Le CIL existait déjà à l’étranger, notamment en Allemagne, en Suède et aux Pays-Bas. Avec la loi du 6 août 2004, les organismes qui en auront désigné un seront exonérés de toute formalité déclarative.
Avec la loi du 6 août 2004, les organismes – qu’ils soient publics ou privés, qu’ils aient le statut d’associations, d’entreprises, d’administrations, de collectivités locales, etc. – qui auront désigné un CIL seront exonérés de toute formalité déclarative, sauf lorsqu’un transfert de données personnelles à destination d’un État non membre de l’Union européenne est envisagé et/ou lorsque le traitement concerné est soumis au régime d’autorisation par la Cnil – fichier de type « liste noire ».
Le dispositif légal a été utilement complété par le décret no 2005-1309 du 20 octobre 2005, apportant des réponses à certaines interrogations, notamment sur les modalités de désignation du CIL et sur son statut.
Procédure de désignation du CIL
Cette désignation est facultative, contrairement à l’Allemagne où les correspondants sont obligatoires dans les grandes et moyennes entreprises, dans toutes celles où il y a au moins quatre salariés informatiques. La désignation doit d’abord être portée à la connaissance de l’instance représentative du personnel compétente, par le responsable des traitements, par lettre recommandée avec demande d’avis de réception (D. 20 oct. 2005, art. 45).
Elle doit ensuite être notifiée à la Cnil par lettre recommandée avec demande d’avis de réception ou par remise au secrétariat de la commission contre reçu, ou par voie électronique avec accusé de réception qui peut être adressé par la même voie (D. 20 oct. 2005, art. 42).
L’article 43 du décret énumère les mentions à préciser :
– 1° Les nom, prénom, profession et coordonnées professionnelles du responsable des traitements, le cas échéant, ceux de son représentant, ainsi que ceux du correspondant à la protection des données à caractère personnel. Pour les personnes morales, la notification mentionne leur forme, leur dénomination, leur siège social ainsi que l’organe qui les représente légalement ;
– 2° Lorsque le correspondant à la protection des données à caractère personnel est une personne morale, les mêmes renseignements concernant le préposé que la personne morale a désigné pour exercer les missions de correspondant ;
– 3° Si la désignation est faite seulement pour certains traitements ou catégories de traitements, l’énumération de ceux-ci ;
– 4° La nature des liens juridiques entre le correspondant et la personne, l’autorité publique, le service ou l’organisme auprès duquel il est appelé à exercer ses fonctions ;
– 5° Tout élément relatif aux qualifications ou références professionnelles du correspondant et, le cas échéant, de son préposé en rapport avec cette fonction ;
– 6° Les mesures prises par le responsable des traitements en vue de l’accomplissement par le correspondant de ses missions en matière de protection des données.
L’accord écrit de la personne désignée en qualité de correspondant est annexé à la notification.
La désignation d’un correspondant à la protection des données à caractère personnel prend effet un mois après la date de réception de la notification par la Commission nationale de l’informatique et des libertés.
Toute modification substantielle affectant les informations mentionnées aux 1° à 6° est portée à la connaissance de la Commission nationale de l’informatique et des libertés, dans les formes définies à l’article 42 » (D. 20 oct. 2005, art. 43).
CIL interne ou externe ?
La question de savoir si le CIL peut ou non être externe à l’entreprise ou à l’organisme concerné a été réglée par le décret no 2005-1309 du 20 octobre 2005. La réponse dépend en fait du nombre de personnes en charge « de la mise en oeuvre des traitements ou (qui) y ont directement accès ».
En dessous du seuil de 50 personnes, le CIL peut être interne ou externe, au choix du responsable. Il peut ainsi être aussi bien désigné parmi les salariés de l’entreprise qu’à l’extérieur. Il peut s’agir d’un professionnel exerçant à titre libéral ou comme salarié d’une autre entreprise.
Au dessus du seuil de 50 personnes, les possibilités de recourir à un CIL externe sont limitées et encadrées. La règle est de désigner un CIL « exclusivement attaché au service de la personne, de l’autorité publique ou de l’organisme, ou appartenant au service qui met en oeuvre ces traitements ». Il s’agit de favoriser la meilleure connaissance de l’environnement de la société ou de l’organisme dans lequel il doit exécuter sa mission.
Cependant, plusieurs cas de dérogations sont prévus, permettant de recourir à certaines conditions à un CIL externe :
– pour les sociétés soumises à un même contrôle : le CIL doit être choisi dans ce cas « parmi les personnes au service de la société qui contrôle, ou de l’une des sociétés contrôlées par cette dernière » ;
– pour les sociétés membres d’un GIE : le CIL doit alors « être désigné parmi les personnes au service dudit groupement » ;
– enfin, si le responsable des traitements fait partie d’un organisme professionnel ou d’un organisme regroupant des responsables de traitements d’un même secteur d’activités : le CIL peut être mandaté par l’organisme (D. 20 oct. 2005, art. 44).
