Dans une publication sur son site internet du 19 février 2018, la CNIL a dévoilé un certain nombre d’informations relatives à la manière dont elle prévoyait d’accompagner les responsables du traitement et sous-traitants, au cours d’une « période transitoire » correspondant à l’entrée en application du RGPD.
Cette publication aborde quatre points : les outils que la CNIL prévoit de développer, la manière dont la CNIL compte mener ses contrôles, le sort des formalités préalables et l’obligation d’analyse d’impact.
Concernant les outils à venir, la CNIL prépare la rédaction de référentiels issus des normes déjà adoptés par elle et sur lesquelles les organismes peuvent d’ores et déjà s’appuyer. La CNIL travaille également à l’élaboration de la liste des traitements obligatoirement soumis à l’analyse d’impact et ceux pour lesquels une telle analyse ne sera pas nécessaire. La CNIL élabore enfin un guide spécialement destiné aux PME et organise des ateliers de sensibilisation au RGPD à l’attention des start-up. Elle développera prochainement une « offre de services et d’accompagnement » dédiée à ces structures.
Concernant les contrôles, les pouvoirs de la CNIL en tant que tel resteront inchangés. La principale nouveauté réside dans le fait que les contrôles effectués sur des acteurs internationaux s’effectueront dans un contexte de coopération très poussée qui conduira à une décision harmonisée à portée européenne. Pendant les premiers mois de mise en œuvre du RGPD, la CNIL distinguera deux types d’obligations s’imposant aux professionnels :
- concernant les principes fondamentaux inchangés, ceux-ci continueront de faire l’objet de « vérifications rigoureuses » par la CNIL ;
- concernant les nouvelles obligations ou les nouveaux droits, dans un premier temps, les contrôles auront pour but d’accompagner les organismes vers une bonne compréhension et la mise en œuvre opérationnelle des textes. En présence d’organismes de bonne foi, engagés dans une démarche de conformité et faisant preuve de coopération avec la CNIL, « ces contrôles n’auront normalement pas vocation à déboucher, dans les premiers mois, sur des procédures de sanction sur ces points ».
La CNIL rappelle que le RGPD entrainera la disparition d’un très grand nombre de formalités préalables, sauf concernant les traitements de données de santé et les traitements régaliens. Elle affirme qu’elle ne sera pas nécessairement en mesure de traiter l’ensemble des demandes d’autorisation reçues d’ici le 25 mai. Elle invite dès lors les responsables de traitement à privilégier dès à présent les actions de mise en conformité avec les règles de fond du RGPD et à préparer si nécessaire une analyse d’impact.
La CNIL n’exigera pas la réalisation immédiate d’analyse d’impact pour les traitements qui ont régulièrement fait l’objet d’une formalité préalable auprès de la CNIL, ou d’une inscription au registre d’un CIL, avant le 25 mai 2018. Ces analyses pourront être réalisées dans un délai raisonnable estimé à 3 ans à partir du 25 mai 2018.
En revanche, l’analyse d’impact devra être immédiate si le traitement présente un risque élevé pour les droits et libertés et est antérieur au 25 mai 2018, s’il n’a pas fait l’objet de formalités préalables auprès de la CNIL ou d’une inscription au registre, ou a fait l’objet d’une modification substantielle depuis lesdites formalités/inscription, ainsi que pour les traitements présentant un risque élevé pour les droits et libertés des personnes concernés postérieurs au 25 mai 2018.
