Délibérations de la CNIL publiées au JO relatives à la modification des référentiels de délivrance des labels relatifs à l'usage de données personnelles

1. Commission nationale de l’informatique et des libertés
Délibération no
2017-219 du 13 juillet 2017 portant modification du référentiel pour la délivrance
de labels en matière de procédures de gouvernance tendant à assurer la protection des
données
NOR : CNIL1726150X
La Commission nationale de l’informatique et des libertés,
Vu la Convention no
108 du Conseil de l’Europe pour la protection des personnes à l’égard du traitement
automatisé des données à caractère personnel ;
Vu le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des
personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces
données, et abrogeant la directive 95/46/CE ;
Vu la loi no
78-17 du 6 janvier 1978 modifiée relative à l’informatique, aux fichiers et aux libertés, notamment
son article 11-3° c) ;
Vu le décret no
2005-1309 du 20 octobre 2005 modifié pris pour l’application de la loi no
78-17 du 6 janvier 1978
relative à l’informatique, aux fichiers et aux libertés ;
Vu la délibération no
2013-175 du 4 juillet 2013 portant adoption du règlement intérieur de la CNIL, notamment
ses articles 32 et suivants ;
Vu la délibération no
2014-500 du 11 décembre 2014 portant adoption d’un référentiel pour la délivrance de
labels en matière de procédures de gouvernance Informatique et Libertés ;
Après avoir entendu M. Maurice RONAI, commissaire, président du Comité de labellisation, en son rapport et
Mme Nacima BELKACEM, commissaire du Gouvernement, en ses observations,
Formule les observations suivantes :
L’article 11-3o
c) de la loi du 6 janvier 1978 modifiée dispose que la CNIL « délivre un label à des produits ou à
des procédures tendant à la protection des personnes à l’égard du traitement des données à caractère personnel ».
Depuis le 11 décembre 2014, la Commission peut délivrer des labels en matière de procédures de gouvernance
Informatique et Libertés.
Or, à l’entrée en application du règlement européen, le 25 mai 2018, le référentiel de labellisation ne sera plus en
conformité avec la règlementation en vigueur.
Aussi, pour pouvoir continuer à délivrer un label conforme aux règles applicables en matière de protection des
données, la commission a décidé de faire évoluer dès à présent son référentiel pour prendre en compte les
dispositions du règlement européen.
Par conséquent, la présente délibération fixe le référentiel modifié d’évaluation des procédures de gouvernance
tendant à la protection des personnes à l’égard du traitement des données à caractère personnel.
Décide
De l’adoption du référentiel annexé à la présente délibération permettant l’évaluation des demandes de label
relatives aux procédures de gouvernance tendant à assurer la protection des données au sein des organismes.
Cette délibération abroge la délibération no
2014-500 du 11 décembre 2014 portant adoption d’un référentiel
pour la délivrance de labels en matière de procédures de gouvernance Informatique et Libertés.
Les labels en matière de procédure de gouvernance Informatique et Libertés délivrés au regard de la délibération
du 11 décembre 2014 restent valides jusqu’au 25 mai 2018. Les organismes titulaires de ces labels souhaitant
mettre leur procédure en conformité avec le référentiel annexé à la présente délibération doivent présenter une
nouvelle demande de label. Celui-ci pourra leur être délivré pour une durée de trois ans.
Cette délibération sera publiée au Journal officiel de la République française.
La Présidente,
I. FALQUE-PIERROTIN
20 septembre 2017 JOURNAL OFFICIEL DE LA RÉPUBLIQUE FRANÇAISE Texte 70 sur 113

2. ANNEXE
RÉFÉRENTIEL AUX FINS DE LABELLISATION DES PROCÉDURES DE GOUVERNANCE
TENDANT À LA PROTECTION DES DONNÉES
Le demandeur, candidat au label, peut être un organisme privé ou public. Il doit disposer obligatoirement d’un
délégué à la protection des données qui peut être une personne physique ou personne morale, interne ou externe à
l’organisme demandeur, mutualisé avec d’autres ou non.
Dans le référentiel ci-après, le demandeur s’entend indifféremment - sauf précision contraire - comme
responsable de traitement ou sous-traitant.
1. Evaluation du dispositif interne lié à la protection des données
1.1. Exigences relatives à la politique de protection des données
EOR01. Le demandeur met en place en interne une politique appropriée en matière de protection des données.
