Plan du site | Mentions légales | Crédits | Espace rédacteur

Membre du comité de rédaction de la lettre du CEJEM

Nos mots-clefs

Au jour le jour   Vie privée   Conférences et colloques   Marques   Droit d’auteur   Lettre du Cejem   Contenu illicite   Professions   Noms de domaine   Contrats   Brevet   Régulation   Signes distinctifs   Consommateurs   Bases de données  

Cliquez sur un mot pour afficher la liste des articles correspondant

A Noter

Les contrats informatiques par Jérôme Huet et Nicolas Bouche

Présentation de l’éditeur L’ouvrage Les contrats informatiques vise à donner au lecteur, étudiant ou praticien, sous (...)

Droit de la communication numérique de Jérôme Huet et Emmanuel Dreyer

Présentation de l’éditeur : Le droit de la communication numérique est une discipline récente mais en pleine (...)

Le point sur les modalités de mise en œuvre du correspondant informatique et libertés (CIL) après l’adoption en octobre 2005 du décret d’application de la loi Informatique et libertés

Mots-clefs : Régulation |

par Vanessa Younès, le samedi 21 janvier 2006

Le décret d’application de la loi n°78-17 du 6 janvier 1978 relative à l’Informatique, aux fichiers et aux libertés modifiée par la loi n°2004-801 du 6 août 2004 a été adopté le 20 octobre 2005 [1]. Ce décret était très attendu par les organismes publics et privés pour connaître les modalités de mise en œuvre de l’institution créée par la loi de 2004 : le correspondant à la protection des données à caractère personnel ou correspondant Informatique et libertés (CIL).

Rappelons que l’intérêt du CIL est d’exonérer le responsable de traitement [2] d’effectuer des déclarations de ses traitements à la CNIL sauf lorsqu’un transfert de données à caractère personnel à destination d’un Etat non membre de l’Union européenne est envisagé et/ou que le traitement nécessite une demande d’autorisation. De surcroît, le CIL permet d’assurer de manière globale une meilleure application de la loi Informatique et libertés.

Comme le souligne M. Alex Turk, actuel Président de la CNIL, « le correspondant deviendra un personnage-clé dans le paysage de la protection des données personnelles mais aussi dans celui de la gestion de l’entreprise et de la collectivité locale de demain ». C’est pourquoi, vu l’importance de cette fonction, le point sur ses modalités de mise en œuvre est nécessaire.

1. Désignation du CIL et formalités

Le CIL est une personne bénéficiant des qualifications requises pour exercer ses missions. Par conséquent, il doit s’agir d’une personne qui a des connaissances de la loi « Informatique et libertés ». Aucune précision n’est apportée par le décret sur ses qualifications. La CNIL indique toutefois que outre des connaissances de la loi Informatique et libertés, le correspondant devra connaître les législations particulières du secteur d’activités du responsable de traitement ainsi qu’une connaissance du vocabulaire et des métiers de l’informatique.

Le CIL est une personne interne ou externe à l’organisme ? Le décret fixe un seuil à partir duquel le CIL ne peut être qu’une personne interne à l’entreprise. En effet, lorsque plus de 50 personnes ont accès aux traitements visés, seul peut être désigné un correspondant exclusivement attaché au service du responsable de traitement. A contrario, lorsque moins de 50 personnes sont chargées de la mise en oeuvre des traitements ou y ont accès, le correspondant peut être une personne externe à l’organisme. Cette disposition s’explique par le fait qu’il est plus facile pour de grosses structures d’avoir un correspondant interne qui connaît bien l’organisme et est donc plus à même d’exercer cette fonction.

Le décret précise que pour éviter tout conflit d’intérêt, le CIL ne pourra pas être le responsable de traitement ou son représentant légal [3]. En tout état de cause, la désignation du CIL doit tout d’abord être portée à la connaissance des instances représentatives du personnel par lettre recommandée avec demande d’avis de réception par le responsable de traitement [4]. La CNIL propose à cet égard dans son guide sur le CIL un modèle de lettre d’information des représentants du personnel sur la désignation du CIL [5].

