Commission nationale de l’informatique et des libertés
Délibération no
2017-219 du 13 juillet 2017 portant modification du...
ANNEXE
RÉFÉRENTIEL AUX FINS DE LABELLISATION DES PROCÉDURES DE GOUVERNANCE
TENDANT À LA PROTECTION DES DONNÉES
Le demandeu...
EOR11. Le responsable de traitement et, si nécessaire, le représentant du responsable de traitement tiennent, ou
peuvent f...
La procédure du demandeur prévoit la possibilité de demander l’avis des personnes concernées.
EM03. L’analyse effectuée pa...
– le nom et les coordonnées du délégué ;
– les conséquences probables de la violation de données ;
– ainsi que les mesures...
Commission nationale de l’informatique et des libertés
Délibération no
2017-220 du 13 juillet 2017 portant modification du...
ANNEXE
RÉFÉRENTIEL AUX FINS DE LABELLISATION DES FORMATIONS TENDANT À LA PROTECTION
DES PERSONNES À L’EGARD DU TRAITEMENT ...
EM12. L’organisme de formation s’assure que les formateurs ont une expérience professionnelle de trois ans au
minimum dans...
EC11. La formation permet de connaître et de comprendre les données relatives aux condamnations pénales et
aux infractions...
3.5. Exigences relatives à la présentation de l’encadrement des traitements dans le domaine de la santé
ES17. La formation...
Prochain SlideShare
Chargement dans…5
×

Données personnelles : nouveaux référentiels de délivrance de Labels CNIL

75 vues

Publié le

Délibérations de la CNIL publiées au JO relatives à la modification des référentiels de délivrance des labels relatifs à l'usage de données personnelles

  • Soyez le premier à commenter

  • Soyez le premier à aimer ceci

Données personnelles : nouveaux référentiels de délivrance de Labels CNIL

  1. 1. Commission nationale de l’informatique et des libertés Délibération no 2017-219 du 13 juillet 2017 portant modification du référentiel pour la délivrance de labels en matière de procédures de gouvernance tendant à assurer la protection des données NOR : CNIL1726150X La Commission nationale de l’informatique et des libertés, Vu la Convention no 108 du Conseil de l’Europe pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel ; Vu le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE ; Vu la loi no 78-17 du 6 janvier 1978 modifiée relative à l’informatique, aux fichiers et aux libertés, notamment son article 11-3° c) ; Vu le décret no 2005-1309 du 20 octobre 2005 modifié pris pour l’application de la loi no 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés ; Vu la délibération no 2013-175 du 4 juillet 2013 portant adoption du règlement intérieur de la CNIL, notamment ses articles 32 et suivants ; Vu la délibération no 2014-500 du 11 décembre 2014 portant adoption d’un référentiel pour la délivrance de labels en matière de procédures de gouvernance Informatique et Libertés ; Après avoir entendu M. Maurice RONAI, commissaire, président du Comité de labellisation, en son rapport et Mme Nacima BELKACEM, commissaire du Gouvernement, en ses observations, Formule les observations suivantes : L’article 11-3o c) de la loi du 6 janvier 1978 modifiée dispose que la CNIL « délivre un label à des produits ou à des procédures tendant à la protection des personnes à l’égard du traitement des données à caractère personnel ». Depuis le 11 décembre 2014, la Commission peut délivrer des labels en matière de procédures de gouvernance Informatique et Libertés. Or, à l’entrée en application du règlement européen, le 25 mai 2018, le référentiel de labellisation ne sera plus en conformité avec la règlementation en vigueur. Aussi, pour pouvoir continuer à délivrer un label conforme aux règles applicables en matière de protection des données, la commission a décidé de faire évoluer dès à présent son référentiel pour prendre en compte les dispositions du règlement européen. Par conséquent, la présente délibération fixe le référentiel modifié d’évaluation des procédures de gouvernance tendant à la protection des personnes à l’égard du traitement des données à caractère personnel. Décide De l’adoption du référentiel annexé à la présente délibération permettant l’évaluation des demandes de label relatives aux procédures de gouvernance tendant à assurer la protection des données au sein des organismes. Cette délibération abroge la délibération no 2014-500 du 11 décembre 2014 portant adoption d’un référentiel pour la délivrance de labels en matière de procédures de gouvernance Informatique et Libertés. Les labels en matière de procédure de gouvernance Informatique et Libertés délivrés au regard de la délibération du 11 décembre 2014 restent valides jusqu’au 25 mai 2018. Les organismes titulaires de ces labels souhaitant mettre leur procédure en conformité avec le référentiel annexé à la présente délibération doivent présenter une nouvelle demande de label. Celui-ci pourra leur être délivré pour une durée de trois ans. Cette délibération sera publiée au Journal officiel de la République française. La Présidente, I. FALQUE-PIERROTIN 20 septembre 2017 JOURNAL OFFICIEL DE LA RÉPUBLIQUE FRANÇAISE Texte 70 sur 113
