LEGICOM 2009/1 N° 42

Couverture de LEGI_042

Article de revue

Correspondant informatique et libertés (CIL) et régulation

Pages 71 à 82

Notes

  • [1]
    Précurseur dès 1985 de la compression de données appliquée aux transmissions, Bruno Rasle est l’un des co-fondateurs de la société IPerformances. Il a ainsi participé à la création de la première entité française dédiée à l’optimisation des réseaux et à la gestion des performances en environnement IP. Il est à l’origine de l’introduction en France des premières solutions dites de « Qualité de Service ». Son initiative « Nettoyage de Printemps des DNS » afin d’améliorer le domaine.fr a reçu le soutien de l’AFNIC en 2000. Auteur du livre « Halte au Spam », édité chez Eyrolles, il est membre du groupe de contact anti-spam mis en place par la DDM (Direction du Développement des Médias, services du Premier ministre), pour lequel il a organisé un cycle de conférences. Il est également l’organisateur du premier séminaire français sur le sujet, le Spam Forum Paris, qui s’est déroulé en 2003 dans une salle mise à disposition par l’Assemblée nationale. Bruno Rasle est membre du conseil d’administration de l’AFCDP (Association Française des Correspondants à La Protection des Données à caractère Personnel) et responsable des offres de la société Arca, spécialisée dans la protection des données sensibles et stratégiques des entreprises.
  • [2]
    http://forums.foruminternet.org.
  • [3]
    http: //ec.europa.eu/public_opinion/flash/ fl_226_fr.pdf, La protection des données au sein de l’Union européenne, publié en février 2008.
  • [4]
    J.-M. Manach, « Informatique et libertés : les Français sont nuls », Internet Actu.net, juin 2008.
  • [5]
    Décret n° 2005-1309 du 20 octobre 2005 pris pour l’application de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, modifiée par la loi n° 2004-801 du 6 août 2004.
  • [6]
    Cf. « Rôle de l’administrateur réseau dans la cybersurveillance », http://www.brmavocats.com/fr.
  • [7]
    V. www.cnil.fr: il est possible de rechercher les entités ayant désigné un Correspondant par département et par secteur d’activité.
  • [8]
    www.clusif.asso.fr.
  • [9]
    www.afcdp.net.
  • [10]
    www.cnpd.lu/fr.
  • [11]
    www.cnil.fr/index.php ?id=1571.
  • [12]
    www.edoeb.admin.ch/index.html ?lang=fr.
  • [13]
    Responsable de la Sécurité des Systèmes d’Information.
  • [14]
    La loi suédoise va plus loin en précisant que cette saisine est obligatoire lorsque le responsable de traitement dûment informé ne prend pas les mesures nécessaires pour assurer la licéité des traitements mis en œuvre. L’obligation du détaché allemand de saisir l’autorité « en cas de doute » répond aux mêmes objectifs.
  • [15]
    www.isep.fr.
  • [16]
    L’autorité suédoise propose des programmes de formation complets aux « détachés », ainsi que du matériel pédagogique téléchargeable à partir de son site Internet. La loi luxembourgeoise met quant à elle à la charge du détaché une obligation de formation annuelle dont l’inobservation conduit au retrait de l’agrément.
  • [17]
    www.afcdp.net.
  • [18]
    Selon le dernier rapport annuel du Clusif (club de la sécurité de l’information français) sur la sécurité des systèmes d’information intitulé « Menaces informatiques et pratiques de sécurité en France », http://www.clusif.asso.fr.
  • [19]
    Conférence, Challenges Internationaux, Échanges et Conservation des Données : Enjeux de souveraineté, Collaboration technique européenne et internationale, Droits fondamentaux de la personne.
  • [20]
    www.privacyassociation.org.
  • [21]
    https: //www.gdd.de/international/francais.
  • [22]
    La Commission, après en avoir informé le Procureur de la République, peut charger ses agents habilités de se rendre entre 6 heures et 21 heures partout où est mis en œuvre un traitement de données à caractère personnel, afin de procéder à des vérifications ou d’obtenir des copies de tous documents ou supports d’information.
  • [23]
    www.signal-spam.fr.
  • [24]
    http://francenumerique2012.fr.

1 En matière de protection de données à caractère personnel, la loi, à elle seule, ne suffit pas. La fonction de Correspondant informatique et libertés, créée par le décret n° 2005-1309 du 20 octobre 2005, est un élément clé de régulation, par la pratique. Il convient de montrer l’intérêt de la formule et d’en distinguer les critères d’efficience, avant de se livrer à un délicat exercice de prospective.

I – LES RAISONS QUI ONT PRÉSIDÉ À LA CRÉATION DES CIL

A – Une loi Informatique, fichiers et libertés bien mal connue

2 Il est toujours curieux de relever dans les présentations commerciales ou les interventions à l’occasion de séminaires que les exemples de conformité évoquent systématiquement des lois étrangères telles que Sarbanes-Oxley et beaucoup plus rarement le cadre légal européen et national. Serions-nous le 51e État sans le savoir ?

3 Dans un sondage réalisé par IPSOS en octobre 2008 à la demande de la CNIL, 71 % des Français jugent la protection de la vie privée sur Internet insuffisante, 61 % perçoivent l’existence de fichiers comme une atteinte à la vie privée et 50 % d’entre eux ont des craintes concernant l’utilisation des fichiers. Leur inquiétude porte autant sur les fichiers d’État que sur les fichiers privés et se retrouve dans la consultation publique que mène la Commission et le Forum des droits sur l’Internet, consultation en ligne intitulée « Votre vie privée vous intéresse et vous n’êtes pas les seuls ! »  [2].

