CNIL - Commission Nationale de l'Informatique et des Libertés

05/15/2024 | Press release | Distributed by Public on 05/15/2024 02:00

« Accompagnement renforcé » : la CNIL lance un nouvel appel à projets

La protection des données est mieux assurée quand elle est correctement anticipée et prise en compte par les entreprises.

Cette démarche est particulièrement importante pour les entreprises qui traitent ou seront amenées à traiter des données à grande échelle ou des données sensibles et qui sont engagées dans une évolution rapide de leurs activités.

Afin d'apporter un appui adapté et d'accompagner ces entreprises dans la prise en compte de la protection des données, la CNIL propose une offre d'accompagnement dit « renforcé ».

De quoi s'agit-il ?

L'objectif de ce dispositif est d'accompagner les lauréats sur une période de 6 mois sur les conditions de mise en œuvre de leurs traitements ou de leurs projets, en lien avec leur cœur d'activité, au regard de leurs obligations liées à la protection des données.

Cet accompagnement s'articule autour de 3 principales modalités :

  • un appui juridique et technique dans des délais rapides (réponses à des questions juridiques, formation et assistance à la réalisation d'AIPD, recommandations en matière de cybersécurité, etc.) ;
  • une revue de conformité des traitements mis en œuvre : ce passage en revue des grands enjeux en termes de conformité conduira à faire des recommandations juridiques et techniques ;
  • des actions de sensibilisation aux enjeux de la protection des données, notamment à destination des salariés et/ou des dirigeants.

L'accompagnement renforcé vise à apporter aux entreprises sélectionnées des réponses pragmatiques et concrètes, adaptées à leurs enjeux, et de la sécurité juridique sur leurs activités impliquant des données personnelles.

Les équipes de la CNIL peuvent se déplacer au sein de l'entreprise afin d'échanger directement avec les équipes concernées et appréhender les réalités concrètes des traitements mis en œuvre ou des projets envisagés.

Qu'attend la CNIL des entreprises ?

Les entreprises devront faire preuve d'un réel engagement tout au long de l'accompagnement.

Il est attendu d'elles qu'elles consacrent à l'accompagnement des moyens opérationnels suffisants (ex. : implication forte du DPO et d'une équipe dédiée, disponibilité des services techniques, etc.) et qu'elles tiennent le plus grand compte des recommandations qui leur seront formulées.

Quelles garanties pour l'entreprise ?

Conformément à la charte d'accompagnement de la CNIL, les services des contrôles et des sanctions n'auront pas accès aux éléments dont les équipes auront eu connaissance pendant l'accompagnement, ni accès au dossier par la suite.

Les agents de la CNIL sont soumis au secret professionnel tout au long de la procédure (dossier de candidature, échanges avec les entreprises sélectionnées, phase opérationnelle, etc.). Les échanges intervenant dans le cadre de l'accompagnement renforcé sont confidentiels à l'égard des tiers (ex : concurrents, clients ou salariés).

Cet accompagnement n'apporte pas une « immunité » en termes de conformité : l'entreprise reste pleinement responsable des conditions de mise en œuvre de ses traitements, au titre du principe de responsabilité du RGPD.

Quels sont les critères de sélection ?

L'offre d'accompagnement renforcé est destinée aux acteurs privés du numérique qui présentent un fort potentiel de développement économique, avec des questions présentant de réels enjeux en matière de protection des données.

Les critères de sélection sont les suivants :

  • l'impact des traitements sur les personnes : sont privilégiées les entreprises mettant en œuvre ou envisageant de mettre en œuvre des traitements susceptibles d'engendrer un risque élevé pour les personnes. L'objectif de l'appui de la CNIL sera, en lien avec l'entreprise concernée, d'atténuer ce risque au maximum ;
  • la mise en œuvre par l'entreprise de produits, services ou procédés innovants afin d'apporter aux entreprises des réponses pragmatiques et de la sécurité juridique sur des problématiques nouvelles ;
  • la taille et la pérennité de l'entreprise sont prises en compte : la CNIL souhaite accompagner prioritairement les entreprises qui en ont besoin, et disposant de projets solides ;
  • l'engagement dans la conformité RGPD : les entreprises témoignant d'un réel engagement de tenir le plus grand compte des recommandations apportées et ayant des moyens opérationnels suffisants à y consacrer sont privilégiées ;
  • les questions juridiques, sociétales ou éthiques soulevées par les traitements mis en œuvre par les entreprises sont également prises en compte.

Bien que ce dispositif d'accompagnement renforcé ne soit pas nécessairement restreint aux acteurs français ou européens, la CNIL a prioritairement vocation à accompagner, pour des raisons de ressources, les entreprises pour lesquelles elle est autorité « chef de file ».

