RGPD : les labels Cnil attribués au cabinet Lexing en 2018

La Cnil a attribué en 2018 au cabinet ses labels « Formation RGPD » et « Gouvernance RGPD ».

Labels Cnil 

Gouvernance RGPD – Par délibération en date du 24 mai 2018, la Cnil a délivré au cabinet le label « Gouvernance RGPD » pour la procédure de gouvernance tendant à assurer la protection des données au sein du cabinet. 

Formation RGPD – Par délibération en date du 21 juin 2018, la Commission a délivré au cabinet le label « Formation RGPD » pour sa formation intitulée « Lexing® formation Informatique et libertés ».

S’agissant de ces deux demandes de labellisation, la Cnil a reconnu que tant la procédure de gouvernance portant sur le RGPD que la formation Informatique et libertés précitées étaient conformes au référentiel auquel il se rapporte.

Ces deux labels sont délivrés pour une durée de trois ans.

Audit Informatique et libertés

Par une délibération du 30 juin 2016, le cabinet s‘était vu renouveler par la Cnil, également pour une durée de trois ans, son label « Audit de traitements » pour sa procédure d’audit intitulée « Lexing® audit Informatique et Libertés ».

Il s’agit des trois labels Cnil actuellement attribués au cabinet.


Label Cnil formation RGPD Lexing Alain Bensoussan Selas


Label Cnil Audit de traitements Lexing Alain Bensoussan Selas



 

 




La standardisation et les objets connectés

Sans standardisation, quel avenir pour les objets connectés?Les différents éléments des objets connectés doivent être interopérables, la standardisation est-elle nécessaire ?

Pour pouvoir connecter l’objet, les différents éléments doivent pouvoir se connecter entre eux et garantir une interopérabilité.

Les objets connectés font partie d’un vaste écosystème composé de capteurs, de connexions, de données, de réseaux, de stockage, de logiciels de traitement ou encore de protocoles de sécurité.

Ces éléments ou composants doivent pouvoir s’interconnecter, s’intégrer, communiquer tout en étant compatibles et sécurisés dans leur utilisation et leur usage. Cette interconnexion est nécessaire pour leur environnement mais également pour les données qu’ils peuvent recueillir, conserver, stocker ou partager.

L’objet connecté s’intègre dans différents écosystèmes. Ces acteurs interviennent dans différents pays et l’objet peut, par conséquent, être soumis à différentes réglementations, tant au regard de sa fabrication que de sa commercialisation.

Au regard de l’hétérogénéité des objets connectés et des éléments qu’ils peuvent contenir, des réglementations spécifiques interviennent en fonction de la nature de l’objet connecté, de son utilisation, de sa localisation ou de la nature de l’innovation.

Si de nombreuses règlementations existent d’ores et déjà et trouvent à s’appliquer, elles sont amenées à évoluer pour s’adapter à des nouveaux usages ou à la transformation de la nature de l’objet en raison de sa connexion.

Néanmoins, il semble illusoire, au regard de l’emboîtement des règlementations, tant sectorielles que locales, de vouloir créer une règlementation unique des objets connectés.

Dès lors, d’un point de vue purement pragmatique, les fabricants ou les juristes intervenant dans une étude de faisabilité, par exemple, chercheront à légitimer l’objet connecté en utilisant des labels, des normes ou encore des standards.

Par conséquent, on constate ,avec le développement des objets connectés, de nombreuses initiatives de standardisation, généralement issues d’acteurs privés.

Conception : Normes, labels et certifications

Une norme est un référentiel qui précise les caractéristiques spécifiques de services ou de produits. La norme a pour fonction de garantir une qualité constante des produits et services considérés. Elle est régulièrement actualisée ( ). Les normes sont éditées par des organismes de normalisation officiels comme l’AFNOR (au niveau national) ou l’ISO (au niveau international), elles sont d’application volontaire. Certaines ont néanmoins été rendues obligatoires par les pouvoirs publics.

Un label est un signe distinctif, une étiquette ou une marque spéciale créée par un syndicat professionnel ou un organisme parapublic et apposé sur un produit destiné à la vente. Il en certifie l’origine, la qualité et indique que les conditions de fabrication sont en conformité avec les normes préétablies ( ).

