Section suivante

Annexe

JORF n°0220 du 20 septembre 2017

Délibération n°2017-219 du 13 juillet 2017

La Commission nationale de l'informatique et des libertés,

Vu la Convention n° 108 du Conseil de l'Europe pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel ;

Vu le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE ;

Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l'informatique, aux fichiers et aux libertés, notamment son article 11-3° c) ;

Vu le décret n° 2005-1309 du 20 octobre 2005 modifié pris pour l'application de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés ;

Vu la délibération n° 2013-175 du 4 juillet 2013 portant adoption du règlement intérieur de la CNIL, notamment ses articles 32 et suivants ;

Vu la délibération n° 2014-500 du 11 décembre 2014 portant adoption d'un référentiel pour la délivrance de labels en matière de procédures de gouvernance Informatique et Libertés ;

Après avoir entendu M. Maurice RONAI, commissaire, président du Comité de labellisation, en son rapport et Mme Nacima BELKACEM, commissaire du Gouvernement, en ses observations,
Formule les observations suivantes :
L'article 11-3° c) de la loi du 6 janvier 1978 modifiée dispose que la CNIL « délivre un label à des produits ou à des procédures tendant à la protection des personnes à l'égard du traitement des données à caractère personnel ».
Depuis le 11 décembre 2014, la Commission peut délivrer des labels en matière de procédures de gouvernance Informatique et Libertés.
Or, à l'entrée en application du règlement européen, le 25 mai 2018, le référentiel de labellisation ne sera plus en conformité avec la règlementation en vigueur.
Aussi, pour pouvoir continuer à délivrer un label conforme aux règles applicables en matière de protection des données, la commission a décidé de faire évoluer dès à présent son référentiel pour prendre en compte les dispositions du règlement européen.
Par conséquent, la présente délibération fixe le référentiel modifié d'évaluation des procédures de gouvernance tendant à la protection des personnes à l'égard du traitement des données à caractère personnel.
Décide
De l'adoption du référentiel annexé à la présente délibération permettant l'évaluation des demandes de label relatives aux procédures de gouvernance tendant à assurer la protection des données au sein des organismes.
Cette délibération abroge la délibération n° 2014-500 du 11 décembre 2014 portant adoption d'un référentiel pour la délivrance de labels en matière de procédures de gouvernance Informatique et Libertés.
Les labels en matière de procédure de gouvernance Informatique et Libertés délivrés au regard de la délibération du 11 décembre 2014 restent valides jusqu'au 25 mai 2018. Les organismes titulaires de ces labels souhaitant mettre leur procédure en conformité avec le référentiel annexé à la présente délibération doivent présenter une nouvelle demande de label. Celui-ci pourra leur être délivré pour une durée de trois ans.
Cette délibération sera publiée au Journal officiel de la République française.

1 version

Annexe

La Présidente,

I. Falque-Pierrotin