CITIZEN SHIELD a créé un Label pour promouvoir un univers numérique fidèle aux principes de la Déclaration Universelle des Droits de l’Homme et du Règlement Européen sur la Protection des données

Le constat

Les Citoyens ne font plus confiance aux Organisations

Une étude réalisée par Opinion Way pour la société Misakey, fin novembre 2018, fait apparaître que :

  • 89 % des Français estiment qu’il n’est pas possible de savoir ce que font les entreprises des données personnelles qu’elles collectent.
  • 80% des Français estiment que la collecte des données personnelles est une menace pour au moins une liberté : opinion, expression, réunion ou circulation.
  • 57% des Français estiment que la collecte des données personnelles est une menace pour le respect de la vie privée et toutes les libertés testées.

Pour répondre aux attentes de l’Autorité, et surtout des Citoyens (clients, utilisateurs,…),  les Organisations n’ont pas d’autre choix que de se mettre en situation d’être capable de démontrer simplement et objectivement leur conformité, que ce soit en cas de contrôle de l’Autorité ou en cas d’exercice des droits par le Citoyen.

Les Organisations dépensent des sommes d’argent conséquentes pour assurer leur conformité RGPD sans pouvoir les valoriser.

Aujourd’hui, il n’existe pas de certification de conformité ( ISO, CNIL, autres, …) ou même de label reconnu dans la collecte et le traitement des données personnelles ou de validation par des commissaires aux comptes de leur conformité au Règlement Européen sur la Protection des données (RGPD).

Les Organisations ne peuvent donc objectivement rassurer le Citoyen (utilisateur ou client) lorsqu’il lui confie ses données.

La réponse – le Label CITIZEN SHIELD

Un Label pour des informations sensibles :

traitées de manière licite, loyale et transparente au regard de la personne concernée (licéité, loyauté, transparence)

collectées pour des finalités déterminées, explicites et légitimes, et ne pas être traitées ultérieurement d’une manière incompatible avec ces finalités; le traitement ultérieur à des fins archivistiques dans l’intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques n’est pas considéré, comme incompatible avec les finalités initiales (limitation des finalités)

adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées (minimisation des données)
exactes et, si nécessaire, tenues à jour; toutes les mesures raisonnables doivent être prises pour que les données à caractère personnel qui sont inexactes, eu égard aux finalités pour lesquelles elles sont traitées, soient effacées ou rectifiées sans tarder (exactitude)
conservées sous une forme permettant l’identification des personnes concernées pendant une durée n’excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées; les données à caractère personnel peuvent être conservées pour des durées plus longues dans la mesure où elles seront traitées exclusivement à des fins archivistiques dans l’intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques, pour autant que soient mises en œuvre les mesures techniques et organisationnelles appropriées requises par le présent règlement afin de garantir les droits et libertés de la personne concernée (limitation de la conservation)
traitées de façon à garantir une sécurité appropriée des données à caractère personnel, y compris la protection contre le traitement non autorisé ou illicite et contre la perte, la destruction ou les dégâts d’origine accidentelle, à l’aide de mesures techniques ou organisationnelles appropriées (intégrité et confidentialité)

CITIZEN SHIELD a développé un programme et un référentiel de conformité, dont la mise en œuvre par l’Organisation conduira à l’obtention du Label CITIZEN SHIELD. L’obtention de ce Label sera lié à la capacité du responsable de l’application et/ou du site en charge du traitement des données de démontrer le respect des principes évoqués ci-dessus.

Le programme

Conçu par des professionnels du droit et des technologies de l’information, il devra respecter le processus suivant :

Désignation dans l’Organisation d’une Équipe Projet, composée a minima du DPO (ou à défaut du “privacy leader” garant interne de la protection des données), du RSSI (ou à défaut du garant interne de la Sécurité des Systèmes d’Information) et d’un représentant opérationnel du Responsable de Traitement.

Construction avec l’Organisation et CITIZEN SHIELD d’un parcours de labellisation adapté aux traitements et aux spécificités de l’Organisation.