4 Dans le même temps, la France pointe bonne dernière à l’Eurobaromètre  [3]. Depuis 1991, la Commission européenne observe l’évolution des perceptions, des attitudes et des opinions des citoyens de l’Union européenne en matière de protection des données. Deux panels sont interrogés : d’une part plus de 4000 responsables Informatique et libertés, ou bien du système informatique, des ressources humaines, du marketing, et de l’autre 27000 citoyens.

5 Les résultats montrent clairement le chemin qu’il reste à parcourir : 68 % des répondants français disent ne pas avoir connaissance des dispositions de la loi Informatique, fichiers et libertés (contre 16 % en Espagne ou 22 % en Grande Bretagne)  [4]. Les citoyens français arrivent pourtant dans le trio de tête concernant l’existence de leur autorité nationale de protection des données personnelles. Se reposeraient-ils sur le fait que la CNIL existe pour se désintéresser de leurs droits, et faire confiance en cette autorité plutôt que dans la loi ?

6 La France est également en queue du peloton en ce qui concerne l’exercice des droits d’accès aux fichiers : en 2008, seul 15 % des responsables Français interrogés disent avoir répondu à de telles demandes. De même, seulement 17 % des responsables français de sites Internet mettent leur charte de protection de la vie privée à jour, ce qui la place en bien mauvaise position.

7 Pourtant la loi Informatique, fichiers et libertés existe depuis trente ans et a bénéficié d’un coup de projecteur à l’occasion de sa refonte en 2004. On voit donc bien qu’elle a besoin d’être expliquée, portée, défendue. Le CIL, ou Correspondant informatique et libertés, dans sa mission de diffusion d’une véritable culture informatique et libertés, est donc un acteur incontournable. Il participe véritablement à la régulation des pratiques.

B – « Comment ? Vous n’avez pas encore de Correspondant informatique et libertés ! »

8 Le 6 août 2004, à l’occasion de la transposition de la directive européenne 95/46/CE relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel, la France s’est dotée d’un dispositif qui dispense de l’obligation de déclaration auprès de la CNIL les responsables de traitements qui ont procédé à la désignation d’un « détaché à la protection des données à caractère personnel ». Cette personne est « chargée d’assurer, d’une manière indépendante, l’application interne des dispositions nationales » et « de tenir un registre des traitements […] garantissant de la sorte que les traitements ne sont pas susceptibles de porter atteinte aux droits et libertés des personnes concernées ». Issue largement d’une pratique allemande, cette mesure a été introduite dans le projet de loi sur l’initiative d’Alex Türk, sénateur du Nord (UMP) et Président de la CNIL.

9 Le Correspondant informatique et libertés a vocation à être un interlocuteur spécialisé en matière de protection de données à caractère personnel, tant pour le responsable des traitements, que dans les rapports de ce dernier avec la CNIL. Le Correspondant informatique et libertés occupe ainsi une place centrale dans le développement maîtrisé des nouvelles technologies de l’information et de la communication. Ce faisant, il assure la diffusion de la culture informatique et libertés.

10 Au-delà du simple allégement de formalités, le correspondant a un rôle primordial à jouer pour s’assurer que l’informatique se développera sans danger pour les droits des usagers, des clients et des salariés. C’est aussi pour les responsables des fichiers le moyen de se garantir de nombreux risques vis-à-vis de l’application du droit en vigueur.

11 Au sens strict de la nouvelle loi et de son décret d’application  [5] relatif au correspondant, les missions de ce dernier sont de tenir la liste des traitements et de veiller à l’application de la loi. Mais, d’autres missions peuvent être confiées au correspondant, comme la préparation des demandes d’autorisation, l’élaboration d’une politique de protection des données à caractère personnel (par exemple dans le cadre d’une charte ou d’un règlement intérieur), la sensibilisation du personnel aux dispositions de la loi, l’extension de la tenue de la liste aux traitements non dispensés ou encore le contrôle de l’application des règles prédéfinies.

12 On conçoit qu’un CIL se préoccupe également des dispositions de la LCEN (Loi pour la confiance dans l’économie numérique) – ne serait-ce que pour éviter que l’entité qui l’abrite ne soit accusée de spamming –, et du Code du travail, si son champ de compétences englobe la cybersurveillance. Une telle fonction aurait pu éviter la mésaventure survenue à deux administrateurs techniques d’une grande école parisienne, un responsable réseau et son responsable hiérarchique, condamnés par la cour d’appel de Paris en 2001 pour avoir diffusé le contenu d’un message intercepté à la suite d’une opération justifiée par des problèmes de sécurité  [6]. La cour d’appel a considéré que les prévenus ont agi « dans l’ignorance probable […] de leur véritable marge de manœuvre ». En de telles circonstances, un CIL aurait été de bon conseil.

13 On peut émettre la même hypothèse quant aux entreprises qui ont vu la CNIL rejeter leur demande de mise en œuvre de contrôle d’accès sur base de système à reconnaissance biométrique ? Dans tous les cas, il est sain d’impliquer le CIL le plus en amont possible des projets concernant des données à caractère personnel.

C – Le CIL : une faculté, pas une obligation…

14 Toutes les entités procédant au traitement automatisé de données à caractère personnel sont concernées quel que soit leur statut ou leur taille. Ainsi, dans le secteur public, les collectivités territoriales, les administrations de l’État, les établissements publics etc., peuvent faire le choix de désigner un correspondant. Il en va de même pour les PME, les PMI, les entreprises multinationales, les groupements, les associations, etc. du secteur privé.