  2. 2. ANNEXE RÉFÉRENTIEL AUX FINS DE LABELLISATION DES PROCÉDURES DE GOUVERNANCE TENDANT À LA PROTECTION DES DONNÉES Le demandeur, candidat au label, peut être un organisme privé ou public. Il doit disposer obligatoirement d’un délégué à la protection des données qui peut être une personne physique ou personne morale, interne ou externe à l’organisme demandeur, mutualisé avec d’autres ou non. Dans le référentiel ci-après, le demandeur s’entend indifféremment - sauf précision contraire - comme responsable de traitement ou sous-traitant. 1. Evaluation du dispositif interne lié à la protection des données 1.1. Exigences relatives à la politique de protection des données EOR01. Le demandeur met en place en interne une politique appropriée en matière de protection des données. Cette politique comprend l’ensemble des principes nécessaires pour garantir la mise en œuvre de traitements équitables et transparents, compte tenu des circonstances particulières et du contexte dans lesquels les données à caractère personnel sont traitées. Cette politique indique les coordonnées du demandeur, celles du délégué à la protection des données (1), ainsi que les engagements du demandeur concernant le respect des principes énoncés par le règlement européen général sur la protection des données (2), au regard notamment : – de la mise en œuvre de traitements licites ; – du respect des droits des personnes ; – des éventuels transferts vers un pays tiers ; – des destinataires des données collectées ; – de la durée de conservation des données collectées ; – des mesures de sécurité des données. EOR02. Le demandeur porte à la connaissance des personnes extérieures concernées par ses traitements sa politique en matière de protection des données et ce dans un format concis, transparent, compréhensible et aisément accessible. Cette politique comprend toute information nécessaire pour garantir la mise en œuvre de traitements équitables et transparents, compte tenu des circonstances particulières et du contexte dans lesquels les données à caractère personnel sont traitées. Cette politique indique les coordonnées du demandeur, celles du délégué à la protection des données, ainsi que les engagements du demandeur concernant le respect des principes énoncés par le règlement européen général sur la protection des données, au regard notamment : – de la mise en œuvre de traitements licites ; – du respect des droits des personnes ; – des éventuels transferts vers un pays tiers ; – des destinataires des données collectées ; – de la durée de conservation des données collectées ; – des mesures de sécurité des données. EOR03. Le demandeur garantit que le délégué à la protection des données contrôle le respect des politiques mises en place en matière de protection des données. Ces politiques sont réexaminées et actualisées si nécessaire, a minima tous les trois ans. 1.2. Exigences relatives au délégué à la protection des données EOR04. Le demandeur a désigné un délégué pour l’ensemble des traitements mis en œuvre par l’organisme. EOR05. Le demandeur prévoit que le délégué fait rapport directement au niveau le plus élevé de la direction de l’organisme. EOR06. Le demandeur précise clairement l’étendue des missions du délégué dans une lettre de mission ou dans un contrat. EOR07. Le demandeur s’assure que le délégué désigné dispose au moment de sa désignation des qualités professionnelles, connaissances juridiques spécialisées et pratiques en matière de protection des données requises. EOR08. Le demandeur justifie comment permettre au délégué d’entretenir ses connaissances spécialisées. EOR09. Le demandeur justifie les ressources nécessaires et les conditions de travail fournies au délégué pour qu’il exerce ses missions. EOR10. Le demandeur s’assure que le délégué pilote la mise en conformité des traitements, dès leur conception et par défaut, et qu’il est associé systématiquement et en amont des réflexions sur toutes les questions relatives à la protection des données. 20 septembre 2017 JOURNAL OFFICIEL DE LA RÉPUBLIQUE FRANÇAISE Texte 70 sur 113
  3. 3. EOR11. Le responsable de traitement et, si nécessaire, le représentant du responsable de traitement tiennent, ou peuvent faire tenir par le délégué à la protection des données, un registre des activités de traitement, comprenant, a minima par traitement : – nom et coordonnées du responsable de traitement et le cas échéant du responsable conjoint du traitement, du représentant du responsable de traitement et du délégué ; – la ou les finalités du traitement ; – une description des catégories de personnes concernées ; – une description des catégories de données à caractère personnel ; – la durée de conservation associée à chaque catégorie de données ; – les catégories de destinataires, y compris les destinataires dans des pays tiers ou des organisations internationales ; – les transferts de données à caractère personnel vers un pays tiers ou une organisation internationale (y compris leur identification) ainsi que les documents attestant de l’existence de garanties appropriées, conformément à l’article 49 paragraphe 1, 2ème alinéa du RGPD ; – une description des mesures de sécurité techniques et organisationnelles (cf. article 32, paragraphe 1) ; – l’existence ou non d’une sous-traitance (avec contrat de sous-traitance ou autre acte juridique définissant l’objet et la durée du traitement, la nature et la finalité du traitement, le type de données à caractère personnel et les catégories de personnes concernées, et les obligations et droits du responsable de traitement). OU, si la demande est formulée par le sous-traitant : – nom et coordonnées du (ou des) sous-traitant (s) et de chaque responsable de traitement pour lequel le sous- traitant agit, ainsi que, le cas échéant, les noms et coordonnées du représentant du responsable de traitement ou du sous-traitant et du délégué ; – les catégories de traitements effectués pour le compte de chaque responsable du traitement ; – les transferts de données à caractère personnel vers un pays tiers ou une organisation internationale (y compris leur identification) ainsi que les documents attestant de l’existence de garanties appropriées, conformément à l’article 49 paragraphe 1, 2ème alinéa du RGPD ; – une description des mesures de sécurité techniques et organisationnelles. EOR12. Le demandeur justifie comment le délégué l’informe et le conseille, ainsi que les employés procédant au traitement, en matière de protection des données à caractère personnel. EOR13. Le demandeur s’assure que le délégué est le point de contact avec l’autorité de contrôle, et qu’il coopère avec cette dernière. 2. Evaluation de la méthode de vérification de la conformité des traitements à la loi Informatique et Libertés et au règlement européen à la protection des données. 2.1. Exigences relatives à l’analyse de la conformité EM01. Le délégué analyse les projets de traitements et les traitements en termes : – de finalité du traitement ; – de proportionnalité du traitement au regard de la finalité ; – de minimisation des données collectées au regard de la finalité ; – de licéité du traitement ; – de sécurité des données collectées ; – de durée de conservation des données collectées ; – de destinataires des données collectées ; – d’encadrement des relations avec les sous-traitants ; – d’information claire et préalable des personnes concernées ; – de conditions d’exercice des droits des personnes ; – et le cas échéant d’encadrement des transferts de données hors Union européenne. Le demandeur veille à documenter la manière dont ces principes sont respectés pour chaque traitement. EM02. L’analyse effectuée permet d’identifier les traitements susceptibles d’engendrer un risque élevé pour les droits et libertés des personnes concernées, pour lesquels il est nécessaire de réaliser une analyse d’impact relative à la protection des données. L’analyse d’impact relative à la protection des données comprend a minima : – une description systématique des opérations de traitement envisagées et des finalités, y compris l’intérêt légitime poursuivi ; – une évaluation de la nécessité et de la proportionnalité des opérations de traitements au regard des finalités ; – une évaluation des risques pour les droits et libertés des personnes concernées ; – les mesures envisagées pour faire face aux risques, y compris les garanties, mesures et mécanismes de sécurité visant à assurer la protection des données à caractère personnel et à apporter la preuve du respect du RGPD, compte tenu des droits et des intérêts légitimes des personnes concernées et des autres personnes affectées. 20 septembre 2017 JOURNAL OFFICIEL DE LA RÉPUBLIQUE FRANÇAISE Texte 70 sur 113
  4. 4. La procédure du demandeur prévoit la possibilité de demander l’avis des personnes concernées. EM03. L’analyse effectuée par le demandeur permet de déterminer les mesures techniques et organisationnelles adaptées au risque présenté par le traitement pour les personnes concernées. EM04. La procédure du demandeur encadre le recours à des sous-traitants dans la mise en œuvre des traitements. A ce titre, elle impose le recours à un contrat définissant l’objet, la durée du traitement, la nature et la finalité du traitement, le type de données à caractère personnel et les catégories de personnes concernées, et les obligations et droits du demandeur. Le contrat respecte les prescriptions de l’article 28 du RGPD. La procédure du demandeur permet d’assurer que le sous-traitant auquel il recourt : – présente des garanties suffisantes concernant la mise en œuvre de mesures techniques et organisationnelles adaptées afin que le traitement réponde aux exigences du RGPD et garantisse la protection des droits des personnes ; – recourt lui-même à un sous-traitant uniquement avec autorisation préalable du responsable de traitement. EM05. La procédure du demandeur prévoit la réalisation d’une analyse permettant de déterminer les mesures techniques et organisationnelles adaptées au risque présenté par le traitement pour les personnes concernées. EM06. La procédure du demandeur prévoit que le délégué est consulté pour toute analyse d’impact et qu’il vérifie son exécution. Le délégué peut dispenser des conseils au responsable du traitement. Si ce dernier ne suit pas les observations formulées, la documentation de l’analyse d’impact relative à la protection des données doit en mentionner la raison. 