Le correspondant Informatique et Libertés, un choix stratégique pour vos fichiers et l’image de l’entreprise, par Nicolas Samarcq, juriste

Selon la Commission Nationale Informatique et Libertés (CNIL), en tant que « vecteur de diffusion de la culture informatique et libertés, (...) l’apport essentiel de la désignation d’un correspondant consistera surtout à fournir au responsable de traitement un interlocuteur spécialisé à même de le conseiller dans ses choix difficiles ».

En effet, outre les formalités préalables de déclaration ou demande d’autorisation de mise en œuvre de fichiers relatifs au personnel, aux clients ou prospects ; le responsable des traitements est tenu d’assurer le respect des droits des personnes (information loyale, droits d’accès, de rectification, de radiation et d’opposition), et de prendre « toutes précautions utiles » (2) pour garantir la sécurité et la confidentialité des données traitées.

A défaut de garantir ces droits et obligations, le responsable des traitements risque d’engager sa responsabilité civile et pénale (3).

Les avantages de la désignation d’un CIL

  Le responsable des traitements est exonéré des déclarations préalables auprès de la CNIL pour les traitements ordinaires ou courants (4). Il bénéficie de conseils et d’informations prioritaires de la CNIL auprès d’un service entièrement dédié au CIL. La désignation du correspondant, interne ou externe à l’entreprise, garantit ainsi une mise en œuvre plus rapide des nouveaux fichiers.

  En tant qu’interlocuteur privilégié des services concernés par les traitements de l’entreprise, le CIL contribue à une meilleure application de la loi et réduit d’autant les risques juridiques.

  Il crée une synergie entre les services juridiques, informatiques et marketing en préconisant des solutions organisationnelles et technologiques adaptées aux traitements.

  Les conseils du CIL assurent une réduction des coûts (rationalisation des fichiers, gestion des droits des personnes et des litiges), un meilleur usage des TIC au sein de l’entreprise (cybersurveillance) et une application efficace de la politique de sécurité informatique.

  En sensibilisant le personnel dans le domaine de la gestion des données personnelles et de la sécurité, il améliore le climat social et l’image de l’entreprise.

Les sociétés et organismes ayant désigné un CIL pourront prochainement communiquer sur leur politique éthique en matière de données personnelles par un label, qui sera précisé dans le second décret d’application de la Informatique et Libertés (fin 2006- début 2007).

Les modalités de désignation du CIL

Le CIL peut être une personne physique ou morale externe à l’entreprise, lorsque moins de cinquante personnes sont chargées de la mise en œuvre ou ont accès aux traitements ou catégories de traitements automatisés de l’entreprise.

Il peut également être désigné parmi le personnel d’une société mère (ou de l’une des sociétés contrôlées), d’un GIE, ou être mandaté par un organisme professionnel ou un organisme regroupant des responsables de traitements d’un même secteur d’activités. La première liste des CIL mandatés à voir le jour devrait être celle du réseau des CCI.

Ces modalités de désignation interne ou externe ont pour objectif principal de mutualiser les coûts de la fonction CIL afin de faciliter sa mise en œuvre auprès des PME et PMI, mais aussi de faciliter sa mission au sein des grands groupes.

En pratique, la désignation du correspondant doit être portée à la connaissance de l’instance représentative du personnel, préalablement à sa notification à la CNIL.

Sa nomination prend effet un mois après la date de réception de la notification par la CNIL.

Les obligations légales et modalités d’exécution de sa mission

Dans les trois mois de sa désignation, il dresse la liste des traitements automatisés relevant du régime de déclaration (5). Il l’actualise et la tient à disposition de toute personne qui en fait la demande. Il établit un bilan annuel de ses activités, qu’il présente au responsable des traitements et tient à la disposition de la CNIL (6).

« Chargé d’assurer, d’une manière indépendante, le respect des obligations prévues par la loi » (7), il exerce sa mission directement auprès du responsable des traitements et ne peut recevoir aucune instruction pour son exercice (8).

Toutefois, le CIL n’a pas le statut de salarié protégé. Son indépendance est subordonnée au pouvoir hiérarchique de l’employeur. Il demeure soumis au secret professionnel, au principe de loyauté (9) et doit exécuter sa mission de bonne foi (10).

Cette indépendance, qui se traduit par l’impossibilité de sanctions disciplinaires (11), doit en conséquence être perçue comme un gage de loyauté et de neutralité du CIL.

Protégé de tout conflit d’intérêt, le CIL peut dès lors conseillé efficacement le responsable des traitements. A cette fin, il est consulté sur l’ensemble des nouveaux traitements qui à défaut de sa désignation relèveraient des formalités de déclaration. Il reçoit les demandes et réclamations des personnes. Il informe le responsable des traitements des manquements constatés, et en cas de désaccord, saisit la CNIL en tant que conseil.

L’équilibre entre l’indépendance et le respect des obligations du CIL est garanti par la CNIL, qui peut être saisie à tout moment par ce dernier ou le responsable des traitements de toute difficulté rencontrée à l’occasion de l’exercice de ses missions.