15 Cette universalité procède de l’idée que la protection des données à caractère personnel n’est pas limitée à un secteur d’activité. Elle concerne de fait toutes les personnes qui sont conduites, dans le cadre de leurs activités, à collecter et travailler sur des informations se rapportant de près ou de loin aux personnes physiques. En revanche, la désignation d’un correspondant est un choix : elle est facultative et traduit l’engagement du responsable de traitement à respecter les dispositions légales.

16 Mais quelles sont les entités qui ont désigné un correspondant à ce jour ?

D – Une accélération du nombre de désignations

17 Un correspondant peut être désigné pour plusieurs entités d’une même entreprise. En octobre 2008, un millier de personnes exerçaient cette fonction  [7], pour le compte d’environ 4000 organismes, ce qui est peu et beaucoup à la fois.

18 Parmi les acteurs du secteur public, on peut citer les Chambres de Commerce de Paris et de Marseille, la Banque de France, la Poste, la CNP, EDF, le Centre hospitalier de Blois, le CHU de Brest, Handicap International, la Voix du Nord, la Communauté Urbaine de Dunkerque, les Conseils généraux du Var, du Val d’Oise, de la Seine-Maritime, la Mairie de Paris, et de nombreuses caisses primaires d’assurance-maladie. Des réseaux entiers ont également basculé, comme ceux des notaires et des huissiers.

19 On peut citer également les 3 Suisses, AG2R, Areva, Axa, Bayard Presse, Bull, le Crédit Immobilier de France, GAN, Legrand, Exxon-Mobil, France Telecom, General Electric, Gras-Savoye, Groupama ou encore Vediorbis. Dans les mois à venir, cette liste devrait s’enrichir d’autres grands noms, aussi bien dans les milieux banques/assurances que dans l’industrie, la vente à distance ou les services (dont les FAI).

20 Le dernier rapport annuel du Clusif (Club de la sécurité de l’information français) sur la sécurité des systèmes d’information intitulé Menaces informatiques et pratiques de sécurité en France[8], laisse entendre que 30 % des collectivités et 25 % des entreprises déclarent se préparer à la mise en place d’un Correspondant informatique et libertés. Ceci nous promet une explosion du nombre des CIL dans les mois à venir.

21 Les plus actifs d’entre eux sont regroupés au sein d’une association, l’AFCDP  [9] (Association Française des Correspondants à la protection des Données à caractère Personnel).

E – Un CIL, pour quoi faire ?

22 Au sens le plus strict, la fonction de correspondant exonère de l’obligation de déclaration préalable des traitements les plus courants. Une lecture superficielle de la loi pourrait laisser croire que l’unique portée de la désignation d’un correspondant serait de bénéficier de cet allégement des formalités déclaratives… ce qui représente une économie de quelques timbres !

23 Ce serait sous-estimer l’aide précieuse que le CIL apporte au responsable du traitement. C’est, pour ce dernier, le moyen de se garantir de nombreux risques vis-à-vis de l’application du droit en vigueur, d’autant que de lourdes sanctions sont encourues en cas de non-respect de ces obligations. Le correspondant a donc un rôle de conseil et de suivi dans la légalité de déploiement des projets informatiques et, plus largement, de la gestion de données à caractère personnel. Il propose les solutions permettant de concilier protection des libertés individuelles et intérêt légitime des professionnels.

24 Parmi ses missions, le CIL établit et tient à jour la liste des traitements (un registre qui reprend les éléments qui auraient dû figurer dans les déclarations adressées à la CNIL), liste qu’il doit mettre à disposition de toute personne qui en fait la demande (pour exercice du droit de consultation et de communication), sans que le demandeur ait à justifier de motif.

25 Il vérifie que les droits des personnes (accès, rectification, radiation, opposition, etc.) sont respectés. Il doit ainsi leur fournir une information suffisante sur les traitements mis en œuvre. Il peut contribuer également à l’élaboration de notes d’information, de fiches explicatives, de mesures diffusées sur l’intranet, d’actions de formation, etc. afin de diffuser une « culture Informatique et Libertés » au sein de l’entreprise et de sensibiliser les collaborateurs aux dispositions de la loi.

26 Le correspondant doit aussi veiller à ce que les données traitées ne soient utilisées qu’aux seules fins pour lesquelles elles sont collectées, et porter attention au respect des principes de loyauté, de transparence, de proportionnalité, etc. En l’absence de correspondant, ces tâches sont souvent négligées alors qu’elles sont essentielles au regard de la protection des droits des personnes.

27 Pour rendre compte de son action, le correspondant établit un bilan annuel de ses activités qu’il présente au responsable des traitements et qu’il tient à la disposition de la CNIL.

28 Le développement d’un réseau d’interlocuteurs privilégiés et motivés au sein même de l’entité, de même que la sensibilisation accrue des personnels des responsables de traitement permettent d’assurer une meilleure connaissance et compréhension de la législation applicable.

29 Par ailleurs, l’identification d’un interlocuteur unique permet d’assurer un meilleur traitement des plaintes et requêtes présentées par les personnes concernées par les traitements.

30 Il est important de noter que la désignation d’un CIL n’exonère en rien le responsable de traitement de ses responsabilités.

31 Cette fonction de « délégué à la protection des données à caractère personnel », prévue dans la directive 95/46/CE comme optionnelle a été transposée chez plusieurs de nos voisins. Voyons sous quelle forme.

