Quelle formalité accomplir auprès de la CNIL ?

La règle

 

Jusqu'au 25 mai 2018 (date d'entrée en vigueur du règlement européen sur les données personnelles, dit « RGPD »), tout traitement de données à caractère personnel [?] doit, en principe, être porté  à la connaissance de la Commission Nationale de l'Informatique et des Libertés (CNIL).

 

 

Déclaration ou demande d'autorisation ?

 

  • Déclaration normale : procédure la plus courante lorsqu'aucune norme de référence ne peut s'appliquer. Il s'agit ici de déclarer la finalité du traitement, la nature des données traitées, la durée de conservation, les mesures de sécurité/confidentialité mises en place, l'existence d'un transfert hors de l'Union Européenne, etc.
  • Déclaration simplifiée : procédure par laquelle un acteur s'engage sur la conformité de son traitement par rapport à une norme de référence de la CNIL, lorsque le traitement concerné n'est pas susceptible de porter atteinte à la vie privée ou aux libertés. Ainsi par exemple, la norme simplifiée NS-048 concerne les traitements automatisés de données à caractère personnel relatifs à la gestion de clients et de prospects. Avant d'y adhérer, il est impératif de s'assurer que les conditions fixées correspondent à sa situation.
  • Demande d'autorisation : procédure qui s'applique principalement aux fichiers contenant des données susceptibles de menacer les droits et libertés des individus (ex : traitement de données médicales, traitement pouvant aboutir à l'exclusion de personnes du bénéfice d'un service, etc.). Ces traitements devant faire l'objet d'une demande d'autorisation sont visés par l'article 25 de de la loi du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés.

Dans tous les cas, ces formalités, qui n'ont aucun effet rétroactif, doivent être accomplies AVANT la mise en œuvre du traitement.

 

A compter de mai 2018, le système actuel va connaître des bouleversements puisque notamment l'obligation de déclaration préalable auprès de la CNIL sera supprimée. L'objectif du Règlement Européen sur la Protection des Données (RGPD) est de responsabiliser les entreprises en les obligeant désormais en interne à s'assurer qu'elles sont en conformité avec la législation en vigueur en matière de données personnelles.

Doyoono ?

Toute société a la possibilité de désigner un correspondant informatique et libertés (CIL) en son sein. La personne désignée comme CIL doit avoir reçu la formation afférente.

 

La présence d'un CIL au sein d'une structure exempte cette dernière des procédures de déclaration (simplifiée ou normale) mais pas des traitements relevant de la demande d'autorisation. En contrepartie, le CIL doit cependant identifier les traitements au sein de l'entreprise, les analyser, les mettre en conformité le cas échéant, et tenir un registre à cet effet.

 

A compter de 2018, le Règlement Européen sur la Protection des Données (RGPD) prévoit la nomination d'un Délégué à la Protection des Données (DPD).


Because yoonozelo

Lorsque vous collectez des données, pensez, avant la mise en œuvre du traitement, à faire les démarches afférentes auprès de la CNIL. A noter que les juges ont été amenés à considérer un fichier non déclaré comme illicite et donc sans valeur.


-->