|
Le Correspondant Informatique ... pourquoi ? pour qui ?
* Le Correspondant : un vecteur de diffusion de la culture informatique et libertés
Introduit en 2004 à l’occasion de la refonte de la loi du 6 janvier 1978, le correspondant à la protection des données ou correspondant informatique et libertés est désormais un personnage incontournable dans le paysage de la protection des données à caractère personnel. Tous les responsables de traitement, qu’ils soient publics ou privés, qu’ils aient le statut d’associations, de collectivités locales ou de grandes administrations de l’Etat, qu’il s’agisse de PME-PMI ou d’entreprises multinationales, sont concernés.
La désignation d'un correspondant informatique et libertés, qui reste facultative, ne pourra être notifiée à la CNIL qu’une fois paru le décret d’application de la loi. Elle emporte un allègement non négligeable dans l’accomplissement des formalités déclaratives auprès de la CNIL, puisque seuls les traitements relevant d’un régime d’autorisation ou comportant des transferts de données en dehors de l’union européenne continueront à faire l’objet de formalités préalables.
Toutefois, l’apport essentiel de la désignation d’un correspondant consistera surtout à fournir au responsable de traitement un interlocuteur spécialisé à même de le conseiller dans ses choix difficiles. La désignation du correspondant n’emporte aucune exonération de responsabilité civile ou pénale pour le responsable de traitement. Toutefois, l’action du correspondant a précisément pour objet de contribuer à une meilleure application de la loi et réduire d’autant le risque juridique.
En effet, les obligations du responsable de traitement ne se limiteront pas à l’accomplissement des formalités préalables, qui ne constituent en quelque sorte que la face émergée du système de protection des données à caractère personnel.
Le responsable de traitement est notamment tenu d’assurer le respect des droits des personnes (droits d’accès, droit de rectification et de radiation, droit d’opposition...) en leur fournissant une information suffisante sur les traitements mis en oeuvre. Il doit aussi veiller à la proportionnalité des traitements mis en oeuvre qui ne doivent porter qu’une atteinte limitée à la vie privée des personnes. Enfin, il doit assurer la sécurité et la confidentialité des données traitées et les informations traitées ne doivent pas être communiquées à des personnes n’ayant aucune raison de les connaître.
La traduction pratique de ces obligations à l’exercice d’une activité professionnelle ne va pas de soi. Elle implique une réflexion sur l’usage qui sera fait des données, une définition des besoins tenant compte des droits garantis des personnes. Par ailleurs, les choix effectués en matière de systèmes d’informations doivent tenir compte de ces droits et obligations. En l’absence de correspondant, ces tâches s’ajoutent à celles découlant des formalités. Elles sont souvent négligées, alors qu’elles sont essentielles au regard de la protection des droits des personnes et que le responsable de traitement encourt des sanctions plus lourdes qu’en cas de manquement aux obligations liées à l’accomplissement des formalités préalables. Le temps libéré du fait de la dispense de déclaration pourra désormais être consacré à ce second volet.
L’importance de la tâche peut laisser sceptique nombre de responsables de traitement et de correspondant . Toutefois, s'il peut avoir vocation à devenir un expert en matière de protection des données à caractère personnel, il est avant-tout la personne pouvant répondre aux besoins spécifiques du responsable de traitement, disposant de la liberté d’action et de l’autorité indispensable à la préconisation de solutions organisationnelles ou technologiques qui pourraient ne pas recueillir immédiatement l’assentiment de la direction ou des services concernés. Cette configuration n’est pas destinée à faire du correspondant un « électron libre », mais à assurer qu’il exerce son jugement en dehors de toute pression et présente ses conclusions au responsable de traitement sans parti pris.
La désignation d’un correspondant ne saurait donc s’analyser comme une simple mesure d’allègement des formalités, mais comme un outil privilégié de diffusion de la culture informatique et libertés au sein des organismes traitant des données à caractère personnel
Le correspondant informatique et libertés c’est quoi ?
La fonction de correspondant informatique et libertés (CIL) est nouvelle. Elle a été introduite en août 2004 avec la réforme de la loi informatique et libertés. Cette fonction existe déjà chez plusieurs de nos voisins européens (Allemagne, Pays-Bas, Suède, Luxembourg). Le correspondant informatique et libertés a vocation à être un interlocuteur spécialisé en matière de protection de données à caractère personnel, tant pour le responsable des traitements, que dans les rapports de ce dernier avec la CNIL. Le correspondant informatique et libertés occupe ainsi une place centrale dans le développement maîtrisé des nouvelles technologies de l’information et de la communication. Ce faisant, il assure la diffusion de la culture informatique et libertés.
Le correspondant informatique et libertés, pour quoi faire ?
La fonction de correspondant répond à un double objectif. Elle emporte un allègement considérable des formalités. Sa désignation permet en effet d’être exonéré de l’obligation de déclaration préalable des traitements ordinaires et courants. Seuls les traitements identifiés comme sensibles dans la loi demeurent soumis à autorisations et continuent à faire l’objet de formalités. Le correspondant informatique et libertés apporte une aide précieuse au responsable du traitement. Il a un rôle de conseil et suivi dans la légalité de déploiement des projets informatiques et, plus largement, de la gestion de données à caractère personnel. Il proposes les solutions permettant de concilier protection des libertés individuelles et intérêt légitime des professionnels.
Quelles sont les compétences requises pour être correspondant informatique et libertés ?
Le CIL peut être un employé ou une personne externe (comme par exemple un salarié du groupe, un consultant, un expert comptable, un avocat…). Il n’est pas prévu d’agrément par la CNIL.
Selon la loi, le correspondant doit bénéficier des « qualifications requises pour exercer ses missions ». Le niveau et la nature des compétences devront être définis par le responsable de traitements au cas par cas en fonction de la situation, des moyens et des besoins du responsable.
Il est cependant possible de dresser un portrait robot du correspondant. La personne désignée devrait ainsi avoir des compétences en :
informatique et en droit : on peut envisager de former un salarié déjà en place aux qualifications qui lui manquent.
conseil et management : le correspondant à un rôle d’information et d’audit de l’organisme
médiation et pédagogie : le correspondant sera amené dans l’exercice de ses fonctions à permettre un dialogue entre le responsable du traitement, les personnes faisant l’objet du traitement, et la CNIL.
Qui est concerné par le correspondant informatique et libertés ?
Le principe : Un choix ouvert à tous.
Toutes les personnes procédant au traitement automatisé de données à caractère personnel les responsables de traitements sont concernés quelque soit leur statut ou leur taille.
Ainsi, dans le secteur public, les collectivités territoriales, les administrations de l’Etat, les établissements publics etc. peuvent faire le choix de désigner un correspondant. Il en va de même les PME, les PMI, les entreprises multinationales, les groupements, les associations etc.…du secteur privé.
Cette universalité illustre le fait que la protection des données à caractère personnelles n’est pas limitée à un secteur d’activité. Elle concerne de fait toutes les personnes qui sont conduites, dans le cadre de leurs activités, à collecter et travailler sur des informations se rapportant de près ou de loin à des personnes physiques. En revanche, la désignation d’un correspondant est un choix. Elle est facultative et traduit l’engagement du responsable de traitement à respecter les dispositions légales.
 |
|