Missions du CIL
Dans les trois mois de sa désignation, le CIL doit dresser la liste des traitements automatisés mis en oeuvre au sein de l’établissement, du service ou de l’organisme au sein duquel il a été désigné (D. 20 oct. 2005, art. 48).
Il a ensuite pour mission de tenir à jour la liste de ces traitements et de veiller à leur régularité. Il doit les mettre à la disposition de toute personne en faisant la demande et, plus généralement, assurer la diffusion de la culture « informatique et libertés » au sein de l’organisme l’ayant désigné.
Il doit veiller au respect des droits des personnes (droit d’accès, droit de rectification et de radiation, droit d’opposition, etc.). Il s’assure plus généralement du respect des principes de loyauté, de transparence, de proportionnalité, du respect de la finalité, de la confidentialité… qui gouvernent la mise en oeuvre des traitements à caractère personnel au sein de l’organisme.
Le CIL a ainsi vocation à intervenir à la fois comme conseil, formateur, auditeur et médiateur des questions soulevées, sans pour autant exonérer le responsable du traitement de ses responsabilités civiles ou pénales. Cependant, ses compétences techniques et juridiques devraient contribuer à une meilleure application du dispositif légal.
Indépendance du CIL
Le CIL devient l’interlocuteur privilégié de la Cnil et des personnes concernées par les traitements soumis à la loi, d’où l’exigence d’une certaine indépendance (L. 6 janv. 1978, art. 22-III). Il doit disposer d’une certaine autorité pour que ses alertes soient prises en considération. Aussi, s’il exerce sa mission directement auprès du responsable des traitements, il ne doit recevoir aucune instruction pour l’exercice de sa mission. Le législateur a d’ailleurs prévu que le CIL « ne peut faire l’objet de sanction de la part de l’employeur du fait de l’accomplissement de ses missions ».
Pour la même raison et pour éviter tout conflit d’intérêt dans l’exercice de sa mission, le responsable des traitements ou son représentant légal ne peut être désigné comme correspondant (D. 20 oct. 2005, art. 46).
Lorsque le CIL rencontre des difficultés dans la tenue du répertoire des fichiers mis en oeuvre, il peut saisir directement la Cnil.
Procédure de fin de mission du CIL
Si la Cnil constate que le CIL ne remplit pas correctement sa mission, elle pourra demander au responsable des traitements de le décharger de ses fonctions (D. 20 oct. 2005, art. 52).
Si le responsable des traitements considère qu’il y a lieu de mettre fin aux fonctions du CIL pour manquement aux devoirs de sa mission, il doit saisir la Cnil par lettre recommandée avec demande d’avis de réception et notifier cette saisine au CIL dans les mêmes formes. La Cnil dispose d’un délai d’un mois, renouvelable une seule fois sur décision motivée de son président, pour prendre position. Aucune décision ne peut intervenir avant la fin de ce délai (D. 20 oct. 2005, art. 53).
Toute décision mettant fin à la mission du CIL (démission ou décharge des fonctions) doit être notifiée à la Cnil par lettre recommandée avec demande d’avis de réception ou par remise au secrétariat de la commission contre reçu, ou par voie électronique avec accusé de réception qui peut être adressé par la même voie (D. 20 oct. 2005, art. 42). Elle doit préciser les motifs et joindre la notification de la décision au CIL. Elle prend effet dans les huit jours de sa date de réception par la Cnil (D. 20 oct. 2005, art. 54).
Perte du bénéfice de la dispense de déclaration
Sauf cas de remplacement du CIL, la fin de la mission du CIL oblige le responsable des traitements à accomplir, dans le délai d’un mois à compter de la notification de la décision mettant fin à la mission du CIL, les formalités prévues aux articles 23 et 24 de la loi du 6 janvier 1978 pour l’ensemble des traitements qui s’en étaient trouvés dispensés du fait de la désignation du CIL (D. 20 oct. 2005, art. 54).
Par ailleurs, dans l’hypothèse où les manquements à la loi se trouvent être imputables à l’organisme lui-même, celui-ci perdra le bénéfice de la dispense de déclaration et rentrera dans le régime de droit commun. Dans ce cas, la Cnil l’enjoint par lettre recommandée avec accusé de réception de procéder aux formalités prévues aux articles 23 et 24 de la loi du 6 janvier 1978 en précisant les traitements concernés par l’injonction ainsi que le délai dans lequel le responsable des traitements doit s’y conformer (D. 20 oct. 2005, art. 55).