17/12/2015
The GDPR is finally coming: we're happy to offer an improved version of the text! (...détails...)
28/04/2014

La décision Conseil d'Etat "Foncia Groupe" du 12 mars 2014 consacre un important revirement d'analyse des relations "Informatique et Libertés" au sein d'un Groupe: la holding ou le siège, assurant la responsabilité réelle, in concreto, du traitement, n'est plus considéré comme sous-traitant, mais bien comme responsable légal du traitement pour l'ensemble de ses filiales.

(...détails...)
21/03/2014
Vous pouvez désormais louer RETIL, sans acquérir de licence ni l'installer sur vos serveurs.
(...détails...)
27/01/2014
Voici les supports de la présentation de ce 27 janvier 2014 à la toujours intéressante Université de l'AFCDP. Merci de votre attention durant cet atelier !
19/04/2013
La délibération CNIL 2013-075 du 28 mars 2013 labellise notre formation "Correspondant Informatique et Libertés".
(...détails...)

Toutes les news

Textes

Cette page présente les principaux textes applicables au Correspondant Informatique et Libertés, et quelques commentaires de Cilex.

Loi du 6 janvier 1978 - modification introduite en 2004

Art 22 §1: crée le Correspondant

"Les traitements pour lesquels le responsable a désigné un correspondant à la protection des données à caractère personnel chargé d’assurer, d’une manière indépendante, le respect des obligations prévues dans la présente loi sont dispensés des formalités prévues aux articles 23 (déclaration) et 24 (déclaration simplifiée), sauf lorsqu’un transfert de données à caractère personnel à destination d’un État non membre de la Communauté européenne est envisagé."

La principale conséquence de la désignation du CIL est donc la simplification des formalités auprès de la CNIL et la gestion en interne de la conformité, en application de la loi. Cette page détaille les rôles officiels et réels du CIL - si la désignation du CIL est la première des conséquences de la désignation, elle comporte bien d'autres avantages.

Art 22 §2 et §3 : définit les conditions de désignation et les grandes missions du Correspondant

"La désignation du correspondant est notifiée à la Commission nationale de l’informatique et des libertés. Elle est portée à la connaissance des instances représentatives du personnel.

Le correspondant est une personne bénéficiant des qualifications requises pour exercer ses missions. Il tient une liste des traitements effectués immédiatement accessible à toute personne en faisant la demande et ne peut faire l’objet d’aucune sanction de la part de l’employeur du fait de l’accomplissement de ses missions. Il peut saisir la Commission nationale de l’informatique et des libertés des difficultés qu’il rencontre dans l’exercice de ses missions."

Dans le cadre du suivi de la conformité, le Correspondant établit une "liste des traitements", qui remplace les précédentes Déclarations à la CNIL. Cette liste est généralement désignée sous le nom de Registre du CIL.

Le logiciel RETIL, développé par notre Cabinet depuis 2007, permet au CIL de tenir son registre de manière simple et fiable, en collaboration avec les responsables opérationnels des traitements.

Décret

Les articles 42 à 48 du décret du 20 octobre 2005 sont consacrés au CIL.

Article 42 : définit les moyens de désignation du CIL

Le Représentant légal du Responsable de traitements désigne le Correspondant par courrier ou par voie électronique. La désignation repose sur un formulaire simple, comptez 5 minutes - à partir du moment où le CIL a été choisi et le plan de projet défini !

La désignation par voie électronique, privilégiée par la CNIL, pose cependant un problème de sécurité juridique - rien n'empêche un plaisantin de créer une fausse adresse de messagerie (devant recevoir l'accusé de réception de la désignation)et de réaliser une fausse désignation. Un tel acte n'est passible d'aucune sanction spécifique.

Pour désigner le CIL par un formulaire "papier": le formulaire traditionnel n'est plus disponible sur le site de la CNIL. Il convient de remplir le formulaire pdf, de l'imprimer, et de le co-signer afin de manifester l'engagement du représentant légal et du CIL - puis de l'envoyer à la CNIL par courrier recommandé avec AR.

Nous conseillons de co-signer également les désignations électroniques et d'en conserver une copie.

La désignation engage le Correspondant et le Représentant légal: il est donc nécessaire qu'elle soit établie et transmise à la CNIL pour chaque société - ce qui pose des problèmes de suivi de la préparation des désignations dès qu'un Groupe compte plus de 10 sociétés...

Article 43 : définit les informations à fournir lors de la désignation

Il est nécessaire d'indiquer les coordonnées de l'organisme désignant le Correspondant et de de son représentant légal, le nom et les qualifications du futur Correspondant, les mesures prises pour lui permettre d'accomplir ses missions de protection des données.

La désignation peut être partielle: on doit alors lister les traitements (ou les catégories de traitements) soumis au CIL.

