Le correspondant informatique et libertés

De la loi au correspondant

La loi n°78-17 du 6 janvier 1978, relative à l’informatique, aux fichiers et aux libertés, a été modifiée par la loi du 6 août 2004, notamment pour tenir compte de la directive européenne intervenue entre temps, directive n°95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données. C’est à cette occasion que le droit français a modifié son langage et a cessé de parler de données nominatives des personnes physiques, mais, conformément au jargon de la directive, de données à caractère personnel. Le concept est strictement le même, seuls les mots changent : la loi reste une loi de protection des données des personnes physiques dès lors que celles-ci permettent une identification directe (nom et prénom) ou indirecte (toute donnée permettant d’identifier la personne). La réforme de 2004, suivant fidèlement la directive, a également créé un personnage nouveau : le « correspondant à la protection des données à caractère personnel » (art. 22-III de la loi de 1978 modifiée), plus souvent nommé correspondant informatique et libertés ou CIL.

Origines juridiques du CIL : du détaché au correspondant

De fait, la directive prévoit dans son article 18, paragraphe 2, la possibilité pour les États membres de prévoir :

« un détaché à la protection des données à caractère personnel chargé notamment :

  • d'assurer, d'une manière indépendante, l'application interne des dispositions nationales prises en application de la présente directive,
  • de tenir un registre des traitements effectués par le responsable du traitement, contenant les informations visées à l'article 21 paragraphe 2,
  • et garantissant de la sorte que les traitements ne sont pas susceptibles de porter atteinte aux droits et libertés des personnes concernées ».

La loi française préfèrera utiliser le terme de correspondant, plus conforme au statut prévu dans notre droit. Mais l’essentiel du rôle de ce correspondant est déjà dans le texte de cette directive.

La loi française est complétée par le titre III du décret n°2005-1309 du 20 octobre 2005 (art. 42 à 56).

Rôle du CIL

La présence d’un CIL dans une organisation (collectivité publique ou entreprise privée) dispense ipso facto celle-ci des obligations déclaratives auprès de la CNIL (Commission nationale de l’informatique et des libertés). Rappelons que dès qu’une organisation met en œuvre un traitement automatisé de données à caractère personnel, celui-ci doit être en principe préalablement déclaré à la CNIL, sauf dans certains cas prévus par la loi (dispenses) et sauf dans les cas plus complexes où c’est une autorisation qu’il faut obtenir, sous forme d’acte réglementaire de niveau plus ou moins élevé selon le degré de danger que représente le traitement visé. Dans ce contexte, l’existence du CIL permet d’éviter les déclarations normales ou simplifiées prévues aux articles 23 et 24 de la loi, ce qui désengorge la CNIL d’un important flot de déclarations. Mais sa présence ne dispense pas l’organisation des procédures de demandes d’autorisation (art. 22-III).

Le CIL est donc une sorte de Monsieur CNIL au sein de l’entreprise.

Il tient registre et met à jour la liste des traitements effectués dans l’entreprise et la met à disposition de toute personne (décret, art. 47 & 48).

Il est également chargé de veiller à l’application de la loi par voie de conseil, médiation en interne et alerte, au besoin auprès de la CNIL (décret, art. 49, al.1er à 5, art. 51).

Désignation du CIL

C’est le responsable des traitements (en général le représentant légal de l’organisation : gérant ou président de la société, président de l’association, autorité territoriale pour les collectivités locales…) qui doit nommer le CIL (loi, art. 22-III al.1er).

Cette désignation est portée tout d’abord à la connaissance des instances représentatives du personnel (loi art. 22-III al.2, décret, art. 45). Puis elle est notifiée à la CNIL (loi, art. 22-III al.2, décret art. 42). Cette notification peut aujourd'hui s’effectuer par télé-déclaration sur le site de la CNIL. La désignation du CIL prend effet un mois après la date de la notification à la CNIL (décret, art. 43).

Des qualifications exigées mais non contrôlées

L’article 22-III, al.3 précise que le CIL doit bénéficier « des qualifications requises pour exercer ses missions ». Rien d’autre n’est spécifié dans la loi ni dans le décret. Notamment, aucun agrément ni diplôme ne sont exigés. On a voulu laisser le choix du CIL ouvert, prenant par exemple en compte une expérience de terrain qui remplace souvent avantageusement des connaissances théoriques. C’est aussi un frein de moins à la désignation d’un CIL.

CIL interne ou externe ?