Que doit contenir un dossier de candidature ?

Le format du dossier de candidature est libre. Il doit couvrir les points-clés mentionnés ci-dessous, sous un format synthétique afin d'en faciliter la première analyse :

  1. Présentation générale de l'entreprise et de son cœur d'activité ;
  2. Description des traitements liés à l'activité principale de l'entreprise pour lesquels un accompagnement renforcé est jugé nécessaire : finalité(s) et état d'avancement des traitements (déjà mis en œuvre ou à venir) ;
  3. Descriptif sommaire des risques identifiés en matière de vie privée et de protection des données personnelles sur ces traitements (ex. : autoévaluation des risques RGPD dont SSI le cas échéant) ;
  4. Présentation du modèle d'affaires de l'entreprise et de ses perspectives de croissance : bref descriptif de l'actionnariat le cas échéant, positionnement sur le marché, plan d'affaires sur trois ans et état des financements collectés ou en cours ;
  5. Liste des personnes qui seront les interlocuteurs de la CNIL (ex. : DPO, responsable juridique, RSSI, etc.) et coordonnées du ou des interlocuteur(s) identifié(s) dans le cadre de l'accompagnement ;
  6. Engagement dans la démarche de l'accompagnement renforcé : ressources qui y seront consacrées, présence d'une assistance à la conformité au sein de l'entreprise, place des données personnelles dans le modèle d'affaires de l'entreprise ;
  7. Questionnements du candidat : sur quel(s) point(s) en lien avec la vie privée et les données personnelles le candidat souhaite-t-il un accompagnement renforcé (difficultés juridiques et/ou technologiques identifiées).

L'entreprise peut également ajouter tout document qu'elle juge utile pour sa candidature.

Comment candidater ?

L'entreprise candidate est invitée à adresser son dossier à : accompagnement[@]cnil.fr. Un lien sera alors mis à sa disposition pour lui permettre d'envoyer son dossier de candidature via une plateforme sécurisée.

Les dossiers de candidatures peuvent être adressés à la CNIL jusqu'au 23 juin 2024. En cas de question sur l'offre d'accompagnement renforcé ou sur les modalités de candidature, l'entreprise peut également adresser une demande à cette même adresse.

Quelles seront les suites données ?

À compter de sa réception, la CNIL examinera chaque dossier au regard des critères de sélection. Des compléments pouvant être demandés, il est préférable de ne pas envoyer son dossier au dernier moment.

À l'issue de l'examen des dossiers, la CNIL présélectionnera plusieurs entreprises. Les entreprises présélectionnées seront conviées avant l'été dans les locaux de la CNIL pour un entretien de présentation de leur dossier au comité d'évaluation et répondre à leurs questions. Le comité d'évaluation sera composé d'agents de la CNIL.

Sur la base de l'avis rendu par le comité d'évaluation, la présidente de la CNIL retiendra les entreprises qui bénéficieront de l'accompagnement en 2024.

À compter de cette sélection, les services de la CNIL recontacteront les entreprises retenues pour formaliser, au moyen d'une convention, les modalités de l'accompagnement.

L'accompagnement des entreprises débutera en septembre et se déroulera sur une période de 6 mois. Une entreprise qui n'est pas retenue pourra bénéficier des autres outils d'accompagnement de la CNIL (demande de conseil par exemple) ou encore être orientée vers d'autres interlocuteurs.

« Accompagnement renforcé » et « bac à sable », quelles différences ?

  1. Thématique : à la différence du « bac à sable », l'offre d'accompagnement renforcé ne porte pas sur un domaine particulier.
    Pour rappel, après un premier « bac à sable » en 2021 consacré à la santé numérique, l'édition 2022 s'est portée sur les outils numériques dans le secteur de l'éducation, et l'édition 2023 s'est concentrée pour sa part sur l'intelligence artificielleau bénéfice des services publics
  2. Périmètre : l'accompagnement « bac à sable » s'adresse à des projets en phase de conception. L'offre d'accompagnement renforcé peut concerner des projets ou des traitements déjà mis en œuvre en lien avec le cœur de métier de l'entreprise.
  3. Nature de l'accompagnement : le « bac à sable » a pour objectif la résolution de questions spécifiques. L'accompagnement renforcé s'articule quant à lui autour de différentes modalités (appui juridique et technique dans des délais rapides, revue de conformité des traitements, et actions de sensibilisation).
  4. Questions juridiques : à la différence du « bac à sable », la résolution d'une question juridique nouvelle permettant de préciser la doctrine de la CNIL n'est pas un critère de sélection pour bénéficier de l'accompagnement renforcé.