2.2. Exigences relatives à l’analyse de la conformité dans le temps EM07. La procédure du demandeur prévoit que les mesures techniques, organisationnelles et de mise en conformité, visées aux exigences EM01 et EM03, sont régulièrement testées, analysées et évaluées, afin de vérifier leur efficacité. EM08. La procédure du demandeur (responsable de traitement) prévoit un examen régulier de la conformité du traitement au regard de l’analyse d’impact visée à l’exigence EM01, et a minima lorsqu’il y a modification du risque présenté par l’opération de traitement. EM09. La procédure du demandeur prévoit que les mesures correctives adoptées en cas de manquement constaté lors de l’examen de conformité sont documentées et régulièrement mises à jour. 3. Evaluation de la gestion des réclamations et incidents 3.1. Exigences relatives à la gestion des réclamations et à l’exercice des droits des personnes EG01. Le demandeur met en place une procédure facilitant l’exercice des droits des personnes (droit d’accès, de rectification, d’effacement, de limitation du traitement, à la portabilité, de définir le sort de ses données après son décès), comprenant, conformément à l’article 12 du RGPD et a minima les modalités : – d’identification/authentification de la personne concernée exerçant ses droits ; – permettant de respecter les délais de réponse. EG02. La procédure du demandeur prévoit que le délégué, en tant que point de contact des personnes concernées, pilote la gestion des demandes des personnes concernées relatives au traitement de leurs données et à l’exercice de leurs droits. 3.2. Exigences relatives à la gestion des violations de données EG03. Le demandeur (responsable de traitement) met en place une procédure de notification d’une violation de données à caractère personnel à l’autorité de contrôle compétente, si possible dans les 72 heures après en avoir pris connaissance. Si le demandeur est sous-traitant, celui-ci doit notifier au responsable de traitement dans les meilleurs délais après en avoir pris connaissance. La notification à l’autorité compétente doit comporter a minima : – la nature de la violation ; – les catégories et nombre de personnes concernées par la violation ; – les catégories et nombre approximatif d’enregistrements de données à caractère personnel concernés ; – le nom et les coordonnées du délégué ; – les conséquences probables de la violation de données ; – ainsi que les mesures prises et/ou à prendre pour remédier ou atténuer les éventuelles conséquences négatives. EG04. Le demandeur met en place une procédure permettant, en cas de violation de données à caractère personnel susceptible d’engendrer un risque élevé pour les droits et libertés d’une personne physique, d’en informer les personnes concernées dans les meilleurs délais. Cette information doit comporter a minima : – la nature de la violation ; 20 septembre 2017 JOURNAL OFFICIEL DE LA RÉPUBLIQUE FRANÇAISE Texte 70 sur 113
  5. 5. – le nom et les coordonnées du délégué ; – les conséquences probables de la violation de données ; – ainsi que les mesures prises ou qui vont l’être pour remédier ou atténuer les éventuelles conséquences négatives. (1) Ci-après « le délégué ». (2) Ci-après « RGPD ». 20 septembre 2017 JOURNAL OFFICIEL DE LA RÉPUBLIQUE FRANÇAISE Texte 70 sur 113
  6. 6. Commission nationale de l’informatique et des libertés Délibération no 2017-220 du 13 juillet 2017 portant modification du référentiel pour la délivrance de labels en matière de formation relative à la protection des personnes à l’égard du traitement des données à caractère personnel NOR : CNIL1726153X La Commission nationale de l’informatique et des libertés, Vu la Convention no 108 du Conseil de l’Europe pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel ; Vu le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ce données, et abrogeant la directive 95/46/CE ; Vu la loi no 78-17 du 6 janvier 1978 modifiée relative à l’informatique, aux fichiers et aux libertés, notamment son article 11-3o c) ; Vu le décret no 2005-1309 du 20 octobre 2005 modifié pris pour l’application de la loi no 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés ; Vu la délibération no 2011-315 du 6 octobre 2011 portant adoption d’un référentiel pour la délivrance de labels en matière de formation tendant à la protection des personnes