Accueil Carrières en droit Métiers du droit Professionnels du Droit

DPO : les Correspondants Informatique et Libertés (CIL) de demain.

L’Association Française des Correspondants à la protection des Données personnelles à caractère Personnel ( AFCDP ) a tenu, le 25 janvier 2013, sa 7ème Université des Correspondants Informatique et Libertés (CIL), l’événement incontournable des professionnels de la conformité à la loi protégeant les données personnelles.

Au cours de cette journée, l’AFCDP a présenté un état des lieux de l’avancée des travaux parlementaires au sujet de la nouvelle réglementation européenne concernant les données à caractère personnel.

JPEG - 6.6 ko
De G. à D. : M. Dubois (DG “Justice” de la Commission européenne), Mme Vincent (chef du service des CIL de la CNIL), M. Gibert (président de l’AFCDP), M.Rasle(Délégué général de l’AFCDP).

Cette nouvelle législation va venir bouleverser le métier de CIL et introduire l’obligation de désigner un Data Protection Officer (DPO). Le CIL va ainsi disparaître au profit du DPO qui sera au centre du dispositif décrit par le projet de Règlement.

Avant de découvrir la nature du DPO, un petit retour sur le CIL paraît nécessaire afin de bien comprendre l’évolution du métier.

Le métier de Correspondant Informatique et Libertés.

Le CIL, créé par décret [1] a vu le jour dans le but de diffuser la culture « informatique et libertés » et est donc devenu un acteur incontournable dans la régulation des pratiques.

Sa vocation est d’être un interlocuteur privilégié en matière de protection de données à caractère personnel, tant pour le responsable des traitements, que dans les rapports de ce dernier avec la CNIL. Il doit être protégé de tout conflit d’intérêts et ne peut donc se voir attribuer d’autres fonctions qui seraient incompatibles avec sa mission de CIL. Il dispose d’une certaine autorité pour que ses alertes soient prises en considération. Bien qu’il exerce sa mission en étroite collaboration avec le responsable de traitement, il ne doit recevoir aucune instruction dans le cadre de l’exercice de sa mission. Il ne peut ainsi faire l’objet de sanction de la part de l’employeur du fait de l’accomplissement de ses missions.

  • Pourquoi désigner un CIL ? :
    JPEG - 34.6 ko
    De G. à D. : M. Dubois (DG “Justice” de la Commission européenne), Mme Vincent (chef du service des CIL de la CNIL), M. Gibert (président de l’AFCDP)

La protection des données à caractère personnel n’est pas limitée à un secteur d’activité. Tous les organismes procédant à un traitement automatisé de données à caractère personnel sont concernés quelque soit leur statut ou leur taille (publics, privés, association, entreprise, administration, collectivités territoriales, etc.). Les entités qui ont désigné un CIL sont exonérés de toute formalité déclarative (sauf transfert de données à destination d’un Etat non membre de l’UE ou lorsque le traitement concerné présente des données dites « sensibles »).
De plus, il s’agit pour les responsables de traitements d’un moyen prévenir les nombreux risques vis à vis de l’application du droit en vigueur.
Le CIL est un précieux conseil permettant de concilier protection des libertés individuelles et intérêt légitime des professionnels.

  • Qui doit désigner un CIL ? :

La désignation d’un CIL est facultative. La question de savoir si le CIL peut ou non être externe à l’entreprise trouve sa réponse dans le nombre de personnes pouvant avoir directement accès aux traitements. Si ce nombre dépasse 50 personnes, la règle est de désigner un CIL en interne. Ne peuvent ainsi être désignés comme CIL qu’un employé de l’établissement, un employé du GIE dont il est membre l’organisme ou encore une personne mandatée à cet effet par un organisme professionnel. Cette restriction vise à faire en sorte que le CIL désigné connaisse au mieux les intérêts de la personne morale et soit à même d’assurer ces missions, en considérant des besoins spécifiques de la structure.

En dessous du seuil de 50 personnes, le CIL peut aussi être désigné interne parmi les salariés ou qu’externe, au choix du responsable de traitement.

Dans ce dernier cas, il peut s’agir d’un professionnel exerçant comme salarié d’une autre entreprise ou à titre libéral comme l’avocat-CIL.

