Le Correspondant Informatique et Libertés (CIL)
Troisième épisode d'une série sur les droits et obligations de l'entreprise en matière de données personnelles.
PublicitéDepuis la loi du 6 août 2004, modifiant la loi du 6 janvier 1978, tous les organismes, qu'ils soient publics ou privés, qu'il s'agisse d'associations, d'entreprises, d'administrations ou de collectivités locales..., ont la faculté de désigner un Correspondant Informatique et Libertés (CIL). L'allègement des formalités déclaratives Cette désignation présente, pour l'essentiel, l'avantage d'alléger les formalités déclaratives. En effet, en présence d'un CIL, le responsable des traitements est dispensé de l'accomplissement de tout ou partie des formalités préalables au traitement de données à caractère personnel. Les traitements soumis à exonération sont ainsi référencés dans une liste qui est tenue à jour, localement, par le CIL. Cette exonération ne concerne cependant que les traitements courants et ordinaires. En effet, seuls les traitements soumis à autorisation ou avis préalable de la CNIL, c'est-à-dire les traitements dits sensibles, ou encore les traitements dont l'objet est le transfert de données en dehors de l'Union Européenne, doivent être déclarés auprès des services de la commission. Enfin, on précisera que la désignation d'un CIL n'a pas pour fonction d'exonérer le responsable de traitement de sa responsabilité civile et pénale. S'il est un interlocuteur privilégié de la Cnil, il doit cependant veiller à ce que l'ensemble des traitements de données personnelles soit exécuté dans le respect de la loi Informatique et Libertés. Les missions du CIL Le CIL a vocation à être un conseiller spécialisé en matière de protection des données à caractère personnel à l'égard du responsable de traitement. Il doit s'assurer que les droits des personnes concernées par ce traitement sont respectés : droit d'accès, droit de rectification et de radiation, droit d'opposition.... Il est notamment tenu de les informer des traitements mis en oeuvre les concernant, ainsi que de veiller à ce que ces traitements n'excèdent pas les finalités pour lesquelles ils sont prévus. Il doit également vérifier que les règles de sécurité pour préserver la confidentialité des données sont bien mises en oeuvre. Il reçoit les demandes et réclamations émanant des individus concernés par les traitements pour lesquels il a été désigné, et doit s'assurer de la transmission de ces requêtes aux services de l'organisme compétents. Il conseille ces derniers dans le cadre de la réponse à apporter au requérant. A cet effet, le CIL exerce une fonction de médiateur entre l'organisme procédant au traitement de données personnelles et les individus sujets à de tels traitements. Le CIL doit répondre aux demandes spécifiques du responsable de traitement et faire à ce dernier toute préconisation sur les solutions organisationnelles ou technologiques les mieux adaptées aux besoins de la structure. Plus généralement, il se caractérise, selon la Cnil, comme étant « un outil privilégié de diffusion de la culture informatique et libertés au sein des organismes traitant des données à caractère personnel ». Pour mener à bien cette mission, le CIL doit collaborer étroitement avec, d'une part, le responsable du traitement, d'autre part, la Cnil. Cette dernière organise à cet effet une série de réunions d'information qui ont pour objectif de contribuer au développement des connaissances et des qualifications des CIL, sur l'application de la loi « informatique et libertés ». Le CIL doit établir et actualiser régulièrement la liste des traitements automatisés mis en oeuvre au sein de l'établissement auprès duquel il a été désigné. Il doit, en outre, être consulté préalablement à la mise en oeuvre de nouveaux traitements automatisés, lesquels ont vocation à figurer sur ladite liste. En cas de manquement par le responsable de traitement à l'une des obligations légales lui incombant, le CIL doit informer ce dernier de sa découverte, avant de procéder à une saisine de la Cnil. Il doit également le conseiller dans les démarches à suivre aux fins de remédier à de telles lacunes. Enfin, le CIL doit rédiger un bilan annuel faisant état de son action au sein de l'organisme, le présenter devant le responsable des traitements et en informer la Cnil en dernier ressort. D'autres missions peuvent être confiées au CIL, telles que l'élaboration des dossiers de formalités auprès de la CNIL pour les traitements ne bénéficiant pas de cette dispense, la mise en oeuvre de mesures de formation et de sensibilisation des employés chargés du traitement de données personnelles ou ayant un accès direct à celles-ci, quant aux obligations légales relatives à la protection des données personnelles, etc. Les modalités d'exercice du CIL Le CIL peut être un employé de l'entreprise, c'est à dire un correspondant « interne ». Il peut n'avoir aucun lien avec l'organisme qui fait appel à lui. Il s'agit dans ce cas, d'un CIL « externe ». Le recours à l'une ou l'autre catégorie de correspondant présente des intérêts différents. Toutefois, ce choix n'est pas toujours ouvert au responsable de traitement, le décret 2005-1309 du 20 octobre 2005 fixant le seuil au-delà duquel ce choix est restreint. En effet, lorsque la structure chargée de la mise en oeuvre de traitement ou y ayant directement accès comprend plus de cinquante (50) employés, le choix du recours à un correspondant interne ou externe est limité. En effet, ne peuvent être désignés comme CIL qu'un employé de l'organisme, un employé de l'une des entités du groupe auquel appartient l'organisme, un employé du groupement d'intérêt économique dont est membre l'organisme, une personne mandatée à cet effet par un organisme professionnel, ou une personne mandatée à cet effet par un organisme regroupant les responsables de traitement d'un même