La Commission nationale de l'informatique et des libertés,
Vu la Convention n° 108 du Conseil de l'Europe pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel ;
Vu le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ce données, et abrogeant la directive 95/46/CE ;
Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l'informatique, aux fichiers et aux libertés, notamment son article 11-3° c) ;
Vu le décret n° 2005-1309 du 20 octobre 2005 modifié pris pour l'application de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés ;
Vu la délibération n° 2011-315 du 6 octobre 2011 portant adoption d'un référentiel pour la délivrance de labels en matière de formation tendant à la protection des personnes à l'égard du traitement des données à caractère personnel ;
Vu la délibération n° 2013-175 du 4 juillet 2013 portant adoption du règlement intérieur de la CNIL, notamment ses articles 32 et suivants ;
Après avoir entendu M. Maurice RONAI, commissaire, président du Comité de labellisation, en son rapport et Mme Nacima BELKACEM, commissaire du Gouvernement, en ses observations,
Formule les observations suivantes :
L'article 11-3° c) de la loi du 6 janvier 1978 modifiée dispose que la CNIL « délivre un label à des produits ou à des procédures tendant à la protection des personnes à l'égard du traitement des données à caractère personnel ».
Depuis le 6 octobre 2011, la commission peut délivrer des labels en matière de formations tendant à la protection des personnes à l'égard du traitement des données à caractère personnel.
Or, à l'entrée en application du règlement européen, le 25 mai 2018, le référentiel de labellisation ne sera plus en conformité avec la règlementation en vigueur.
Aussi, pour pouvoir continuer à délivrer un label prenant en compte l'ensemble des règles applicables en matière de protection des données, la commission a décidé de faire évoluer son référentiel dès à présent pour prendre en considération les dispositions du règlement européen.
Par conséquent, la présente délibération fixe le référentiel modifié d'évaluation des formations relative à la protection des personnes à l'égard du traitement des données à caractère personnel.
Décide :
De l'adoption du référentiel annexé à la présente délibération permettant l'évaluation des demandes de label relatives à des formations relatives à la protection des personnes à l'égard du traitement des données à caractère personnel.
Cette délibération abroge la délibération n° 2011-315 du 6 octobre 2011 portant adoption d'un référentiel pour la délivrance de labels en matière de formation tendant à la protection des personnes à l'égard du traitement des données à caractère personnel.
Les labels en matière de formation tendant à la protection des personnes à l'égard du traitement des données à caractère personnel délivrés au regard de la délibération du 6 octobre 2011 restent valides jusqu'au 25 mai 2018. Les organismes titulaires de ces labels souhaitant se mettre en conformité avec le référentiel annexé à la présente délibération doivent présenter une nouvelle demande de label. Celui-ci pourra leur être délivré pour une durée de trois ans.
Cette délibération sera publiée au Journal officiel de la République françaiseLiens relatifs
ANNEXE
RÉFÉRENTIEL AUX FINS DE LABELLISATION DES FORMATIONS TENDANT À LA PROTECTION DES PERSONNES À L'EGARD DU TRAITEMENT DES DONNÉES À CARACTÈRE PERSONNEL
Terminologie
APPRENANT
PERSONNE ENGAGÉE DANS UN PROCESSUS D'APPRENTISSAGE (ISO 29990).
Connaissance
Acquisition de capacité par le biais de la formation notamment.
Compétence
Connaissances, compréhension, habiletés ou attitude qui sont observables et/ou mesurables, mises en œuvre et maîtrisées dans une situation de travail donnée et dans le cadre du développement professionnel et/ou personne (ISO 29990).
Commanditaire de la formation
Organisme ou individu apportant un soutien financier ou autre à l'apprenant ou étant manifestement intéressé par le résultat de l'apprentissage (ISO 29990).
Curriculum
Plan d'étude élaboré par le prestataire de services de formation, qui décrit les objectifs à atteindre, le contenu, les résultats de l'apprentissage, les méthodes d'enseignement et d'apprentissage et les processus d'évaluation (ISO 29990).
Formation
Processus destiné à produire et à développer les connaissances, les savoir-faire et les comportements nécessaires à la satisfaction d'exigences (ISO 10015).
Formateur
Personne travaillant avec les apprenants pour les aider dans leur apprentissage (ISO 29990)
Organisme de formation
Organisme de toute taille ou individu fournissant des services de formation.
