Roman Gorielov - Fotolia
RGPD : où en est-on dans les consignes concrètes ?
Alors que la CNIL publie ses premières recommandations sur les notifications d’incidents, il n’est pas simple de s’y retrouver dans une phase de transition où les simples conseils côtoient les instructions officielles et les « lignes directrices » en élaboration.
La RGPD fixe des grands principes qui s’appuient sur trois piliers. Mais ces principes restent des textes juridiques. Pour les transposer concrètement dans des pratiques quotidiennes, la CNIL - et ses confrères du G29 européens - ont publié des « lignes directrices » et continuent de le faire.
Sept guides pratiques à suivre à la lettre
En tout, sept lignes directrices sont prévues. Sept guides pratiques donc. Plus un document sur la certification des outils IT conformes au RGPD.
Trois ont déjà été adoptées. Celles-ci expliquent comment gérer la portabilité, précisent le rôle du DPO (Délégué à la protection des données ou Data Protection Officer) et reviennent sur l’autorité chef de file.
Une quatrième est en cours de validation sur l’étude d’impact et devrait être publiée en version définitive en septembre.
Quatre autres sont en cours d’élaboration sur la notification des violations, sur le consentement, sur le profilage et sur la certification. Elles devraient toutes être officielles avant fin 2017.
La chemin du règlement à la recommandation
Le processus suivi par la CNIL pour ses Guidelines est clairement défini. Dans un premier temps la commission fait un appel à contributions sur le sujet abordé (le consentement par exemple), puis elle publie une ébauche qui appelle à son tour des commentaires. Après ces retours publics, les recommandations sont amendées et deviennent officielles et applicables.
Sur les quatre sujets en cours d’élaboration, trois ont fait l’objet d’une première consultation de février à mars (notification de violations, le consentement et le profilage). Suite à 400 contributions venant d’entreprises et des acteurs publics, la CNIL publiera un premier document (le draft) qui sera diffusé pour commentaires. La version définitive fera suite à ces remarques, sans date précise pour l’instant.
Les Guidelines sur « l’étude d’impact » en est, elle, à cette phase de commentaires et devraient être publiées en septembre dans sa version finale.
Toutes ces lignes directrices (celle en cours et les trois définitives) sont téléchargeables sur cette page. La page est régulièrement mise à jour.
Premières recommandations concrètes sur les notifications d’incidents
Bien que les travaux soient en cours, la CNIL a d’ores et déjà rendu publiques la semaine dernière (26 juillet) ses premières recommandations sur les notifications d’incidents de sécurité dans un article intitulé « Comment s’organiser et à qui s’adresser ? ».
Certaines recommandations sont précises (« identifier l’ensemble du personnel interne impliqué dans la gestion des incidents, formaliser cette liste et la tenir à jour ») d’autres restent plus vagues (« déterminer et mettre en place des mesures pour résorber les risques »).
Ces recommandations parallèles au processus des Guidelines sont en tout cas suffisamment claires et abouties pour que les décideurs aient un avant-gout représentatif de ce que seront les Lignes directrices finales qui s’appliqueront à leurs entreprises.
La labélisation et la certification des outils IT : sujet complexe et sensible
La question la plus délicate semble être celle de la certification et des labels. Et pour cause. Ce sont ces lignes directrices qui définiront qui certifie (et comment) qu’une solution ou un fournisseur IT est bien « RGPD compatible ». La dimension technique est ici aussi forte que la dimension juridique.
Le règlement (art. 43) ouvre clairement la porte à des organismes agréés par l’Etat (ou par son représentant, la CNIL). Autrement dit, la CNIL pourra donner une accréditation qui permettra de déléguer à des tiers – a priori privés - cette mission de certification des solutions IT. Ceci étant, rien ne dit que ce n’est pas la CNIL elle-même qui donnera ces labels comme elle le fait depuis 2012.
Reste donc aujourd’hui à déterminer les critères exacts d’évaluation de ces intermédiaires. Et les critères d’audit des solutions (logiciels, Cloud, matériels) qui seront analysées par eux.
Le G29 s’est réuni en mars pour aborder ces points critiques qui mélangent techniques, politiques et business. Business parce que des prestataires Cloud ou des éditeurs spécialistes de la sécurité qui n’obtiendraient pas la certification perdraient purement et simplement leurs clients européens. On imagine que les syndicats professionnels (voire les lobbys) suivent ces travaux de très près.
« Cette journée a permis à toutes les autorités présentes (NDR : du G29), dont la majorité n’exerce pas encore cette activité, de monter en compétence sur ce sujet technique », résume la CNIL.
Malgré la complexité et la diversité du dossier, les lignes directrices en matière d’accréditation de tiers certificateurs et de certification devraient tout même être adoptées fin 2017.
Une transition RGPD de 2018 à 2020
Il restera alors 6 mois à toutes les entreprises – car, rappelons-le, elles sont toutes concernées sans exception - pour se lancer avec pour objectif 2020. Comme le faisait remarquer l’avocat spécialisé François-Pierre Lani, à partir de 2018 les entreprises doivent pouvoir prouver qu'elles ont commencé agir mais le véritable horizon est 2020. Entre 2018 et 2020, la CNIL devrait en effet se montrer plus compréhensive à condition d’être en position de démontrer sa bonne volonté.
« Beaucoup d’entreprises se focalisent sur mai 2018. Mais en mai 2018 il faudra juste avoir initié la démarche pour être en conformité en 2020 », nous expliquait Maître Lani en début d’année. « Le règlement entrera en vigueur le 25 mai 2018. Mais, concernant les traitements antérieurs à cette date, les entreprises disposeront d’un délai de deux ans pour les mettre en conformité. Ce qui fait 2020 ».
Ceci étant, mieux vaut s’y préparer dès maintenant (ce que Me LANI conseille d’ailleurs vivement) car le chantier est lourd. Et la compréhension interne souvent lente, et pas toujours évidente. Rien ne sert de courir, dit la fable, il faut partir à point. La Fontaine s’applique aussi bien au RGPD.
Où en est-on des 8 dossiers ? (Août 2017)
Portabilité : Guidelines officielles publiées
DPO : Guidelines officielles publiées
Autorité chef de file : Guidelines officielles publiées
Etude d’impact : Guidelines provisoires publiées
Notification des violations : Premières consulations terminées, Guidelines provisoires en attente
Consentement : Premières consulations terminées, Guidelines provisoires en attente
Profilage : Premières consulations terminées, Guidelines provisoires en attente
Certification et labels : Attendu pour fin 2017, premier atelier de travail du G29 en avril