exigences
• des exemples de questionnaires ou de scénarios
  dentretiens utilisés
• un descriptif dune méthode ou dune procédure
• un descriptif de logiciel daide à la décision ou
  de tout autre système expert informatisé
• des copies décran illustrant des contrôles
  informatiques ou organisationnels
• tout autre élément documenté. 

20
Référentiel la suite

• Reférentiel Formations
• Orientations
• Possibilité dauditionner les formateurs et
  dassister à une formation
• Des connaissances fondamentales obligatoires et
  des modules optionnels
• Exigences
• sur la méthode il sagit dévaluer lactivité
  de formation, c'est-à-dire les conditions dans
  lesquelles le contenu pédagogique est créé,
  délivré, mis à jour, etc.
• sur le contenu de la formation contenu
  pédagogique et notamment sa conformité à la
  lettre et à lesprit de la loi IL ( faire
  connaître et faire comprendre )

21
Conditions dutilisation

• Durée de validité du label 3 ans
• En cas de modification dans ce délai
• Information obligatoire de la Commission
• Évaluation du caractère substantiel ou non de la
  modification
• Si modification substantielle, nécessité dune
  nouvelle délibération
• Renouvellement
• au moins 6 mois avant expiration (même formalisme
  que la demande)
• Publicité
• Délivrance, retrait, reconduction sont publics
• Liste des produits et procédures labellisés sur
  le site de la CNIL

22
Focus - Label gouvernance IL

• Pour les organismes
• Valoriser les dispositifs mis en place en les
  faisant connaître de tous atout compétitif
  privacy by design
• Bénéficier des atouts de la conformité
• Pour les clients
• Indicateur de confiance leur permettant
  didentifier et de privilégier ceux qui
  garantissent un haut niveau de protection de
  leurs données personnelles.
• Pour la CNIL
• C'est un moyen d'encourager les organismes à
  adopter des pratiques respectueuses de la
  protection des données.

23
Référentiel Gouvernance

• Définition
• Gouvernance Informatique et Libertés
  gouvernance des données à caractère personnel
  définissant les règles et bonnes pratiques
  permettant la gestion de ces données et précisant
  les responsabilités de chacun
• Des orientations claires
• Sadresse aux organismes disposant dun CIL
• Peut servir au CIL comme mode demploi ou guide
  des procédures respectueux des principes
  Informatique et Libertés
• Constitue un véritable outil permettant de
  responsabiliser les organismes privés comme
  publics les sensibilise déjà à certaines règles
  du futur règlement européen (cartographie des
  traitements, notification des accès par tiers non
  autorisés)

24
Exigences label gouvernance

• 25 exigences à satisfaire
• Organisation interne liée à la protection des
  données politique de protection des données
  CIL
• Méthode de vérification de la conformité des
  traitements à la loi Informatique et Libertés
  analyse de la conformité contrôle de la
  conformité dans le temps
• Gestion des réclamations et incidents
  réclamations et exercices des droits des
  personnes journalisation des événements de
  sécurité gestion des violations de données

25

• RCE Francophones

26
Définition du concept de RCE

• Code de conduite définissant la politique globale
  dun groupe dentreprises en matière de
  transferts de données personnelles opérés
• au sein de lespace francophone et/ou
• en-dehors de lespace francophone.
• Outil de conformité qui permet dencadrer les
  transferts de données au sein de groupes
  internationaux.
• Particulièrement adapté aux multinationales qui
  effectuent des transferts massifs et répétés de
  données personnelles.
• 26

SOPHIE NERBONNE AFPDP 25 juin 2015
27

Pourquoi adopter des RCEF ?
Filiale Chine
Filiale Mali
Filiale Brésil
Filiale Albanie
Filiale Gabon
Filiale Mexique
Maison mère France
Filiale Espagne
Filiale Inde
Filiale Maroc
Filiale Suisse
Filiale USA
Filiale Burkina Faso
27
SOPHIE NERBONNE AFPDP 25 juin 2015
28
Protection par une seule politique groupe de
multiples données transférées
Filiale Chine
Filiale Brésil
Filiale Mali
Filiale Albanie
Filiale Gabon
Filiale Espagne
Filiale Mexique
Maison mère France
Filiale Burkina Faso
Filiale Maroc
Filiale USA
Filiale Inde
Filiale Suisse
SOPHIE NERBONNE AFPDP 25 juin 2015
29
Quels sont les objectifs des RCEF ?

• Assurer un même niveau de protection des données
  transférées au sein du groupe,
• Eviter de conclure un contrat pour chacun des
  transferts,
• Uniformiser les pratiques relatives à la
  protection des données personnelles au sein dun
  groupe,
• Gagner du temps en bénéficiant dune procédure
  dinstruction conjointe des projets de RCEF et
  une coopération renforcée entre autorités,
• Offrir aux personnes concernées des garanties,
  notamment en cas de violation des RCEF,
• Prévenir les risques inhérents aux transferts de
  données personnelles,
• Communiquer sur la politique dentreprise en
  matière de protection des données personnelles,
• Constituer un guide interne en matière de gestion
  des données personnelles.

