M. RASLE est le délégué général de l’AFCDP, l’association française des correspondants à la protection des données à caractère personnel. Il est en outre membre du comité de pilotage du mastère spécialisé « Gestion et Protection des données personnelles » à l’ISEP.
Cet entretien est l’occasion pour M.RASLE de nous présenter la fonction de correspondant informatique et liberté (CIL). Il nous apportera ensuite son regard d’expert sur les évolutions juridiques à attendre dans le domaine de l’informatique et de la protection des libertés.
En tant qu’expert des questions liées à l’informatique et aux libertés, pouvez-vous nous expliquer en quelques mots ce qu’est un correspondant informatique et liberté ?
Le correspondant informatique et liberté est pour la première fois désigné en France dans la loi informatique et liberté rénovée du 6 août 2004. Celle-ci est le fruit d’une transposition en droit français de la directive européenne 95/46. Cette directive proposait notamment aux États membres de mettre en place et d’organiser la fonction de ce qu’elle ne nomme pas CIL, mais délégué à la protection des données à caractère personnel. Parmi les Etats européens, l’Allemagne, la Suède, les Pays-bas, le Luxembourg et la France ont fait le choix d’intégrer cette nouvelle fonction dans leur arsenal juridique.
En France, c’est un décret d’application d’octobre 2005, qui définit plus dans le détail les fonctions et les attributions du CIL. Ce décret offre la possibilité aux organismes privés et publics de désigner un CIL dont le rôle sera chargé d’assurer l’application des dispositions de la loi informatique et liberté à l’intérieur de l’entreprise. Ce correspondant peut être une personne interne ou externe à l’entreprise. Cependant, ce dernier ne peut être externe à l’entreprise que dans un nombre limité de cas. En effet, le décret dispose que le CIL ne peut pas être extérieur à l’entreprise si plus de 50 personnes ont accès aux données personnelles. Une limitation qui n’existe qu’en droit français et qui pose de nombreuses questions . En effet, la notion d’ «accès » semble bien complexe à définir et il semblerait bien plus opportun de laisser ce choix aux chefs d’entreprise.
Le CIL, tel qu’il est défini en droit en français, doit exercer sa mission de manière indépendante. Il doit être directement rattaché au chef d’entreprise en terme de hiérarchie et il ne peut recevoir aucune instruction. Pour autant, il n’a pas le statut de salarié protégé contrairement au CIL allemand. Ce statut est encore régulièrement débattu et est amené à évoluer.
Le Texte de loi ne fixe pas de niveau de connaissance nécessaire pour exercer la fonction de CIL. La volonté du législateur était très probablement de voir un nombre important d’organisations désigner un CIL et donc de limiter la liste des contraintes à son entrée en fonction. À ce jour, le nombre de CIL est d’environ 1800 pour 6000 entités. Un chiffre qui reste en forte augmentation. Le secteur des assurances est en avance dans le domaine ; à l’inverse le secteur public et celui des banques sont plutôt en retard .
Quel est le rôle du CIL dans l’organisation ?
Le rôle premier du CIL est de sécuriser d’un point de vue juridique le dirigeant de l’entreprise. En effet, la loi informatique et liberté fait peser sur ce dernier un risque pénal. En outre, un manquement à cette loi peut être dommageable pour l’image de l’entreprise. Enfin, rappelons que la CNIL (Commission nationale de l’informatique et des libertés) a la possibilité de suspendre un traitement informatique qui serait contraire à la loi informatique et liberté, ce qui constitue un réel risque opérationnel pour l’entreprise.
La CNIL dans le cadre de sa fonction est responsable du droit des personnes lorsqu’il est question des données personnelles, qu’il s’agisse des tiers à l’entreprise (clients, prestataires, usagers…), ou aussi des salariés.
