01 56 43 68 80

6, rue de Saint-Petersbourg, 75008 Paris

Le correspondant informatique et liberté (CIL)

Logo HAAS 2022

Une nouvelle institution a été créée par la loi du 6 janvier 1978 modifiée  : le correspondant à la protection des données. La CNIL l’appelle  « Correspondant Informatique et Libertés » ou CIL.

Le décret d’application récemment adopté, permet aujourd’hui de mesurer la portée de ce nouveau dispositif. Pour éviter la lourdeur des obligations déclaratives, même simplifiées, il est désormais possible, de manière facultative, de désigner un  CIL qui sera un interlocuteur spécialisé pour le responsable du traitement. Cette possibilité existe déjà dans plusieurs pays européens.
L’objectif de cette désignation est de fournir au responsable du traitement un interlocuteur compétent afin de le conseiller dans ses choix, souvent difficiles. La désignation d’un CIL, si elle réduit le risque juridique, n’emporte pas cependant exonération de responsabilité civile et pénale pour le responsable du traitement . Cette disposition ne devrait concerner que les très grandes entreprises même si les textes ne l’indiquent pas expressément.
Cette désignation vaut dispense de déclaration pour les traitements les plus courants. Désormais, les entreprises qui auront procédé à cette désignation, seront dispensées de formalités de déclaration pour les fichiers « peu sensibles ». En revanche, pour les traitements dits «sensibles», elles devront toujours obtenir une autorisation de la CNIL. Il en sera de même pour les transferts de données à caractère personnel à destination d’un Etat non membre de la Communauté européenne.

Le CIL est définit comme la personne « chargée d’assurer, d’une manière indépendante, le respect des obligations prévues dans la présente loi  ». Par ailleurs, « le correspondant est une personne bénéficiant des qualifications requises pour exercer ses missions ». Le CIL devra être une personne bénéficiant de qualifications spéciales lui permettant de mener à bien sa mission. Le CIL est tenu de s’assurer que le responsable des traitements veille au  respect du droit des personnes (droits d’accès, de rectification, d’opposition…) en leur assurant une information suffisante sur les traitements mis en œuvre. Il veillera ainsi au respect de la vie privée, à la sécurité et à la confidentialité des données traitées. Le CIL  devra exercer sa mission en toute indépendance, et ne pourra recevoir aucune instruction du responsable du traitement ou de son entreprise. En cas de manquement, le CIL sera déchargé de ses fonctions sur demande, ou après consultation de la CNIL.
Comme nous l’avons indiqué, cette fonction ne devrait concerner que les grandes entreprises car le coût financier de cette désignation est un luxe de trop pour les petites entreprises. Pour ces dernières, la CNIL a déjà fait d’importants efforts en ce qui concerne les déclarations simplifiées.

La fonction de CIL  pose trois questions pratiques et le texte du décret nous permet de mieux y répondre :
Quel est le statut du correspondant à la protection des données?
Quelle est sa mission ?
Quelle est sa responsabilité ? 

                                                     
1. Statut du CIL


La nouvelle loi n’était pas très explicite en ce qui concernait la désignation de la personne. En effet, elle n’indiquait pas s’il s’agissait d’une personne physique ou morale. Par ailleurs, cette personne serait-elle extérieure à l’entreprise ou serait-elle choisie parmi les salariés ? Dans les deux cas, il faudra préciser son degré d’indépendance et sa protection, notamment en raison de l’existence éventuelle d’un lien de subordination.

La CNIL , pour sa part, nous donne quelques éléments de réponses. Elle nous indique que cette personne « peut être un employé ou une personne externe (comme par exemple un salarié du groupe, un consultant, un expert comptable, un avocat…) ».
Le décret, nous donne désormais quelques précisions. La désignation d’une personne morale est possible , il faudra cependant que cette dernière désigne un préposé, personne physique la représentant. Selon le décret, dans son article 42, le responsable du traitement désigne le CIL et notifie cette désignation à la CNIL par lettre recommandée avec demande d’avis de réception, par remise au secrétariat de la commission contre reçu ou encore par voie électronique. Cette notification (à laquelle sera annexé l’accord écrit du CIL) comportera des mentions obligatoires. Doivent en effet figurer les noms, prénoms, professions et coordonnées professionnelles du responsable des traitements, éventuellement de son représentant et, bien entendu, du CIL. Quand il s’agit de personnes morales, il faudra indiquer dans la notification, leur forme, leur dénomination, leur siège social  ainsi que l’organe qui les représente légalement.

