Le label RGPD par CITIZEN SHIELD

CITIZEN SHIELD a créé un Label RGPD pour promouvoir un univers numérique fidèle aux principes de la Déclaration Universelle des Droits de l’Homme et du Règlement Européen sur la Protection des données

Notre constat

Les Citoyens ne font plus confiance aux Organisations

Une étude réalisée par Opinion Way en juillet 2019 fait apparaître que :

  • 89 % des Français estiment qu’il n’est pas possible de savoir ce que font les entreprises des données personnelles qu’elles collectent.
  • 80% des Français estiment que la collecte des données personnelles est une menace pour au moins une liberté : opinion, expression, réunion ou circulation.
  • 57% des Français estiment que la collecte des données personnelles est une menace pour le respect de la vie privée et toutes les libertés testées.

Pour répondre aux attentes de l’Autorité, et surtout des Citoyens (clients, utilisateurs,…),  les Organisations n’ont pas d’autre choix que de se mettre en situation d’être capable de démontrer simplement et objectivement leur conformité. Elles doivent disposer de cette capacité que ce soit en cas de contrôle de l’Autorité ou en cas d’exercice des droits par le Citoyen.

Les Organisations dépensent des sommes d’argent conséquentes pour assurer leur conformité RGPD sans pouvoir les valoriser

Aujourd’hui, il n’existe pas de certification de conformité ( ISO, CNIL, autres, …) ou même de label reconnu dans la collecte et le traitement des données personnelles ou de validation par des commissaires aux comptes de leur conformité au Règlement Européen sur la Protection des données (RGPD).

Les Organisations ne peuvent donc objectivement rassurer le Citoyen (utilisateur ou client) lorsqu’il lui confie ses données.

Une réponse – le Label CITIZEN SHIELD

CITIZEN SHIELD a développé un programme et un référentiel de conformité, dont la mise en œuvre par l’Organisation conduira à l’obtention du Label RGPD CITIZEN SHIELD. L’obtention de ce Label sera lié à la capacité du responsable de l’application et/ou du site en charge du traitement des données à démontrer le respect des principes évoqués ci-dessus.

Le Programme du label RGPD

Conçu par des professionnels du droit et des technologies de l’information, il comprend les méthodes suivantes  :

Réalisation par CITIZEN SHIELD d’un DIAGNOSTIC ,  permettant de disposer d’un état des lieux et d’une première analyse de la conformité, ainsi que d’une revue des process et des outils existants.

Mise en place d’un COMPLIANCE PROGRAM, permettant de disposer de (i) une cartographie des risques; (ii) une revue de conformité détaillée sur la base des éléments collectés dans le DIAGNOSTIC; (iii) un plan de progrès; (iv) un dispositif de reporting; (v) un plan de contrôle.

Exécution du COMPLIANCE PROGRAM et construction avec l’Organisation du parcours de labellisation RGPD adapté à ses traitements et à ses spécificités

Attribution du LABEL RGPD suite à l’engagement de poursuivre la mise en oeuvre du plan de progrès, du tableau de bord et du plan de contrôle.

Acceptation par l’Organisation, d’un droit d’audit de CITIZEN SHIELD ou d’un tiers agréé, d’auditer à tout moment pendant la période de validité du LABEL, le respect du COMPLIANCE PROGRAM et notamment du plan de progrès, du dispositif de reporting et du plan de contrôle.

Le référentiel du label RGPD

Le programme s’appuie sur un Référentiel, qui est mis à la disposition de l’Organisation dans une base de données documentaire.

Ce Référentiel intègre notamment les ressources mises à disposition par les autorités européenne et nationales, dont l’EDPB et la CNIL, ainsi que les recommandations et les outils spécifiques développés par CITIZEN SHIELD, et notamment :

  • Fiche de traitement (référence modèle CNIL)
  • Modèle de reporting
  • Modèle de revue de conformité
  • Procédure de gestion des incidents
  • Outil PIA (référence modèle CNIL)
  • Modèles de courrier de réponse pour l’exercice des droits (référence modèles CNIL)
  • Modèle de contrats, notamment celui régissant les relations entre le Responsable de Traitement et ses Sous-traitants (dont guide des sous-traitants de la CNIL).
  • Fiches pratiques de la CNIL
  • Recommandations CITIZEN SHIELD relative aux sujets suivants : 
    • Utilisation des données à caractère personnel de nos clients 
    • Consentement 
    • Mentions d’information
    • Durée de conservation des données 
    • Effacement des données et anonymisation
    • Transferts de données à caractère personnel hors de l’UE
    • Partage de données à caractère personnel 
    • Portabilité
    • Notification des violations de données à caractère personnel 
    • Collecte et traitement de DCP de mineurs 
    • Co-traitants, sous-traitants, partenaires, franchisés, …
    • Gouvernance de la donnée
    • Missions du DPO

Les conditions d’utilisation du label RGPD

Le Label sera consenti pour une durée d’un an et devra être renouvelé chaque année.

L’Organisation pourra faire figurer le Logo du Label sur les pages des applications mobiles et des sites internet inspectées et vérifier par les intervenants CITIZEN SHIELD. 

Le Logo peut notamment accompagner les pages de recueil du consentement “OPT IN” du Citoyen. Il devrait faciliter les OPT-ins complexes, CITIZEN SHIELD s’assurant préalablement du caractère explicite du consentement et de l’application effective des recommandations CITIZEN SHIELD, notamment avec l’ajout de petites vidéos pour permettre au Citoyen de bien comprendre les conséquences de son consentement.

Le Label est régulièrement partagé avec chaque autorité nationale, avec l’objectif d’une reconnaissance par l’Autorité.

Le logo

CITIZEN SHIELD a pris un soin très important dans la conception du logo, qui a vocation à être explicite pour le Citoyen, ainsi :

  • la validation du site par CITIZEN SHIELD : le choix d’un contour vert , 
  • la confiance et la protection du Citoyen, avec un Citoyen stylisé au centre du logo et un logo en forme de “bouclier”.

Combien coûte le Label RGPD ?

Le coût sera variable et dépendra de plusieurs facteurs :

  • complexité et nombre de traitements existants
  • état du registre de traitement
  • ressources internes à l’Organisation à même d’assurer la conformité et la labellisation
  • nécessité de recourir à des ressources externes

3 jours pour y voir clair, 8 semaines pour réussir

Nous avons rédigé un guide complet et gratuit sur la mise en conformité RGPD. 

Voulez-vous le recevoir ?

Vous allez recevoir un email pour télécharger le livre blanc !