Concernant le CEF, le Coordinate Enforcement Framework de l’EDPB, est-ce que vous pourriez déjà rappeler ce que c’est ?
L’EDPB, c’est le conseil des CNIL pour schématiser. C’est vraiment le comité qui va rassembler l’ensemble des autorités de contrôle à l’échelle de l’Union européenne. Ce CEF est déjà intervenu et le premier portait sur le contrôle de l’utilisation des services Cloud, donc l’hébergement en nuage en français, et nous avons déjà eu des clients qui ont reçu ce questionnaire. La CNIL avait adressé un questionnaire et elle demande aux organismes qu’elle contrôle de répondre à ce questionnaire et de fournir la preuve de la réponse qu’ils apportent. On avait des questions sur “comment mettez-vous en place telle ou tel obligation” et on devait donner la documentation et justifier notre réponse.
Ce n’est pas la première fois que le CEF est mis en oeuvre, c’est un CEF qui est coordonné par l’EDPB, et chacune des autorités qui y participe va décider des modalités de participation. Donc si vous voulez en savoir plus sur cet aspect, là aujourd’hui ce CEF porte sur le contrôle du rôle et des moyens qui sont alloués par les entreprises ou les organisations, les organismes publics, à leur Délégué à la Protection des Données, que ce soit des délégués à la protection des données qui sont nommées en interne, ou que ce soit des délégués à la protection des données externalisés. Pourquoi on fait ça ? Ils le font parce qu’ils veulent vérifier que l’ensemble des dispositions du RGPD qui porte sur le métier de délégué la protection des données, les articles 37 et 39, sont respectés concrètement, et comment ça va se traduire.
Quels sont ces modalités d’application ? Comment ça se passe ?
C’est un questionnaire ou un guide d’audit. Donc un questionnaire, c’est typiquement trois, quatre, cinq pages avec des questions très précises, mais qui porte sur les processus potentiellement. Dans le cas des guides d’audit, ce sera forcément plus lourd. Cela va nécessiter de justifier. L’idée était d’avoir dans le CEF d’être en capacité d’identifier des catégories d’organismes qui soient représentatifs ou dans des secteurs spécifiques, là en l’occurrence dans ce CEF, la CNIL a visé le transport et le luxe principalement, mais on a on pourrait vraiment adresser l’ensemble des secteurs qui ont nommé un DPO, donc évidemment c’est tous les secteurs. Ce questionnaire, on vous laisse un temps pour y répondre un temps, plus ou moins long. Vous devez communiquer vos réponses à l’autorité de contrôle. Il faut avoir conscience que c’est l’intégralité des autorités de contrôle qui participent à ce CEF, donc ça veut dire qu’on a des DPO au Luxembourg, en Belgique, en Espagne, en Italie, qui vont recevoir ce CEF, et qui vont répondre. Ensuite, les autorités de contrôle vont faire une analyse des réponses et elles vont rendre un rapport auprès de l’EDPB qui lui va faire une synthèse qui permet d’avoir ce panorama, et d’émettre des recommandations sur le poste de DPO et les modalités d’exercices du métier.
Et la CNIL dans tout ça ? Qu’elle est sa place ?
Elle a adressé au mois d’avril une douzaine de questionnaires à des établissements publics et des collectivités territoriales notamment, et des entreprises privées, donc comme je le disais principalement dans le secteur du luxe et des transports. La CNIL a communiqué sur cet aspect. Elle n’a pas de place particulière. On joue collectif. On veut ‘avoir une vue sur l’ensemble du territoire de l’Union Européenne sur la fonction de DPO.