F – Du Datenschutzbeauftragte au Functionaris Gegevensbescherming

32 L’option prévue par la directive Protection des données a également été retenue par d’autres États membres comme le Luxembourg, l’Allemagne, les Pays-Bas ou la Suède. On distingue cependant quelques différences par rapport à notre correspondant français à la protection des données : ainsi, le Datenschutzbeauftragte ou DSB allemand, dont la désignation est obligatoire pour tout organisme disposant de plus de quatre personnes qui procèdent à un traitement automatisé de données, constitue le maillon clé du système de protection des données en Allemagne. La fonction existe depuis 1977 pour le secteur privé et a été étendue au secteur public par une loi fédérale du 20 décembre 1990. Invité à l’occasion des 2e Assises du Correspondant Informatique & Libertés, organisées en février 2006 par l’AFCDP, le Dr Christoph Klug, directeur général de la GDD (Association allemande pour la protection et la sécurité des données), a d’ailleurs exprimé franchement sa surprise : « Mais comment avez-vous pu vivre jusqu’ici sans cette fonction ? »

33 Pour mener à bien sa mission, le DSB bénéficie d’une protection particulière. Il est libre de toute instruction dans l’exercice de ses compétences en matière de protection des données et il est tenu au secret sur l’identité des personnes concernées ; l’organisme auquel il appartient doit le soutenir dans l’accomplissement de sa mission et lui garantir l’accès nécessaire aux dossiers ; enfin, il est directement placé sous l’autorité du directeur de l’organisme et bénéficie d’une certaine protection en cas de licenciement.

34 Dans les autres États membres, il ne s’agit que d’une faculté permettant aux responsables de traitement de bénéficier de dérogations, plus ou moins larges, dans l’accomplissement des formalités préalables. Aux Pays-Bas, le nombre de correspondants (functionaris gegevensbescherming ou FG) est relativement faible, mais des « détachés » désignés par des syndicats professionnels touchent un nombre important d’organismes et de responsables de traitement.

35 Au Luxembourg, le chargé de la protection des données doit avoir été agréé par la Commission nationale. Le candidat doit justifier d’une formation universitaire accomplie en droit, économie, gestion d’entreprise, sciences de la nature ou informatique. Les avocats à la Cour, réviseurs d’entreprises, experts-comptables et médecins sont agréés sans autre condition. Le dispositif est entré en vigueur fin 2004 et la fonction a été confirmée par la loi du 27 juillet 2007  [10] : le chargé de la protection des données (article 40) peut désormais être un salarié de l’entreprise, de l’administration, de l’organisme. La personne désirant être agréée par la Commission nationale luxembourgeoise doit introduire une demande écrite comprenant les documents nécessaires pour justifier que la personne dispose des qualités requises. La Commission nationale se réserve le droit d’effectuer un contrôle continu de ces qualités.

36 Sur ce sujet, le site web de la CNIL publie une intéressante Étude de droit comparé sur les correspondants à la protection des données[11].

37 En Suisse, l’ordonnance LPD (loi fédérale sur la protection des données) précise le rôle et les tâches du « Conseiller indépendant à la protection des données »  [12]. Il s’agit, comme en France, d’une faculté qui délie le « maître du fichier » de son devoir de déclaration. La section 5 rappelle que le conseiller « ne doit pas exercer d’activités incompatibles avec ses tâches de conseiller à la protection des données et doit avoir les connaissances professionnelles nécessaires » et comporte des modalités similaires à celles qui régissent la fonction de CIL.

38 Dans tous ces pays, les échos sont tous positifs. Mais quelles sont les raisons pragmatiques qui poussent un responsable de traitement à désigner un correspondant ?

II – LES CRITÈRES D’EFFICIENC DE DÉSIGNATION DES CIL

A – Quinze bonnes raisons de désigner un CIL

39 Parmi les entreprises qui ont étudié la pertinence de la désignation d’un CIL, celles qui n’ont pas donné suite ont-elles pris cette décision par méconnaissance du rôle et de l’apport d’un correspondant ? Aurait-il fallu, au pays des niches fiscales, accompagner la mesure d’une incitation du type exonération partielle de charges, comme le fait remarquer maître Marc Birobent, avocat au Barreau de Paris ?

40 Outre le point principal que constitue la réduction des risques juridiques encourus par le responsable des traitements, il existe de nombreuses motivations qui poussent à la désignation d’un correspondant. Avant même la parution du décret d’application, l’AFCDP avait publié un document intitulé « Les 15 bonnes raisons de désigner un CIL ». Parmi celles-ci, on relève, entre autres, l’amélioration de l’image de marque de l’organisation et du climat social (par une saine gestion de la cybersurveillance), ou encore la mise en œuvre d’une approche qualité pour la gestion de l’information au sein de l’organisation (cartographie des traitements).

41 Le CIL contribue à améliorer la politique de sécurité informatique de l’organisation : en cela il est un allié objectif des RSSI  [13], du Risk Manager et des spécialistes de l’Intelligence économique.

42 La désignation d’un CIL contribue à réduire les coûts de gestion du client (exercice du droit d’accès, gestion des litiges, rationalisation des traitements, suppression des données obsolètes) et permet de développer la collaboration et les synergies entre services (juridique, informatique, marketing, etc.). Enfin, pour les entreprises globales, la désignation d’un CIL s’impose face au Chief Privacy Officer influent des groupes multinationaux.

43 Autant d’arguments à disposition du professionnel de la protection des données qui demande à sa direction de faire évoluer son poste vers le statut de correspondant.

44 En outre, la désignation d’un Correspondant informatique et libertés permet à une organisation de bénéficier d’une relation privilégiée avec la CNIL, qui a mis en place un service entièrement consacré aux correspondants et placé sous la responsabilité de Madame Inès Rogic. Son objectif : faire bénéficier les CIL des conseils, de l’information et de l’orientation qui leur sont nécessaires pour développer leur action. Ceci signifie qu’ils font l’objet d’un traitement prioritaire.