secteur d'activité. Cette restriction vise à faire en sorte que le CIL, désigné parmi les catégories de personnes susvisées, connaisse au mieux les intérêts de l'organisme en question et soit à même d'assurer ces missions, en considération des besoins spécifiques de l'organisme. A contrario, le choix du CIL est ouvert lorsqu'il s'agit d'une petite structure comprenant moins de cinquante (50) employés, le responsable des traitements pouvant opter indifféremment pour le CIL interne ou externe. Cette souplesse vise à inciter les petites structures à recourir à un correspondant et, par conséquent, à bénéficier des avantages octroyés par une telle désignation. Dans tous les cas, le CIL doit être une personne qualifiée, disposant de compétences adaptées à la taille et à l'activité du responsable du traitement. Il doit exercer ses missions de manière indépendante. Ainsi, il doit être protégé de tout conflit d'intérêt et ne peut donc se voir attribuer d'autres fonctions qui seraient incompatibles avec sa mission de CIL. A ce titre, le responsable du traitement ne peut être désigné comme CIL. Le CIL bénéficie, en outre, d'un statut privilégié en ce sens qu'il est protégé des sanctions de l'employeur. Ce dernier ne peut, en effet, ni modifier les fonctions du correspondant, ni y mettre fin, sans en avertir la Cnil et lui fournir les raisons de ce changement. Perte du bénéfice de la dispense des formalités déclaratives Le responsable du traitement peut perdre le bénéfice de la dispense des formalités déclaratives dans deux situations : - lorsque la mission du CIL arrive à son terme et que son remplacement n'est pas prévu. Le responsable des traitements doit alors, dans un délai d'un mois à compter de la notification de la décision mettant un terme à la mission du CIL, accomplir les formalités prévues aux articles 23 et 24 de la loi du 6 janvier 1978 à l'égard des traitements faisant l'objet de l'exonération du fait de la désignation du CIL. - en cas de manquement à l'une des obligations légales, auquel cas le régime de droit commun s'impose, ipso facto. Cas particulier : le correspondant de presse pour les traitements mis en oeuvre à des fins de journalisme Un régime d'exonération est prévu au bénéfice des entreprises de presse, visant à concilier la liberté de presse avec la protection des données à caractère personnel (L. inf. et lib., art. 67). Ainsi, pour les traitements mis en oeuvre à des fins de journalisme professionnel, les responsables de ceux-ci n'ont pas à les déclarer ou à requérir une autorisation formelle, sous réserve de désigner un correspondant à la protection des données. A l'occasion de l'avis qu'elle a rendu le 24 mars 2005, sur le projet de décret d'application de la loi du 6 août 2004, la Cnil s'est prononcée sur la portée de l'obligation d'une telle désignation d'un correspondant de presse. Elle estime que seuls les organismes de presse sont tenus par une telle obligation. De facto, tout journaliste bénéficie, sans condition, de cette dispense à l'égard de l'ensemble de ses fichiers, s'il exerce de manière indépendante, ou à l'égard des fichiers dont il est le seul responsable, s'il exerce dans le cadre d'un organisme de presse. C'est dire que, pour ces fichiers dont le journaliste est seul responsable, ce dernier bénéficie de la dispense de formalités, alors même qu'il n'aurait pas désigné un correspondant à la protection des données à caractère personnel. En d'autres termes, la Cnil considère que seuls les organismes de presse sont concernés par la désignation d'un correspondant, aux fins de bénéficier de l'exonération légale prévue. Au sein de tels organismes, le correspondant de presse a pour mission de tenir à jour une liste de traitements mis en oeuvre par la rédaction et de veiller à la bonne application de la loi informatique et libertés. Mais il n'a pas à se soumettre à certaines contraintes et obligations prévues pour le CIL (D. n°2005-1309 20 oct. 2005, art. 56 pris pour l'application de L. n°78-17 du 6 janvier 1978). Plus précisément, la désignation d'un correspondant presse n'a pas à être portée à la connaissance de l'instance représentative du personnel, au sein de l'organisme, préalablement à la notification de cette désignation auprès de la Cnil. En outre, la liste que le correspondant de presse doit établir dans les trois mois de sa nomination n'a pas à faire mention de « la fonction de la personne ou le service auprès duquel s'exerce le droit d'accès et de rectification ainsi que leurs coordonnées », et « de la durée de conservation des données traitées ». Le correspondant n'a pas non plus à veiller à ce que les demandes de communication de cette liste soient effectuées.
Article rédigé par
Christiane Féral-Schuhl, Avocat associé du cabinet Féral-Schuhl / Sainte-Marie
Christiane Féral-Schuhl est avocat associé du cabinet Féral-Schuhl / Sainte-Marie. Elle est également auteur de l'ouvrage de référence Cyberdroit, paru chez Dalloz. Depuis plus de 30 ans, elle exerce ainsi dans le secteur du droit de l'informatique et des nouvelles technologies. Elle est également médiatrice agréée auprès du Centre de Médiation et d'Arbitrage de Paris (CMAP).
Elle a été bâtonnier du Barreau de Paris (mandat exercé de 2011 à 2013) et présidente du Conseil National des Barreaux (2018-2020).
Elle a participé à de nombreux groupes de travail et commissions officiels : membre de la commission parlementaire de réflexion et de propositions ad hoc sur « le droit et les libertés à l'âge du numérique » (rapport « Numérique et libertés : un nouvel âge démocratique » en 2015), personnalité qualifiée au Haut Conseil à l'égalité entre les femmes et les hommes (2013-2015)...
Suivez l'auteur sur Linked In, Twitter
Commentaire
INFORMATION
Vous devez être connecté à votre compte CIO pour poster un commentaire.
Cliquez ici pour vous connecter
Pas encore inscrit ? s'inscrire