L’avocat et les fonctions de CIL

Commentaire de l’article 6.2.2 du RIN

Par une décision à caractère normatif parue au Journal officiel le 11 juin 2009[1], l’assemblée du Conseil National des Barreaux (CNB) a intégré un nouvel article 6.2.2 au Règlement Intérieur National (RIN), précisant les modalités d’exercice, par un avocat, des fonctions de correspondant à la protection des données ou correspondant informatique et libertés (CIL).

Rappelons que la fonction de CIL a été instaurée en France par la loi du 6 août 2004[2] modifiant la loi dite « Informatique et Libertés » de 1978, sur le modèle de ce qui pouvait déjà exister ailleurs en Europe, notamment en Allemagne, en Suède et aux Pays-Bas. Suite à cette loi de 2004, les modalités de désignation du CIL et son statut ont été complétés par le décret nº 2005-1309 du 20 octobre 2005[3].

La désignation d’un CIL est facultative, elle présente toutefois un certain nombre d’avantages pour les organismes procédant à des traitements de données. En effet, ceux ayant désigné un CIL peuvent être exonérés des formalités déclaratives (déclarations « normales » et « simplifiées ») auprès de la Commission nationale informatique et libertés (Cnil).

Dans les structures de plus de 50 personnes, ou du moins lorsque le nombre de personnes en charge « de la mise en œuvre des traitements ou (qui) y ont directement accès » est supérieur à 50 personnes, le CIL sera une personne interne à l’entreprise. La règle est de désigner un CIL « exclusivement attaché au service de la personne, de l’autorité publique ou de l’organisme, ou appartenant au service qui met en œuvre ces traitements »[4]. En revanche, dans les structures de moins de 50 personnes, de type petites et moyennes entreprises ou très petites entreprises, le CIL peut être interne ou externe à l’entreprise, au choix du responsable des traitements. Le possible recours à un CIL externe est surtout utile dans les organismes au sein desquels aucune personne ne dispose des qualifications nécessaires à l’exercice de cette mission. Cette souplesse vise à permettre aux petites structures de recourir à un correspondant et de bénéficier des avantages octroyés par une telle désignation. Le CIL peut alors être un professionnel exerçant à titre libéral. C’est dans cette hypothèse qu’il pourra s’agir d’un avocat.

En réalité, dès l’adoption de la loi de 2004, les fonctions de CIL étaient ouvertes aux avocats. La Cnil s’est d’ailleurs toujours montrée très favorable à la mise en place d’avocats-CIL. Toutefois, ce projet ne s’est concrétisé que récemment avec l’adoption de deux textes visant à assurer la compatibilité entre les fonctions de CIL et la déontologie de l’avocat. Le premier ne concerne que les avocats exerçant au Barreau de Paris. Le Conseil de l’ordre, le 3 mars 2009[5], a inséré un nouvel article P 6.2.0.2 dans le règlement intérieur du Barreau de Paris (RIBP)[6]. Le second, adopté par une décision en Assemblée du CNB[7], a inséré dans le RIN l’article 6.2.2.

Aussi, si l’avocat est apparu comme apte à prendre en charge les fonctions de CIL (I), certains aménagements ont été apportés afin d’assurer une compatibilité dans l’exercice des deux fonctions (II).

I) La compatibilité de la fonction de CIL avec la profession d’avocat, confirmée par l’article 6.2.2.1 RIN

A) Des qualifications spécifiques du CIL susceptibles d’être remplies par l’avocat

Plusieurs missions incombent au CIL en vertu du décret du 20 octobre 2005[8]. Tout d’abord, il doit dresser la liste des traitements automatisés mis en œuvre dans l’établissement au sein duquel il a été désigné. Il doit veiller à la régularité de ces traitements et tenir la liste à la disposition de toute personne en faisant la demande. Le CIL doit également veiller au respect des droits des personnes (droit d’accès, droit de rectification,…). À ce titre, il est tenu de les informer des traitements mis en œuvre les concernant et veiller à ce que ces traitements n’excèdent pas les finalités pour lesquelles ils sont prévus. Par ailleurs, le CIL doit répondre aux demandes spécifiques du responsable de traitement et lui faire toute préconisation sur les solutions organisationnelles ou technologiques les mieux adaptées aux besoins de la structure. Enfin, le CIL doit rédiger un bilan annuel faisant état de son action au sein de l’organisme, le présenter devant le responsable des traitements et en informer la Cnil en dernier ressort.

Plus généralement, le CIL se caractérise selon la Cnil, comme étant « un outil privilégié de diffusion de la culture informatique et libertés au sein des organismes traitant des données à caractère personnel ». Pour mener à bien cette mission, il doit collaborer étroitement avec, d’une part, le responsable du traitement de l’organisme au sein duquel il exerce sa mission, et d’autre part, la Cnil. Cette dernière organise à cet effet, un suivi ayant pour objectif de contribuer au développement des connaissances des CIL.