En cas de manquement aux devoirs de sa mission, la CNIL assure le pouvoir de sanction du responsable des traitements en déchargeant le CIL de ses fonctions. Au contraire, lorsque le responsable des traitements n’a pas respecté ses obligations légales vis-à-vis du CIL, la CNIL l’enjoint de procéder aux déclarations de ses fichiers.

Cette procédure devrait assurer par sa seule existence le respect des droits et obligations de chacun. En effet, en Allemagne, où le CIL (12) est obligatoire depuis 1977 pour les sociétés dont plus de 5 personnes ont accès aux traitements, la BDSG (13) n’a jamais été saisie d’un manquement (14).

Les compétences requises

Le profil du CIL doit être transversal en tant qu’interlocuteur privilégié du responsable des traitements, des services concernés par les fichiers de l’entreprise et de la CNIL.

Une connaissance approfondie de la loi Informatique et Libertés, des standards technologiques, de l’organisation de l’entreprise et des traitements de données mis en œuvre sont donc nécessaires (15).

Le CIL peut être un responsable, un employé ou une personne externe à l’entreprise, comme par exemple le responsable de la sécurité informatique, un informaticien, le directeur des services juridiques, un juriste, un agent du service du personnel, un consultant, un avocat, etc...

Sa position hiérarchique au sein de l’entreprise témoignera de l’importance attachée à la protection des données personnelles et conditionnera l’efficacité de son pouvoir d’interpellation et d’alerte.

La seule restriction apportée par la loi est l’incompatibilité avec des fonctions ou activités susceptibles d’entrer en conflit avec ses missions. Est ainsi exclu le responsable des traitements ou son représentant légal. Sur ce principe, une incompatibilité stricte a été établie en Allemagne entre les missions du CIL et les fonctions ayant trait à la gestion des ressources humaines, à l’administration des systèmes d’information et aux technologies de l’information, ainsi que tout département mettant en œuvre des traitements de données sensibles ou d’envergures. Cette incompatibilité n’a pas été retenue en France. Les DRH et DSI peuvent en effet être désignés comme CIL, dès lors qu’ils n’ont pas de délégation de pouvoir concernant la mise en œuvre des traitements.

Il ressort des expériences européennes (16), que le CIL a été plébiscité tant par les autorités de contrôle que les responsables de traitement. « Les premières y trouvent un interlocuteur privilégié (...) et un palliatif à leur manque de moyens. Les seconds y voient une victoire contre la bureaucratie et l’occasion de montrer leur implication dans un secteur sensible, mais porteur en terme d’image » (17).

Au 22 mars 2006, la CNIL a déjà constaté un premier bilan positif avec 79 CIL (18) désignés par 170 entreprises et organismes publics. La liste est publiée sur le site de la CNIL (19).

Nicolas Samarcq, Juriste TIC www.lexagone.com

NOTES

(1) Date de publication du premier décret d’application de la loi Informatique et Libertés du 6 janvier 1978, modifiée le 6 août 2004.

(2) Article 34 de la loi Informatique et Libertés.

(3) Article 226-16 du Code Pénal : « Le fait, y compris par négligence, de procéder ou de faire procéder à des traitements de données à caractère personnel sans qu’aient été respectées les formalités préalables à leur mise en oeuvre prévues par la loi est puni de cinq ans d’emprisonnement et de 300 000 € d’amende ». Article 226-18 du Code Pénal : « Le fait de collecter des données à caractère personnel par un moyen frauduleux, déloyal ou illicite est puni de cinq ans d’emprisonnement et de 300 000 Euros d’amende ».

(4) Seuls les traitements relevant du régime d’autorisation ou opérant des transferts de données vers des pays tiers (hors Union européenne) continuent à faire l’objet de formalités préalables.

(5) Le responsable peut, avec son accord, étendre ces fonctions aux autres traitements soumis à autorisation, il doit alors le mentionner dans l’acte de notification désignant le CIL.

(6) Article 49 du décret.

(7) Article 22 III de la loi Informatique et Libertés du 6 janvier 1978, modifiée le 6 août 2004.

(8) Article 46 du décret.

(9) Article L. 121-9 du Code du Travail : « Le salarié reste soumis à l’obligation de loyauté à l’égard de son employeur ».

(10) Article 1134 du Code Civil : « Les conventions légalement formées tiennent lieu de loi à ceux qui les ont faites. (...) Elles doivent être exécutées de bonne foi ».

(11) Article 22-III de la loi Informatique et Libertés.

(12) DSB : Datenschutzbeauftragter.

(13) Bundesbeauftragte für den Datenschutz (homologue allemande de la CNIL).

(14) REMY (J-P), Administrateur de l’AFCPD, Le correspondant Informatique et Libertés, Expertises, avril 2005, pp.155-156.

(15) Etude menée par l’association allemande pour la protection et la sécurité des données (GDD).

(16) Allemagne, Suède, Pays-Bas et Luxembourg.

(17) Etude comparée sur les détachés à la protection des données (DPOs) désignés par les responsables de traitement en application de l’article 18 paragraphe 2 de la Directive 95/46/EC, disponible sur le site www.cnil.fr.

(18) 43 % RSSI / DSI, 23 % Juristes, 17 % Responsables Qualité, Auditeur, 17% Autres.

(19) http://www.cnil.fr/fileadmin/documents/approfondir/dossier/CIL/liste_designations.pdf