Ensuite, la désignation du CIL est notifiée à la CNIL. Le décret précise en son article 42 que cette notification doit se faire par lettre recommandée avec demande d’avis de réception ou par voie électronique, avec accusé de réception qui peut être adressé par voie électronique.

La notification doit mentionner :
-  les nom, prénom, profession et coordonnées professionnelles du responsable des traitements, le cas échéant, ceux de son représentant, ainsi que ceux du CIL et la personne physique déléguée par le CIL si le CIL est une personne morale,
-  l’énumération des traitements dont le CIL s’occupe,
-  la nature des liens juridiques entre le CIL et le responsable de traitement,
-  tout élément relatif aux qualifications professionnelles du CIL,
-  les mesures prises par le responsable de traitement en vue de l’exercice de sa mission par le CIL.

Un formulaire de désignation du CIL a été élaboré par la CNIL, en conformité avec les dispositions du décret. Le formulaire prévoit notamment les traitements concernés par la désignation du CIL. Il s’agit soit d’une désignation générale pour l’ensemble des traitements exonérés de déclaration, soit une désignation partielle pour des traitements ou catégories de traitements précis, soit une désignation étendue aux traitements soumis à autorisation ou avis de la CNIL. Ainsi, une extension de la mission originaire du CIL peut être prévue. Le décret de 2005 précise que l’accord écrit de la personne désignée en qualité de CIL est annexé à la notification. Par conséquent, même si le formulaire doit être signé par le CIL, cette acceptation ne dispense pas de l’accord écrit de désignation du CIL qui doit faire l’objet d’un document séparé annexé au formulaire de notification à la CNIL.

En tout état de cause, la désignation du CIL prend effet un mois après la réception de la notification par la CNIL.

2. Relation d’indépendance entre le responsable des traitements et le CIL

Le décret précise que le correspondant ne reçoit aucune instruction pour l’exercice de sa mission. La loi indique également que le CIL ne peut faire l’objet d’aucune sanction de la part de l’employeur du fait de l’accomplissement de ses missions. Ainsi, le correspondant exerce sa mission en toute indépendance. Pour ce faire, le décret a précisé que le responsable des traitements ou son représentant légal ne pouvait pas être CIL.

Dans la pratique, il est difficile pour le responsable des traitements de ne rien contrôler. C’est pourquoi, des mesures spécifiques peuvent être prises par le responsable de traitement avant toute acceptation définitive par le CIL de sa fonction. En effet, le responsable de traitement peut proposer au futur correspondant, avant sa désignation effective et son acceptation définitive de sa fonction, d’accepter sous forme d’ « acceptation de principe », d’effectuer une liste de missions proposées par lui.

De plus, le responsable des traitements peut, toujours dans le même esprit d’aider le CIL, établir des règles internes afin d’assurer le respect de la loi comme, par exemple, l’élaboration d’un code de bonne conduite ou d’une charte comportementale organisant les relations CIL/CNIL.

De cette façon, le responsable des traitements pourra délimiter avant l’acceptation définitive par le correspondant de sa fonction, son champ d’application qui lui permettrait de contourner le fait qu’il ne pourra pas exercer par la suite de contrôle sur le CIL, comme le prévoit la loi.

3. Mission du CIL et modalités de mise en oeuvre

Dans les trois mois de sa désignation, le CIL doit dresser une liste des traitements effectués par le responsable de traitement [6]. La liste doit préciser, selon le décret, pour chacun des traitements : les nom et adresse du responsable du traitement et, le cas échéant, de son représentant ; sa ou ses finalités ; le ou les services chargés de le mettre en œuvre ; la fonction de la personne ou le service auprès duquel s’exerce le droit d’accès et de rectification ainsi que leurs coordonnées ; une description des catégories de données traitées et les personnes concernées ; les destinataires des données ; la durée de conservation des données traitées. La liste doit également mentionner les dates de mise à jour aux cours des trois dernières années et les modifications substantielles des traitements. Le CIL rend immédiatement accessible la liste à toute personne qui en fait la demande.