Le CIL a ainsi vocation à intervenir à la fois comme conseil, formateur, auditeur et médiateur des questions soulevées. La loi prévoit que, pour mener à bien ces missions, le CIL doit disposer de « qualifications nécessaires ». Cette notion, volontairement floue, vise à ouvrir les fonctions de CIL à un panel large de professionnels dont les compétences doivent porter sur la réglementation relative à la protection des données personnelles, mais aussi plus largement sur le secteur de l’informatique et des technologies. Or, un tel profil transversal se retrouve chez les avocats spécialisés, notamment en nouvelles technologies. Le Conseil National des Barreaux précise même que le contenu juridique de la mission de CIL fait de l’avocat « un intervenant naturel » susceptible de prendre en charge  les fonctions de CIL[9].

Outre ces qualifications spécifiques, le CIL doit nécessairement être indépendant et, par conséquent, ne pas se retrouver dans une position de conflit d’intérêts.

B) La règle du conflit d’intérêts, une exigence commune à l’avocat et au CIL

L’indépendance du CIL exclut d’office toute situation de conflit d’intérêts avec d’autres fonctions exercées parallèlement. En effet, l’article 46 du décret du 20 octobre 2005 prévoit également que « les fonctions ou activités exercées concurremment par le correspondant ne doivent pas être susceptibles de provoquer un conflit d’intérêts avec l’exercice de sa mission ».

Le nouvel article 6.2.2.1 RIN rappelle avec force à l’avocat-CIL que « dans son activité de correspondant à la protection des données personnelles, l’avocat reste tenu de respecter les principes essentiels et les règles du conflit d’intérêts ». Une telle exigence ne présente en réalité aucune différence par rapport à tout CIL, autre qu’avocat, qui est lui aussi soumis à cette règle et cette affirmation peut sembler redondante avec l’article 46 du décret précité.

L’article 6.2.2.2 RIN relatif aux devoirs de l’avocat-CIL apporte quant à lui des tempéraments importants à l’exercice de la fonction de CIL par l’avocat.


II) Les aménagements nécessaires apportés par l’article 6.2.2.2 RIN

Malgré les incitations de la Cnil à mettre en place rapidement l’avocat-CIL[10], il est apparu que ce dernier ne constituait pas un CIL classique. En effet, malgré les apparentes compatibilités entre les deux fonctions, le CNB a estimé nécessaire de soumettre les avocats-CIL à deux devoirs qui ne s’imposent pas aux CIL classiques (A), tempérant l’affirmation selon laquelle l’avocat serait un « intervenant naturel pour exercer les fonctions de CIL ». Le Conseil de l’Ordre de Paris a lui, considéré que des garanties plus importantes encore étaient requises (B).

A) Les devoirs de non-dénonciation et de démission

Les spécificités de l’avocat-CIL par rapport au CIL tiennent au fait que l’avocat est soumis au respect de la déontologie propre à sa profession. Lors des débats précédant l’adoption de l’article 6.2.2 RIN, alors que certaines interrogations ont été soulevées quant à la compatibilité des fonctions du CIL et d’avocat, une double problématique a été pointée : d’une part, la protection du secret professionnel, d’autre part, la règle du conflit d’intérêt.

La difficulté tient au fait que le CIL peut être amené à constater les infractions ou insuffisances du responsable des traitements. Il est prévu que le CIL doit alerter le responsable des traitements lorsqu’il constate un manquement à l’une des obligations légales lui incombant et que le CIL peut, dans un second temps seulement, saisir la Cnil de toute difficulté qu’il rencontrerait dans l’exercice de ses fonctions.. Or, comme le responsable des traitements s’avère être également le client de l’avocat, une telle saisine de la Cnil serait de nature à constituer la violation du secret professionnel de l’avocat et de placer ce dernier dans une situation de conflit d’intérêts.

Afin d’apaiser les craintes des avocats quant à la compatibilité des deux fonctions, la Cnil leur a confirmé que l’avocat-CIL n’aurait en réalité aucune obligation de dénonciation des insuffisances[11] et ce, en vertu de l’article 22 de la loi du 6 août 2004[12]. Cette faculté est même devenue une obligation de non-dénonciation dans le RIN, l’article 6.2.2.2 prévoyant en effet qu’ « en aucun cas, [l’avocat-CIL] ne peut dénoncer son client ».

Cet article 6.2.2.2 dispose en outre que « l’avocat correspondant à la protection des données personnelles doit mettre un terme à sa mission s’il estime ne pas pouvoir l’exercer, après avoir préalablement informé et effectué les démarches nécessaires auprès de la personne responsable des traitements ». Le CNB précise qu’une telle situation pourrait surgir dans l’hypothèse où le responsable des traitements n’accepterait pas les conclusions et recommandations de l’avocat[13]. Cette disposition confère donc à l’avocat une échappatoire en cas d’incompatibilité manifeste entre ses deux missions. La démission de l’avocat concernant sa mission de CIL lui permettrait alors d’éviter de se trouver dans une situation de conflit d’intérêts où il devrait notamment violer son devoir de secret professionnel.

