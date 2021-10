Affiches Parisiennes : Quel est le rôle de la CNIL à ce moment charnière ?

Guillaume Desgens-Pasanau : La CNIL a mis en place tout un programme d'accompagnement des professionnels dans le contexte du RGPD qui se traduit, pour le moment, surtout par des contenus qu'elle met en ligne sur son site. Par exemple, elle vient d'ajouter un outil pour faire des tests sur les analyses d'impacts sur la protection des données. Elle a aussi mis en ligne des modèles de clauses à insérer dans les contrats conclus avec des partenaires, notamment dans les contrats de sous-traitance. La CNIL met à disposition des outils que les professionnels pourront utiliser mais cela reste assez général.

Ensuite, il y a la possibilité de contacter la CNIL qui dispose d'un service téléphonique de renseignement des correspondants informatique et libertés (CIL). Ainsi, toutes les structures ayant désigné un CIL ou un DPD peuvent poser des questions via cette hotline.

Au-delà de ça, il y a toujours la possibilité de contacter le service juridique, notamment pour faire ce qu'on appelle des demandes de conseil.

A.-P. : Que doivent faire les entreprises en priorité ?

G. D.-P. : La première chose à faire est de recenser les traitements de données existants dans l'entreprise, avec le responsable du système d'information et les différents services opérationnels. Il faut pouvoir identifier les fichiers de données soumis au RGPD et évaluer leur ampleur. Il faut aussi recenser tous les logiciels et applications utilisés. Ce travail de recensement et de classification sert à lister les grandes finalités de traitement qui seront enregistrées et tenues à jour dans un « registre de traitement » public.

Ensuite, il faut désigner un référent qui va coordonner les différentes actions de conformité et de protection à mettre en œuvre. Ces actions sont de trois natures : juridique, par exemple avec la vérification de la durée de conservation et de prescription des données ou les mentions d'information à faire figurer sur les contrats ; technique avec la dimension de sécurité informatique ; et organisationnelle avec notamment la gestion des droits d'accès aux données des personnes.

Évidemment, plus les traitements de données sont nombreux, plus ils sont complexes et plus il y a de travail à faire. C'est variable en fonction des données traitées. Une PME qui a simplement deux petits fichiers clients et de ressources humaines n'aura certainement pas des milliers de choses à faire pour se mettre en conformité, à l'inverse de l'entreprise qui traite des données de santé par exemple.

A.-P. : Un conseil d'expert juridique pour les sociétés qui se préparent au RGPD ?

G. D.-P. : Je recommande d'aller sur le site de la CNIL, de regarder les méthodologies qu'elle met à disposition pour faire un bon recensement des traitements de données, et de désigner rapidement un référent. Il y a un arbitrage à faire pour nommer cette personne. Il me semblerait assez logique de désigner le CIL car il a déjà fait le travail de recensement et a une vision globale des données de l'entreprise et des risques associés.