La Commission Nationale de l’Informatique et des Libertés (CNIL) élabore des cadres de référence qui sont des instruments de régulation permettant de guider les organismes dans la mise en conformité de leur traitement et de leur fournir davantage de sécurité juridique.
Il en existe une grande variété, et ils sont plus ou moins contraignants en fonction de leur nature.
Voici quelques exemples non exhaustifs:
- Les lignes directrices du Comité Européen de la Protection des Données (CEPD) qui viennent clarifier et illustrer d’exemples concrets le nouveau cadre juridique issu du règlement européen sur la protection des données.
- Les lignes directrices de la CNIL qui viennent compléter celles adoptées au niveau européen afin de donner des éléments d’interprétation des textes en informant les acteurs des procédures à suivre et règles à appliquer.
- Les recommandations de la CNIL qui servent de guide pratique pour éclairer les acteurs concernés sur les règles applicables.
- Les règlements type qui constituent des cadres de référence contraignants indiquant aux organismes comment encadrer leurs traitements de données biométriques, génétiques, de santé ou d’infraction et assurer leur sécurité.
- Les référentiels constituent des cadres de référence non contraignant qui ont vocation à remplacer les autorisations uniques, normes simplifiées et packs de conformité.
- Les référentiels et méthodologies de référence santé constituent des cadres de référence pour le secteur de la santé qui a quelques particularité.
- Les consultations régulièrement ouvertes par la CNIL sur diverses thématiques lui permettant de concevoir des recommandations ou des référentiels.
En dehors des différents cadre de référence délivrés, la CNIL propose une source de documentation abondante pour aider les organisations dans leur mise en conformité au RGPD:
- de la documentation d’information;
- des logiciels (notamment pour le PIA);
- des modèles (exemples de mentions d’information des personnes, modèle de registre des traitements, …);
- etc.