La CNIL a, dans son guide sur le correspondant, proposé un modèle de listes à établir par le CIL. En fait, on retrouve pour chaque traitement listé, l’ensemble de ses caractéristiques telles que décrites si ces traitements avaient du être déclarés auprès de la CNIL.

C’est pourquoi, pour l’établissement de cette liste de traitements, le correspondant devra effectuer le même travail qu’aurait fait le responsable de traitement en son absence à savoir :
-  un audit de l’ensemble des traitements effectués ou à venir,
-  la mise en place d’une communication entre les différents services et directions (direction informatique, direction des ressources humaines...) et lui-même afin de connaître l’ensemble des caractéristiques des traitements.

Outre la tenue de cette liste, le CIL doit veiller de manière générale à la bonne application de la loi Informatique et libertés. En effet, comme le rappelle la CNIL, au-delà de la tenue de la liste des traitements, le CIL aura un rôle essentiel dans la diffusion de la culture « informatique et libertés » au sein de l’organisme l’ayant désigné [7].

Il a un rôle de conseil et de recommandation auprès du responsable de traitement, comme le prévoit l’article 49 du décret. Il dispose d’un rôle d’information dans la mesure où il reçoit les demandes et les réclamations des personnes concernées par les traitements. Il a un rôle d’alerte et il informe le responsable de traitement des manquements constatés avant toute saisine de la CNIL. Et le décret précise qu’une extension de ses missions est possible.

Enfin, le CIL rend des comptes de ses activités dans un bilan annuel qu’il présente au responsable de traitement et qu’il tient à la disposition de la CNIL. 4. Fin de la mission du CIL

La mission confiée au CIL peut prendre fin :
-  soit par l’arrivée du terme,
-  soit par la défaillance du correspondant.

En cas d’arrivée du terme de la mission du CIL, le responsable de traitement peut soit désigner un nouveau correspondant et mettre en œuvre les procédures de notification et d’information applicables, soit procéder aux déclarations des traitements auprès de la CNIL.

Dans le second cas, et comme le prévoit la loi en cas de manquement constaté à ses devoirs, le CIL est déchargé de ses fonctions sur demande, ou après consultation, de la CNIL. Le décret précise les modalités de la fin de mission du CIL en cas de manquements à ses devoirs. Au vu de ce qui précède, le CIL est donc comme « l’interlocuteur-clé » de la CNIL auprès de l’organisme concerné quand la CNIL souhaite des précisions sur les traitements mis en œuvre par l’organisme et, de la même façon, le CIL a la possibilité de saisir la CNIL de toute difficulté rencontrée dans l’exercice de sa mission. Le correspondant est donc désormais « le personnage incontournable dans le paysage de la protection des données à caractère personnel » [8].

Notes

[1] Décret n°2005-1309 du 20 octobre 2005 pris pour l’application de la loi n°2004-801 du 6 août 2004 relative à la protection des personnes physiques à l’égard des traitements de données à caractère personnel et modifiant la loi n°78-17 du 6 janvier 1978 relative à l’Informatique, aux fichiers et aux libertés (J.O. n°247 du 22 octobre 2005 page 16769)

[2] il s’agit de la personne, de l’autorité publique, du service ou de l’organisme qui détermine les finalités et les moyens du traitement ; et V. sur le sujet, le guide élaboré par la CNIL, en novembre 2005, disponible sur le site

[3] cf. § 2 sur les relations Responsable de traitement/CIL

[4] article 45 du décret

[5] Guide sur le CIL, précité

[6] article 48 du décret

[7] Conférence de presse de la CNIL du 20/04/2005 disponible sur www.cnil.fr

[8] V. le guide CNIL sur le CIL ; et la conférence de presse de la CNIL du 20 avril 2005