Une certification est une activité par laquelle un organisme tierce partie atteste qu’un produit, un système de management de la qualité ou un service, est conforme aux exigences spécifiées dans un référentiel. La certification est réalisée par le biais d’audit ( ) d’un organisme tiers indépendant. La démarche n’est pas obligatoire mais, parce qu’elle s’accompagne d’un logo, elle offre, le plus souvent, une meilleure visibilité aux bonnes pratiques. Au sens strict, une certification s’appuie sur un référentiel qui a été conçu par un organisme certificateur et publié au Journal officiel.

Un label, une norme, ou une certification adapté peuvent apporter un gage de qualité ou de sécurité aux objets connectés. Toutefois, il ne faut pas que cela soit parcellaire.

L’appréciation de ces aspects devra prendre en compte l’objet connecté dans son écosystème, car ces démarches tendent à garantir la qualité de l’objet connecté, sans nécessairement prendre en compte son utilisation par les consommateurs ou sa communication avec d’autres objets.

Utilisation et traçabilité

Sous l’angle de l’utilisation de l’objet connecté, la standardisation permet de mettre en œuvre, de manière indépendante et consensuelle, un langage global, ouvert et interopérable entre les acteurs économiques d’un écosystème.

Elle permet également d’identifier et de tracer l’objet, ce qui, en cas de défaillance dudit objet, permettra plus facilement d’identifier les responsabilités.

Les objets connectés doivent pouvoir communiquer entre eux dans des standards communs. A titre d’exemple, une voiture autonome devra être en mesure de pouvoir communiquer en toute sécurité avec des capteurs installés sur une route ou sur des feux de circulation.

Il est indispensable que les standards de tel ou tel objet connecté puissent reconnaître d’autres standards et ce, pour toutes les différentes couches contenues dans l’objet.

L’harmonisation par des standards communs

L’utilisation et le passage à l’échelle, l’industrialisation d’un objet et sa réussite commerciale, induisent qu’il puisse être utilisé en toute sécurité et qu’il puisse communiquer en dehors de son écosystème.

La création de standards universels pourrait, en conséquence, être une réponse à l’impossibilité pratique de créer un droit de l’Internet des Objets.

Cette standardisation nécessite, néanmoins, que l’indépendance des organismes puisse être garantie et ne pas être issue d’une seule entité privée qui pourrait contrôler indirectement tout ou partie d’objets connectés.

Nathalie Plouviet
Claire Van Mol
Lexing Droit de l’Internet des objets

(1) Les normes sont régulièrement actualisées. C’est un principe que l’on trouve dans le Guide des métiers du centre Inffo, Dunod, 2006
(2) Définition Larousse
(3) Norme FD X 50-751




Label Cnil Gouvernance IetL délivré à Alain Bensoussan Selas

Label Cnil Gouvernance IetL délivré à Alain Bensoussan SelasLe Label Cnil Gouvernance Informatique et Libertés a été délivré par la Commission au Cabinet Alain Bensoussan Selas.

Après avoir obtenu le label CNIL « Lexing formation Informatique et Libertés » pour son catalogue de formations Informatique et Libertés et le label CNIL « Lexing audit Informatique et Libertés » pour sa procédure d’audit, le cabinet vient d’obtenir par délibération de la Commission du 17 décembre 2015 le Label « Gouvernance Informatique et Libertés ». 

La Cnil a labellisé l’ensemble des mesures, règles et bonnes pratiques du Cabinet dans la gestion des données à caractère personnel qu’il traite. Le Cabinet a satisfait aux 25 exigences de ce nouveau référentiel, lesquelles sont organisées en trois thématiques qui concernent :

  • l’organisation interne liée à la protection des données ;
  • la méthode de vérification de la conformité des traitements à la loi Informatique et Libertés ;
  • la gestion des réclamations et incidents.

Ainsi que l’explique la Cnil, le référentiel de ce label qui s’adresse aux organismes disposant d’un Correspondant Informatique et Libertés (CIL), a été préparé en concertation avec les associations de CIL et fait du CIL la pierre angulaire du dispositif qui orchestre et veille au respect des procédures et de la loi Informatique et Libertés.

