Du CIL au DPO

Du CIL au DPO

La Directive n° 95/46 de 1995[1] sur la protection des données personnelles fait apparaître au sein de son article 18 le « détaché à la protection des données à caractère personnel », sans en rendre sa nomination obligatoire ni encadrer la nomination de ce nouvel acteur. La Directive laisse les Etats membres définir plus précisément ce nouvel acteur.

C’est lors de la transposition de la Directive par la loi du 6 août 2004[2], que le « détaché à la protection des données » fait son apparition dans la loi « informatique et libertés » du 6 janvier 1978, en étant renommé « correspondant à la protection des données à caractère personnel ». Par commodité, les professionnels du secteur des données à caractère personnel et la CNIL elle-même (qui déposera même la marque « CIL ») le dénommeront « correspondant Informatique et Libertés » (« CIL »).

Le CIL est mentionné dans l’article 22 dans la loi. Mais son rôle et son statut sont principalement encadrés par le décret du 20 octobre 2005[3] dont un titre entier lui est consacré.

Cet acteur majeur dans la protection des données personnelles en raison de son lien privilégié avec la CNIL a mis du temps à s’imposer, une minorité d’entreprises ayant aujourd’hui recours à un CIL.

Mais ces dernières années, le nombre de CIL a très fortement augmenté. Ce principalement pour trois raisons :

  • La prise de conscience récente de l’enjeu que représente la protection des données personnelles pour les entreprises (image, risques, avantage concurrentiel dans le B to B comme dans le B to C),
  • L’augmentation des sanctions dans le projet de loi sur la République Numérique et le Règlement européen sur la protection des données à caractère personnel,
  • L’obligation de désigner, au plus tard le 25 mai 2018, un correspondant (qui sera alors dénommé « délégué à la protection des données » ou « data protection officer – DPO » en anglais) pour un grand nombre d’entreprises, selon la taille de celles-ci, le volume et/ou le type de données traitées.

Le Règlement du 27 avril 2016[4] qui abroge la Directive de 1995 renforce de façon conséquente les obligations des responsables de traitement, rendant le recours à un spécialiste de la protection des données personnelles rapidement indispensable afin d’éviter de courir le risque de sanctions très lourdes.

 

Le CIL, acteur majeur trop peu utilisé

Le terme de « Correspondant » préféré par le législateur français au terme de « Détaché » utilisé par la Directive, tend à souligner le rôle principal de cet acteur : faire le lien entre la structure qui l’a nommé et les services de la CNIL en étant appelé à travailler en étroite collaboration avec elle.

Le « correspondant » demeure indépendant par rapport à la CNIL, la loi de transposition précise qu’il « ne peut faire l’objet d’aucune sanction de la part de l’employeur du fait de l’accomplissement de ses missions ».

Le CIL peut être un salarié, un membre de la structure ou un prestataire externe dès lors que moins de 50 personnes sont chargées de la mise en œuvre des traitements ou y ont directement accès. Les avocats sont particulièrement légitimes pour jouer ce rôle, en raison de leurs connaissances juridiques et de leur indépendance. Le Règlement Intérieur National qui s’applique à la profession d’avocat encadre d’ailleurs précisément l’avocat-CIL depuis 2009.

Le CIL est tenu principalement de :

  • dresser une liste des traitements automatisés de données nominatives,
  • assurer le respect des obligations prévues dans la loi Informatique et Libertés et à ce titre inscrire au registre tous les traitements nécessitant normalement une déclaration à la CNIL (ne nécessitant pas ou n’ayant pas fait l’objet d’une demande d’autorisation préalable à la CNIL).
  • informer le responsable des traitements des manquements constatés et le conseiller dans la réponse à apporter pour y remédier,
  • établir un bilan annuel à présenter au responsable des traitements et à tenir à disposition de la CNIL,
  • procéder à la sensibilisation du responsable de traitement ainsi que de son personnel, en procédant autant que possible à des formations,
  • recevoir les réclamations et requêtes des personnes concernées par les traitements, pour permettre l’exercice de leurs droits.

Les responsables de traitement qui procèdent à cette nomination bénéficie d’un allègement des formalités à effectuer auprès de la CNIL, les déclarations n’ayant plus à être effectuées.

 

Du CIL au DPO : l’émergence d’un expert incontournable

Alors que le CIL reste encore aujourd’hui relativement peu connu et peu utilisé, le Règlement du 27 avril 2016 place le « Data Protection Officer » (« DPO ») – ou « délégué à la protection des données » (« DPD ») en français – au cœur du nouveau dispositif de protection des données personnelles en lui consacrant une section entière.

Il en rend la nomination obligatoire, même dans les petites structures :

  • pour les autorités publiques et les organismes publics,
  • pour les structures dont les activités de base en tant que responsable ou sous-traitant exigera « « un suivi régulier et systématique à grande échelle des personnes concernées »,
  • et enfin pour les structures, responsables ou sous-traitants, dont le traitement consistera en un « traitement à grande échelle » de données sensibles telles que des données de santé, sur l’opinion politique ou religieuse, sur l’orientation sexuelle, etc.

Il s’ensuit que de nombreuses entreprises aujourd’hui sans CIL sont susceptibles de se retrouver dans l’obligation de nommer un DPO qu’elles soient responsable du traitement ou sous-traitante.

Par ailleurs, même pour les structures qui ne seront pas concernées par l’obligation de nommer un DPO, les obligations nouvelles qui pèsent sur les responsables du traitement/sous-traitants et les sanctions auxquelles ceux-ci s’exposent en cas de non-respect de ces obligations vont rendre la nomination d’un DPO malgré tout particulièrement recommandée. Il reviendra en effet aux responsables de traitement et sous-traitants, entre autre, dans certains cas précis tel que le traitement à grande échelle de données sensibles, de réaliser une étude d’impact avant la mise en œuvre du traitement (article 35). De manière générale, le Règlement européen sur la protection des données, document complexe de plus de 200 pages, nécessite des compétences particulières et notamment des compétences juridiques pour être correctement interprété.

La plupart des CIL d’aujourd’hui deviendront les DPO de demain, sous réserve toutefois de justifier des compétences juridiques et techniques requises. Alors que la loi « informatique et libertés » est peu précise s’agissant de la qualification, se bornant à exiger du CIL « des qualifications requises pour exercer ses missions », sans autre précision, le Règlement exige désormais que le délégué à la protection des données ait des « connaissances spécialisées du droit » et des « pratiques en matière de protection des données ».

Procéder dès aujourd’hui à la nomination d’un CIL compétent en matière juridique et en matière de protection des données, et qui deviendra le DPO demain, permet de préparer l’entreprise ou l’organisme à l’application de la loi sur la République Numérique en cours d’adoption, ainsi qu’à l’application, à compter du 25 mai 2018, du Règlement européen ainsi, sachant que la sanctions administratives des non-conformités vont considérablement augmenter, pour passer, dans un premier temps (Loi Lemaire) à 3.000.000 euros au premier manquement et, dans un second temps (25 mai 2018) à 20.000.000 € ou 4% du chiffre d’affaires mondial.

Avec la participation d’Hubert Dunoyer de Segonzac, Avocat et CIL

========================================================================

[1] Directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données

[2] Loi n° 2004-801 du 6 août 2004 relative à la protection des personnes physiques à l’égard des traitements de données à caractère personnel et modifiant la loi no 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés

[3] Décret n°2005-1309 du 20 octobre 2005 pris pour l’application de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés

[4] Règlement UE 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant  la directive 95/46/CE

Comments are closed.