Cette politique comprend l’ensemble des principes nécessaires pour garantir la mise en œuvre de traitements
équitables et transparents, compte tenu des circonstances particulières et du contexte dans lesquels les données à
caractère personnel sont traitées.
Cette politique indique les coordonnées du demandeur, celles du délégué à la protection des données (1), ainsi
que les engagements du demandeur concernant le respect des principes énoncés par le règlement européen général
sur la protection des données (2), au regard notamment :
– de la mise en œuvre de traitements licites ;
– du respect des droits des personnes ;
– des éventuels transferts vers un pays tiers ;
– des destinataires des données collectées ;
– de la durée de conservation des données collectées ;
– des mesures de sécurité des données.
EOR02. Le demandeur porte à la connaissance des personnes extérieures concernées par ses traitements sa
politique en matière de protection des données et ce dans un format concis, transparent, compréhensible et
aisément accessible.
Cette politique comprend toute information nécessaire pour garantir la mise en œuvre de traitements équitables
et transparents, compte tenu des circonstances particulières et du contexte dans lesquels les données à caractère
personnel sont traitées.
Cette politique indique les coordonnées du demandeur, celles du délégué à la protection des données, ainsi que
les engagements du demandeur concernant le respect des principes énoncés par le règlement européen général sur
la protection des données, au regard notamment :
– de la mise en œuvre de traitements licites ;
– du respect des droits des personnes ;
– des éventuels transferts vers un pays tiers ;
– des destinataires des données collectées ;
– de la durée de conservation des données collectées ;
– des mesures de sécurité des données.
EOR03. Le demandeur garantit que le délégué à la protection des données contrôle le respect des politiques
mises en place en matière de protection des données. Ces politiques sont réexaminées et actualisées si nécessaire, a
minima tous les trois ans.
1.2. Exigences relatives au délégué à la protection des données
EOR04. Le demandeur a désigné un délégué pour l’ensemble des traitements mis en œuvre par l’organisme.
EOR05. Le demandeur prévoit que le délégué fait rapport directement au niveau le plus élevé de la direction de
l’organisme.
EOR06. Le demandeur précise clairement l’étendue des missions du délégué dans une lettre de mission ou dans
un contrat.
EOR07. Le demandeur s’assure que le délégué désigné dispose au moment de sa désignation des qualités
professionnelles, connaissances juridiques spécialisées et pratiques en matière de protection des données requises.
EOR08. Le demandeur justifie comment permettre au délégué d’entretenir ses connaissances spécialisées.
EOR09. Le demandeur justifie les ressources nécessaires et les conditions de travail fournies au délégué pour
qu’il exerce ses missions.
EOR10. Le demandeur s’assure que le délégué pilote la mise en conformité des traitements, dès leur conception
et par défaut, et qu’il est associé systématiquement et en amont des réflexions sur toutes les questions relatives à la
protection des données.
20 septembre 2017 JOURNAL OFFICIEL DE LA RÉPUBLIQUE FRANÇAISE Texte 70 sur 113

3. EOR11. Le responsable de traitement et, si nécessaire, le représentant du responsable de traitement tiennent, ou
peuvent faire tenir par le délégué à la protection des données, un registre des activités de traitement, comprenant, a
minima par traitement :
– nom et coordonnées du responsable de traitement et le cas échéant du responsable conjoint du traitement, du
représentant du responsable de traitement et du délégué ;
– la ou les finalités du traitement ;
– une description des catégories de personnes concernées ;
– une description des catégories de données à caractère personnel ;
– la durée de conservation associée à chaque catégorie de données ;
– les catégories de destinataires, y compris les destinataires dans des pays tiers ou des organisations
internationales ;
– les transferts de données à caractère personnel vers un pays tiers ou une organisation internationale (y compris
leur identification) ainsi que les documents attestant de l’existence de garanties appropriées, conformément à
l’article 49 paragraphe 1, 2ème
alinéa du RGPD ;
– une description des mesures de sécurité techniques et organisationnelles (cf. article 32, paragraphe 1) ;
– l’existence ou non d’une sous-traitance (avec contrat de sous-traitance ou autre acte juridique définissant
l’objet et la durée du traitement, la nature et la finalité du traitement, le type de données à caractère personnel
et les catégories de personnes concernées, et les obligations et droits du responsable de traitement).
