La Cnil a adopté son quatrième référentiel lui permettant de délivrer des labels concernant les procédures de gouvernance Informatique et Libertés (1).
Ce nouveau label fait suite aux labels « formation », « procédure d’audit » et « coffre-fort numérique » pour lesquels la Cnil a délivré au total 37 labels aux organismes candidats.
La gouvernance « Informatique et Libertés », désigne l’ensemble des mesures, des règles et des bonnes pratiques qui permettent l’application des lois et règlements pour la gestion de ces données, et de préciser les responsabilités qui interviennent dans cette gestion.
Le label est un outil de responsabilisation et un véritable indicateur de confiance pour leurs clients ou usagers.
Ce nouveau référentiel définit les critères d’évaluation et les moyens permettant à la Cnil de déterminer si les procédures de gouvernance présentées sont conformes aux exigences fixées.
Ce nouveau référentiel prévoit 25 exigences cumulatives afin de bénéficier du label « Gouvernance Informatique et libertés ».
Ces exigences sont réparties selon les trois thématiques suivantes :
- l’organisation interne liée à la protection des données, comprenant des exigences relatives à l’adoption d’une politique de protection des données et au statut, à la formation, aux ressources et aux activités du correspondant Informatique et libertés (Cil) ;
- la méthode de vérification de la conformité des traitements à la loi Informatique et libertés avec des exigences sur l’analyse et le contrôle de la conformité ;
- la gestion des réclamations et incidents, intégrant des exigences sur la gestion des réclamations et droits des personnes, sur la journalisation des événements de sécurité et sur la gestion des violations de données.
Il convient de préciser que ce référentiel s’adresse uniquement aux organismes disposant d’un correspondant Informatique et libertés (Cil).
Il permet de préparer les organismes aux règles du futur règlement européen en intégrant notamment le principe d’accountability.
Avant de déposer un dossier de candidature, il convient de réaliser un audit de conformité du dispositif aux exigences du référentiel.
Céline Avignon,
Raouf Saada,
Lexing Droit Marketing électronique