1. Référentiel d'évaluation de l'activité de formation
1.1. Exigences relatives au respect de la règlementation applicable en matière de protection des données par l'organisme de formation
EM01. L'organisme de formation a mis en place une démarche visant à s'assurer de la conformité à la règlementation applicable en matière de protection des données de l'ensemble des traitements qu'il met en œuvre pour l'ensemble de ses activités, dont la formation.
EM02. L'organisme de formation a procédé aux formalités préalables relatives aux traitements mis en œuvre au titre de la gestion de son personnel et de l'ensemble de ses activités, dont la formation.
EM03. L'organisme de formation informe, dans le respect des dispositions de la règlementation applicable en matière de protection des données, les personnes concernées par les traitements qu'il met en œuvre.
EM04. L'organisme de formation met en place une procédure destinée à gérer les demandes et les réclamations des personnes dont il traite les données.
1.2. Exigences relatives à l'identification des besoins de formation
EM05. L'organisme de formation dispose d'une procédure pour tenir compte des besoins des apprenants et de leur commanditaire lors de la conception du contenu de la formation et du processus de formation (par exemple : formulaire de recueil de besoin, étude de marché réunion préparatoire à l'organisation de la formation…).
EM06. L'organisme de formation dispose d'une procédure pour s'assurer que les méthodes et supports de formation utilisés sont appropriés pour atteindre les objectifs énoncés (par exemple : consultation de professionnels de la protection des données, enquête de satisfaction…).
EM07. L'organisme de formation dispose d'une procédure pour que le contenu de la formation et le processus de formation tiennent compte des résultats de la formation (par exemple : évaluation des apprenants, analyse des questionnaires de satisfaction).
1.3. Exigences relatives au processus de conception de la formation
EM08. L'organisme de formation doit mettre au point et documenter un curriculum et les moyens d'évaluation appropriés de la formation.
EM09. L'organisme de formation dispose de méthodes de formation qui répondent aux objectifs et aux exigences du curriculum et tiennent compte des besoins des apprenants.
EM10. L'organisme de formation dispose de procédures destinées à revoir et mettre à jour le contenu de la formation tant en fonction des besoins et retours des apprenants et de leur commanditaire, que de l'actualité, de l'évolution de la législation et du développement des techniques.
1.4. Exigences relatives à la compétence et à l'évaluation des formateurs
EM11. L'organisme de formation s'assure que son personnel et ses formateurs possèdent les compétences requises pour identifier les besoins des apprenants, concevoir la formation et délivrer son contenu (par exemple : en auditionnant le formateur, en assistant à une session de formation…).
EM12. L'organisme de formation s'assure que les formateurs ont une expérience professionnelle de trois ans au minimum dans le secteur de la protection des données.
EM13. L'organisme de formation s'assure que les formateurs ont effectué deux formations au minimum dans les deux dernières années.
EM14. L'organisme s'assure que les formateurs disposent des compétences clés requises et que ces compétences sont entretenues.
EM15. L'organisme de formation met en place des dispositifs d'évaluation des compétences de son personnel et des intervenants. Ce processus est documenté.
EM16. L'organisme de formation dispose d'une procédure pour demander un retour aux apprenants sur les méthodes, les ressources employées, ainsi que sur leur efficacité à produire les résultats de la formation convenus.
EM17. L'organisme de formation s'assure que les procédures d'évaluation choisies et mises en œuvre fournissent des informations fiables sur les compétences de son personnel et des intervenants.
1.5. Exigences relatives aux conditions de réalisation de la formation
EM18. L'organisme de formation informe l'apprenant et son commanditaire des objectifs de la formation, de son format, des instruments pédagogiques utilisés et, le cas échéant, des critères d'évaluation utilisés pour l'évaluation.
EM19. L'organisme de formation informe l'apprenant et son commanditaire des prérequis comme les qualifications et l'expérience professionnelle nécessaires à l'apprentissage.
EM20. L'organisme de formation s'assure que les ressources de la formation sont disponibles et accessibles aux apprenants.
2. Référentiel d'évaluation du contenu du module principal de la formation
2.1. Exigences relatives à la présentation des principes et des définitions
EC01. La formation permet de connaître et de comprendre les notions de :
- données à caractère personnel ;
- traitement ;
- limitation du traitement ;
- profilage ;
- pseudonymisation ;
- fichier ;
- responsable de traitement ;
- sous-traitant ;
- destinataire ;
- tiers ;
- consentement ;
- violation de données à caractère personnel ;
- données génétiques ;
- données biométriques ;
- données concernant la santé ;
- établissement principal ;
- représentant ;
- règles d'entreprise contraignantes ;
- autorité de contrôle concernée ;
- traitement transfrontalier.