à l’égard du traitement des données à caractère personnel ; Vu la délibération no 2013-175 du 4 juillet 2013 portant adoption du règlement intérieur de la CNIL, notamment ses articles 32 et suivants ; Après avoir entendu M. Maurice RONAI, commissaire, président du Comité de labellisation, en son rapport et Mme Nacima BELKACEM, commissaire du Gouvernement, en ses observations, Formule les observations suivantes : L’article 11-3o c) de la loi du 6 janvier 1978 modifiée dispose que la CNIL « délivre un label à des produits ou à des procédures tendant à la protection des personnes à l’égard du traitement des données à caractère personnel ». Depuis le 6 octobre 2011, la commission peut délivrer des labels en matière de formations tendant à la protection des personnes à l’égard du traitement des données à caractère personnel. Or, à l’entrée en application du règlement européen, le 25 mai 2018, le référentiel de labellisation ne sera plus en conformité avec la règlementation en vigueur. Aussi, pour pouvoir continuer à délivrer un label prenant en compte l’ensemble des règles applicables en matière de protection des données, la commission a décidé de faire évoluer son référentiel dès à présent pour prendre en considération les dispositions du règlement européen. Par conséquent, la présente délibération fixe le référentiel modifié d’évaluation des formations relative à la protection des personnes à l’égard du traitement des données à caractère personnel. Décide : De l’adoption du référentiel annexé à la présente délibération permettant l’évaluation des demandes de label relatives à des formations relatives à la protection des personnes à l’égard du traitement des données à caractère personnel. Cette délibération abroge la délibération no 2011-315 du 6 octobre 2011 portant adoption d’un référentiel pour la délivrance de labels en matière de formation tendant à la protection des personnes à l’égard du traitement des données à caractère personnel. Les labels en matière de formation tendant à la protection des personnes à l’égard du traitement des données à caractère personnel délivrés au regard de la délibération du 6 octobre 2011 restent valides jusqu’au 25 mai 2018. Les organismes titulaires de ces labels souhaitant se mettre en conformité avec le référentiel annexé à la présente délibération doivent présenter une nouvelle demande de label. Celui-ci pourra leur être délivré pour une durée de trois ans. Cette délibération sera publiée au Journal officiel de la République française La Présidente I. FALQUE-PIERROTIN 20 septembre 2017 JOURNAL OFFICIEL DE LA RÉPUBLIQUE FRANÇAISE Texte 71 sur 113
  7. 7. ANNEXE RÉFÉRENTIEL AUX FINS DE LABELLISATION DES FORMATIONS TENDANT À LA PROTECTION DES PERSONNES À L’EGARD DU TRAITEMENT DES DONNÉES À CARACTÈRE PERSONNEL Terminologie APPRENANT PERSONNE ENGAGÉE DANS UN PROCESSUS D’APPRENTISSAGE (ISO 29990). Connaissance Acquisition de capacité par le biais de la formation notamment. Compétence Connaissances, compréhension, habiletés ou attitude qui sont observables et/ou mesurables, mises en œuvre et maîtrisées dans une situation de travail donnée et dans le cadre du développement professionnel et/ou personne (ISO 29990). Commanditaire de la formation Organisme ou individu apportant un soutien financier ou autre à l’apprenant ou étant manifestement intéressé par le résultat de l’apprentissage (ISO 29990). Curriculum Plan d’étude élaboré par le prestataire de services de formation, qui décrit les objectifs à atteindre, le contenu, les résultats de l’apprentissage, les méthodes d’enseignement et d’apprentissage et les processus d’évaluation (ISO 29990). Formation Processus destiné à produire et à développer les connaissances, les savoir-faire et les comportements nécessaires à la satisfaction d’exigences (ISO 10015). Formateur Personne travaillant avec les apprenants pour les aider dans leur apprentissage (ISO 29990) Organisme de formation Organisme de toute taille ou individu fournissant des services de formation. 1. Référentiel d’évaluation de l’activité de formation 1.1. Exigences relatives au respect de la règlementation applicable en matière de protection des données par l’organisme de formation EM01. L’organisme de formation a mis en place une démarche visant à s’assurer de la conformité à la règlementation applicable en matière de protection des données de l’ensemble des traitements qu’il met en œuvre pour l’ensemble de ses activités, dont la formation. EM02. L’organisme de formation a procédé aux formalités préalables relatives aux traitements mis en œuvre au titre de la gestion de son personnel et de l’ensemble de ses activités, dont la formation. EM03. L’organisme de formation informe, dans le respect des dispositions de la règlementation applicable en matière de protection des données, les personnes concernées par les traitements qu’il met en œuvre. EM04. L’organisme de formation met en place une procédure destinée à gérer les demandes et les réclamations des personnes dont il traite les données. 