  • Missions du CIL :

II doit dresser la liste des traitements automatisés mis en œuvre par l’organisme au sein duquel il a été désigné, tenir à jour cette liste et veiller à la régularité des traitements. Il doit, en outre, être consulté préalablement à la mise en œuvre de nouveaux traitements automatisés, lesquels ont vocation à figurer sur la liste.
Dans le but de veiller au respect du droit des personnes, il est tenu de les informer des traitements mis en œuvre les concernant, de veiller à ce que ces traitements n’excèdent pas les finalités pour lesquelles ils sont prévus et de répondre favorablement aux demandes d’accès, rectification, opposition ou radiation des personnes.
La vérification des règles de sécurité, pour préserver la confidentialité des données, fait partie des devoirs du CIL.
En cas de manquement par le responsable de traitement à l’une des obligations légales lui incombant, le CIL doit informer ce dernier de sa découverte, avant de procéder à une saisine de la CNIL. Il doit le conseiller dans les démarches à suivre aux fins de remédier à de telles irrégularités.
Pour mener à bien sa mission de diffusion de la culture « Informatique et libertés », le CIL sensibilise le personnel aux dispositions de la loi et répond aux demandes spécifiques qui lui sont adressées.
Enfin, le CIL doit rédiger un bilan annuel faisant état de son action au sein de la structure qu’il présente au responsable de traitement. Ce bilan est tenu à la disposition de la CNIL.

Le métier de CIL va évoluer avec le projet de Règlement européen actuellement en discussion. Les CIL disparaîtront pour laisser la place au DPO.

Le DPO : le nouvel homme fort en matière de protection de données à caractère personnel.

JPEG - 28.7 ko
Nicolas DUBOIS et Albine VINCENT

Le futur métier de DPO a été présenté lors d’une table ronde animée par M. Bruno Rasle, Délégué général de l’AFCDP et à laquelle ont participé : M. Nicolas Dubois de l’unité « Protection des données », DG « Justice » de la Commission européenne, Mme Albine Vincent, Chef du service des Correspondants Informatiques et Liberté de la CNIL et M. Paul-Olivier Gibert, Président de l’AFCDP.

Selon le rapport du député européen M. Albrecht, un DPO devrait être désigné pour tout organisme disposant d’un fichier recensant plus de 500 individus. M. Dubois estime que ce critère semble difficilement concevable et a estimé, à plusieurs reprises, que la nomination d’un DPO devait être fondée sur les risques inhérents aux traitements de données à caractère personnel.
Le Président de l’AFCDP a précisé que, pendant la phase de transition, les CIL en poste seraient d’offices des DPO pour les organismes où sa désignation est obligatoire. Dans le cas contraire, c’est le système de l’opt-in a été proposé c’est à dire que le CIL devra donner son accord pour devenir DPO.

Le DPO aurait une responsabilité plus accrue et serait impliqué dans tous les aspects de la conformité de traitement de données à caractère personnel dès son élaboration : gestion des droits des personnes, définition des mécanismes de vérification de la conformité, audits, vérification de l’adéquation des mesures de sécurité, maintien de la documentation, etc…

L’AFCDP souhaite que le DPO puisse avoir accès à toute information et pouvoir communiquer avec toute personne, quelque soit sa hiérarchie, afin de pouvoir être en mesure d’exercer sa mission de façon effective et indépendante. L’association souhaite également une obligation, pour le responsable de traitement, d’adapter les moyens apportés au DPO à la taille et aux besoins de l’organisme.

Il serait l’interlocuteur direct entre l’organisme et les personnes fichées et jouerait un rôle de médiateur lorsqu’une personne, dont les données personnelles font l’objet d’un traitement, souhaite porter une réclamation. Le DPO serait la première personne informée et ceci avant même la transmission d’une plainte à la CNIL ou d’une assignation devant un tribunal.

Au cours de l’Université, M. Dubois espère voir l’aboutissement du texte final avant la fin de la présidence de l’Irlande à l’Union Européenne c’est à dire le 30 juin 2013. Mme Vincent a estimé qu’une période de transition de trois ans serait nécessaire pour que les structures puissent s’adapter à ces nouvelles mesures législatives permettant aux citoyens d’avoir le contrôle sur leurs propres données.

Réginald Le Plénier
Rédaction du Village de la Justice

Recommandez-vous cet article ?

Donnez une note de 1 à 5 à cet article : L’avez-vous apprécié ?

224 votes

Notes :

[1Décret n°2005-1309 du 20 octobre 2005,