L'expérience montre que de telles désignations partielles ne sont que partiellement efficaces : il devient rapidement complexe de déterminer les frontières entre les opérations relevant du CIL ou des déclarations classiques, ce qui ne simplifie pas du tout la compréhension de la conformité Informatique et Libertés par les services... Le but de simplification des procédures a alors tendance à s'éloigner.

On notera qu'il faut être au moins 2 pour désigner un CIL... une personne ne peut pas décider toute seule de devenir CIL: c'est bien le représentant légal de l'organisme qui lui délègue officiellement cette responsabilité. De même, l'accord du CIL est obligatoire... même si ceci semble ne pas suffire pas à éviter quelques désignations peu sérieuses.

Les "mesures prises pour faciliter l'accomplissement du CIL" comprennent le plus fréquemment une formation.

La désignation prend effet 1 mois après que la CNIL l'aie reçue.

Article 44 : externalisation possible, limitée à 50 personnes

Cet article fixe une limite à la désignation d'un Correspondant externe : lorsque plus de 50 personnes accèdent au(x) traitement(x), une société ne peut pas désigner de CIL externe - sauf si ce dernier est employé par l'une des entités du Groupe contrôlant la société. Cette limite et cette exception s'appliquent également aux membres d'un organisme professionnel ou d'un organisme regroupant des responsables de traitement d'un même secteur.

Certains CILs sont ainsi responsables de la conformité de centaines de sociétés. On peut également noter que les professions des Notaires et des Huissiers de justice ont également désigné des "CILs de Groupe".

La limite des "50 personnes accédant à un traitement" est assez imprécise, on peut ainsi envisager 5 groupes de 20 personnes accédant à des logiciels et des informations particuliers, pour un total de 100 personnes; de même, quid d'une entreprise de 48 salariés qui embauche 5 intérimaires pour 3 mois ? Ces questions demeurent théoriques, dans la réalité le bon sens prévaut...

Article 45 : information des instances représentatives du personnel

Le responsable de traitement informe les instances représentatives du personnel de la désignation du CIL.

Le Guide du Correspondant édité par la CNIL propose dans ses dernières pages un modèle de courrier d'information.

Attention, bien que l'article imposant cette information aux IRP soit situé après la procédure de désignation, cette information doit intervenir avant l'envoi du formulaire de désignation !

Article 46 : positionnement et indédendance

"Le correspondant à la protection des données à caractère personnel exerce sa mission directement auprès du responsable des traitements.

Le correspondant ne reçoit aucune instruction pour l'exercice de sa mission.

Le responsable des traitements ou son représentant légal ne peut être désigné comme correspondant.

Les fonctions ou activités exercées concurremment par le correspondant ne doivent pas être susceptibles de provoquer un conflit d'intérêts avec l'exercice de sa mission."

Le CIL est chargé par le représentant légal de veiller à la conformité des traitements de l'organisme : dès lors il est naturel qu'il lui soit directement rattaché.

Ce rattachement peut être partiel: dans le cas le plus fréquent, dans lequel le CIL exerce sa mission à temps partiel, le CIL discute directement avec le représentant légal (PDG, maire, Président...) pour la réalisation de sa mission de CIL, et demeure dans sa Direction d'origine (Systèmes d'information, Juridique, Audit...). A ce jour tous les CIL résistent parfaitement à la schizophrénie. 

Le CIL organise et réalise son travail de manière indépendante - mais non irresponsable : il rend compte à son Responsable, au moins annuellement.

Article 47 : principe de tenue d'une liste des traitements (Registre)

"Le responsable des traitements fournit au correspondant tous les éléments lui permettant d'établir et d'actualiser régulièrement une liste des traitements automatisés..."

Le Responsable des traitements est ...responsable : il a décidé de désigner un Correspondant chargé de veiller à la conformité de son entreprise ou de son organisme, il lui fournit donc tous les éléments lui permettant d'accomplir sa mission - dont la tenue du Registre.

En pratique, le PDG, Maire, Président... donne instruction à ses Services de fournir ces éléments au CIL.

Cette vision idéale, dans laquelle le Correspondant attendrait qu'on lui fournisse tous les éléments permettant d'évaluer et de tracer la conformité, n'est hélas que rarement atteinte dans la réalité. C'est le plus souvent le Correspondant qui va à la chasse aux informations... éventuellement avec une assistance extérieure.

"...qui sinon relèveraient des formalités de déclaration".

Article 48 : définit le contenu du Registre du CIL

"Dans les trois mois de sa désignation, le correspondant à la protection des données à caractère personnel dresse la liste mentionnée à l’article 47. La liste précise, pour chacun des traitements automatisés :

 1° Les nom et adresse du responsable du traitement et, le cas échéant, de son représentant ;

2° La ou les finalités de traitement ;

3° Le ou les services chargés de le mettre en oeuvre ;

4° La fonction de la personne ou le service auprès duquel s’exerce le droit d’accès et de rectification ainsi que leurs coordonnées ;

5° Une description des catégories de données traitées, ainsi que les catégories de personnes concernées par le traitement ;

6° Les destinataires ou catégories de destinataires habilités à recevoir communication des données ;

7° La durée de conservation des données traitées.

