La CNIL rend publique sa vision du correspondant "informatique et libertés" (CIL)
La nouvelle loi « informatique et libertés » prévoit que tout organisme, privé comme public, bénéficiera d'un allègement de ses obligations déclaratives dès lors qu’il aura désigné un correspondant à la protection des données à caractère personnel. Le statut et les missions du correspondant seront précisées dans un décret d’application. La CNIL apporte une première contribution aux réflexions en cours sur la définition du correspondant.
Le responsable de traitement peut-il désigner un correspondant extérieur à l’organisme ?
La CNIL considère que la loi permet de désigner un correspondant qui n’appartient pas au personnel de l’organisme. Elle estime cependant qu’une désignation extérieure ne devrait être possible qu’en deçà d’un seuil à définir et devrait répondre au souci d’une « mutualisation » des fonctions de correspondant permettant à plusieurs responsables de traitement de se regrouper afin de désigner le même correspondant.
Quelles sont les qualifications requises pour être correspondant ?
Il n’est pas possible de déterminer a priori la nature et le niveau des qualifications requises qui dépendent de la taille et de l’activité du responsable de traitement. Il est évident que le CIL devra avoir une connaissance de la loi informatique et libertés et des technologies informatiques qu’elles soient standards ou spécifiques à l’activité de l’organisme l’ayant désigné.
Comment assurer l’indépendance du correspondant ?
Le législateur a mis le correspondant à l'abri des sanctions de l'employeur du fait de l'accomplissement de ses missions et l'a doté de la faculté de saisir la CNIL des difficultés rencontrées. Il apparaît à la CNIL qu’au-delà de ces dispositions, c’est la position hiérarchique du CIL, caractérisée par la possibilité de communiquer directement avec la direction de l’organisme, l’interdiction pour le responsable de traitement d’interférer dans l’accomplissement des missions du CIL et l’absence de conflit d’intérêt avec les fonctions exercées en même temps qui sont de nature à apporter les garanties de l’indépendance. Ainsi, à l’évidence, le directeur de l’organisme ne devrait pas pouvoir être désigné comme correspondant.
Quelles seront les missions du correspondant ?
Au-delà de la tenue de la liste des traitements (à l’instar du « fichier des fichiers » tenu par la CNIL), le correspondant aura un rôle essentiel dans la diffusion de la culture "informatique et libertés" au sein de l'organisme l'ayant désigné et sera l'interlocuteur privilégié non seulement de la CNIL mais également des personnes concernées par les traitements soumis à la loi du 6 janvier 1978. Conseil en amont, pédagogie, audit et médiation devront ainsi accompagner un rôle d'alerte du responsable de traitement sur les irrégularités constatées.
La spécificité du correspondant "presse"
L’article 67 de la loi du 6 janvier 78 modifiée établit un régime d’exonération au bénéfice des entreprise de presse similaire à celui prévu par l'article 22 III . Toutefois, afin de concilier la liberté de la presse et les dispositions relatives à la protection des données, l’exonération de l'obligation de déclaration est étendue à des traitement relevant normalement du régime d’autorisation en raison de la nature des données traitées (données sensibles, condamnations).
La nouvelle loi « informatique et libertés » prévoit que tout organisme, privé comme public, bénéficiera d'un allègement de ses obligations déclaratives dès lors qu’il aura désigné un correspondant à la protection des données à caractère personnel. Le statut et les missions du correspondant seront précisées dans un décret d’application. La CNIL apporte une première contribution aux réflexions en cours sur la définition du correspondant.
Le responsable de traitement peut-il désigner un correspondant extérieur à l’organisme ?
La CNIL considère que la loi permet de désigner un correspondant qui n’appartient pas au personnel de l’organisme. Elle estime cependant qu’une désignation extérieure ne devrait être possible qu’en deçà d’un seuil à définir et devrait répondre au souci d’une « mutualisation » des fonctions de correspondant permettant à plusieurs responsables de traitement de se regrouper afin de désigner le même correspondant.
Quelles sont les qualifications requises pour être correspondant ?
Il n’est pas possible de déterminer a priori la nature et le niveau des qualifications requises qui dépendent de la taille et de l’activité du responsable de traitement. Il est évident que le CIL devra avoir une connaissance de la loi informatique et libertés et des technologies informatiques qu’elles soient standards ou spécifiques à l’activité de l’organisme l’ayant désigné.
Comment assurer l’indépendance du correspondant ?
Le législateur a mis le correspondant à l'abri des sanctions de l'employeur du fait de l'accomplissement de ses missions et l'a doté de la faculté de saisir la CNIL des difficultés rencontrées. Il apparaît à la CNIL qu’au-delà de ces dispositions, c’est la position hiérarchique du CIL, caractérisée par la possibilité de communiquer directement avec la direction de l’organisme, l’interdiction pour le responsable de traitement d’interférer dans l’accomplissement des missions du CIL et l’absence de conflit d’intérêt avec les fonctions exercées en même temps qui sont de nature à apporter les garanties de l’indépendance. Ainsi, à l’évidence, le directeur de l’organisme ne devrait pas pouvoir être désigné comme correspondant.
Quelles seront les missions du correspondant ?
Au-delà de la tenue de la liste des traitements (à l’instar du « fichier des fichiers » tenu par la CNIL), le correspondant aura un rôle essentiel dans la diffusion de la culture "informatique et libertés" au sein de l'organisme l'ayant désigné et sera l'interlocuteur privilégié non seulement de la CNIL mais également des personnes concernées par les traitements soumis à la loi du 6 janvier 1978. Conseil en amont, pédagogie, audit et médiation devront ainsi accompagner un rôle d'alerte du responsable de traitement sur les irrégularités constatées.
La spécificité du correspondant "presse"
L’article 67 de la loi du 6 janvier 78 modifiée établit un régime d’exonération au bénéfice des entreprise de presse similaire à celui prévu par l'article 22 III . Toutefois, afin de concilier la liberté de la presse et les dispositions relatives à la protection des données, l’exonération de l'obligation de déclaration est étendue à des traitement relevant normalement du régime d’autorisation en raison de la nature des données traitées (données sensibles, condamnations).
Logiciel de recouvrement, relation financière client
Source CNIL
Le Cabinet Cilex, créé début 2006, ( http://www.cabinet-cilex.com), propose des formations au(x) métier(s) de CIL, ainsi que des prestations d'externalisation et de conseil autour de ce nouveau métier de Correspondant Informatique et Libertés.
Il associe un Consultant en Systèmes d'Information riche de vingt ans d'expérience et Cédric Crépin, auteur d'un mémoire de DESS réalisé auprès de la CNIL: «Le Correspondant Informatique et Libertés: un nouvel outil de régulation pour la protection des données à caractère personnel».
Contact : frederic.thu@cabinet-cilex.com
Il associe un Consultant en Systèmes d'Information riche de vingt ans d'expérience et Cédric Crépin, auteur d'un mémoire de DESS réalisé auprès de la CNIL: «Le Correspondant Informatique et Libertés: un nouvel outil de régulation pour la protection des données à caractère personnel».
Contact : frederic.thu@cabinet-cilex.com