Il faut également préciser la nature des liens juridiques unissant le CIL et la personne ou l’organisme représenté.
 La désignation du CIL prend effet un mois après la date de réception de la notification par la CNIL. Toutes modifications substantielles de ces informations doivent être portées à la connaissance de la CNIL. Des dispositions particulières en matière de désignation sont également prévues lorsque plus de cinquante personnes sont chargées de la mise en œuvre du traitement .
Par ailleurs, la désignation du CIL doit être portée, par le responsable du traitement,  à la connaissance des instances représentatives du personnel, préalablement à la notification à la CNIL.

2. La mission du CIL


Il doit avoir les qualifications requises pour exercer sa fonction que  le texte de loi ne précise pas. Le décret apporte quelques éclaircissements.
Ces qualifications  sont donc à déduire des missions imparties au CIL. Il est désigné par le responsable juridique du traitement. Le CIL exerce sa mission directement auprès de ce dernier mais ne reçoit « aucune instruction pour l’exercice de sa mission ».
Le responsable du traitement  a une entière liberté pour le choisir et pour le nommer, sous réserve, bien sûr, qu’il ait les qualités et capacités requises. Le décret précise que « les fonctions exercées concurremment par le CIL ne doivent pas être susceptibles de provoquer un conflit d’intérêt avec l’exercice de sa mission  ». Il s’agit ici de garantir son indépendance ; le responsable du traitement ne pourra jamais être désigné comme CIL.
En revanche,  le CIL doit apporter une aide précieuse au responsable du traitement. « Il a un rôle de conseil et suivi dans la légalité de déploiement des projets informatiques et, plus largement, de la gestion des données à caractère personnel  ». Il est chargé d’assurer le respect des obligations prévues par la loi Informatique et Libertés. Il tient un registre qui liste les traitements effectués, et immédiatement accessible à toute personne en faisant la demande.
La mission du CIL consiste, en pratique, d’une part, à  tenir la liste des traitements mis en œuvre dans son entreprise et, d’autre part, d’assurer, d’une manière indépendante, le respect des obligations prévues par la loi du 6 janvier 1978 modifiée.   Le décret indique que le responsable du traitement doit fournir au CIL « tous les éléments lui permettant d’établir et d’actualiser régulièrement une liste des traitements automatisés mis en œuvre » au sein de l’entreprise .

Si l’on récapitule les différentes missions du CIL :

 Il doit, dans le trois mois suivant sa désignation,  dresser la liste des traitements automatisés . (L’entreprise étant dispensée de cette obligation du fait de la désignation du CIL)
 Il doit tenir cette liste actualisée, à la disposition des personnes en faisant la demande (une copie peut être délivrée à l’intéressé contre paiement d’une somme modeste )
 Il peut faire toute recommandation  au responsable des traitements.
 Il reçoit les demandes et les réclamations des personnes concernées par les données à caractère personnel figurant sur les traitements automatisés
 Il est consulté préalablement à leur mise en œuvre sur tous les nouveaux traitements automatisés envisagés
 En cas de manquements constatés par ses soins, il doit informer le responsable du traitement préalablement à la saisine de la CNIL
 Il doit, par ailleurs, établir un bilan annuel de ses activités, qu’il présente au responsable des traitements et qu’il tient à la disposition de la CNIL  
           

3. La responsabilité du CIL

Il ne peut faire l’objet d’aucune sanction de la part de l’employeur du fait de l’accomplissement de ses missions. En revanche, en cas de défaillance ou de manquement constaté à ses obligations, le correspondant pourra être déchargé de ses fonctions.

Le décret précise que la CNIL devra être informée de toute modification affectant la désignation du CIL. La CNIL peut être saisie  à tout moment par le CIL, ou par le responsable des traitements, de toute difficulté rencontrée à l’occasion de l’exercice des missions du CIL. L’auteur de la saisine doit justifier qu’il en a préalablement informé, selon le cas, le CIL ou le responsable des traitements. La CNIL peut solliciter leurs observations respectives. Si la CNIL observe que le CIL manque aux devoirs de sa mission, elle demande au responsable des traitements de le décharger de sa mission. Le CIL peut également démissionner de ses fonctions. Il doit alors motiver sa décision auprès de la CNIL. Le responsable du traitement, dans le cas de décharge ou de démission,  est alors enjoint de procéder aux déclarations.