1.2. Exigences relatives à l’identification des besoins de formation EM05. L’organisme de formation dispose d’une procédure pour tenir compte des besoins des apprenants et de leur commanditaire lors de la conception du contenu de la formation et du processus de formation (par exemple : formulaire de recueil de besoin, étude de marché réunion préparatoire à l’organisation de la formation…). EM06. L’organisme de formation dispose d’une procédure pour s’assurer que les méthodes et supports de formation utilisés sont appropriés pour atteindre les objectifs énoncés (par exemple : consultation de professionnels de la protection des données, enquête de satisfaction…). EM07. L’organisme de formation dispose d’une procédure pour que le contenu de la formation et le processus de formation tiennent compte des résultats de la formation (par exemple : évaluation des apprenants, analyse des questionnaires de satisfaction). 1.3. Exigences relatives au processus de conception de la formation EM08. L’organisme de formation doit mettre au point et documenter un curriculum et les moyens d’évaluation appropriés de la formation. EM09. L’organisme de formation dispose de méthodes de formation qui répondent aux objectifs et aux exigences du curriculum et tiennent compte des besoins des apprenants. EM10. L’organisme de formation dispose de procédures destinées à revoir et mettre à jour le contenu de la formation tant en fonction des besoins et retours des apprenants et de leur commanditaire, que de l’actualité, de l’évolution de la législation et du développement des techniques. 1.4. Exigences relatives à la compétence et à l’évaluation des formateurs EM11. L’organisme de formation s’assure que son personnel et ses formateurs possèdent les compétences requises pour identifier les besoins des apprenants, concevoir la formation et délivrer son contenu (par exemple : en auditionnant le formateur, en assistant à une session de formation…). 20 septembre 2017 JOURNAL OFFICIEL DE LA RÉPUBLIQUE FRANÇAISE Texte 71 sur 113
  8. 8. EM12. L’organisme de formation s’assure que les formateurs ont une expérience professionnelle de trois ans au minimum dans le secteur de la protection des données. EM13. L’organisme de formation s’assure que les formateurs ont effectué deux formations au minimum dans les deux dernières années. EM14. L’organisme s’assure que les formateurs disposent des compétences clés requises et que ces compétences sont entretenues. EM15. L’organisme de formation met en place des dispositifs d’évaluation des compétences de son personnel et des intervenants. Ce processus est documenté. EM16. L’organisme de formation dispose d’une procédure pour demander un retour aux apprenants sur les méthodes, les ressources employées, ainsi que sur leur efficacité à produire les résultats de la formation convenus. EM17. L’organisme de formation s’assure que les procédures d’évaluation choisies et mises en œuvre fournissent des informations fiables sur les compétences de son personnel et des intervenants. 1.5. Exigences relatives aux conditions de réalisation de la formation EM18. L’organisme de formation informe l’apprenant et son commanditaire des objectifs de la formation, de son format, des instruments pédagogiques utilisés et, le cas échéant, des critères d’évaluation utilisés pour l’évaluation. EM19. L’organisme de formation informe l’apprenant et son commanditaire des prérequis comme les qualifications et l’expérience professionnelle nécessaires à l’apprentissage. EM20. L’organisme de formation s’assure que les ressources de la formation sont disponibles et accessibles aux apprenants. 2. Référentiel d’évaluation du contenu du module principal de la formation 2.1. Exigences relatives à la présentation des principes et des définitions EC01. La formation permet de connaître et de comprendre les notions de : – données à caractère personnel ; – traitement ; – limitation du traitement ; – profilage ; – pseudonymisation ; – fichier ; – responsable de traitement ; – sous-traitant ; – destinataire ; – tiers ; – consentement ; – violation de données à caractère personnel ; – données génétiques ; – données biométriques ; – données concernant la santé ; – établissement principal ; – représentant ; – règles d’entreprise contraignantes ; – autorité de contrôle concernée ; – traitement transfrontalier. EC02. La formation permet de connaître et de comprendre le champ d’application matériel et géographique du règlement européen de la protection des données. 