ASSISTANCE AUX RELATIONS AVEC L'AUTORITÉ DE CONTRÔLE

Le RGPD modifie le paradigme de la régulation de la protection des données personnelles. L'internalisation de la conformité dans les organismes et le principe de responsabilité engendrent de nouvelles relations avec l'autorité de contrôle. Il est nécessaire de disposer en toutes circonstances d'une capacité de dialogue avec cette dernière.

PILOTER LES RELATIONS AVEC L'AUTORITÉ DE CONTRÔLE

Besoin d'aide 

La relation avec l'autorité de contrôle varie en fonction du contexte qui se présente au responsable de traitement ou au sous-traitant.   

Plusieurs situations nécessitent d'engager une relation avec l'autorité de contrôle française, la CNIL. Chaque cas nécessite une réflexion stratégique, un sens de l'anticipation, et une grande rigueur afin de répondre aux attentes du régulateur : 

  • Analyses de risques (AIPD) 

Le responsable du traitement doit consulter l'autorité de contrôle préalablement au traitement lorsqu'une analyse d'impact relative à la protection des données (AIPD) indique que le traitement présenterait un risque élevé si le responsable du traitement ne prenait pas de mesures pour atténuer le risque.

  • Violations de données à caractère personnel

En cas de violation de données à caractère personnel, le responsable du traitement réalise une notification à l'autorité de contrôle en conformité avec les exigences procédurales et documentaire applicables. 

  • Contrôles et sanctions, gestion des plaintes

L'exercice du pouvoir répressif de l'autorité de contrôle engendre des étapes clés qui doivent être appréhendées avec le plus grand degré de précaution. La gestion des plaintes doit être rigoureuses. Dans un tel cas, quel que soit le motif qui conduite le régulateur à agir, ce dernier souhaitera rapidement connaître les actions qui caractériseraient l'intégration d'un programme de conformité. La structuration de la conformité RGPD est en effet un enjeu clé de la mise ne conformité au RGPD. 

  • Transferts de données hors UE

Les transferts de données hors UE sont strictement encadrés. Ils nécessitent dans certains cas d'obtenir l'autorisation préalable de la CNIL. 

  • Codes de conduite

Les associations et et les organismes représentatifs d'un secteur d'activité qui ont l'intention d'élaborer un code de conduite ou de modifier ou proroger un code de conduite doivent soumettre leur projet à l'autorité de contrôle  compétente.

  • Certification, labels, marques 

Les mécanismes de certification en matière de protection des données ainsi que de labels et les marques visent à démontrer que les opérations de traitement effectuées par les responsables du traitement et les sous-traitants respectent le règlement.

  • Formalités résiduelles dans le domaine de la santé

Le Règlement européen allége les formalités obligatoires. Sous certains traitements sont désormais concernés, notamment dans le domaine de la santé.  ​

LES POINTS A RETENIR :

Le responsable de traitement et le sous-traitant doivent prendre en compte les exigences de l'entrée e relation avec l'autorité de contrôle,

  • Les relations avec l'autorité de contrôle doivent être appréhendées en mode projet

  • L'adoption de procédures internes doit permettre de faciliter les relation avec l'autorité, notamment dans le domaine des contrôles et des sanctions

  • Le DPO doit être associé de bout en bout aux échanges avec l'autorité de contrôle, l'assistance d'un avocat étant indispensable dans certaines situations

  • Le responsable de traitement doit valider le rattachement à l'autorité chef de file compétente

NOTRE OFFRE D'ACCOMPAGNEMENT :

Compléter votre outillage RGPD

Le programme de conformité RGPD accountability intégre une check-list des actions pour vérifier l'existence d'une feuille de route cohérence.  Il s'agit d'avancer pas à pas. pour maîtriser le risque de non conformité. L'outillage RGPD s'appuie sur plusieurs Quick-win.

Image de Ferdinand Stöhr

+33 1 85 09 72 54

122 avenue des Champs Elysées 75008 Paris