EC02. La formation permet de connaître et de comprendre le champ d'application matériel et géographique du règlement européen de la protection des données.
2.2. Exigences relatives à la présentation des conditions de licéité des traitements
EC03. La formation permet de connaître et de comprendre le principe de licéité du traitement.
EC04. La formation permet de connaître et de comprendre le principe de limitation des finalités.
EC05. La formation permet de connaître et de comprendre le principe de minimisation des données.
EC06. La formation permet de connaître et de comprendre le principe d'exactitude des données.
EC07. La formation permet de connaître et de comprendre le principe de la conservation limitée des données.
EC08. La formation permet de connaître et de comprendre les principes d'intégrité et de confidentialité.
EC09. La formation permet de connaître et de comprendre la notion de consentement, sa nécessité dans le contexte de mise en œuvre d'un traitement, les modalités de son retrait, les exceptions à son recueil ainsi que les spécificités liées aux enfants.
EC10. La formation permet de connaître et de comprendre les catégories particulières de données et les conditions dans lesquelles elles peuvent être traitées.
EC11. La formation permet de connaître et de comprendre les données relatives aux condamnations pénales et aux infractions ou aux mesures de sûreté connexes.
2.3. Exigences relatives à la présentation des droits des personnes à l'égard des traitements de données à caractère personnel
EC12. La formation permet de connaître et de comprendre le droit à l'information des personnes concernées par un traitement et les obligations qui en résultent pour le responsable de traitement.
EC13. La formation permet de connaître et de comprendre le droit d'opposition des personnes, les modalités de son exercice et les obligations qui en résultent pour le responsable de traitement.
EC14. La formation permet de connaître et de comprendre le droit d'accès dont disposent les personnes concernées par un traitement et les obligations qui en résultent pour le responsable de traitement.
EC15. La formation permet de connaître et de comprendre le droit à la rectification et à l'effacement dont disposent les personnes concernées par un traitement et les obligations qui en résultent pour le responsable de traitement.
EC16. La formation permet de connaître et de comprendre le droit à la limitation du traitement dont disposent les personnes concernées par un traitement et les obligations qui en résultent pour le responsable de traitement.
EC17.La formation permet de connaître et de comprendre le droit à la portabilité des données dont disposent les personnes concernées par un traitement.
3. Référentiel d'évaluation du contenu des modules complémentaires de la formation
3.1. Exigences relatives à la présentation de la CNIL et de ses missions
ES01. La formation permet de connaître et de comprendre le statut et la composition de la CNIL.
ES02. La formation permet de connaître et de comprendre l'organisation de la Commission plénière, restreinte et des services.
ES03. La formation permet de connaître et de comprendre les différentes missions de la CNIL.
3.2. Exigences relatives à la présentation des formalités préalables à la mise en œuvre des traitements
ES04. La formation permet de connaître et de comprendre les conditions de la consultation préalable de l'autorité de contrôle, le régime d'autorisation préalable ainsi que les éventuelles formalités particulières.
ES05. La formation permet de connaître et de comprendre les modalités selon lesquelles les formalités préalables à la mise en œuvre d'un traitement doivent être accomplies auprès de l'autorité de contrôle et la manière dont elle les instruit.
3.3. Exigences relatives à la présentation de l'encadrement des transferts de données hors de l'Union européenne
ES06. La formation permet de connaître et de comprendre les principes relatifs au transfert de données hors de l'Union européenne.
ES07. La formation permet de connaître et de comprendre les différents moyens destinés à encadrer les transferts de données.
ES08. La formation permet de connaître et de comprendre les formalités préalables applicables à un transfert de données hors de l'Union européenne.
ES09. La formation permet de connaître et de comprendre les obligations du responsable de traitement concernant l'information des personnes concernées par le transfert hors de l'Union européenne de leurs données.
3.4. Exigences relatives à la présentation du rôle du délégué à la protection des données
ES10. La formation permet de connaître et de comprendre les cas de désignation obligatoire d'un délégué à la protection des données et les différents types et modalités de désignation.
ES11. La formation permet de connaître et de comprendre l'expertise et les compétences attendues du délégué à la protection des données.
ES12. La formation permet de connaître et de comprendre les fonction et missions du délégué à la protection des données.
ES13. La formation permet de connaître et de comprendre le rôle du délégué à la protection des données dans la tenue du registre.
ES14. La formation permet de connaître et de comprendre le rôle du délégué à la protection des données dans l'étude des risques.