Acteur essentiel d’une bonne gouvernance, le CIL peut aussi utiliser ce référentiel comme mode d’emploi ou guide des procédures à suivre et se fixer comme objectif l’obtention du label pour son organisme.

Délibération Cnil n° 2015-446 du 17 décembre 2015.




Un nouveau label Cnil « gouvernance Informatique et libertés »

Un nouveau label Cnil « gouvernance Informatique et libertés »La Cnil a adopté son quatrième référentiel lui permettant de délivrer des labels concernant les procédures de gouvernance Informatique et Libertés (1).

Ce nouveau label fait suite aux labels « formation », « procédure d’audit » et « coffre-fort numérique » pour lesquels la Cnil a délivré au total 37 labels aux organismes candidats.

La gouvernance « Informatique et Libertés », désigne l’ensemble des mesures, des règles et des bonnes pratiques qui permettent l’application des lois et règlements pour la gestion de ces données, et de préciser les responsabilités qui interviennent dans cette gestion.

Le label est un outil de responsabilisation et un véritable indicateur de confiance pour leurs clients ou usagers.

Ce nouveau référentiel définit les critères d’évaluation et les moyens permettant à la Cnil de déterminer si les procédures de gouvernance présentées sont conformes aux exigences fixées.

Ce nouveau référentiel prévoit 25 exigences cumulatives afin de bénéficier du label « Gouvernance Informatique et libertés ».

Ces exigences sont réparties selon les trois thématiques suivantes :

  • l’organisation interne liée à la protection des données, comprenant des exigences relatives à l’adoption d’une politique de protection des données et au statut, à la formation, aux ressources et aux activités du correspondant Informatique et libertés (Cil) ;
  • la méthode de vérification de la conformité des traitements à la loi Informatique et libertés avec des exigences sur l’analyse et le contrôle de la conformité ;
  • la gestion des réclamations et incidents, intégrant des exigences sur la gestion des réclamations et droits des personnes, sur la journalisation des événements de sécurité et sur la gestion des violations de données.

Il convient de préciser que ce référentiel s’adresse uniquement aux organismes disposant d’un correspondant Informatique et libertés (Cil).

Il permet de préparer les organismes aux règles du futur règlement européen en intégrant notamment le principe d’accountability.

Avant de déposer un dossier de candidature, il convient de réaliser un audit de conformité du dispositif aux exigences du référentiel.

Céline Avignon,
Raouf Saada,
Lexing Droit Marketing électronique

(1) Délib. n°2014-500 du 11-12-2014.




Rapport d’activité de la Cnil 2012 : bilan et tendances

Data ProtectionLa Cnil vient de publier son 33ème rapport d’activité 2012. L’année a été marquée par une forte augmentation des activités de contrôle et de sanction de la Cnil.

Ainsi, 458 contrôles ont été effectués en 2012 soit une croissance de 19 % par rapport à l’année 2011. De plus, le nombre de plaintes a connu un essor très important par rapport à l’année précédente, plus de 6000 plaintes ayant été enregistrées.

Dans son rapport d’activité, la Cnil confirme la tendance observée en 2011 quant au nombre important de plaintes relatives à l’internet aux télécommunications (31 % des plaintes reçues) et plus particulièrement en relation avec des problématiques de « droit à l’oubli numérique » : 1 050 plaintes ont concernées la suppression de textes, photographies, vidéos, coordonnées, ou commentaires.

Au-delà de ces chiffres, le rapport d’activité 2012 se caractérise par de nombreuses initiatives de la Cnil pour accompagner les entreprises dans leur démarche de conformité avec les exigences issues de la réglementation Informatique et libertés :

  • Publication de fiches pratiques sur les données personnelles au travail ;
  • Élaboration d’un guide de la sécurité informatique comprenant une méthode et un catalogue de mesures pour aider les entreprises à gérer les risques sur la vie privée ;
  • Mise en place d’un « pack de conformité » destiné aux acteurs du secteur du logement social.