OU, si la demande est formulée par le sous-traitant :
– nom et coordonnées du (ou des) sous-traitant (s) et de chaque responsable de traitement pour lequel le sous-
traitant agit, ainsi que, le cas échéant, les noms et coordonnées du représentant du responsable de traitement
ou du sous-traitant et du délégué ;
– les catégories de traitements effectués pour le compte de chaque responsable du traitement ;
– les transferts de données à caractère personnel vers un pays tiers ou une organisation internationale (y compris
leur identification) ainsi que les documents attestant de l’existence de garanties appropriées, conformément à
l’article 49 paragraphe 1, 2ème
alinéa du RGPD ;
– une description des mesures de sécurité techniques et organisationnelles.
EOR12. Le demandeur justifie comment le délégué l’informe et le conseille, ainsi que les employés procédant au
traitement, en matière de protection des données à caractère personnel.
EOR13. Le demandeur s’assure que le délégué est le point de contact avec l’autorité de contrôle, et qu’il coopère
avec cette dernière.
2. Evaluation de la méthode de vérification de la conformité des traitements
à la loi Informatique et Libertés et au règlement européen à la protection des données.
2.1. Exigences relatives à l’analyse de la conformité
EM01. Le délégué analyse les projets de traitements et les traitements en termes :
– de finalité du traitement ;
– de proportionnalité du traitement au regard de la finalité ;
– de minimisation des données collectées au regard de la finalité ;
– de licéité du traitement ;
– de sécurité des données collectées ;
– de durée de conservation des données collectées ;
– de destinataires des données collectées ;
– d’encadrement des relations avec les sous-traitants ;
– d’information claire et préalable des personnes concernées ;
– de conditions d’exercice des droits des personnes ;
– et le cas échéant d’encadrement des transferts de données hors Union européenne.
Le demandeur veille à documenter la manière dont ces principes sont respectés pour chaque traitement.
EM02. L’analyse effectuée permet d’identifier les traitements susceptibles d’engendrer un risque élevé pour les
droits et libertés des personnes concernées, pour lesquels il est nécessaire de réaliser une analyse d’impact relative
à la protection des données.
L’analyse d’impact relative à la protection des données comprend a minima :
– une description systématique des opérations de traitement envisagées et des finalités, y compris l’intérêt
légitime poursuivi ;
– une évaluation de la nécessité et de la proportionnalité des opérations de traitements au regard des finalités ;
– une évaluation des risques pour les droits et libertés des personnes concernées ;
– les mesures envisagées pour faire face aux risques, y compris les garanties, mesures et mécanismes de sécurité
visant à assurer la protection des données à caractère personnel et à apporter la preuve du respect du RGPD,
compte tenu des droits et des intérêts légitimes des personnes concernées et des autres personnes affectées.
20 septembre 2017 JOURNAL OFFICIEL DE LA RÉPUBLIQUE FRANÇAISE Texte 70 sur 113

4. La procédure du demandeur prévoit la possibilité de demander l’avis des personnes concernées.
EM03. L’analyse effectuée par le demandeur permet de déterminer les mesures techniques et organisationnelles
adaptées au risque présenté par le traitement pour les personnes concernées.
EM04. La procédure du demandeur encadre le recours à des sous-traitants dans la mise en œuvre des traitements.
A ce titre, elle impose le recours à un contrat définissant l’objet, la durée du traitement, la nature et la finalité du
traitement, le type de données à caractère personnel et les catégories de personnes concernées, et les obligations et
droits du demandeur. Le contrat respecte les prescriptions de l’article 28 du RGPD.
La procédure du demandeur permet d’assurer que le sous-traitant auquel il recourt :
– présente des garanties suffisantes concernant la mise en œuvre de mesures techniques et organisationnelles
adaptées afin que le traitement réponde aux exigences du RGPD et garantisse la protection des droits des
personnes ;
– recourt lui-même à un sous-traitant uniquement avec autorisation préalable du responsable de traitement.
EM05. La procédure du demandeur prévoit la réalisation d’une analyse permettant de déterminer les mesures
techniques et organisationnelles adaptées au risque présenté par le traitement pour les personnes concernées.
EM06. La procédure du demandeur prévoit que le délégué est consulté pour toute analyse d’impact et qu’il
vérifie son exécution. Le délégué peut dispenser des conseils au responsable du traitement. Si ce dernier ne suit pas
les observations formulées, la documentation de l’analyse d’impact relative à la protection des données doit en
mentionner la raison.
2.2. Exigences relatives à l’analyse de la conformité dans le temps
EM07. La procédure du demandeur prévoit que les mesures techniques, organisationnelles et de mise en
conformité, visées aux exigences EM01 et EM03, sont régulièrement testées, analysées et évaluées, afin de vérifier
leur efficacité.