2.2. Exigences relatives à la présentation des conditions de licéité des traitements EC03. La formation permet de connaître et de comprendre le principe de licéité du traitement. EC04. La formation permet de connaître et de comprendre le principe de limitation des finalités. EC05. La formation permet de connaître et de comprendre le principe de minimisation des données. EC06. La formation permet de connaître et de comprendre le principe d’exactitude des données. EC07. La formation permet de connaître et de comprendre le principe de la conservation limitée des données. EC08. La formation permet de connaître et de comprendre les principes d’intégrité et de confidentialité. EC09. La formation permet de connaître et de comprendre la notion de consentement, sa nécessité dans le contexte de mise en œuvre d’un traitement, les modalités de son retrait, les exceptions à son recueil ainsi que les spécificités liées aux enfants. EC10. La formation permet de connaître et de comprendre les catégories particulières de données et les conditions dans lesquelles elles peuvent être traitées. 20 septembre 2017 JOURNAL OFFICIEL DE LA RÉPUBLIQUE FRANÇAISE Texte 71 sur 113
  9. 9. EC11. La formation permet de connaître et de comprendre les données relatives aux condamnations pénales et aux infractions ou aux mesures de sûreté connexes. 2.3. Exigences relatives à la présentation des droits des personnes à l’égard des traitements de données à caractère personnel EC12. La formation permet de connaître et de comprendre le droit à l’information des personnes concernées par un traitement et les obligations qui en résultent pour le responsable de traitement. EC13. La formation permet de connaître et de comprendre le droit d’opposition des personnes, les modalités de son exercice et les obligations qui en résultent pour le responsable de traitement. EC14. La formation permet de connaître et de comprendre le droit d’accès dont disposent les personnes concernées par un traitement et les obligations qui en résultent pour le responsable de traitement. EC15. La formation permet de connaître et de comprendre le droit à la rectification et à l’effacement dont disposent les personnes concernées par un traitement et les obligations qui en résultent pour le responsable de traitement. EC16. La formation permet de connaître et de comprendre le droit à la limitation du traitement dont disposent les personnes concernées par un traitement et les obligations qui en résultent pour le responsable de traitement. EC17.La formation permet de connaître et de comprendre le droit à la portabilité des données dont disposent les personnes concernées par un traitement. 3. Référentiel d’évaluation du contenu des modules complémentaires de la formation 3.1. Exigences relatives à la présentation de la CNIL et de ses missions ES01. La formation permet de connaître et de comprendre le statut et la composition de la CNIL. ES02. La formation permet de connaître et de comprendre l’organisation de la Commission plénière, restreinte et des services. ES03. La formation permet de connaître et de comprendre les différentes missions de la CNIL. 3.2. Exigences relatives à la présentation des formalités préalables à la mise en œuvre des traitements ES04. La formation permet de connaître et de comprendre les conditions de la consultation préalable de l’autorité de contrôle, le régime d’autorisation préalable ainsi que les éventuelles formalités particulières. ES05. La formation permet de connaître et de comprendre les modalités selon lesquelles les formalités préalables à la mise en œuvre d’un traitement doivent être accomplies auprès de l’autorité de contrôle et la manière dont elle les instruit. 3.3. Exigences relatives à la présentation de l’encadrement des transferts de données hors de l’Union européenne ES06. La formation permet de connaître et de comprendre les principes relatifs au transfert de données hors de l’Union européenne. ES07. La formation permet de connaître et de comprendre les différents moyens destinés à encadrer les transferts de données. ES08. La formation permet de connaître et de comprendre les formalités préalables applicables à un transfert de données hors de l’Union européenne. ES09. La formation permet de connaître et de comprendre les obligations du responsable de traitement concernant l’information des personnes concernées par le transfert hors de l’Union européenne de leurs données. 3.4. Exigences relatives à la présentation du rôle du délégué à la protection des données ES10. La formation permet de connaître et de comprendre les cas de désignation obligatoire d’un délégué à la protection des données et les différents types et modalités de désignation. ES11. La formation permet de connaître et de comprendre l’expertise et les compétences attendues du délégué à la protection des données. ES12. La formation permet de connaître et de comprendre les fonction et missions du délégué à la protection des données. ES13. La formation permet de connaître et de comprendre le rôle du délégué à la protection des données dans la tenue du registre. ES14. La formation permet de connaître et de comprendre le rôle du délégué à la protection des données dans l’étude des risques. ES15. La formation permet de connaître et de comprendre les relations entre la CNIL et le délégué à la protection des données. ES16. La formation permet de connaître et de comprendre les conditions et la procédure relative à la fin de mission du délégué à la protection des données. 20 septembre 2017 JOURNAL OFFICIEL DE LA RÉPUBLIQUE FRANÇAISE Texte 71 sur 113