La Cnil a également vu ses compétences élargies au travers de :

  • la mise en œuvre de son pouvoir de labellisation en matière de formation et d’audit Informatique et libertés. Le cabinet Alain Bensoussan a d’ailleurs été labellisé pour son catalogue de formations Lexing Informatique et libertés ;
  • la mission qui lui est confiée de traitement des notifications des violations de données personnelles émanant des fournisseurs de services de communications électroniques.

Enfin, l’année 2012 marque le début d’une grande réforme de la protection des données en Europe. La Cnil participe ainsi activement aux travaux portant sur le projet de règlement général sur la protection des données.

Ce projet prévoit notamment de rendre obligatoire l’approche « protection des données personnelles dès la conception » et propose l’adoption de l’approche Privacy by Design pour tous les produits, services et systèmes exploitant ce type de données.

Le rapport d’activité 2012 annonce également riche en actions pour l’année 2013-2014, au vu du programme des contrôles annoncés. En effet, la Cnil entend augmenter encore le nombre de ses contrôles sur les thèmes qu’elle juge prioritaires :

  • la protection des personnes vulnérables ;
  • la coopération internationale ;
  • le traitement des données par les instituts de sondage ;
  • les données traitées dans le cadre de l’internet en libre accès ;
  • le traitement par les collectivités locales des données relatives aux difficultés sociales des personnes ;
  • les données des personnes détenues en établissements pénitentiaires ;
  • le contrôle des services opérationnels de police et de gendarmerie.

Il est donc indispensable pour les entreprises de mettre en œuvre des actions visant à assurer la conformité de leur activité à la réglementation Informatique et libertés et à anticiper la réforme du cadre légal en matière de protection des données.

Chloé Torres
Lexing Droit Informatique et libertés




Label CNIL pour l’audit « Lexing® audit informatique et libertés »

Label CNILApres avoir obtenu le label CNIL « Lexing® formation informatique et libertés » pour son catalogue de formations informatique et libertés, le cabinet a obtenu le label CNIL pour sa procédure d’audit « Lexing® audit informatique et libertés » publié au Journal officiel du 7 novembre 2012.

Notre méthodologie Lexing® audit Informatique et libertés, résultat d’une expertise unique de plus de 30 ans dans le domaine Informatique et libertés, comprend :

    – des outils de conduite de projets Informatique et libertés performants ;
    – l’ensemble des documents d’analyse ;
    – les guides de mise en œuvre de ces documents ;
    – les synopsis de mise en concordance des processus légaux avec les processus réels réalisés par l’entreprise ;
    – un plan d’assurance qualité projet Informatique et libertés ;
    – un plan de route commun précisant, tout au long du projet, les tâches à réaliser ;
    – des questionnaires d’audit permettant d’identifier de manière structurée et selon une grille d’analyse les écarts à la réglementation Informatique et libertés ;
    – la rédaction d’un rapport d’audit comprenant notamment une appréciation générale de la situation, les écarts constatés, les stratégies proposées, le calendrier associé et une rosace de complétude.

Cnil 9 octobre 2012.




Label CNIL pour la formation « Lexing® formation informatique et libertés »

label cnilLe cabinet a obtenu le label Cnil « Lexing® formation informatique et libertés » pour son catalogue de formations informatique et libertés.

La délibération portant délivrance du label a été publié au Journal officiel du 27 juin 2012.
Liste des formations :

La formation labellisée se compose comme suit :

  • Les risques informatique et libertés à l’attention du comité exécutif ;
  • Le management du risque Informatique et Libertés ;
  • Les obligations du Correspondant Informatique et Libertés ;
  • La gestion des ressources humaines ;
  • La sécurité informatique et libertés ;
  • Les contrôles CNIL ;
  • Les flux transfrontières de données ;
  • Les obligations informatique et libertés pour les entreprises du secteur santé
  • Les obligations informatique et libertés pour les entreprises du secteur bancaire
  • Les obligations informatique et libertés pour les collectivités territoriales ;
  • Les obligations informatique et libertés niveau 2.

Certificat CNIL du 14 juin 2012
Cnil, rubrique Actualité, article du 20 juin 2012