EM08. La procédure du demandeur (responsable de traitement) prévoit un examen régulier de la conformité du
traitement au regard de l’analyse d’impact visée à l’exigence EM01, et a minima lorsqu’il y a modification du
risque présenté par l’opération de traitement.
EM09. La procédure du demandeur prévoit que les mesures correctives adoptées en cas de manquement constaté
lors de l’examen de conformité sont documentées et régulièrement mises à jour.
3. Evaluation de la gestion des réclamations et incidents
3.1. Exigences relatives à la gestion des réclamations et à l’exercice des droits des personnes
EG01. Le demandeur met en place une procédure facilitant l’exercice des droits des personnes (droit d’accès, de
rectification, d’effacement, de limitation du traitement, à la portabilité, de définir le sort de ses données après son
décès), comprenant, conformément à l’article 12 du RGPD et a minima les modalités :
– d’identification/authentification de la personne concernée exerçant ses droits ;
– permettant de respecter les délais de réponse.
EG02. La procédure du demandeur prévoit que le délégué, en tant que point de contact des personnes
concernées, pilote la gestion des demandes des personnes concernées relatives au traitement de leurs données et à
l’exercice de leurs droits.
3.2. Exigences relatives à la gestion des violations de données
EG03. Le demandeur (responsable de traitement) met en place une procédure de notification d’une violation de
données à caractère personnel à l’autorité de contrôle compétente, si possible dans les 72 heures après en avoir pris
connaissance.
Si le demandeur est sous-traitant, celui-ci doit notifier au responsable de traitement dans les meilleurs délais
après en avoir pris connaissance.
La notification à l’autorité compétente doit comporter a minima :
– la nature de la violation ;
– les catégories et nombre de personnes concernées par la violation ;
– les catégories et nombre approximatif d’enregistrements de données à caractère personnel concernés ;
– le nom et les coordonnées du délégué ;
– les conséquences probables de la violation de données ;
– ainsi que les mesures prises et/ou à prendre pour remédier ou atténuer les éventuelles conséquences négatives.
EG04. Le demandeur met en place une procédure permettant, en cas de violation de données à caractère
personnel susceptible d’engendrer un risque élevé pour les droits et libertés d’une personne physique, d’en
informer les personnes concernées dans les meilleurs délais.
Cette information doit comporter a minima :
– la nature de la violation ;
20 septembre 2017 JOURNAL OFFICIEL DE LA RÉPUBLIQUE FRANÇAISE Texte 70 sur 113

5. – le nom et les coordonnées du délégué ;
– les conséquences probables de la violation de données ;
– ainsi que les mesures prises ou qui vont l’être pour remédier ou atténuer les éventuelles conséquences
négatives.
(1) Ci-après « le délégué ».
(2) Ci-après « RGPD ».
20 septembre 2017 JOURNAL OFFICIEL DE LA RÉPUBLIQUE FRANÇAISE Texte 70 sur 113

6. Commission nationale de l’informatique et des libertés
Délibération no
2017-220 du 13 juillet 2017 portant modification du référentiel pour la délivrance
de labels en matière de formation relative à la protection des personnes à l’égard du traitement
des données à caractère personnel
NOR : CNIL1726153X
La Commission nationale de l’informatique et des libertés,
Vu la Convention no
108 du Conseil de l’Europe pour la protection des personnes à l’égard du traitement
automatisé des données à caractère personnel ;
Vu le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des
personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ce
données, et abrogeant la directive 95/46/CE ;
Vu la loi no
78-17 du 6 janvier 1978 modifiée relative à l’informatique, aux fichiers et aux libertés, notamment
son article 11-3o
c) ;
Vu le décret no
2005-1309 du 20 octobre 2005 modifié pris pour l’application de la loi no
78-17 du 6 janvier 1978
relative à l’informatique, aux fichiers et aux libertés ;
Vu la délibération no
2011-315 du 6 octobre 2011 portant adoption d’un référentiel pour la délivrance de labels
en matière de formation tendant à la protection des personnes à l’égard du traitement des données à caractère
personnel ;
Vu la délibération no
2013-175 du 4 juillet 2013 portant adoption du règlement intérieur de la CNIL, notamment
ses articles 32 et suivants ;
Après avoir entendu M. Maurice RONAI, commissaire, président du Comité de labellisation, en son rapport et
Mme Nacima BELKACEM, commissaire du Gouvernement, en ses observations,
Formule les observations suivantes :
L’article 11-3o
c) de la loi du 6 janvier 1978 modifiée dispose que la CNIL « délivre un label à des produits ou à
des procédures tendant à la protection des personnes à l’égard du traitement des données à caractère personnel ».
