Le correspondant à la protection des données personnelles

06/01/2006 à 00h00

La désignation d'un correspondant CIL modifie la façon dont l'entreprise met en conformité son traitement informatique avec la loi Informatique et libertés.

Le décret

En 2004, la loi Informatique et libertés innovait en permettant aux entreprises de s'affranchir des formalités déclaratives les plus courantes devant la Cnil (Commission nationale de l'informatique et des libertés), par la désignation d'un correspondant à la protection des données à caractère personnel (CIL)⁽¹⁾. Il manquait toutefois un décret d'application pour que ce nouveau dispositif se mette en place. Le manque de précisions de la loi sur la possibilité de désigner un CIL ' externe ' a généré maintes incertitudes en termes de visibilité et de stratégie pour les entreprises. Le décret⁽²⁾ du 20 octobre 2005 apporte certaines réponses.

Les recommandations

Tout d'abord, la question du correspondant ' interne-externe ' est définitivement arbitrée. Il peut être externe à l'entreprise, mais doit avoir une connaissance de l'activité et du fonctionnement interne de celle-ci ou de son administration. Ensuite, son choix dépend du nombre de personnes ' chargées de la mise en ?"uvre des traitements ou y ayant directement accès '. En d'autres termes, tous ceux qui, en raison de leurs fonctions ou pour les besoins de service, accèdent aux données enregistrées (service informatique, les directions marketing, achats, comptabilité, RH...).

Les limites

La loi pose aussi des limites aux possibilités d'externalisation de cette fonction. Lorsque ' plus de 50 personnes sont chargées de la mise en ?"uvre ou ont directement accès aux traitements ou catégories de traitements automatisés ', le choix d'un CIL externe n'est pas entièrement libre. Il ne peut s'agir que d'un CIL ' exclusivement attaché au service de la personne, de l'autorité publique ou de l'organisme, ou appartenant au service qui met en ?"uvre ces traitements '. En clair, un salarié d'une autre société du groupe ou du GIE dont fait partie le responsable du traitement, ou une personne (salariée ou non) mandatée à cet effet par un organisme professionnel (syndicat, chambres de commerce, des métiers). Mais si ce nombre est inférieur à 50, la fonction de CIL peut être librement externalisée (avocat, consultant, groupements professionnels...).(1) Loi n?' 78-17 du 6 janvier 1978 modifiée par la loi n?' 2004-801 du 6 août 2004.
(2) Décret 2005-1309, JO du 22 octobre 2005.

À retenir

La désignation de tout CIL passe par la création d'une cartographie des traitements de l'entreprise afin de quantifier quels sont ceux qui doivent être déclarés ou autorisés (régime excluant le recours à un CIL).
Pour n'oublier aucun traitement, l'entreprise doit interviewer, recenser les documents, établir des comptes rendus de réunion et réaliser un rapport sur cet audit. Ce document majeur pourra être mis à jour chaque année, que l'on dispose ou non d'un CIL.
Si l'entreprise désigne un CIL, celui-ci définira un bilan annuel de ses activités afin que l'entreprise, surtout ses dirigeants, s'assure, grâce à cette fonction, une mise en conformité pérenne avec les exigences de la loi Informatique et libertés. Au-delà du juridique, elles sont d'abord, et avant tout, des exigences éthiques.
Le choix de tout CIL se fait via un formulaire annexé au guide de procédure élaboré en 2005 par la Cnil^(*).

(*) Guide disponible sur le site de la Cnil : www.cnil.fr

Alain Bensoussan