Tout organisme privé (entreprise, association) ou public, quels que soient son domaine d’activité et sa taille, est amené à collecter et à traiter des données à caractère personnel concernant ses employés, clients ou administrés pour des traitements très divers, allant de la prospection commerciale, aux fichiers d'état civil et des électeurs, les fichiers des ressources humaines (personnel, candidats et CV), et les systèmes de contrôle d'accès, de vidéosurveillance ou de géolocalisation. La collecte et le traitement de ces données doivent respecter les dispositions de la loi Informatique et Libertés.
La multiplicité des traitements, alliée à la complexité de certains types de traitements et aux risques d'atteintes au respect de la vie privée, ont conduit le législateur à créer le Correspondant Informatique et Libertés.(1) Ce professionnel, qui peut être interne ou externe à l’entreprise ou l’administration concernée est un partenaire précieux pour tout organisme procédant à des traitements de données personnelles nombreux et/ou complexes.
Nous rappelons ci-après les obligations légales incombant aux organismes mettant en oeuvre des traitements de données à caractère personnel, puis analysons le rôle et les avantages liés à la désignation d’un Correspondant Informatique et Libertés.
1 - Rappel des obligations légales incombant aux organismes procédant à des traitements de données personnelles
Les obligations prévues par la loi - La collecte et le traitement des données personnelles doivent respecter les principes définis par la loi Informatique et Libertés. La loi vise tous types d'opérations portant sur des données qui permettent d'identifier directement ou indirectement une personne physique et notamment, le fait de collecter, enregistrer, conserver, modifier, diffuser ou détruire des données personnelles.
De nombreuses obligations pèsent sur le responsable des traitements, notamment : (i) déclarer, au préalable, à la CNIL tout traitement ou fichier automatisé de données (déclarations ou demandes d'autorisation et d'avis selon les données concernées et les traitements envisagés), (ii) faire une collecte loyale et licite des données, (iii) respecter la finalité du traitement, (iv) assurer l’intégrité des données en adoptant des mesures de sécurité et (v) permettre aux personnes concernées par le traitement de leurs données, de faire valoir leurs droits (droits d'accès, de contestation, de rectification et d’opposition). En principe, le responsable du traitement est le dirigeant de l'entreprise ou le chef de service de l'organisme public en charge des traitements de données.
Les pouvoirs de contrôle et de sanction de la CNIL - La CNIL dispose de pouvoirs de contrôle et de sanction à l'encontre des responsables de traitements. Des contrôles sur place (dans les locaux de l’entreprise) peuvent être réalisés, au cours desquels les agents de la CNIL (pouvant être accompagnés d’agents de la DGCCRF et/ou de l'ARJEL) peuvent demander communication de tout document, recueillir tout renseignement utile et accéder aux programmes informatiques et aux données afin de vérifier la conformité à la loi.
Lorsque des manquements à la loi sont relevés, la CNIL peut prononcer un avertissement ou mettre le responsable du traitement en demeure de faire cesser le manquement constaté dans un délai qu’elle fixe. Si le responsable du traitement ne se conforme pas à la mise en demeure, la CNIL peut prononcer une sanction pécuniaire d'un montant maximum de 300.000€, une injonction de cesser le traitement ou un retrait de l’autorisation éventuellement accordée.
Les sanctions pénales - La CNIL peut décider de dénoncer au Procureur de la République les infractions à la loi. Le fait de procéder, y compris par négligence, à des traitements de données personnelles non conformes à la loi Informatique et Libertés est pénalement sanctionné : 5 ans d’emprisonnement et 300.000€ d’amende.(2)
Afin d'éviter de telles sanctions et d'alléger les formalités à la charge du responsable de traitements, les entreprises privées, associations ou administrations publiques, peuvent désigner un Correspondant Informatique et Libertés.
2 - Rôle et obligations du Correspondant Informatique et Libertés
La loi de 2004, ayant transposé la Directive sur la protection des données de 1995, a modifié la loi Informatique et Libertés en introduisant la possibilité pour les entreprises et administrations de nommer un Correspondant Informatique et Libertés ou “CIL”.(3)
Le rôle du CIL - Les principales missions incombant au CIL sont les suivantes :
- Tenir un inventaire des traitements de données : le CIL est tenu de dresser et de tenir à jour la liste des traitements automatisés mis en œuvre dans l'organisme au sein duquel il a été désigné ;
- Veiller à l'application de la loi Informatique et Libertés : le CIL est consulté préalablement à la mise en oeuvre des traitements, fait des recommandations et élabore des dossiers de formalités auprès de la CNIL ; il veille au respect des droits des personnes (droit d'accès, droit d'opposition, etc) ; il reçoit les réclamations des personnes concernées par les fichiers, informe le responsable du traitement en cas de manquements à la loi et préconise des solutions adéquates. A défaut de se mettre en conformité avec la loi, le CIL doit saisir la CNIL des difficultés rencontrées avec son entreprise ou son administration ;
- Rendre compte de son activité : le CIL doit rédiger un bilan annuel faisant état de son action au sein de l'organisme, le présenter devant le responsable des traitements et le tenir à la disposition de la CNIL.
