Le 25 janvier 2012, la Commission européenne a diffusé le projet de règlement relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (règlement général sur la protection des données). Ses propositions ont depuis été largement commentées mais il est toutefois difficile de discerner quelles seront les répercussions pratiques sur notre correspondant informatique et liberté.

Le correspondant informatique et liberté (CIL) a été introduit par la loi du 6 Août 2004 à l’occasion de la refonte de la loi « Informatique et Libertés » du 6 janvier 1978, complété par le décret n°2005-1309 du 20 octobre 2005. Au sein de tout organisme (privé, public, associatif, etc.) en ayant désigné un, il est devenu le garant du respect de la lettre et de l’esprit de la loi « informatique et liberté ».

Le projet de règlement européen envisage de faire évoluer la fonction de correspondant informatique et liberté par le biais de sa section 4 relative au délégué à la protection des données. Ce changement de vocable s’inscrit dans la révision du cadre juridique pour la protection des données à caractère personnel dans l’Union européenne visant à faire face à l’augmentation exponentielle du partage et des collectes des données par l’intermédiaire des nouvelles technologies. Le projet de règlement met en effet en exergue le fait que les organismes publics comme les entreprises privées ont plus que jamais recours à ces pratiques. La fonction du correspondant informatique et liberté, qui est au centre de ces préoccupations, a donc été logiquement révisée afin de faire face à ce constat.

Par conséquent, il convient de faire une étude croisée entre le correspondant informatique et liberté d’aujourd’hui et le délégué à la protection des données de demain.

Quelle désignation ?

Actuellement, la désignation du CIL est facultative contrairement à certains de nos voisins européens comme par exemple l’Allemagne. Le Sénat a toutefois déjà adoptée une proposition de loi le 23 mars 2010 visant à mieux garantir le droit à la vie privée à l’heure du numérique. En son article 3, elle prévoit de rendre de rendre obligatoire le correspondant informatique et libertés "lorsqu’une autorité publique ou un organisme privé recourt à un traitement de données à caractère personnel qui relève du régime d’autorisation en application des articles 25, 26 ou 27 ou pour lequel plus de cent personnes y ont directement accès ou sont chargées de sa mise en œuvre".

Le projet de règlement prend quelque peu la relève de cette proposition à l’abandon. En effet, il prévoit en son article 35 de rendre la désignation obligatoire pour les autorités ou organismes publics, les entreprises ayant 250 employés ou plus et les organismes dont les activités de base «  consistent en des traitements qui, du fait de leur nature, de leur portée et/ou de leurs finalités, exigent un suivi régulier et systématique des personnes concernées ».

Le mandat du délégué à la protection des données est conférée pour une durée d’au moins 2 ans reconductible.

Actuellement, lorsque moins de 50 personnes sont chargées de la mise en œuvre des traitements ou y ont directement accès, le choix du correspondant est entièrement libre. La seule limite est liée à un éventuel conflit d’intérêts puisque l’article 46 du décret 20 octobre 2005 souligne que le cumul des fonctions de responsable du traitement (ou son représentant légal) et de correspondant est impossible. Cette ouverture visait à faciliter et ainsi inciter les petites structures à bénéficier de la fonction de CIL. A l’inverse, lorsque plus de 50 personnes sont chargées de la mise en œuvre des traitements ou y ont directement accès, le choix du correspondant externe est limité aux personnes suivantes :

 un salarié de l’organisme,
 un salarié d’une des entités du groupe de sociétés auquel appartient l’organisme,
 un salarié du groupement d’intérêt économique dont est membre l’organisme,
 une personne mandatée à cet effet par un organisme professionnel,
 une personne mandatée à cet effet par un organisme regroupant des responsables de traitement d’un même secteur d’activité

Dans le cadre du projet de règlement européen, il n’est pas question d’une telle dichotomie. D’une manière générale, le délégué à la protection des données peut être un salarié du responsable ou du sous-traitant, ou accomplir ses tâches sur la base d’un contrat de service (prestataire externe). La seule limite ne nous est pas inconnue puisqu’elle est liée au fait que le responsable du traitement ou le sous-traitant doit veiller à ce que les fonctions professionnelles du délégué désigné soit compatible avec celles liées à la qualité même de délégué à la protection des données et n’entraine pas de conflits d’intérêts.

Cette souplesse vise dont à une plus grande incitation au recours du correspondant et participe à la volonté de le placer plus facilement au centre des problématiques relatives à la protection des données à caractère personnel au sein de n’importe quelle structure.

Quelles missions et quels pouvoirs pour les exercer ?

Traditionnellement, le CIL doit dresser la liste des traitements automatisés mis en œuvre au sein de l’établissement, du service ou de l’organisme au sein duquel il a été désigné. Il se doit de les garder à jour et de veiller leur régularité.