45 Cette structure organise des rencontres régulières réservées aux CIL désignés, pour évoquer les problématiques en cours et faire des « détachés » un relais de la doctrine. C’est aussi l’occasion de mettre un visage sur un nom, sans compter les échanges entre correspondants qui rencontrent les mêmes problématiques. Ces liens leur assurent une bonne information sur l’application de la législation relative à la protection des données sans laquelle ils ne pourraient accomplir leurs missions correctement : soutenus dans leur action par les autorités, ils se sentent mieux armés pour défendre des positions parfois impopulaires auprès de la direction de leur organisation ou pour imposer le respect de règles encore perçues comme contraignantes par les informaticiens.

46 C’est dans ce même esprit que l’AFCDP tient régulièrement des manifestations telles que les Assises et les Universités des Correspondants informatique et libertés.

B – Une priorité pour le CIL : compléter sa formation

47 Les missions du correspondant le conduisent à endosser plusieurs rôles :

48

  • de conseil auprès du responsable de traitement auquel il adresse des recommandations ;
  • pédagogique auprès des employés du responsable de traitement ;
  • d’alerte sur les traitements pouvant contrevenir à l’application de la législation et pouvant se traduire jusqu’à une saisine de la CNIL (une fois seulement que toutes les autres voies ont été exploitées)  [14] ;
  • de médiation lorsqu’il reçoit les plaintes des personnes concernées ou pour l’exercice du droit d’accès et des droits de suite) ;
  • d’audit.

49 Clarifions immédiatement un point : il n’existe pas de « profil » idéal du candidat CIL. Les correspondants actuels viennent d’horizons très divers (informatique, juridique, qualité, contrôle interne, audit, etc.) et « apprennent à marcher en marchant ». L’une des priorités d’un nouveau correspondant est donc de compléter son bagage.

50 Les compétences et qualifications du CIL doivent porter tant sur la législation relative à la protection des données à caractère personnel (Informatique et Libertés, LCEN, Code du travail, etc.) que sur l’informatique et les standards technologiques (cybersurveillance, géolocalisation, biométrie, chiffrement, etc.), sans oublier le domaine d’activité propre du responsable des traitements. Le correspondant doit également avoir connaissance des législations particulières au secteur d’activité concerné (commerce électronique, marketing direct, santé…), et des règles spécifiques au traitement de certaines données (données couvertes par exemple par le secret médical ou le secret bancaire). Le candidat doit aussi avoir ou acquérir des compétences en conseil et management pour pouvoir assurer pleinement son rôle d’information et d’audit.

51 Une qualité est souvent oubliée, celle de communiquant, car il faut garder l’essentiel à l’esprit : le facteur organisationnel et humain. Afin de diffuser une culture de protection des données, le CIL doit savoir écouter, sensibiliser, et favoriser les remontées d’informations : le correspondant sera aussi amené dans l’exercice de ses fonctions à permettre un dialogue entre le responsable du traitement, les personnes faisant l’objet du traitement, et la CNIL.

52 La loi prévoit que le correspondant est « une personne bénéficiant des qualifications requises pour exercer ses missions ». Aucun agrément n’est actuellement demandé, aucune exigence de diplôme n’est fixée. Le choix du profil est laissé pour le moment à la seule appréciation du responsable des traitements. Pour combien de temps ?

53 Une fois le correspondant doté des connaissances nécessaires, encore faut-il lui donner les moyens de mener à bien ses missions. Voyons maintenant quels sont les critères d’efficacité, voire d’efficience, qui fondent le succès de la démarche.

C – Pour un CIL efficace

54 Avec le recul, on identifie clairement les leviers qui renforcent l’efficacité d’un correspondant :

55

  • Une bonne désignation : la récente faculté offert par la CNIL de désigner un CIL en ligne peut faire croire que la désignation d’un correspondant se résume à quelques clics. Il n’en est rien, ou plutôt il convient de préparer avec soin une telle décision et de jeter les fondements d’une organisation efficiente, ne serait-ce que pour éviter le syndrome du « Ah ! Si j’avais su… » et les CIL désignés pour de mauvaises raisons ou « à l’insu de leur plein gré ». C’est durant cette phase de préparation qu’il faudra répondre à des questions telles que : à quelle direction opérationnelle le rattacher ? Sur quel périmètre le désigner ? Comment le préparer ? Comment le former ? Comment faciliter sa tâche ? Quelles sont les différentes étapes de la désignation d’un CIL ? Faut-il modifier le contrat de travail de la personne désignée ? Quelle sera la charge du CIL ? Quel budget allouer à ses missions ?
  • Un rattachement recommandé au Responsable du traitement ou a minima à une personne faisant partie de l’Équipe de direction : la position hiérarchique du CIL, caractérisée par la possibilité de communiquer directement avec la direction de l’organisme, l’interdiction pour le responsable de traitement d’interférer dans l’accomplissement des missions du CIL et l’absence de conflit d’intérêt avec les fonctions exercées en même temps sont de nature à apporter les garanties de l’indépendance du correspondant.
  • Une certaine « mise en scène » de la désignation : une telle décision est un geste fort, aussi bien en interne (auprès des cadres dirigeants et de l’ensemble des collaborateurs) que vers l’extérieur. Le concours de tous étant indispensable, la désignation du CIL doit donc être empreinte d’une certaine solennité, pour sensibiliser les personnes qui doivent l’être et donner au correspondant toute chance de réussite. Au sein d’un secteur concurrentiel, l’annonce de la désignation d’un correspondant concourt à la différentiation. En cela, le CIL peut réellement figurer parmi les leviers contributifs au développement de l’activité.
  • Une réelle affectation de moyens : une obligation générale de fournir les moyens nécessaires à l’accomplissement de ses missions incombe au responsable de traitement. La loi fédérale allemande précise ainsi qu’il doit être soutenu dans son action par le responsable de traitement et se voir doté, dans la mesure où cela s’avère nécessaire à l’accomplissement de ses fonctions, des moyens humains ainsi que de locaux, matériels et appareils et autres équipements indispensables. Le bilan annuel du correspondant est à cet égard un levier important : certains CIL l’ont bien compris et en synchronisent la publication avec la préparation des budgets…