ES15. La formation permet de connaître et de comprendre les relations entre la CNIL et le délégué à la protection des données.
ES16. La formation permet de connaître et de comprendre les conditions et la procédure relative à la fin de mission du délégué à la protection des données.
3.5. Exigences relatives à la présentation de l'encadrement des traitements dans le domaine de la santé
ES17. La formation permet de connaître et de déterminer le régime de formalités préalables applicable aux traitements ayant pour objet la recherche, l'étude ou l'évaluation dans le domaine de la santé (chapitre IX).
ES18. La formation permet de connaître et de comprendre le contenu du dossier à présenter à la CNIL.
ES19. La formation permet de connaître et de comprendre les conditions dans lesquelles un traitement de données à caractère personnel ayant pour objet la recherche, l'étude ou l'évaluation dans le domaine de la santé doit être mis en œuvre pour respecter les dispositions du règlement européen et de la loi Informatique et Libertés 2.
ES20. La formation permet de connaître et de comprendre les cas dans lesquels la Commission peut, pour les traitements de recherche, d'étude ou d'évaluation dans le domaine de la santé, adopter des méthodologies de référence.
ES21. La formation permet de connaître et de comprendre les droits des personnes qui participent à une recherche, étude ou évaluation dans le domaine de la santé et notamment le droit à l'information, avec, dans certains cas, le recueil de leur consentement, et les obligations qui en résultent pour le responsable de traitement.
ES22. La formation permet de connaître et de comprendre, pour les traitements de recherche, d'étude ou d'évaluation dans le domaine de la santé, les cas dans lesquels il peut être dérogé à l'obligation d'information prévue par le règlement et la loi Informatique et Libertés.
ES23. La formation permet de connaître et de comprendre les conditions de sécurité à mettre en œuvre pour garantir la confidentialité des informations traitées par le traitement.
3.6. Exigences relatives à la présentation du pouvoir de contrôle a posteriori de la CNIL
ES24. La formation permet de connaître et de comprendre les différentes formes de contrôles a posteriori pouvant être effectués par la CNIL, y compris lorsque ces contrôles s'inscrivent dans le cadre d'une procédure de coopération.
ES25. La formation permet de connaître et de comprendre le formalisme associé à une procédure de contrôle, y compris lorsque ces contrôles s'inscrivent dans le cadre d'une procédure de coopération.
ES26. La formation permet de connaître et de comprendre les modalités pratiques d'exercice d'une procédure de contrôle, y compris lorsque ces contrôles s'inscrivent dans le cadre d'une procédure de coopération.
ES27. La formation permet de connaître et de comprendre les droits et les obligations du responsable de traitements et des représentants de la CNIL dans le cadre d'une procédure de contrôle, y compris lorsque ces contrôles s'inscrivent dans le cadre d'une procédure de coopération.
ES28. La formation permet de connaître et de comprendre les suites consécutives à un contrôle, y compris lorsque ces contrôles s'inscrivent dans le cadre d'une procédure de coopération.
3.7. Exigences relatives à la présentation du pouvoir de sanction de la CNIL
ES29. La formation permet de connaître et de comprendre les différentes procédures de sanction pouvant être mises en œuvre par la CNIL.
ES30. La formation permet de connaître et de comprendre le fonctionnement de la Commission réunie en formation restreinte et le déroulement d'une séance.
ES31. La formation permet de connaître et de comprendre le formalisme associé à une procédure de sanction, les droits et les obligations du responsable de traitement mis en cause et les voies de recours.
ES32. La formation permet de connaître et de comprendre les conditions de publication et de publicité des sanctions.
3.8. Exigences relatives à la présentation des dispositions pénales associées au non-respect du Règlement européen général sur la protection des données
ES33. La formation permet de connaître et de comprendre les conditions dans lesquelles un délit d'entrave à l'action de la CNIL est constitué.
ES34. La formation permet de connaître et de comprendre les sanctions pénales relatives au non-respect des dispositions de la loi Informatique et Libertés et du règlement général à la protection des données relatives :
- au caractère loyal et licite de la collecte de données ;
- aux droits d'accès, de rectification ou d'opposition de la personne ;
- à l'information des personnes ;
- aux formalités préalables ;
- à la sécurité des données ;
- à la durée de conservation des données ;
- à la finalité des traitements ;
- à la conservation de données sensibles en l'absence de consentement exprès des personnes concernées ;
- à l'obligation de notification des failles de sécurité.
La Présidente
I. Falque-Pierrotin