En jouant la carte de l’Open Data, la CNIL publie la liste intégrale des formalités préalables effectuées auprès d’elle depuis 1979, ce qui devrait faciliter une partie des audits de conformité à la GDPR en permettant de reprendre l’historique des déclarations à l’autorité administrative.
Bien qu’ayant bénéficiée d’une forte couverture professionnelle et médiatique qui permet aujourd’hui d’affirmer que quasi toutes les entreprises sont informées de la GDPR (RGPD, le nouveau Règlement Général Européen sur la Protection des Données Personnelles) et de sa date butoir du 25 mai 2018, seulement 6 entreprises sur 10 déclarent qu’elles seront prêtes à son échéance (lire « Nouveau point sur la GDPR, 6 entreprises sur 10 ne sont pas prêtes »).
La CNIL publie les déclarations préalables en Open Data
Pour aider les entreprises à se préparer, la CNIL (Commission Nationale de l’Informatique et des Libertés) vient de publier en Open Data, donc en données publiques rendues librement accessibles, la liste intégrale des formalités préalables effectuées auprès d’elle depuis 1979 dans le cadre de la Loi Informatique et Liberté et de ses évolutions.
Cette liste intègre pour chaque déclaration la raison sociale du responsable du traitement, le nom du déclarant, l'adresse de l'organisme, la date de déclaration, la finalité du traitement, un identifiant et le type de déclaration.
Les déclarations concernées sont :
- déclarations simplifiées (DS)
- déclarations ordinaires (DO)
- déclarations normales (DN)
- demandes d'avis (DA)
- demandes d'autorisation (DT)
- demandes d'autorisation recherches médicales (DR)
- demandes d'autorisation évaluation de pratiques de soins (DE)
Pourquoi la publication de la CNIL ?
La CNIL a indiqué qu’en publiant ces informations elle entend aider les entreprises à préparer leur mise en conformité avec la GDPR. Si le règlement européen se fait très contraignant, avec en particulier un volet répressif qui inquiète beaucoup d’entreprises, le texte parfois peu précis offre une souplesse aux organisations, celle de démontrer leur volonté de s’engager dans la conformité même si tout n’est pas réalisé.
Dans ce cadre, la publication de la CNIL va permettre aux entreprises de retrouver l’ensemble des déclarations qui ont été faites auprès de l’autorité, et ainsi de démontrer leur volonté historique de se mettre en conformité avec la réglementation française, avant de prolonger leurs actions dans le cadre du règlement européen.
De plus, comme le souligne la CNIL, depuis 1979 une partie probablement importante de ces déclarations n’est plus archivée par les entreprises. Or la GDPR impose une plus grande responsabilité aux entreprises, plus que le règlement français, qui doivent désormais documenter en interne tous les traitements de données personnelles avec les études d'impacts et les mesures de protection prises. C’est donc un vrai coup de pouce que donne la CNIL en ouvrant un accès aux documents qui la concernent.
Attention, la CNIL ne dispose pas de tous les documents…
La CNIL a tenu également à rappeler que certains traitements de données n’apparaissent pas dans ses jeux de données, en particulier ceux liées à des dispenses de déclarations. Sont concernés :
- Les organismes, publics ou privés, qui ont désigné un Correspondant Informatique et Libertés (CIL), et qui sont dispensés depuis octobre 2005 d'accomplir certaines formalités (déclarations) auprès de la CNIL.
- Les dispenses da la CNIL de déclaration de certains traitements de données personnelles courants.
- Les données relatives à certains traitements mis en œuvre par l’Etat (article 26 III).
- Les traitements mis en œuvre par des particuliers (par exemple la vidéosurveillance de leur habitation dans laquelle interviennent des employés à domicile), susceptibles de comporter des informations relatives à leur vie privée.
Plus d’information et l’accès aux ressources sur le site de la CNIL, cliquer ici.
Pour celles et ceux qui s’interrogent encore sur la démarche à mettre en place et pour accélérer la mise en conformité avec la GDPR, nous vous invitons à consulter l’article « Comment accélérer votre mise en conformité avec les objectifs de la GDPR ? ».
Image d’entête 453423435 @ iStock Rassco