56 Ce soutien peut prendre diverses formes :

57 Celle de formation (et de complément de formation) pour la personne désignée. On signalera à ce sujet le Mastère Spécialisé « Protection et Management de Données à caractère personnel », dispensé par l’ISEP  [15], seule formation diplômante à la profession. Ce Mastère est habilité par la Conférence des grandes écoles et s’adresse à des diplômés BAC + 5, de grandes écoles de commerce et d’ingénieurs, de formation juridique ou à des ingénieurs en TIC, juristes et autres managers dans le cadre de la formation continue. L’accent est mis sur le caractère professionnel et pratique de l’exercice du métier. L’enseignement s’articule autour de quatre modules : fondamentaux techniques, fondamentaux juridiques, pratique du métier de Correspondant et spécificités sectorielle. Des projets transversaux viennent compléter la formation théorique : exercice généralisé du droit d’accès, évaluation du risque et tenue du registre, préparation à un contrôle de la CNIL, préparation d’un dossier de demande d’autorisation, etc. On voit donc qu’à moins de trouver la perle rare, un effort certain doit être consenti en formation  [16] ;

58 En permettant au CIL de mener sa veille, par adhésion à l’Association Française des Correspondants  [17], lieu d’échanges et de rencontres très fructueuses ;

59 En lui apportant de l’aide (stagiaire, prestataires externes), notamment durant la première phase de mise en conformité (inventaire des traitements, vérification de l’ensemble des paramètres, actions de sensibilisation des collaborateurs clés, etc.) ;

60 En veillant à ce qu’il soit impliqué, consulté en amont de tout projet pouvant impliquer des données à caractère personnel ;

61 La CNIL participe également de ce soutien : La Commission envisage plusieurs actions afin de conforter les correspondants désignés, comme une réunion à laquelle ils seraient conviés aux côtés de leur responsable de traitement respectif, ne serait-ce que pour rappeler que la désignation d’un CIL n’est pas « la fin de l’histoire », mais bien le début.

62

  • La construction d’un réseau et la recherche de synergies constructives : pour être un réel facteur de régulation par la pratique, le CIL ne peut agir seul. Il est tenu à établir et entretenir des contacts étroits avec la direction informatique, la direction juridique, celle des ressources humaines, le contrôle interne, la qualité, l’équipe marketing, mais aussi la gestion des risques, le département Intelligence économique ou encore les achats (pour mettre en place une procédure permettant de vérifier la présence des mentions souhaitables dans les contrats, ou de détecter d’éventuelles commandes portant sur des dispositifs biométriques). Ce sont ces synergies très opérationnelles qui font au quotidien que la loi Informatique, fichiers et libertés est appliquée au sein des entités ayant désigné un correspondant.

III – PROSPECTIVE

A – Le pari d’Alex Türk est réussi

63 D’expérimentale lors des discussions de 2004, la « fonction facultative » du Correspondant informatique et libertés a gagné ses galons, les chiffres le prouvent. Plus important, un grand nombre de grandes sociétés ont adhéré au système ou s’y préparent.

64 La fonction, en dépit de l’engagement moral (ou plutôt grâce à lui) qu’elle représente, est plébiscitée tant par les autorités de contrôle que par les responsables de traitement. Les premières y trouvent un interlocuteur privilégié, motivé et particulièrement réceptif à leurs recommandations. Les seconds y voient l’occasion de montrer leur implication dans un secteur sensible et porteur en termes d’image.

65 Pour l’essentiel, les débats concernant la responsabilité, l’indépendance et le « profil idéal » du CIL sont derrière nous. Les questionnements se focalisent désormais sur l’opérationnel : par quoi commencer ? Avec quelles méthodes, quels outils, quels partenaires ? Le programme des universités organisées par l’AFCDP est révélateur de ces sujets très concrets.

66 Au moment où 30 % des entreprises françaises admettent ne pas être en conformité avec la loi Informatique et libertés  [18], le CIL est donc plus que jamais indispensable.

B – Le CIL sera-t-il obligatoire demain ?

67 Pour certains, la fonction de CIL doit, à terme, se transformer en véritable métier. C’est le projet qui anime l’AFCDP, pariant sur une professionnalisation de la fonction et qui ambitionne de devenir l’organisme représentatif de cette nouvelle profession. Le succès de ce système aux Pays-Bas a poussé les « détachés » à créer leur propre syndicat professionnel, établissant les standards que ses membres sont tenus d’appliquer dans leurs organisations. Il en est de même en Allemagne.

68 Le correspondant, s’il est d’ores et déjà un personnage clé dans le paysage de la protection des données personnelles, est amené à prendre de l’importance. De plus, que la fonction reste facultative ou qu’elle devienne obligatoire comme c’est le cas en Allemagne, la désignation d’un CIL va immanquablement être perçue comme un label de qualité et de bonnes pratiques.