L’article 44 du décret prévoit que dans certains cas, le CIL puisse être une personne extérieure à l’organisation. En principe ce n’est possible que lorsque moins de 50 personnes sont chargées de la mise en œuvre des traitements. Ceci ouvre donc à de nombreuses petites structures (PME, TPE, Associations…) la possibilité de choisir un CIL externe. Et de fait, il existe des prestataires (cabinets juridiques, notamment) qui ont pour mission d’être CIL « multicartes », c’est-à-dire pour le compte de plusieurs petites structures.

Dès que le nombre de personnes chargées de la mise en œuvre des traitements dépasse 50, le CIL doit automatiquement être désigné en interne.

Statut protecteur du CIL

Pour éviter toute pression, le CIL jouit d’un statut proche du représentant du personnel. L’article 22-III, al.3 de la loi prévoit que le CIL « ne peut faire l’objet d’aucune sanction de la part de l’employeur du fait de l’accomplissement de ses missions ». De même, « Il peut saisir la Commission nationale de l’informatique et des libertés des difficultés qu’il rencontre dans l’exercice de ses missions ».

Le CIL exerce sa mission directement auprès (et non sous les ordres) du responsable des traitements (décret, art. 46, al.1er). Il ne reçoit « aucune instruction pour l'exercice de sa mission » (idem, al.2), ce qui renforce encore son indépendance.

Bien sûr, le responsable des traitements ou son représentant légal ne peut être CIL (idem, al.3)

Il est également prévu que le CIL ne peut exercer d’autres fonctions qui entreraient en conflit d’intérêts avec sa mission (décret, art. 46, al.4). C’est ainsi qu’il paraît difficile à un directeur informatique, qui tous les jours opère des choix de traitements, en liaison avec le responsable des traitements (son supérieur) puisse porter un regard suffisamment neutre et objectif ; il risque d’être à la fois juge et partie.

Missions du CIL

Dans les trois mois de sa nomination, le CIL doit dresser un inventaire de tous les traitements de données à caractère personnel existants. L’article 48 du décret prévoit les informations à y consigner et l’article 47 impose au responsable des traitements de fournir au CIL toutes informations lui permettant d’établir cet inventaire. Cette liste doit être actualisée « en cas de modification substantielle des traitements en cause » (art. 48, al.2) et doit être tenue à la disposition de toutes personne qui en fait la demande (idem, al.3).

Courroie de transmission entre l’organisation et la CNIL, le CIL rend compte de son action au responsable des traitements par un bilan annuel tenu à disposition de la CNIL (décret, art. 49, al.6).

Manquements

Lorsque le CIL manque à ses obligations, la CNIL peut demander au responsable des traitements de le relever de ses fonctions (décret art. 52). Le responsable des traitements peut également l’envisager selon une procédure définie à l’article 53 du décret, en accord avec la CNIL. La démission ou la décharge de fonctions du CIL, autrement que pour manquement à ses obligations, est également notifiée avec les motifs qui y sont attachés à la CNIL (décret, art. 54).

En pratique…

En pratique, peu de CIL ont encore été désignés, en raison de nombreux freins :

  • La loi ne rend pas cette désignation obligatoire, mais ce point pourrait évoluer à l’avenir, la CNIL y réfléchit ;
  • Si le CIL est externe, il faut le rémunérer ; s’il est interne, soit il est déchargé d’une partie de ses autres fonctions pour exercer sa mission, soit il est surchargé de travail, le plus souvent sans rémunération supplémentaire ;
  • Les hiérarchies n’aiment pas avoir un électron libre qui se permet de mettre son nez dans les traitements : trop souvent, les dirigeants, voire les collègues, confondent inventaire des traitements et accès aux fichiers…

À retenir

Le CIL est le Monsieur CNIL dans l’organisation qui l’a désignée. Il veille à l’application de la loi et dispense ses conseils pour ce faire. Chargé de tenir registre des traitements de données à caractère personnel dans l’organisation, il travaille en étroite relation avec le responsable des traitements (dirigeant), mais ne répond de ses actes que devant la CNIL.

Références

Directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données
http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=CELEX:31995L0046:FR:NOT

Loi n°78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés modifiée :
www.legifrance.gouv.fr/affichTexte.do?cidTexte=LEGITEXT000006068624

Décret n°2005-1309 du 20 octobre 2005 pris pour l'application de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés
www.legifrance.gouv.fr/affichTexte.do?cidTexte=LEGITEXT000006052580

Le statut du CIL sur le site de la CNIL (proposant notamment le Guide du CIL) :
http://www.cnil.fr/la-cnil/missions/informer-conseiller/correspondants

Didier FROCHOT