Cette solution pointe toutefois un paradoxe : si l’avocat a l’obligation de ne pas dénoncer son client auprès de la Cnil, sa démission, dont la Cnil doit être informée en application de l’article 54 du décret, pourrait bien avoir pour effet d’attirer malgré tout l’attention de la Cnil sur les manquements de l’entreprise en matière de données à caractère personnel.  Aussi, si cette modification du RIN semble permettre l’exercice simultané des fonctions de CIL et d’avocat certaines interrogations subsistent.

Conclusion

Il apparait important que, dans l’exercice de ses fonctions, l’avocat-CIL distingue clairement ses missions d’avocat de ses missions de CIL et qu’il rende apparente cette distinction à l’égard du responsable de traitement auprès duquel il exerce.

Le Conseil de l’ordre du Barreau de Paris, qui a adopté un texte antérieurement à celui du CNB, a estimé que plus de garanties étaient nécessaires pour permettre une totale compatibilité entre les fonctions de CIL et celles d’avocat. Il a ainsi été inséré dans le RIBP[14] une disposition selon laquelle l’avocat-CIL doit procéder à une déclaration de son activité auprès du bâtonnier. Selon le Conseil de l’Ordre, une telle déclaration permettra au bâtonnier de rappeler à l’avocat-CIL son obligation de non-dénonciation de son client concernant d’éventuelles irrégularités qu’il pourrait constater dans ses fonctions de CIL et son obligation de se démettre si une telle situation survenait. En outre, contrairement au RIN, le RIBP prévoit que l’avocat-CIL doit remettre un bilan annuel de ses activités et la liste des traitements automatisés de données pour lesquels il intervient en tant que CIL. Enfin, et surtout, le RIBP dispose que l’avocat ne peut représenter les clients pour lesquels il a exercé les fonctions de CIL dans les litiges mettant en cause le responsable de traitement. Cette dernière mesure semble être la plus à même d’éviter toute situation de conflit d’intérêts ou de violation du secret professionnel. Toutefois, bien qu’elle soit absente du nouvel article 6.2.2 RIN, elle peut se déduire des dispositions explicites prohibant avec force toute situation de conflit d’intérêts. Ces devoirs particuliers imposés aux avocats parisiens semblent se justifier par la nécessité de distinguer les avocats-CIL au sein d’un Barreau comprenant un nombre important d’avocats[15].


[1] Décision, 28 mai 2009, portant réforme du règlement intérieur (RIN) de la profession d’avocat (art. 21-1 de la loi du 31 décembre 1971 modifiée), JO n° 133, 11 juin 2009, p. 9503

[2] L. n° 2004-801, 6 août 2004 relative à la protection des personnes physiques à l’égard des traitements de données à caractère personnel et modifiant la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, JO n°182, 7 août 2004, p. 14063

[3] Décret n° 2005-1309, 20 oct. 2005, pris pour l’application de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, modifiée par la loi n° 2004-801 du 6 août 2004, JO n°247, 22 oct. 2005, p. 16769

[4] Pour plus de précisions, v. C. Féral-Schuhl, Cyberdroit, 5e éd., Dalloz, 2008, n° 14.50 et s., p.66 et s.

[5] Barr. Paris, Bull. n° 8, 6 mars 2009, p. 87.

[6] V. http://www.avocatparis.org/ribp.html, RIBP, art. P.6.2.0.2

[7] Décision, 28 mai 2009, portant réforme du règlement intérieur national de la profession d’avocat (art. 21-1 de la loi du 31 décembre 1971 modifiée), JO n° 133, 11 juin 2009, p. 9503

[8] Décret n° 2005-1309, 20 oct. 2005, pris pour l’application de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, modifiée par la loi n° 2004-801 du 6 août 2004, art. 48 et s. JO nº 247, 22 oct. 2005, p. 16769

[9] Rapport sur la compatibilité de la profession d’avocat avec l’exercice de la fonction de correspondant informatique et libertés (CIL), présenté à l’Assemblée générale du 14 mars 2009 par Guillaume Le Foyer de Costil, membre de la Commission des Règles et Usages du CNB.

[10] Barr. Paris, Bull. n° 4, 2 fév. 2009, p. 38.

[11] V. http://www.cnb.avocat.fr/Profession-d-avocat-et-fonction-de-Correspondant-Informatique-et-Libertes-CIL-une-mission-a-concilier-avec-les-principes_a527.html

[12] L. n° 2004-801, 6 août 2004 relative à la protection des personnes physiques à l’égard des traitements de données à caractère personnel et modifiant la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, JO n°182, 7 août 2004, p. 14063

[13] V. http://www.cnb.avocat.fr/Activite-de-Correspondant-Informatique-et-Libertes-et-reforme-du-Reglement-Interieur-National-la-profession-consultee_a559.html

[14] Règlement intérieur du Barreau de Paris

[15] Barr. Paris, Bull. n° 23, 26 juin 2009, p. 282

Ne manquez pas nos prochaines publications

Votre adresse email est traitée par FÉRAL afin de vous transmettre les publications et actualités du Cabinet. Vous pouvez vous désabonner à tout moment. Pour en savoir plus sur la manière dont sont traitées vos données et sur l’exercice de vos droits, veuillez consulter notre politique de protection des données personnelles.