Plus généralement, le CIL doit veiller au respect des droits des personnes, notamment quant à leur droit d’accès, de rectification et d’opposition. Il se doit également de contrôler la conformité aux grands principes de loyauté, de transparence, de proportionnalité et de finalité qui gouvernent chaque traitement de données à caractère personnel. De manière plus concrète, il s’assure de signaler tout manquement, il gère les différentes demandes et réclamations des individus concernés, des opérationnels, ou du responsable du traitement en s’assurant de transmettre toute requête aux services de l’organisme compétent ou faisant toute préconisation sur les solutions les plus adaptées. Il est le maillon indispensable entre la CNIL et le responsable du traitement.

De manière générale, la mission et la fonction du nouveau délégué ne changent pas fondamentalement. Il s’agit plutôt de renforcer son rôle. En effet, il demeure avant tout un interlocuteur privilégié avec :

  les personnes au sujet de toute question relative au traitement de données les concernant et de demander à exercer les droits conférés par le règlement européen.

  La CNIL et la consulte, si nécessaire, sur les questions liées aux traitements. De la même façon, il vérifie qu’il a été répondu aux demandes de la CNIL de contrôle et coopère avec elle.

  le responsable du traitement ou le sous traitant en contrôlant la mise en place des règles internes concernant la protection des données (notamment quant à la répartition des responsabilités, la formation des personnels et les audits relatifs au respect de ces règles). Il doit en outre informer et conseiller le responsable de traitement ou le sous-traitant sur les obligations qui lui incombent, et conserve une trace documentaire de cette activité et des réponses.

Une des grandes avancées est liée la notion de « privacy by design ». Ce concept vise le fait de concevoir des produits et des services en prenant en compte dès leur conception les aspects liés à la protection de la vie privée et des données à caractère personnel. Dans ce cadre, le délégué doit vérifier que le responsable de traitement ou le sous-traitant a réalisé l’analyse d’impact et que les demandes d’autorisation ou de consultation ont été effectuées. Cette certification sert à prouver la bonne foi du responsable de traitement quant à la sécurisation des données.

De la même manière, le besoin de contrôler à la source la conformité du traitement aux exigences posées par le règlement a été renforcé et expressément envisagé. Ainsi, le délégué doit contrôler le respect des exigences relatives à la prise en compte de la protection des données dès la conception, à la protection des données par défaut et à la sécurité des données ainsi que l’information des personnes concernées et l’exercice de leurs droits.

Pour le reste, il n’y a rien de vraiment nouveau et le délégué conserve ses obligations traditionnelles (tenir à jour une liste des traitements de données à caractère personnel, contrôler la documentation, la notification et la communication relatives aux violations de données à caractère personnel, veiller au respect des règles définies dans le cadre des règles internes, etc).

Importante précision, aux termes de l’article 37 du projet de règlement européen, cette énumération des missions confiées au délégué est entendue dans le cadre du règlement comme un minimum requis. Ainsi, le responsable du traitement ou le sous-traitant ont toute marge de manœuvre pour ajouter à cette liste et amplifier le rôle du délégué.

Quelles compétences et qualifications ?

A ce jour, la législation française ne propose pas de véritable définition de notre CIL : il s’agit d’une « personne bénéficiant des qualifications requises pour exercer ses missions ». Si certaines grandes écoles ou certains organismes proposent des formations diplômantes, il n’existe toutefois pas de précisions sur les qualifications professionnelles du CIL.

Le projet de règlement ne nous éclaire pas beaucoup plus sur cet aspect. Il précise simplement que le délégué est désigné sur la base de ses qualités professionnelles et, en particulier, de ses connaissances spécialisées de la législation et des pratiques en matière de protection des données, et de sa capacité à accomplir les missions énumérées précédemment. Le niveau de connaissances spécialisées requis est déterminé notamment en fonction du traitement des données effectué et de la protection exigée pour les données à caractère personnel traitées par le responsable du traitement ou le sous-traitant.

En somme, la désignation variera en fonction de chaque cas d’espèce. Il va de soit qu’une importante structure qui multiplie les traitements de données à caractère personnel n’aura pas les mêmes exigences quant aux aptitudes professionnelles du délégué désigné qu’une petite structure ayant très peu recours à ce type de collecte. Une marge de manœuvre est donc laissée à l’opportunité de chaque organisme afin qu’elle juge de la graduation nécessaire, du salarié au prestataire externe spécialiste de la question. Cette politique s’inscrit dans la volonté de limiter les barrières à la mise en place du délégué et permettre ainsi sa démocratisation.

Quelles sanctions ?

En l’absence de désignation ou si le responsable de traitement ou le sous-traitant n’assure pas les conditions permettant de remplir les missions du délégué à la protection des données, intentionnellement ou par négligence, la CNIL disposera d’un pouvoir de sanction prenant la forme d’une amende pouvant s’élever à 1 000 000 d’euros ou, pour le cas d’une entreprise, 2% de son chiffre d’affaires annuel mondial.

Fabien Pinard Juriste spécialisé en droit des affaires, propriété intellectuelle et nouvelles technologies

Cet article est protégé par les droits d'auteur pour toute réutilisation ou diffusion, plus d'infos dans nos mentions légales ( https://www.village-justice.com/articles/Mentions-legales,16300.html#droits ).