La liste est actualisée en cas de modification substantielle des traitements en cause. Elle comporte la date et l’objet de ces mises à jour au cours des trois dernières années.

Le correspondant tient la liste à la disposition de toute personne qui en fait la demande. (...)"

Ces obligations sont moins contraignantes que les déclarations "classiques" à la CNIL: seules les catégories de personnes concernées, de données, de destinataires doivent figurer au Registre.

Nous observons également que:

  • le Registre comporte une dimension officielle : il n'est pas concevable qu'il soit "bidouillable".
  • au-delà de la tenue du Registre, le Corresondant "à la protection des données" est chargé du suivi de la conformité : il est alors nécessaire de décrire les champs des applications, les mécanismes de gestion , les logiciels utilisés - voire de suivre leurs versions..., bref d'appliquer une méthodologie adaptée.

Nous en avons conclu que le tableur, couteau suisse universel, ne peut pas être l'outil de gestion du Registre et de la conformité.

Article 54

Peu de choses étant éternelles dans la vie d'une organisation, le CIL peut décider de changer de fonctions ou d'organisme: le responsable des traitements doit alors en aviser la CNIL; il doit décider de désigner un nouveau Correspondant, ou de revenir au système "classique" sans Correspondant: il dispose alors d'un délai d'un mois pour réaliser toutes les notifications à la CNIL.

Il n'est pas nécessaire de confirmer la désignation en cas de changement de Représentant légal.

Directive

L'article 18 permet aux Etats de choisir le dispositif du Détaché à la protection des données à caractère personnel. Le texte devait permettre à l'Allemagne de conserver ce dispositif, obligatoire, du Datenschutzbeauftragter. La France a décider d'adopter ce dispositif, et ainsi de mieux responsabiliser les responsables de traitements.

L'article 20 charge le Détaché de veiller à la conformité des traitements.

Textes de la CNIL

Le Guide du Correspondant, créé durant l'été 2005, avant la parution du décret, a été actualisé en 2011. Il est un outil de base.

Si vous êtes déjà CIL, l'Extranet des Correspondants proposé par la CNIL est une ressource incontournable.

Depuis 2011, le Forum de l'AFCDP est également un espace important de questions-réponses.

Textes en préparation

Révision de la Directive - Réglement

Le projet de Règlement (version originale, version remise en forme) rend le Correspondant obligatoire pour toutes les organisations publiques et pour les entreprises privées de plus de 250 personnes. La version actuelle du texte ne prévoit pas de limites spécifiques à la désignation d'un CIL externe; elle redéfinit les rôles et tâches du Correspondant.

Au-delà, le projet de texte modifie très fortement les risques associés à la non-conformité.

Loi Escoffier-Destraignes

Pour mémoire: il s'agit d'une proposition de loi, émise par les sénateurs, et non d'un projet de loi préparé par le gouvernement. D'aucuns ont vu dans cette loi une manifestation de la grogne des sénateurs vis-à-vis du gouvernement, qui s'est opposé à la plupart des dispositions lors des discussions en Commission des Lois.

En tout état de cause, cette loi n'a été votée que par le Sénat, et doit être votée par l'Assemblée Nationale pour devenir légal. Ce texte n'est donc absolument pas applicable en l'état; il est néanmoins intéressant de le connaître, voire d'anticiper ses mesures (CIL obligatoire, notification des violations de sécurité).

Dans le contexte de la révision de la Directive de 1995, et d'un Règlement qui pourrait entrer en vigueur dès 2013, il semble peu vraisemblable que cette proposition de loi soit adoptée.

A noter

En dehors de ces textes, il n'existe à notre connaissance aucune autre source de droit: pas de décisions publiques ou de synthèse de la CNIL (par exemple sur les refus de désignation), et hélas fort peu de jurisprudence des tribunaux, du Conseil d'État et de la Cour de Cassation.

  • 3F
  • Alptis
  • ADREA
  • ATEN
  • Bosch
  • British Telecom
  • CE Ile de France
  • CCI Morbihan
  • CG Calvados, Seine-Maritime...
  • c-m-a
  • CNCC
  • Collège de France
  • Conseils Régionaux
  • Eiffage
  • EADS
  • ESSEC
  • Groupe Casino
  • Galeries Lafayette
  • ividence
  • Mutuelle.fr
  • Paris Habitat
  • Universités
  • UDAF 42
  • URSSAF 83
  • Vinci Energies
Membre de l'AFCDP
Membre de l'IAPP
Membre fondateur de Privacy Europe