État des désignations
À ce jour, 74 731 organismes ont désigné un Délégué.
Cela porte sur 26 000 Délégués, dont 24 900 sont des personnes physiques.
À noter, les 35 000 communes sont très en retard, et n’ont désigné que 16 000 Délégués.
MOOC
La CNIL finalise un nouveau module de son MOOC, consacré aux collectivités. Il devrait être disponible courant mars. À l’occasion d’un changement de prestataire, le MOOC va évoluer dans les prochains mois vers une version 2, qui donnera lieu à un enrichissement des modules existant.
Référentiel de durées de conservation RH
Son adoption par la Commission devrait intervenir avant l’été.On peut donc envisager sa publication avant la rentrée.
Guide du DPO
Le guide du DPO préparé par la CNIL est bien avancé. Il sera présenté à l’ensemble des commissaires. Et devrait être disponible avant la fin de l’année. Il comportera de nombreuses réponses aux diverses questions relatives au DPO.
Consultation sur les mandats
Le dépouillement de la consultation est en cours. La recommandation de la CNIL ne devrait pas être disponible avant avril.
Nous avons insisté sur nos remarques critiques vis-à-vis du projet, qui nous parait trop orienté vers la portabilité, au détriment des problématiques opérationnelles que présentent les mandats dans l’exercice des autres droits.
Certification
La CNIL signale la publication du référentiel de certification des organismes de formation. Ce sont des organismes, et non des personnes, qui seront certifiés par le COFRAC. La certification porte sur des formations à la protection des données et au RGPD au sens large, et non des formations de DPO.
Questions d’actualité
AIPD : consultations au titre de l’article 36
La CNIL a été sollicitée environ 200 fois pour des questions relatives aux AIPD, mais pas dans le cadre de l’article 36 du RGPD. Les demandes portent sur des conseils en amont, ce qui permet sans doute d’éviter les situations prévues par l’article 36. Elles concernent essentiellement la sphère publique.
Hébergement souverain
Suite à une information de PARIS2024, nous avons indiqué que certains membres sont surpris de l’hébergement des données des JO de Paris chez un prestataire chinois. La CNIL n’a pas été consultée à ce sujet, et es informations ont été demandées aux services de la Commission, qui est en relation avec le Comité d’organisation des JO.
Suites de Schrems II
La question a été largement abordée par le Délégué général de la CNIL lors de l’Université AFCDP des DPO le 26 janvier 2021.
Compte tenu de la situation, à ce stade les contrôles portant sur des transferts hors UE ne devraient pas donner lieu à des sanctions systématiques. La CNIL s’attachera toujours à évaluer la posture du RT et des démarches entreprises en vue de la meilleure conformité possible.
Attestation de conformité
À propos d’une entreprise qui communique sur l’attestation de conformité qu’elle a obtenue pour sa méthode d’anonymisation, la CNIL nous a confirmé cette procédure qui découle de l’application de l’article 8.I.3 de la Loi Informatique et Libertés.
Relations avec la CNIL
Comment la CNIL gère-t-elle les priorités des questions qui lui sont posées ?
Cette question est évoquée dans la Charte d’accompagnement des responsables de traitement, récemment publiée par la CNIL. La priorité est d’abord donnée aux questions qui présentent une certaine urgence, en particulier quand elles sont soumises par un réseau, ou quand elles correspondent à un sujet d’actualité.
Par ailleurs, la CNIL a entamé une démarche d’amélioration de l’accusé de réception, avec un retour rapide s’il est anticipé que la question posée ne recevra pas de réponse individuelle.
Traitement des plaintes : information du DPO
En cas de plainte, la CNIL sollicite systématiquement le DPO. Des anomalies peuvent se produire lorsque les coordonnées de contact direct du DPO ne sont pas à jour. Les membres de l’AFCDP qui observeraient des cas où la règle n’est pas respectée peuvent le signaler au Délégué général qui transmettra à la CNIL.
Désignations multiples en ligne
En cas de désignation d’un DPO pour plusieurs entités, il convient de le signaler par courriel au service des Délégués. La CNIL communique alors un lien vers une procédure dédiée. Une réflexion est en cours, dans le cadre du schéma directeur SI de la CNIL, pour moderniser les procédures de désignation et de mise à jour. Elles se heurtent à la problématique d’identification fiable des organismes par un compte accessible en ligne.
La CNIL prévoit-elle d’offrir de nouvelles formations ?
Un calendrier de webinaires est en cours de réalisation. Les sujets relatifs à la santé, dans le contexte de crise sanitaire, sont privilégiés. La CNIL envisage également l’option de webinaires consacrés aux sujets d’actualité.
Comment se préparer au DMD, DSA et ePrivacy ?
La CNIL reste attentive à l’évolution de ces dossiers. Elle peut difficilement intervenir sur des textes qui sont encore au stade de la discussion entre les instances européennes. L’AFCDP peut d’ores et déjà lui transmettre les questions qui pourraient émerger au sein de l’association : elles peuvent nourrir ses réflexions, dans le cadre de sa participation au sein des instances européennes (CEPD/EDPB en particulier).