Depuis le 6 octobre 2011, la commission peut délivrer des labels en matière de formations tendant à la protection
des personnes à l’égard du traitement des données à caractère personnel.
Or, à l’entrée en application du règlement européen, le 25 mai 2018, le référentiel de labellisation ne sera plus en
conformité avec la règlementation en vigueur.
Aussi, pour pouvoir continuer à délivrer un label prenant en compte l’ensemble des règles applicables en matière
de protection des données, la commission a décidé de faire évoluer son référentiel dès à présent pour prendre en
considération les dispositions du règlement européen.
Par conséquent, la présente délibération fixe le référentiel modifié d’évaluation des formations relative à la
protection des personnes à l’égard du traitement des données à caractère personnel.
Décide :
De l’adoption du référentiel annexé à la présente délibération permettant l’évaluation des demandes de label
relatives à des formations relatives à la protection des personnes à l’égard du traitement des données à caractère
personnel.
Cette délibération abroge la délibération no
2011-315 du 6 octobre 2011 portant adoption d’un référentiel pour la
délivrance de labels en matière de formation tendant à la protection des personnes à l’égard du traitement des
données à caractère personnel.
Les labels en matière de formation tendant à la protection des personnes à l’égard du traitement des données à
caractère personnel délivrés au regard de la délibération du 6 octobre 2011 restent valides jusqu’au 25 mai 2018.
Les organismes titulaires de ces labels souhaitant se mettre en conformité avec le référentiel annexé à la présente
délibération doivent présenter une nouvelle demande de label. Celui-ci pourra leur être délivré pour une durée de
trois ans.
Cette délibération sera publiée au Journal officiel de la République française
La Présidente
I. FALQUE-PIERROTIN
20 septembre 2017 JOURNAL OFFICIEL DE LA RÉPUBLIQUE FRANÇAISE Texte 71 sur 113

7. ANNEXE
RÉFÉRENTIEL AUX FINS DE LABELLISATION DES FORMATIONS TENDANT À LA PROTECTION
DES PERSONNES À L’EGARD DU TRAITEMENT DES DONNÉES À CARACTÈRE PERSONNEL
Terminologie
APPRENANT PERSONNE ENGAGÉE DANS UN PROCESSUS D’APPRENTISSAGE (ISO 29990).
Connaissance Acquisition de capacité par le biais de la formation notamment.
Compétence Connaissances, compréhension, habiletés ou attitude qui sont observables et/ou
mesurables, mises en œuvre et maîtrisées dans une situation de travail donnée et
dans le cadre du développement professionnel et/ou personne (ISO 29990).
Commanditaire de la formation Organisme ou individu apportant un soutien financier ou autre à l’apprenant ou étant
manifestement intéressé par le résultat de l’apprentissage (ISO 29990).
Curriculum Plan d’étude élaboré par le prestataire de services de formation, qui décrit les objectifs à
atteindre, le contenu, les résultats de l’apprentissage, les méthodes d’enseignement et
d’apprentissage et les processus d’évaluation (ISO 29990).
Formation Processus destiné à produire et à développer les connaissances, les savoir-faire et les
comportements nécessaires à la satisfaction d’exigences (ISO 10015).
Formateur Personne travaillant avec les apprenants pour les aider dans leur apprentissage (ISO 29990)
Organisme de formation Organisme de toute taille ou individu fournissant des services de formation.
1. Référentiel d’évaluation de l’activité de formation
1.1. Exigences relatives au respect de la règlementation
applicable en matière de protection des données par l’organisme de formation
EM01. L’organisme de formation a mis en place une démarche visant à s’assurer de la conformité à la
règlementation applicable en matière de protection des données de l’ensemble des traitements qu’il met en œuvre
pour l’ensemble de ses activités, dont la formation.
EM02. L’organisme de formation a procédé aux formalités préalables relatives aux traitements mis en œuvre au
titre de la gestion de son personnel et de l’ensemble de ses activités, dont la formation.
EM03. L’organisme de formation informe, dans le respect des dispositions de la règlementation applicable en
matière de protection des données, les personnes concernées par les traitements qu’il met en œuvre.
EM04. L’organisme de formation met en place une procédure destinée à gérer les demandes et les réclamations
des personnes dont il traite les données.