Pour mener à bien sa mission, le décret oblige le CIL à tenir un registre dans lequel il doit recenser l’ensemble des traitements de l’entreprise qui manipulent des données personnelles (il s’agit en l’espèce d’un déplacement de charge de la CNIL vers le CIL. Rappelons, en effet, que chaque entreprise est, selon la loi, contrainte de déclarer l’ensemble des traitements qui manipulent des données personnelles à la CNIL). Un exercice essentiel qui permet de connaître l’ensemble des données personnelles qui sont manipulées dans l’entreprise et dont celle-ci doit être la garante.
Le CIL est aussi en charge de diffuser une culture en matière de protection des données personnelles. Il doit ainsi mettre en place des outils de formation et de sensibilisation.
Le CIL n’est pas un gendarme, il travaille sur du déclaratif. En terme de responsabilité, le CIL n’endosse pas la responsabilité du dirigeant de l’entreprise. Le CIL n’est pas un opérationnel. Il observe et conseille.
Pour finir, le CIL a un pouvoir d’alerte. Si le CIL a connaissance d’un important problème de conformité, il doit en avertir le directeur opérationnel chargé de ce traitement. Il doit ensuite aider ce dernier à rectifier la situation. Si la situation reste en non-conformité, il a pour obligation d’en avertir le dirigeant de l’entreprise. Si à l’issue de ce processus la situation reste bloquée, le CIL a pour obligation de signaler les faits à la CNIL.
Quel est le profil du CIL ?
Il y a un an, nous avons réalisé une étude sur le sujet à l’AFCDP auprès de nos adhérents. Il semble qu’environ 40 % des CIL sont des informaticiens. Une bonne part d’entre eux ont, sinon, un profil juridique. Certains sont encore qualiticiens ou documentalistes/archivistes.
J’ajouterai que les CIL sont des personnes curieuses, faisant preuve d’ouverture d’esprit et qui ont les qualités pour travailler de façon transversale.
En quoi la désignation d’un CIL est-elle une plus-value pour l’entreprise ?
L’intérêt de la nomination d’un CIL est large. La conformité à la loi informatique et liberté est un sujet tellement transverse que, dans les organisations, personne ne s’occupe de cette question. La nomination d’un CIL permet un vrai traitement professionnel de ce sujet et évite bien des déconvenues dommageables pour l’entreprise.
Le CIL permet en outre de prévenir les risques en matière de protection des données personnelles et il détient la visibilité nécessaire pour intervenir si une crise survient dans ce domaine. La nomination d’un CIL permet aussi à l’entreprise d’anticiper et de préparer un contrôle de la CNIL et d’éviter des sanctions.
Outre le simple fait d’être en conformité avec la loi, développer un arsenal en matière de protection de données personnelles peut devenir un vrai point de différenciation pour les entreprises. Un client sera de plus en plus amené à prendre en compte ce critère quand il fera son choix entre plusieurs concurrents.
Une loi adoptée le 23 mars 2010 par le Sénat pourrait rendre obligatoire la désignation d’un CIL. Pouvez-vous nous en dire plus ? Quelle est votre position sur cette évolution ?
Il est difficile de savoir si la désignation d’un CIL va devenir obligatoire. Le texte doit encore passer devant l’Assemblée Nationale. Il semble que la navette devrait avoir lieu prochainement. Très simplement, je trouve formidable que ce sujet trouve un écho et soit débattu de la sorte.
Le texte ne serait pas une nouvelle loi, mais une modification de la loi informatique et liberté. Ce qui me semble être très positif. Le travail effectué par les sénateurs Yves DETRAIGNE et Anne-Marie ESCOFFIER est de très bonne qualité et ils ont bien identifié les axes d’améliorations possibles. Outre, la question du CIL, le texte propose de renforcer les pouvoirs de la CNIL en élargissant ses pouvoirs de sanction et obligerait à notifier les violations en matière de protections des données personnelles.
À mon sens, la question du CIL obligatoire n’est pas l’essentiel de la question, l’objectif reste de faire en sorte que les entreprises respectent les règles de protection de données à caractère personnel. En Allemagne, où le CIL est obligatoire, très peu d’entreprises sont en conformité avec les textes. Il faut que cette obligation s’inscrive dans une mécanique (sanctions, obligations de signalement des incidents…) pour ne pas être un simple accessoire.