“Kick-off meeting” du parcours de labellisation au sein de l’Organisation, afin de procéder à la désignation d’Ambassadeurs, qui seront dans l’Organisation les “sponsors” du Label. 

En clôture du “Kick-off meeting”, signature de la Charte CITIZEN SHIELD et du parcours de labellisation par le Responsable de Traitement et les Ambassadeurs.

Formation des Ambassadeurs, ils devront présenter à CITIZEN SHIELD leur attestation de suivi de l’ “ATELIER RGPD” de la CNIL

CITIZEN SHIELD Assessment” : Revue de conformité par les intervenants CITIZEN SHIELD, avec le support de l’Équipe Projet et des Ambassadeurs.

Présentation des résultats du CITIZEN SHIELD Assessment”.

Construction avec l’Organisation et CITIZEN SHIELD d’un plan de progrès,  du tableau de bord et du plan de contrôle.

Remise du Label CITIZEN SHIELD, en contrepartie de l’engagement de mise en oeuvre du plan de progrès, du tableau de bord et du plan de contrôle.

Droit d’audit de CITIZEN SHIELD pour vérifier le respect du plan de progrès, du tableau de bord et du plan de contrôle.

Le Référentiel

Le programme s’appuie sur un Référentiel, qui sera mis à la disposition de l’Organisation dans une base de données documentaire, après signature de la Charte CITIZEN SHIELD et du Parcours de labellisation.

Ce Référentiel intègre notamment les ressources mises à disposition par les autorités européenne et nationales, dont l’EDPB et la CNIL, ainsi que les recommandations et les outils spécifiques développés par CITIZEN SHIELD, et notamment :

  • Fiche de traitement (référence modèle CNIL)
  • Modèle de reporting
  • Modèle de revue de conformité
  • Procédure de gestion des incidents
  • Outil PIA (référence modèle CNIL)
  • Modèles de courrier de réponse pour l’exercice des droits (référence modèles CNIL)
  • Modèle de contrats, notamment celui régissant les relations entre le Responsable de Traitement et ses Sous-traitants (dont guide des sous-traitants de la CNIL).
  • Fiches pratiques de la CNIL
  • Recommandations CITIZEN SHIELD relative aux sujets suivants : 
    • Utilisation des données à caractère personnel de nos clients 
    • Consentement 
    • Mentions d’information
    • Durée de conservation des données 
    • Effacement des données et anonymisation
    • Transferts de données à caractère personnel hors de l’UE
    • Partage de données à caractère personnel 
    • Portabilité
    • Notification des violations de données à caractère personnel 
    • Collecte et traitement de DCP de mineurs 
    • Co-traitants, sous-traitants, partenaires, franchisés, …
    • Gouvernance de la donnée
    • Missions du DPO

Les conditions d’utilisation du Label

Le Label sera consenti pour une durée d’un an et devra être renouvelé chaque année.

L’Organisation pourra faire figurer le Logo du Label sur les pages des applications mobiles et des sites internet inspectées et vérifier par les intervenants CITIZEN SHIELD. 

Le Logo  peut notamment accompagner les pages de recueil du  consentement “OPT IN” du Citoyen. Il devrait faciliter les OPT-ins complexes, CITIZEN SHIELD s’assurant préalablement du caractère explicite du consentement et de l’application effective des recommandations CITIZEN SHIELD, notamment avec l’ajout de petites vidéos pour permettre au Citoyen de bien comprendre les conséquences de son consentement.

Le Label est régulièrement partagé avec chaque autorité nationale, avec l’objectif d’une reconnaissance par l’Autorité.

Le Logo

CITIZEN SHIELD a pris un soin très important dans la conception du logo, qui a vocation à être explicite pour le Citoyen, ainsi :

  • la validation du site par CITIZEN SHIELD : le choix d’un contour vert , 
  • la confiance et la protection du Citoyen, avec un Citoyen stylisé au centre du logo et un logo en forme de “bouclier”.

Combien ça coûte ?

Le coût sera variable et dépendra de plusieurs facteurs :

  • complexité et nombre de traitements existants
  • état du registre de traitement
  • ressources internes à l’Organisation à même d’assurer la conformité et la labellisation
  • nécessité de recourir à des ressources externes