Le 11 décembre 2014, la Commission Nationale de l’Informatique et des Libertés (CNIL) a adopté son quatrième référentiel, permettant de délivrer son nouveau label en matière de gouvernance informatique et libertés.
À quoi va servir ce nouveau label CNIL ?
Le label Gouvernance Informatique et Libertés a été créé dans le but de définir les pratiques à adopter pour assurer une bonne gestion des données à caractère personnel dans le respect de la loi 78-17du 6 janvier 1978 “Informatique et libertés”.
La CNIL a en effet constaté que les entreprises privées et publiques avaient du mal à identifier clairement la procédure, et à l’appliquer en accord avec la loi de 1978. Pourtant, assurer une gestion des données à caractère personnel dans le respect des règles imposées par la loi Informatique et Libertés est devenu essentiel pour les entreprises, les associations et les administrations.
C’est donc dans ce contexte que la CNIL a décidé de lancer le label « gouvernance informatique et libertés ».
En outre, le fait pour une entreprise ou organisme public de se faire labéliser par la CNIL, leur permettra de se préparer aux futurs règlements européens en matière de traitement des données à caractère personnel. Cette anticipation intègre le principe d’accountability (en français, responsabilité), soit le fait d’adopter un règlement interne à l’organisme pour démontrer que le traitement des données à caractère personnel est réalisé conformément à la législation.
Grâce à ce nouveau label CNIL, les organismes pourront donc répondre favorablement à leurs obligations de documenter, et de justifier les mesures prises en matière de traitement des données personnelles.
À qui est-il destiné et quelles sont ses conditions ?
Ce label CNIL est destiné aux différents organismes ayant en leur sein un correspondant informatique et libertés (CIL). En effet, la CNIL considère que le CIL joue un rôle essentiel dans le dispositif encadrant le traitement des données à caractère personnel. On peut le considérer comme le garant de la vie privée et des libertés. Il est donc nécessaire pour assurer une bonne gouvernance.
L’organisme peut faire le choix de désigner un CIL de façon interne, ou bien externaliser ce besoin en faisant appel à un prestataire.
Dans ce nouveau référentiel, la CNIL pose 25 exigences pour pouvoir prétendre à l’obtention de ce nouveau label. Celles-ci s’organisent selon 3 thématiques :
- l’organisation interne liée à la protection des données
- la méthode de vérification de la conformité des traitements à la loi Informatique et Libertés
- la gestion des réclamations et des incidents.
Grâce à ce nouveau label, les organismes vont tendre à se responsabiliser en matière de traitement des données à caractère personnel mais aussi se protéger face aux risques de sanction et de publication de la CNIL. De plus, l’obtention de ce label rassurera les clients, lesquels constateront que l’organisme possédant ce label utilise les données personnelles de manière responsable. C’est donc une possibilité de créer un avantage concurrentiel pour les entreprises.
Comment obtenir ce nouveau label ?
Tout entreprise ayant un CIL peut donc y prétendre. Il suffit de déposer une demande à la CNIL qui se chargera de vérifier si le dossier de candidature est conforme à ses exigences en matière de conformité des traitements de données, de protection des données et de gestion des incidents.
Frédéric GEORGES