69 Lors d’une conférence  [19] qui s’est tenue les 10 et 11 octobre 2008 à l’Institut d’Études Politiques de Paris, le Docteur Niraj Nathwani, de l’Agence européenne des droits fondamentaux, a annoncé que son organisme allait mener une étude en 2009 sur l’effectivité du système de protection des données personnelles créé par la directive 95/46/CE. Cette étude étudiera notamment la question de la désignation des délégués à la protection des données personnelles dans les États membres. Mais il y a loin de la coupe aux lèvres. Une éventuelle refonte de la directive prendra plusieurs années. À plus court terme, quel futur peut-on envisager pour le CIL ?

70 On note tout d’abord les prémisses de la création d’un marché du travail sur cette nouvelle fonction : les CIL actuellement désignés sont cooptés dans une écrasante majorité, mais on commence à signaler quelques offres de postes.

71 Un constat devrait s’imposer rapidement : dans les grandes entreprises, la fonction de correspondant devrait être dédiée, comme l’imposent sa charge de travail et l’importance de ses missions. Le nombre d’intervenants qui tentent de sauvegarder 10 à 20 % de leur temps de travail pour cette facette de leurs activités devrait diminuer. Les CIL désignés sont unanimes à ce sujet, et leur bilan annuel en fait l’écho. Doit être évitée également l’apparition de correspondants plus tactiques que stratégiques : ils ont peu de chance de se faire entendre du responsable des traitements.

72 Par la suite, on devrait noter un passage à une phase plus « qualitative » : la CNIL pose régulièrement quelques jalons à ce sujet quand sont évoquées les nécessaires connaissances et compétences des CIL. Cette valorisation de la fonction pourrait amener la création de fait d’un correspondant « 2.0 », anticipant une nécessaire certification ou un passage devant un jury.

73 Aux USA, l’IAPP  [20] (International Association of Privacy Professionnal) focalise ses efforts sur son programme de certification et note, de façon très pragmatique, que les personnes certifiées gagnent en moyenne 12 % de plus que les personnes qui ne le sont pas. On remarque que le cadre légal européen fait partie du cursus. Une fois l’accréditation décrochée, les personnes certifiées doivent obtenir un minimum de dix heures de crédit en formation continue annuelle (CPE, pour continuing privacy education) afin de sauvegarder leur statut. Somme toute, il s’agit d’un dispositif très similaire à celui en place chez nos voisins Allemands depuis longtemps. Le site web de la GDD  [21] (Association allemande pour la protection des données), fondée en 1976, présente également son programme de zertifizierung et propose plusieurs pages en français.

74 En France, la CNIL n’a pas vocation à se transformer en centre de formation, mais elle encourage les initiatives en ce sens, pour preuve son soutien au Mastère spécialisé de l’ISEP.

75 À long terme, le CIL va-t-il devenir obligatoire, comme il l’est en Allemagne depuis plus de trente ans ? Il est vrai que le volontariat présente bien des avantages, dont celui de donner l’occasion à certaines entités de se démarquer. Dans l’attente de cette éventuelle révolution, le correspondant pourrait commencer à devenir obligatoire de fait, notamment dans les secteurs manipulant des données sensibles et dans les activités fortement concurrentielles. Ainsi on observe un indéniable « effet domino » chez les assureurs et on peut parier à terme sur la conversion des banques, qui restent pour le moment sur l’expectative.

76 La présence d’un CIL ne vaut pas résultats assurés, de même qu’une absence de désignation ne veut pas dire que l’entité n’a pas déployé tous les efforts nécessaires pour être en conformité. Mais sans avoir valeur de label, la désignation d’un correspondant rassure le consommateur, l’usager, le collaborateur ou le citoyen : un élément à ne pas négliger quand il s’agit d’instaurer la confiance. Il ne faudrait pas paraître en retard par rapport à ses confrères et compétiteurs.

C – Le CIL est un facteur clé de régulation

77 Des leviers peuvent également accroître, s’il en était besoin, l’intérêt de la nomination d’un correspondant.

78 Le premier est la montée en puissance du « 4e C » cher au président de la CNIL : aux côtés de la Confiance, du Correspondant et de la Communication, la Coercition est malheureusement l’un des piliers pour l’application de la loi. L’aspect pédagogique lié au contrôle  [22], associé aux risques de perte d’image en cas de sanction, est un aiguillon qui gagne en puissance, sans toutefois approcher le zèle de l’autorité de contrôle espagnole qui inflige annuellement plus de vingt millions d’euros de pénalités financières.

79 Le second est la prise de conscience des citoyens de leurs droits concernant leurs données personnelles qui devrait accroître la pression sur les responsables de traitement dans les années à venir, comme l’éventuelle adaptation du système dit class action (ou recours collectif, action judiciaire entreprise par un grand nombre de personnes qui ont toutes subi le même préjudice) dans le droit français et l’ouverture effective de l’organisme Signal Spam  [23]. En septembre 2008, dans le cadre de son partenariat avec cette association, la CNIL a lancé une série de contrôles auprès d’entreprises françaises dont les courriers électroniques de prospection ont été signalés par les internautes comme pourriels. Dans son communiqué, la commission indique que certaines entreprises identifiées ont fait l’objet d’un rappel à la loi et sont placées « sous surveillance » par la CNIL qui contrôlera de très près leurs futures opérations de prospection.

80 On peut enfin regretter que les citoyens n’usent pas d’avantage de leur droit d’accès : ce simple levier permettrait aux responsables de traitement de prendre le sujet « Informatique et libertés » avec le sérieux indispensable.