1.2. Exigences relatives à l’identification des besoins de formation
EM05. L’organisme de formation dispose d’une procédure pour tenir compte des besoins des apprenants et de
leur commanditaire lors de la conception du contenu de la formation et du processus de formation (par exemple :
formulaire de recueil de besoin, étude de marché réunion préparatoire à l’organisation de la formation…).
EM06. L’organisme de formation dispose d’une procédure pour s’assurer que les méthodes et supports de
formation utilisés sont appropriés pour atteindre les objectifs énoncés (par exemple : consultation de professionnels
de la protection des données, enquête de satisfaction…).
EM07. L’organisme de formation dispose d’une procédure pour que le contenu de la formation et le processus de
formation tiennent compte des résultats de la formation (par exemple : évaluation des apprenants, analyse des
questionnaires de satisfaction).
1.3. Exigences relatives au processus de conception de la formation
EM08. L’organisme de formation doit mettre au point et documenter un curriculum et les moyens d’évaluation
appropriés de la formation.
EM09. L’organisme de formation dispose de méthodes de formation qui répondent aux objectifs et aux
exigences du curriculum et tiennent compte des besoins des apprenants.
EM10. L’organisme de formation dispose de procédures destinées à revoir et mettre à jour le contenu de la
formation tant en fonction des besoins et retours des apprenants et de leur commanditaire, que de l’actualité, de
l’évolution de la législation et du développement des techniques.
1.4. Exigences relatives à la compétence et à l’évaluation des formateurs
EM11. L’organisme de formation s’assure que son personnel et ses formateurs possèdent les compétences
requises pour identifier les besoins des apprenants, concevoir la formation et délivrer son contenu (par exemple : en
auditionnant le formateur, en assistant à une session de formation…).
20 septembre 2017 JOURNAL OFFICIEL DE LA RÉPUBLIQUE FRANÇAISE Texte 71 sur 113

8. EM12. L’organisme de formation s’assure que les formateurs ont une expérience professionnelle de trois ans au
minimum dans le secteur de la protection des données.
EM13. L’organisme de formation s’assure que les formateurs ont effectué deux formations au minimum dans les
deux dernières années.
EM14. L’organisme s’assure que les formateurs disposent des compétences clés requises et que ces compétences
sont entretenues.
EM15. L’organisme de formation met en place des dispositifs d’évaluation des compétences de son personnel et
des intervenants. Ce processus est documenté.
EM16. L’organisme de formation dispose d’une procédure pour demander un retour aux apprenants sur les
méthodes, les ressources employées, ainsi que sur leur efficacité à produire les résultats de la formation convenus.
EM17. L’organisme de formation s’assure que les procédures d’évaluation choisies et mises en œuvre
fournissent des informations fiables sur les compétences de son personnel et des intervenants.
1.5. Exigences relatives aux conditions de réalisation de la formation
EM18. L’organisme de formation informe l’apprenant et son commanditaire des objectifs de la formation, de son
format, des instruments pédagogiques utilisés et, le cas échéant, des critères d’évaluation utilisés pour l’évaluation.
EM19. L’organisme de formation informe l’apprenant et son commanditaire des prérequis comme les
qualifications et l’expérience professionnelle nécessaires à l’apprentissage.
EM20. L’organisme de formation s’assure que les ressources de la formation sont disponibles et accessibles aux
apprenants.
2. Référentiel d’évaluation du contenu du module principal de la formation
2.1. Exigences relatives à la présentation des principes et des définitions
EC01. La formation permet de connaître et de comprendre les notions de :
– données à caractère personnel ;
– traitement ;
– limitation du traitement ;
– profilage ;
– pseudonymisation ;
– fichier ;
– responsable de traitement ;
– sous-traitant ;
– destinataire ;
– tiers ;
– consentement ;
– violation de données à caractère personnel ;
– données génétiques ;
– données biométriques ;
– données concernant la santé ;
– établissement principal ;
– représentant ;
– règles d’entreprise contraignantes ;
– autorité de contrôle concernée ;
– traitement transfrontalier.
EC02. La formation permet de connaître et de comprendre le champ d’application matériel et géographique du
règlement européen de la protection des données.
2.2. Exigences relatives à la présentation des conditions de licéité des traitements
EC03. La formation permet de connaître et de comprendre le principe de licéité du traitement.
EC04. La formation permet de connaître et de comprendre le principe de limitation des finalités.
EC05. La formation permet de connaître et de comprendre le principe de minimisation des données.
EC06. La formation permet de connaître et de comprendre le principe d’exactitude des données.