SOPHIE NERBONNE AFPDP 25 juin 2015
30
Contenu quels sont les documents de référence?

• Documents adoptés par lAFAPDP
• Référentiel définissant les standards minimaux
  devant être respectés par tous transferts de
  données opérés dans le cadre de lespace
  francophone (Annexe A de la résolution relative
  aux RCE, adoptée le 22 nov. 2013, version du 6
  fév. 2014),
• Protocole de coopération entre autorités
  francophones de protection des données à
  caractère personnel (adopté le 22 nov. 2013),
• FAQ pour les entreprises (version décembre 2014).

SOPHIE NERBONNE AFPDP 25 juin 2015
31
Eléments et principes devant figurer dans les
RCEF
SOPHIE NERBONNE AFPDP 25 juin 2015
32
Quel est le rôle des autorités ?

• Premier contact
• Evaluation du besoin de mettre en place des RCEF
  
• Evaluation du choix de lAPD point de contact
• Définition dune feuille de route
• Présentation des documents de référence sur les
  RCEF.
• Rédaction par le candidat évaluation par lAPD
  point de contact
• Assistance et discussions
• Evaluation au regard du référentiel et des FAQ
  adoptés par lAFAPDP
• Relais et coordination avec les autres autorités
  francophones concernées.

SOPHIE NERBONNE AFPDP 25 juin 2015
33
Procédure dapprobation par les APD
SOPHIE NERBONNE AFPDP 25 juin 2015
34
Parallèle avec les BCR

• 2003 début de laventure BCR
• 2005 1er BCR adopté
• 2008 référentiels clés sur les BCR adoptés par
  le G29
• 2012 reconnaissance explicite des BCR dans le
  projet de règlement de la CE sur la protection
  des données personnelles
• 2012/2013 référentiels clés sur les BCR
   sous-traitant  adoptés par le G29
• Avril 2014 création dun pôle BCR/RCEF à la
  CNIL
• Au 22.06.2015 69 groupes ont adopté des BCR
• Les exigences des RCEF sont communes à celles des
  BCR (WP154 adopté par le G29) un groupe qui a
  déjà mis en place des RCEF pourrait voir ses BCR
  approuvées plus facilement par les APD
  européennes (et inversement)

SOPHIE NERBONNE AFPDP 25 juin 2015
35
Pack de conformité

• 35

SOPHIE NERBONNE AFPDP 25 juin 2015
36
Doctrine actuelle de la CNIL

• Délibérations
• Recommandations
• Dispenses
• Autorisations uniques
• Norme simplifiée
• Acte règlementaire unique ou avis sur acte
  règlementaire unique
• Méthodologie de référence
• ? Les packs de conformité une nouvelle
  approche

37
Rappel régime de formalités
Dispense de formalité
Déclaration normale (Art. 22-I)
Demande davis (Art. 26 et 27)
Demande dautorisation (Art. 25, Chap. IX et X)
Les simplifications associées
2 cas possibles
Par la loi ou un texte spécial Ex. art. 22-II
Déclaration simplifiée (Art.24-I)
Avis sur acte réglementaire unique (Art. 26-IV
et 27-III)
Autorisation unique (Art.25-II)
Par la CNIL (Art. 24-II)
Déclaration unique (pour un même
organisme) (Arti.23-II)
Méthodologie de référence (Chap. IX, art. 54 al.
5)
Désignation dun CIL Dispense de formalité
(Art. 22-III) Inscription au registre
Accomplissement dune formalité auprès de la
CNIL
38

• Les packs de conformité un nouvel outil de
  régulation
• Les packs de conformité sont des outils pratiques
  permettant daccompagner la conformité des
  organismes. Elaborés en concertation avec les
  acteurs dun secteur dactivité, ces packs
  représentent un nouveau mode de régulation pour
  la CNIL et peuvent contenir
• Des mesures de simplification des formalités
  (autorisations uniques et/ou normes simplifiées),
• Des guides pratiques et pédagogiques,
• Des tests de vérifications de conformité à la loi
  (en cours).
• Exemples de packs de conformité assurances,
  compteurs communicants, logement social. Pour
  2015, deux projets de packs de conformité
  (secteur social et secteur bancaire)

39
Vers un site portail pour les professionnels

• Guides et fiches pratiques
• Par métier
• Par secteur
• Par pratique (sécurité, etc)

40
Merci de votre attentionPlace aux
questionsne pas diffuser ce document sans
autorisation expresse de son auteur
SOPHIE NERBONNE AFPDP 25 juin 2015
40