Il est regrettable que le décret n’ait pas prévu les modalités assurantielles pour garantir la mission du CIL. Nous espérons que la CNIL donnera quelques indications utiles sur cette question délicate.

L’institution des CIL peut désormais fonctionner. Le décret apporte de vrais éclaircissements.
On peut regretter cependant le manque de précisions sur la notion de « conflit d’intérêt ». Dans le cas où le CIL est lié à l’employeur par le lien de subordination du contrat de travail. Quelle est sa réelle liberté ? Ne risque-t-il pas des sanctions disciplinaires ? La CNIL pourra-t-elle protéger ces salariés ? Que se passera-t-il en cas de licenciement disciplinaire ? Auront-ils le statut de « salariés protégés » au sens du droit du travail ? On relève également le silence des textes à propos des modalités assurantielles couvrant l’activité des CIL.
Cependant, la désignation, au sein d’une organisation, d’un CIL sur lequel la CNIL peut s’appuyer, vaut désormais dispense de toute formalité déclarative. Cette mesure est donc effective grâce à l’adoption d’un décret d’application. Ces dispositions permettront en outre de limiter les risques de sanctions.
Pour être valable, le CIL devra pouvoir jouir d’une parfaite indépendance statutaire, intellectuelle et technique. Les entreprises sont-elles prêtes à cela ? Nous l’espérons vivement car cette institution sera sans doute, pour citer la CNIL, le meilleur vecteur de diffusion de la culture informatique et libertés.

_______________________________________

[1] Loi n° 78-17 du 6 janvier 1978 relative à l’informatique eux fichiers et aux libertés, modifiée par la loi n° 2004-801 du 6 août 2004

[2] Décret n° 2005-1309 du 20 octobre 2005 J.O. n° 247 du 22 octobre 2005 p. 16769 texte n° 31

[3] Allemagne, Pays-Bas, Suéde, Luxembourg

[4] www.cnil.fr Le correspondant : un vecteur de diffusion de la culture informatique et libertés, rubrique approfondir, 19 septembre 2005

[5] article 22 à 24 de la loi n° 78-17 du 6 janvier 1978 modifiée

[6] www.cnil.fr Le correspondant informatique et libertés, Questions/réponses, rubrique approfondir 7 septembre 2005

[7] article 43 du décret n° 2005-1309 du 20 octobre 2005

[8] article 43 du décret n° 2005-1309 du 20 octobre 2005

[9] article 44 du décret n° 2005-1309 du 20 octobre 2005. seul peut être désigné un CIL exclusivement attaché au service de la personne, de l’autorité publique ou de l’organisme. Cependant, les fonctions du CIL pourront être exercées  par dérogation par un salarié d’une autre société du groupe, d’un GIE ou encore d’un organisme professionnel auquel appartient le responsable du traitement.

[10] article 45 du décret n° 2005-1309 du 20 octobre 2005, par lettre recommandée avec demande d’avis de reception.

[11] article 46 du décret n° 2005-1309 du 20 octobre 2005

[12] www.cnil.fr Le correspondant informatique et libertés, Questions/réponses rubrique approfondir, 7 septembre 2005

[13] article 47 du décret n° 2005-1309 du 20 octobre 2005

[14] article 48 du décret n° 2005-1309 du 20 octobre 2005

[15] ibid. la liste comporte notamment : l’identité du responsable du traitement, les finalités du traitement, le ou les services chargés de le mettre en oeuvre, les modalités de mise en œuvre du droit d’accès, la description et les catégories de données personnelles concernées, le destinataire de ces données, la durée de conservation.

[16] paiement qui ne peut exceder le coût de reproduction

[17] article 49 du décret n° 2005-1309 du 20 octobre 2005

[18] Article 51 du décret n° 2005-1309 du 20 octobre 2005

[19] 300 000 euros d’amende et 5 ans d’emprisonnement

ENVELOPPE NEWSLETTER copie

L'actu juridique numérique
du mardi matin.

Inscrivez-vous pour recevoir nos derniers articles, podcasts, vidéos et invitations aux webinars juridiques.

*Champs requis. Le cabinet HAAS Avocats traite votre adresse e-mail pour vous envoyer ses newsletters.

Vous pouvez accéder aux données vous concernant, les rectifier, demander leur effacement ou exercer votre droit à la limitation du traitement de vos données en nous contact à l’adresse mail suivante : dpo@haas-avocats.com