La protection des données personnelles devient un thème récurrent dans l’actualité tant par le succès de Facebook que par les mésaventures de certains. Aux entreprises qui s’inquiètent de leur conformité à la Loi Informatique et Liberté du 6 janvier 1978, notamment dans la gestion des données personnelles de leurs employés, nous présentons ci-après la solution alternative introduite en 2004 par la réforme de ladite loi: la fonction de correspondant informatique et libertés (« CIL »).
La création de ce nouvel acteur est importante car elle intéresse un nombre considérable d’entreprises. En effet, du fait même de leur activité toutes les entités juridiques (collectivités territoriales, administrations, établissements publics, PME, PMI, entreprises multinationales, groupements, associations etc.) sont amenées à collecter et traiter des informations se rapportant à des personnes physiques.
Qui est-il ?
Le CIL peut être un(e) employé(e) ou une personne externe (Salarié(e) du groupe, consultant(e), avocat(e)…) présentant certaines «qualifications » et capacités en informatique, en droit, en management et suivi de projet, en médiation et … en pédagogie ! Ces compétences seront définies par «le responsable du traitement» (Article 3 de la Loi 78-17 du 6 janvier 1978 (dite « Informatique et Libertés ») : « Le responsable d’un traitement de données à caractère personnel est, sauf désignation expresse par les dispositions législatives ou réglementaires relatives à ce traitement, la personne, l’autorité publique, le service ou l’organisme qui détermine ses finalités et ses moyens ») en fonction de la situation, des moyens et des besoins de ce dernier.
Bien entendu le CIL devra exercer ses missions de manière indépendante ce qui exclu tout conflit d’intérêt avec d’autres fonctions exercées parallèlement. De ce fait, s’il est un employé de la société, il pourra être spécifiquement formé à sa fonction et ne pourra faire l’objet de sanctions de son employeur du fait de l’exercice de ses missions.
Sa nomination doit faire l’objet d’une information des instances représentatives du personnel et d’une notification à la Commission Nationale Informatique et libertés (« CNIL »)
Les objectifs du CIL
La fonction de correspondant répond à un double objectif :
(i) un allègement des formalités puisque sa désignation permet en effet à l’entreprise d’être exonérée de l’obligation de déclaration préalable des traitements ordinaires et courants, seuls certains traitements identifiés comme sensibles restent soumis à formalités.
(ii) l’assurance d’une meilleure application de la loi, le CIL pouvant conseiller utilement le responsable des traitements pour qu’il assure le respect des droits des personnes concernées (droit d’accès, de rectification, de radiation, d’opposition…) par la mise en place de mesures d’applications concrètes et pratiques adaptées au traitement de données personnelles à mettre en place.
Les missions du CIL
Dans les trois mois suivant sa désignation, il doit notamment lister les traitements mis en œuvre et préciser pour chacun d’entre eux l’identité du responsable, les finalités du traitement, les services chargés de sa mise en œuvre, l’identité et qualité auprès desquels s’exerce le droit d’accès, les destinataires des données etc. Cette liste devra être tenue à jour et accessible à toute personne en faisant la demande.
Par ailleurs, il doit s’assurer, d’une manière indépendante, (i) du respect des dispositions de la loi informatique et liberté et assurer une mission de conseil, de médiation et d’alerte. A ce titre, Il sera obligatoirement consulté préalablement à la mise en œuvre de nouveaux traitements et informera le responsable de traitement en cas manquements. En dernier ressort, et s’il le juge opportun, il pourra saisir la CNIL.
L’avocat-CIL
Le contenu juridique de la mission du CIL, ainsi que son indépendance font de l’avocat un candidat à cette fonction. Un récent rapport du Conseil National des Barreaux (14 mars 2009 – La Commission des Règles et Usages a proposé d’insérer dans le RIN (Règlement intérieur national) de nouvelles dispositions afin d’encadrer les fonctions de l’avocat CIL et de les rendre compatibles avec les principes essentiels gouvernant la profession.) a conclu à la compatibilité de la profession d’avocat avec l’exercice de la fonction de CIL.
Le CIL n’ayant aucune obligation de dénonciation directe des insuffisances de l’entreprise ou du responsable de traitement, « l’Avocat-CIL » se trouverait, par conséquent, en position d’ « auditeur » ou d’ « expert » rendant compte de sa mission à son client, sans violer les principes de sa profession (notamment le secret professionnel) ni les obligations qui résulteraient de son statut de CIL.
Dès lors seule l’apparition d’un conflit d’intérêts pourrait, comme dans toute autre mission accomplie par un avocat, l’amener à mettre un terme à sa fonction de CIL pour l’un de ses clients. Ce pourrait être le cas notamment si l’entreprise qui l’a désigné n’acceptait pas ses conclusions ou recommandations en tant que CIL.