EC07. La formation permet de connaître et de comprendre le principe de la conservation limitée des données.
EC08. La formation permet de connaître et de comprendre les principes d’intégrité et de confidentialité.
EC09. La formation permet de connaître et de comprendre la notion de consentement, sa nécessité dans le
contexte de mise en œuvre d’un traitement, les modalités de son retrait, les exceptions à son recueil ainsi que les
spécificités liées aux enfants.
EC10. La formation permet de connaître et de comprendre les catégories particulières de données et les
conditions dans lesquelles elles peuvent être traitées.
20 septembre 2017 JOURNAL OFFICIEL DE LA RÉPUBLIQUE FRANÇAISE Texte 71 sur 113

9. EC11. La formation permet de connaître et de comprendre les données relatives aux condamnations pénales et
aux infractions ou aux mesures de sûreté connexes.
2.3. Exigences relatives à la présentation des droits des personnes
à l’égard des traitements de données à caractère personnel
EC12. La formation permet de connaître et de comprendre le droit à l’information des personnes concernées par
un traitement et les obligations qui en résultent pour le responsable de traitement.
EC13. La formation permet de connaître et de comprendre le droit d’opposition des personnes, les modalités de
son exercice et les obligations qui en résultent pour le responsable de traitement.
EC14. La formation permet de connaître et de comprendre le droit d’accès dont disposent les personnes
concernées par un traitement et les obligations qui en résultent pour le responsable de traitement.
EC15. La formation permet de connaître et de comprendre le droit à la rectification et à l’effacement dont
disposent les personnes concernées par un traitement et les obligations qui en résultent pour le responsable de
traitement.
EC16. La formation permet de connaître et de comprendre le droit à la limitation du traitement dont disposent les
personnes concernées par un traitement et les obligations qui en résultent pour le responsable de traitement.
EC17.La formation permet de connaître et de comprendre le droit à la portabilité des données dont disposent les
personnes concernées par un traitement.
3. Référentiel d’évaluation du contenu des modules complémentaires de la formation
3.1. Exigences relatives à la présentation de la CNIL et de ses missions
ES01. La formation permet de connaître et de comprendre le statut et la composition de la CNIL.
ES02. La formation permet de connaître et de comprendre l’organisation de la Commission plénière, restreinte et
des services.
ES03. La formation permet de connaître et de comprendre les différentes missions de la CNIL.
3.2. Exigences relatives à la présentation des formalités préalables à la mise en œuvre des traitements
ES04. La formation permet de connaître et de comprendre les conditions de la consultation préalable de
l’autorité de contrôle, le régime d’autorisation préalable ainsi que les éventuelles formalités particulières.
ES05. La formation permet de connaître et de comprendre les modalités selon lesquelles les formalités
préalables à la mise en œuvre d’un traitement doivent être accomplies auprès de l’autorité de contrôle et la manière
dont elle les instruit.
3.3. Exigences relatives à la présentation de l’encadrement
des transferts de données hors de l’Union européenne
ES06. La formation permet de connaître et de comprendre les principes relatifs au transfert de données hors de
l’Union européenne.
ES07. La formation permet de connaître et de comprendre les différents moyens destinés à encadrer les transferts
de données.
ES08. La formation permet de connaître et de comprendre les formalités préalables applicables à un transfert de
données hors de l’Union européenne.
ES09. La formation permet de connaître et de comprendre les obligations du responsable de traitement
concernant l’information des personnes concernées par le transfert hors de l’Union européenne de leurs données.
3.4. Exigences relatives à la présentation du rôle du délégué à la protection des données
ES10. La formation permet de connaître et de comprendre les cas de désignation obligatoire d’un délégué à la
protection des données et les différents types et modalités de désignation.
ES11. La formation permet de connaître et de comprendre l’expertise et les compétences attendues du délégué à
la protection des données.
ES12. La formation permet de connaître et de comprendre les fonction et missions du délégué à la protection des
données.
ES13. La formation permet de connaître et de comprendre le rôle du délégué à la protection des données dans la
tenue du registre.
ES14. La formation permet de connaître et de comprendre le rôle du délégué à la protection des données dans
l’étude des risques.
ES15. La formation permet de connaître et de comprendre les relations entre la CNIL et le délégué à la
protection des données.
ES16. La formation permet de connaître et de comprendre les conditions et la procédure relative à la fin de
mission du délégué à la protection des données.