  10. 10. 3.5. Exigences relatives à la présentation de l’encadrement des traitements dans le domaine de la santé ES17. La formation permet de connaître et de déterminer le régime de formalités préalables applicable aux traitements ayant pour objet la recherche, l’étude ou l’évaluation dans le domaine de la santé (chapitre IX). ES18. La formation permet de connaître et de comprendre le contenu du dossier à présenter à la CNIL. ES19. La formation permet de connaître et de comprendre les conditions dans lesquelles un traitement de données à caractère personnel ayant pour objet la recherche, l’étude ou l’évaluation dans le domaine de la santé doit être mis en œuvre pour respecter les dispositions du règlement européen et de la loi Informatique et Libertés 2. ES20. La formation permet de connaître et de comprendre les cas dans lesquels la Commission peut, pour les traitements de recherche, d’étude ou d’évaluation dans le domaine de la santé, adopter des méthodologies de référence. ES21. La formation permet de connaître et de comprendre les droits des personnes qui participent à une recherche, étude ou évaluation dans le domaine de la santé et notamment le droit à l’information, avec, dans certains cas, le recueil de leur consentement, et les obligations qui en résultent pour le responsable de traitement. ES22. La formation permet de connaître et de comprendre, pour les traitements de recherche, d’étude ou d’évaluation dans le domaine de la santé, les cas dans lesquels il peut être dérogé à l’obligation d’information prévue par le règlement et la loi Informatique et Libertés. ES23. La formation permet de connaître et de comprendre les conditions de sécurité à mettre en œuvre pour garantir la confidentialité des informations traitées par le traitement. 3.6. Exigences relatives à la présentation du pouvoir de contrôle a posteriori de la CNIL ES24. La formation permet de connaître et de comprendre les différentes formes de contrôles a posteriori pouvant être effectués par la CNIL, y compris lorsque ces contrôles s’inscrivent dans le cadre d’une procédure de coopération. ES25. La formation permet de connaître et de comprendre le formalisme associé à une procédure de contrôle, y compris lorsque ces contrôles s’inscrivent dans le cadre d’une procédure de coopération. ES26. La formation permet de connaître et de comprendre les modalités pratiques d’exercice d’une procédure de contrôle, y compris lorsque ces contrôles s’inscrivent dans le cadre d’une procédure de coopération. ES27. La formation permet de connaître et de comprendre les droits et les obligations du responsable de traitements et des représentants de la CNIL dans le cadre d’une procédure de contrôle, y compris lorsque ces contrôles s’inscrivent dans le cadre d’une procédure de coopération. ES28. La formation permet de connaître et de comprendre les suites consécutives à un contrôle, y compris lorsque ces contrôles s’inscrivent dans le cadre d’une procédure de coopération. 3.7. Exigences relatives à la présentation du pouvoir de sanction de la CNIL ES29. La formation permet de connaître et de comprendre les différentes procédures de sanction pouvant être mises en œuvre par la CNIL. ES30. La formation permet de connaître et de comprendre le fonctionnement de la Commission réunie en formation restreinte et le déroulement d’une séance. ES31. La formation permet de connaître et de comprendre le formalisme associé à une procédure de sanction, les droits et les obligations du responsable de traitement mis en cause et les voies de recours. ES32. La formation permet de connaître et de comprendre les conditions de publication et de publicité des sanctions. 3.8. Exigences relatives à la présentation des dispositions pénales associées au non-respect du Règlement européen général sur la protection des données ES33. La formation permet de connaître et de comprendre les conditions dans lesquelles un délit d’entrave à l’action de la CNIL est constitué. ES34. La formation permet de connaître et de comprendre les sanctions pénales relatives au non-respect des dispositions de la loi Informatique et Libertés et du règlement général à la protection des données relatives : – au caractère loyal et licite de la collecte de données ; – aux droits d’accès, de rectification ou d’opposition de la personne ; – à l’information des personnes ; – aux formalités préalables ; – à la sécurité des données ; – à la durée de conservation des données ; – à la finalité des traitements ; – à la conservation de données sensibles en l’absence de consentement exprès des personnes concernées ; – à l’obligation de notification des failles de sécurité. 20 septembre 2017 JOURNAL OFFICIEL DE LA RÉPUBLIQUE FRANÇAISE Texte 71 sur 113

×