81 Compte tenu qu’il faut plusieurs exercices pour mettre en conformité une grande entreprise, celles qui ont désigné un correspondant ont déjà une longueur d’avance par rapport à leurs concurrents. Les entités qui ont manqué le premier wagon doivent désormais prendre action. C’est le message que porte le récent rapport Besson « France numérique 2012 – Plan de développement de l’économie numérique  [24] », dans son action n° 80 qui invite la CNIL à mettre en place une campagne de sensibilisation Informatique et libertés à destination des entreprises, des administrations et des collectivités locales, pour en particulier leur faire comprendre l’intérêt de se doter de Correspondants informatique et libertés.

82 La fonction de correspondant doit être tirée vers le haut. Certains, comme maître Alain Bensoussan, voient le CIL du futur comme un véritable Commissaire aux données, par analogie avec les commissaires aux comptes. De toute façon, il faut avoir de l’ambition pour ce nouveau métier, passionnant, qui se fonde sur la primauté de la personne comme le dit l’article premier de la loi Informatique, fichiers et libertés : « L’informatique doit être au service de chaque citoyen […] Elle ne doit porter atteinte ni à l’identité humaine, ni aux droits de l’homme, ni à la vie privée, ni aux libertés individuelles ou publiques. »

83 B. R.


Date de mise en ligne : 21/03/2014

https://doi.org/10.3917/legi.042.0071

Notes

  • [1]
    Précurseur dès 1985 de la compression de données appliquée aux transmissions, Bruno Rasle est l’un des co-fondateurs de la société IPerformances. Il a ainsi participé à la création de la première entité française dédiée à l’optimisation des réseaux et à la gestion des performances en environnement IP. Il est à l’origine de l’introduction en France des premières solutions dites de « Qualité de Service ». Son initiative « Nettoyage de Printemps des DNS » afin d’améliorer le domaine.fr a reçu le soutien de l’AFNIC en 2000. Auteur du livre « Halte au Spam », édité chez Eyrolles, il est membre du groupe de contact anti-spam mis en place par la DDM (Direction du Développement des Médias, services du Premier ministre), pour lequel il a organisé un cycle de conférences. Il est également l’organisateur du premier séminaire français sur le sujet, le Spam Forum Paris, qui s’est déroulé en 2003 dans une salle mise à disposition par l’Assemblée nationale. Bruno Rasle est membre du conseil d’administration de l’AFCDP (Association Française des Correspondants à La Protection des Données à caractère Personnel) et responsable des offres de la société Arca, spécialisée dans la protection des données sensibles et stratégiques des entreprises.
  • [2]
    http://forums.foruminternet.org.
  • [3]
    http: //ec.europa.eu/public_opinion/flash/ fl_226_fr.pdf, La protection des données au sein de l’Union européenne, publié en février 2008.
  • [4]
    J.-M. Manach, « Informatique et libertés : les Français sont nuls », Internet Actu.net, juin 2008.
  • [5]
    Décret n° 2005-1309 du 20 octobre 2005 pris pour l’application de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, modifiée par la loi n° 2004-801 du 6 août 2004.
  • [6]
    Cf. « Rôle de l’administrateur réseau dans la cybersurveillance », http://www.brmavocats.com/fr.
  • [7]
    V. www.cnil.fr: il est possible de rechercher les entités ayant désigné un Correspondant par département et par secteur d’activité.
  • [8]
    www.clusif.asso.fr.
  • [9]
    www.afcdp.net.
  • [10]
    www.cnpd.lu/fr.
  • [11]
    www.cnil.fr/index.php ?id=1571.
  • [12]
    www.edoeb.admin.ch/index.html ?lang=fr.
  • [13]
    Responsable de la Sécurité des Systèmes d’Information.
  • [14]
    La loi suédoise va plus loin en précisant que cette saisine est obligatoire lorsque le responsable de traitement dûment informé ne prend pas les mesures nécessaires pour assurer la licéité des traitements mis en œuvre. L’obligation du détaché allemand de saisir l’autorité « en cas de doute » répond aux mêmes objectifs.
  • [15]
    www.isep.fr.
  • [16]
    L’autorité suédoise propose des programmes de formation complets aux « détachés », ainsi que du matériel pédagogique téléchargeable à partir de son site Internet. La loi luxembourgeoise met quant à elle à la charge du détaché une obligation de formation annuelle dont l’inobservation conduit au retrait de l’agrément.
  • [17]
    www.afcdp.net.
  • [18]
    Selon le dernier rapport annuel du Clusif (club de la sécurité de l’information français) sur la sécurité des systèmes d’information intitulé « Menaces informatiques et pratiques de sécurité en France », http://www.clusif.asso.fr.
  • [19]
    Conférence, Challenges Internationaux, Échanges et Conservation des Données : Enjeux de souveraineté, Collaboration technique européenne et internationale, Droits fondamentaux de la personne.
  • [20]
    www.privacyassociation.org.
  • [21]
    https: //www.gdd.de/international/francais.
  • [22]
    La Commission, après en avoir informé le Procureur de la République, peut charger ses agents habilités de se rendre entre 6 heures et 21 heures partout où est mis en œuvre un traitement de données à caractère personnel, afin de procéder à des vérifications ou d’obtenir des copies de tous documents ou supports d’information.
  • [23]
    www.signal-spam.fr.
  • [24]
    http://francenumerique2012.fr.

Domaines

Sciences Humaines et Sociales

Sciences, techniques et médecine

Droit et Administration

bb.footer.alt.logo.cairn

Cairn.info, plateforme de référence pour les publications scientifiques francophones, vise à favoriser la découverte d’une recherche de qualité tout en cultivant l’indépendance et la diversité des acteurs de l’écosystème du savoir.

Retrouvez Cairn.info sur

Avec le soutien de

18.97.14.80

Accès institutions

Rechercher

Toutes les institutions