Après avoir entendu M. Jean-François CARREZ, commissaire, en son rapport et M. Jean-Alexandre SILVY, commissaire du Gouvernement, en ses observations,
Formule les observations suivantes :
L'article 11 (3°, c) de la loi du 6 janvier 1978 modifiée dispose qu'« à la demande d'organisations professionnelles ou d'institutions regroupant principalement des responsables de traitements, la Commission nationale de l'informatique et des libertés délivre un label à des produits ou à des procédures tendant à la protection des personnes à l'égard du traitement des données à caractère personnel, après qu'elle les a reconnus conformes aux dispositions de la loi du 6 janvier 1978 modifiée. »
La loi du 17 mars 2014 relative à la consommation a modifié la loi Informatique et libertés en introduisant notamment la possibilité pour la commission de « déterminer, de sa propre initiative, les produits et procédures susceptibles de bénéficier d'un label ».
L'utilité de créer une norme de référence sur les procédures de gouvernance des données personnelles au sein des organismes a été clairement identifiée par la commission, dans le cadre des échanges entre ses services et les entreprises et organismes publics concernés, qui ont manifesté leur intérêt pour ce projet.
La commission contribue, par ailleurs, à la rédaction de normes sur les systèmes de management de la vie privée élaborées par l'International Organization for Standardization (ISO). Ces éléments confirment donc que le sujet de la gouvernance des données personnelles au sein des organismes reflète une véritable préoccupation tant sur le plan national qu'international.
La volonté de la commission de contribuer au changement des comportements dans la manière de protéger les données personnelles et de respecter la vie privée, de sensibiliser les organismes aux exigences du futur règlement européen sur la protection des données et de répondre aux besoins des professionnels qu'elle a identifiés ont conduit la commission à décider de créer un label en matière de gouvernance Informatique et libertés.
L'article 33 du règlement intérieur de la CNIL précise que « la commission adopte des référentiels définissant les caractéristiques que doivent présenter des produits ou des procédures pour permettre la délivrance d'un label individuel. Ceux-ci précisent les modalités d'appréciation de la conformité à la loi et, le cas échéant, les particularités relatives aux vérifications subséquentes à la délivrance du label ».
Par conséquent, la présente délibération fixe le référentiel d'évaluation des procédures de gouvernance tendant à la protection des personnes à l'égard du traitement des données à caractère personnel.
Décide en conséquence d'adopter le référentiel annexé à la présente délibération permettant l'évaluation des demandes de label relatives aux procédures de gouvernance des données personnelles au sein des organismes. Cette délibération sera publiée au Journal officiel de la République française.