20 septembre 2017 JOURNAL OFFICIEL DE LA RÉPUBLIQUE FRANÇAISE Texte 71 sur 113

10. 3.5. Exigences relatives à la présentation de l’encadrement des traitements dans le domaine de la santé
ES17. La formation permet de connaître et de déterminer le régime de formalités préalables applicable aux
traitements ayant pour objet la recherche, l’étude ou l’évaluation dans le domaine de la santé (chapitre IX).
ES18. La formation permet de connaître et de comprendre le contenu du dossier à présenter à la CNIL.
ES19. La formation permet de connaître et de comprendre les conditions dans lesquelles un traitement de
données à caractère personnel ayant pour objet la recherche, l’étude ou l’évaluation dans le domaine de la santé
doit être mis en œuvre pour respecter les dispositions du règlement européen et de la loi Informatique et Libertés 2.
ES20. La formation permet de connaître et de comprendre les cas dans lesquels la Commission peut, pour les
traitements de recherche, d’étude ou d’évaluation dans le domaine de la santé, adopter des méthodologies de
référence.
ES21. La formation permet de connaître et de comprendre les droits des personnes qui participent à une
recherche, étude ou évaluation dans le domaine de la santé et notamment le droit à l’information, avec, dans
certains cas, le recueil de leur consentement, et les obligations qui en résultent pour le responsable de traitement.
ES22. La formation permet de connaître et de comprendre, pour les traitements de recherche, d’étude ou
d’évaluation dans le domaine de la santé, les cas dans lesquels il peut être dérogé à l’obligation d’information
prévue par le règlement et la loi Informatique et Libertés.
ES23. La formation permet de connaître et de comprendre les conditions de sécurité à mettre en œuvre pour
garantir la confidentialité des informations traitées par le traitement.
3.6. Exigences relatives à la présentation du pouvoir de contrôle a posteriori de la CNIL
ES24. La formation permet de connaître et de comprendre les différentes formes de contrôles a posteriori
pouvant être effectués par la CNIL, y compris lorsque ces contrôles s’inscrivent dans le cadre d’une procédure de
coopération.
ES25. La formation permet de connaître et de comprendre le formalisme associé à une procédure de contrôle, y
compris lorsque ces contrôles s’inscrivent dans le cadre d’une procédure de coopération.
ES26. La formation permet de connaître et de comprendre les modalités pratiques d’exercice d’une procédure de
contrôle, y compris lorsque ces contrôles s’inscrivent dans le cadre d’une procédure de coopération.
ES27. La formation permet de connaître et de comprendre les droits et les obligations du responsable de
traitements et des représentants de la CNIL dans le cadre d’une procédure de contrôle, y compris lorsque ces
contrôles s’inscrivent dans le cadre d’une procédure de coopération.
ES28. La formation permet de connaître et de comprendre les suites consécutives à un contrôle, y compris
lorsque ces contrôles s’inscrivent dans le cadre d’une procédure de coopération.
3.7. Exigences relatives à la présentation du pouvoir de sanction de la CNIL
ES29. La formation permet de connaître et de comprendre les différentes procédures de sanction pouvant être
mises en œuvre par la CNIL.
ES30. La formation permet de connaître et de comprendre le fonctionnement de la Commission réunie en
formation restreinte et le déroulement d’une séance.
ES31. La formation permet de connaître et de comprendre le formalisme associé à une procédure de sanction, les
droits et les obligations du responsable de traitement mis en cause et les voies de recours.
ES32. La formation permet de connaître et de comprendre les conditions de publication et de publicité des
sanctions.
3.8. Exigences relatives à la présentation des dispositions pénales
associées au non-respect du Règlement européen général sur la protection des données
ES33. La formation permet de connaître et de comprendre les conditions dans lesquelles un délit d’entrave à
l’action de la CNIL est constitué.
ES34. La formation permet de connaître et de comprendre les sanctions pénales relatives au non-respect des
dispositions de la loi Informatique et Libertés et du règlement général à la protection des données relatives :
– au caractère loyal et licite de la collecte de données ;
– aux droits d’accès, de rectification ou d’opposition de la personne ;
– à l’information des personnes ;
– aux formalités préalables ;
– à la sécurité des données ;
– à la durée de conservation des données ;
– à la finalité des traitements ;
– à la conservation de données sensibles en l’absence de consentement exprès des personnes concernées ;
– à l’obligation de notification des failles de sécurité.
20 septembre 2017 JOURNAL OFFICIEL DE LA RÉPUBLIQUE FRANÇAISE Texte 71 sur 113