Le CIL doit collaborer au quotidien avec l'organisme qui l'a désigné et avec la CNIL. Le CIL est indépendant et autonome. Il ne reçoit aucune instruction et décide seul, après concertation avec les services concernés de l'organisme, des recommandations à faire. II ne peut faire l'objet de sanctions par l'organisme du fait de l'exercice de sa mission, sauf manquement grave.
Les conditions de désignation du CIL - La désignation d'un CIL doit être notifiée à la CNIL. Le CIL peut être interne à l'organisme (salarié de l’entreprise ou agent de l’administration concernée). Le CIL peut également être un consultant externe à l'organisme.
Si plus de 50 personnes au sein d’un organisme sont en charge de la mise en œuvre d’un traitement ou ont accès directement à ce traitement (ex : plus de 50 salariés travaillent sur le fichier clients de la société) alors seul un CIL interne à l’organisme peut être désigné. On considère le CIL comme interne à l’organisme tout CIL salarié de l’organisme, salarié d’une des entités du groupe de sociétés auquel appartient l’organisme, salarié du GIE dont est membre l’entreprise, agent de l’administration concernée, ou toute personne mandatée à cet effet par l'organisme.
En deçà de 50 personnes, le CIL peut-être interne ou externe à l’organisme (ex : avocat, consultant en informatique).
Les qualifications et compétences spécifiques du CIL - En pratique, le CIL est en relation avec les différents services de l'organisme (services informatique, marketing, finance, ressources humaines), le responsable du traitement et la CNIL. Ce professionnel doit disposer de compétences spécifiques portant sur la réglementation relative à la protection des données personnelles, mais aussi en matière de nouvelles technologies (informatique, internet, etc).
L'avocat CIL - Compte tenu des qualités requises pour exercer la mission de CIL, l'avocat est apparu très rapidement comme un professionnel apte à endosser cette fonction, à plusieurs titres. Tout d'abord, l'avocat est qualifié pour remplir les rôles de conseil, auditeur et médiateur. Ensuite, il maîtrise, selon sa spécialité, la réglementation relative à l'exécution de la mission du CIL (protection des données personnelles, droit informatique, droit pénal, etc.). Enfin, il est soumis au respect des règles de déontologie propres à la profession d’avocat, notamment la confidentialité et l'indépendance, ces deux éléments pouvant parfois être difficiles à mettre en oeuvre au quotidien par un CIL salarié de l’entreprise, notamment en cas de traitements complexes et/ou sensibles.(4) C'est pourquoi en 2009 le Conseil National des Barreaux a autorisé l'avocat à être désigné CIL par et pour le compte de ses clients.(5)
Les avantages pour les organismes - La désignation d'un CIL interne ou externe présente de nombreux avantages pour les organismes qui exploitent des traitements de données personnelles multiples. Le CIL permet :
- d'alléger les formalités déclaratives préalables. La désignation d’un CIL a pour effet d’exonérer l’organisme concerné de l’accomplissement des formalités de déclarations des nouveaux traitement à la CNIL ; seuls les traitements soumis à autorisation de la CNIL (ex: biométrie) ou comportant des transferts de données hors Union européenne devront continuer à être déclarés. Ceci peut donc représenter un gain de temps considérable pour les organismes mettant en oeuvre de nombreux traitements de données et/ou des traitements complexes ;
- d’améliorer la maîtrise des risques juridiques et techniques liés au traitement de données personnelles ;
- d'être en contact direct et régulier avec la CNIL ;
- et d'être conseillé en cas de contrôle de la CNIL.
En revanche, la désignation d’un CIL n’a pas pour effet d’exonérer le responsable du traitement de respecter les dispositions de la loi Informatique et Libertés.
Bien que la désignation d’un CIL soit facultative, les avantages que procure un tel partenaire pour l’entreprise ou l’administration, amenées à gérer des traitements nombreux et/ou complexes, ont conduit plus de 8 000 organismes français à désigner un CIL interne ou externe, depuis l’entrée en vigueur de la loi de 2004.
* * * * * * * * * * *
(1) Loi n°78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés modifiée (notamment article 22) et décret n° 2005-1309 du 20 octobre 2005 pris pour l'application de la loi de 1978 précitée (notamment articles 42 et 55).
(2) Articles 226-16 à 226-24 du Code pénal.
(3) Directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données.
(4) En application de la règle de confidentialité par exemple, l'avocat CIL ne peut dénoncer son client à la CNIL en cas de manquements à la loi relevés dans le cadre de sa mission de CIL et non corrigés par le responsable du traitement.
(5) Décision CNB du 28 mai 2009, J.O du 11 juin 2009, nouvel article 6.2.2 du Règlement Intérieur National.
Betty SFEZ - Avocat
Deleporte Wentz Avocat
www.dwavocat.com
Décembre 2011
Aucun commentaire:
Enregistrer un commentaire