La CNIL a annoncé fin août que la liste des formalités accomplies depuis 1979 par les responsables de traitement (publics et privés) mettant en œuvre des fichiers traitant des données à caractère personnel pouvait désormais être consultée librement par tous sur son site internet.
Une recherche simple et rapide
La CNIL propose désormais, à l’aide d’une recherche par ordre alphabétique (recherche via la première lettre du nom de l’organisme visé puis téléchargement d’un fichier Excel où un « CTRL+F » permet de retrouver l’organisme en question), d’accéder à l’ensemble des formalités accomplies par les responsables de traitement depuis trente-huit ans. Selon la CNIL, ces listes devraient être mises à jour par ses soins de manière hebdomadaire.
Les informations ainsi accessibles via cette simple recherche sont les suivantes : les nom, adresse et numéro SIREN de l’organisme déclarant ; la date de l’enregistrement de la déclaration ; la finalité du fichier déclaré ; les catégories de données collectées et les destinataires des données ; le numéro de la déclaration ; les modifications effectuées sur cette dernière le cas échéant ; et enfin le type de déclaration accomplie (déclarations simplifiées, déclarations ordinaires/normales, demandes d'avis, demandes d'autorisation).
Il convient de souligner que certains traitements de données réalisés par les organismes n’apparaissent toutefois pas dans la liste proposée par la CNIL : (i) ceux des organismes ayant désigné un Correspondant Informatique et Libertés (CIL), dès lors qu’ils sont dispensés d’accomplir certaines formalités auprès de la CNIL, et (ii) les traitements faisant l’objet d’une dispense de déclaration.
Cette possibilité pour toute personne de consulter librement les formalités accomplies auprès de la CNIL n’est pas nouvelle : l’article 31 de la loi Informatique et Libertés impose en effet à la CNIL de mettre à disposition du public la liste des traitements automatisés ayant fait l'objet d'une des formalités susmentionnées. Cependant, la personne ou l’entité qui souhaitait auparavant avoir accès aux formalités accomplies par un responsable de traitement devait envoyer une demande spécifique à la CNIL en lui fournissant un certain nombre d’informations sur le responsable de traitement concerné puis recevait par email, souvent plusieurs semaines après, la liste des formalités effectuées.
La mise à disposition proposée par la CNIL sur son site facilite ainsi grandement, tant en terme de procédure que de délais, l’accès aux déclarations réalisées.
Une ouverture aux conséquences aléatoires pour les organismes concernés
Ce nouveau format de consultation en open data fait suite aux obligations imposées aux autorités publiques par la Loi pour une République numérique du 7 octobre 2016.
Cette ouverture présente l’avantage de permettre aux organismes de pourvoir identifier, en toute simplicité, les formalités effectuées, celles manquantes ou celles qui ne sont plus à jour. Elle présente également l’avantage de pouvoir aider les entreprises à préparer leur mise en conformité avec le Règlement européen sur le Protection des Données (RGPD) qui entrera en application le 25 mai 2018.
En effet, le RGPD souhaite responsabiliser davantage les entreprises qui devront mettre en place des mécanismes et des procédures internes permettant de démontrer le respect des règles applicables (principe d’accountability). Dans ce cadre, le RGPD (article 30) prévoit notamment la disparition de la plupart des formalités préalables auprès des autorités de contrôle mais impose aux entreprises de plus de 250 salariés (et celles de moins de 250 salariés dans certains cas) de tenir un registre des activités de traitement effectuées sous leur responsabilité. Or, peu d’organismes ont conservé une trace des formalités effectuées jusqu’à présent. La connaissance de ces formalités est pourtant primordiale puisqu’elle contribuera à aider les organismes (i) à tenir le registre de traitement susmentionné pour ceux soumis à cette obligation et, plus généralement (ii) à acquérir une meilleure connaissance des traitements effectués par les différentes divisions de l’organisme en question (RH, marketing, finance, etc.) afin d’être en mesure d’établir la documentation adéquate qui devra être présentée à la CNIL en cas de contrôle.
S’il est extrêmement pratique d’avoir désormais accès en direct à ces informations, un rapide coup d’œil permet cependant de constater que nombreux sont les organismes qui ne semblent pas à jour de leurs obligations déclaratives (déclarations manquantes pour des traitements nécessairement réalisés par tel organisme dont on sait qu’il ne dispose pas de CIL, multiples déclarations simplifiées identiques effectuées par une même entité, etc.). Cette mise à disposition en toute transparence des formalités effectuées pourrait avoir alors un effet négatif sur la réputation de certaines sociétés en laissant imaginer, à tort ou à raison, que celles qui ne sont pas à jour de leurs formalités auprès de la CNIL n’ont pas su mettre en place une véritable politique interne de gestion et de protection des données en conformité avec la législation applicable et n’ont peut-être pas encore pris le virage qui s’impose pour se conformer aux obligations du RGPD à venir.
Florence Chafiol, Associée, August Debouzy et Stéphanie Lapeyre, avocat, August Debouzy
