LE ROLE DU CORRESPONDANT DE LA CNIL EN ENTREPRISE
Un correspondant aux données personnelles (dit « correspondant CNIL ») a été institué par le décret n° 2005-1309 du 20 octobre 2005, pour l’application de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés (modifiée par la loi du 6 août 2004).
Le correspondant de la CNIL en entreprise se présente comme étant le référent sur les questions de protection des données personnelles au sein de l’organisme qui l’a désigné. Le rôle du correspondant de la CNIL en entreprise est donc large.
En effet, ce dernier va jouer un rôle au niveau de la sécurité juridique de l’entreprise qui l’a désigné, au niveau de la sécurité informatique également, ainsi que pour l’accès personnalisé aux services de la CNIL et la simplification des formalités auprès de la CNIL. Le rôle du correspondant de la CNIL en entreprise peut, de ce point de vu, sembler compliqué. Néanmoins, celui-ci est bien formé et préparé pour pouvoir remplir pleinement le rôle de correspondant de la CNIL en entreprise.
Le rôle du correspondant de la CNIL en entreprise est justifié par les différentes obligations des entreprises concernant la gestion de données personnelles. Pour mieux vous présenter le rôle du correspondant de la CNIL en entreprise nous allons vous parler de l’utilité de ce correspondant (I), de son mode de désignation (II), des modalités d’exercice de sa mission (III) et, enfin, nous allons présenter ces différentes missions (IV).
I. L’utilité du correspondant
En principe, les traitements automatisés de données à caractère personnel font l'objet d'une déclaration auprès de la Commission nationale de l'informatique et des libertés (Déclaration prévue par les Art 23 et 24 de la loi du 6 janvier 1978).
Cependant, les traitements pour lesquels le responsable a désigné un correspondant à la protection des données à caractère personnel sont dispensés de ces formalités de déclaration. La seule exception à ce principe est lorsqu'un transfert de données à caractère personnel à destination d'un Etat non membre de la Communauté européenne est envisagé (Art 22 de la loi du 6 janvier 1978).
Le correspondant est chargé d'assurer, d'une manière indépendante, le respect des obligations prévues dans la loi du 6 janvier 1978 (modifiée par la loi du 6 août 2004).
II. La désignation du correspondant
La désignation du correspondant est notifiée à la Commission nationale de l'informatique et des libertés. Cette notification est adressée par lettre recommandée avec demande d'avis de réception, ou par remise au secrétariat de la commission contre reçu, ou par voie électronique avec accusé de réception qui peut être adressé par la même voie (Art 42 du décret du 20 octobre 2005).
Plusieurs mentions doivent figurer dans cette notification, dont :
La nature des liens juridiques entre le correspondant et la personne, l'autorité publique, le service ou l'organisme auprès duquel il est appelé à exercer ses fonctions.
Tout élément relatif aux qualifications ou références professionnelles du correspondant.
Les mesures prises par le responsable des traitements en vue de l'accomplissement par le correspondant de ses missions en matière de protection des données (Art 43 du décret du 20 octobre 2005).
De plus, la désignation du correspondant est, préalablement à sa notification à la Commission nationale de l'informatique et des libertés, portée à la connaissance de l'instance représentative du personnel compétente par le responsable des traitements, par lettre recommandée avec demande d'avis de réception (Art 45 du décret du 20 octobre 2005).
Enfin, le correspondant est une personne bénéficiant des qualifications requises pour exercer ses missions (Art 22 de la loi du 6 janvier 1978). Cependant, aucune autre précision n’est fournie par les textes, ce qui laisse à supposer une double qualification juridique et informatique, mais dont le niveau n’est en aucun cas indiqué et qui reste donc à la discrétion de la décision du responsable du traitement.
En tout état de cause, le responsable des traitements ou son représentant légal ne peut être désigné comme correspondant (Art 46 du décret du 20 octobre 2005).
L’externalisation est seulement réservée aux petites et moyennes entreprises car lorsque plus de cinquante personnes sont chargées de la mise en oeuvre ou ont directement accès aux traitements ou catégories de traitements automatisés pour lesquels le responsable entend désigner un correspondant à la protection des données à caractère personnel, seul peut être désigné un correspondant exclusivement attaché au service de la personne, de l'autorité publique ou de l'organisme, ou appartenant au service, qui met en oeuvre ces traitements (Art 44 du décret du 20 octobre 2005).
Cependant, plusieurs exceptions sont posées et vont à l’encontre de ce principe à l’exclusivité de l’attachement du correspondant :
- Lorsque le responsable des traitements est une société qui contrôle ou qui est contrôlée (au sens de l'article L. 233-3 du Code de commerce), le correspondant peut être désigné parmi les personnes au service de la société qui contrôle, ou de l'une des sociétés contrôlées par cette dernière.
- Lorsque le responsable des traitements est membre d'un groupement d'intérêt économique (au sens du titre V du livre deuxième du code de commerce), le correspondant peut être désigné parmi les personnes au service dudit groupement.
- Lorsque le responsable des traitements fait partie d'un organisme professionnel ou d'un organisme regroupant des responsables de traitements d'un même secteur d'activités, il peut désigner un correspondant mandaté à cette fin par cet organisme (Art 44 du décret du 20 octobre 2005).
III. Les modalités d’exercice de la mission du correspondant
Le correspondant à la protection des données à caractère personnel exerce sa mission directement auprès du responsable des traitements et il ne reçoit aucune instruction pour l'exercice de celle-ci.
De plus, les fonctions ou activités exercées concurremment par le correspondant ne doivent pas être susceptibles de provoquer un conflit d'intérêts avec l'exercice de sa mission (Art 45 du décret du 20 octobre 2005).
Cependant, le correspondant n’a pas au sein de l’entreprise le statut de salarié protégé (tel un délégué du personnel) et il est difficile de définir les limites de son indépendance ou des pressions qu’il serait susceptible de subir, en l’absence d’un tel cadre légal pour le protéger. Les textes semblent seulement permettre la possibilité d’éviter un conflit d’intérêt direct et manifeste entre la mission exercée par le correspondant et les intérêts du responsable des traitements ou les fonctions exercées en parallèle par ce salarié, et il appartiendra donc à la CNIL de préciser l’étendue de l’application de telles dispositions.
Enfin, c’est le responsable des traitements qui doit fournir au correspondant tous les éléments lui permettant d'établir et d'actualiser régulièrement une liste des traitements automatisés mis en oeuvre au sein de l'établissement, du service ou de l'organisme au sein duquel il a été désigné (Art 47 du décret du 20 octobre 2005).
IV. Les missions du correspondant
Dans les trois mois de sa désignation, le correspondant dresse une liste où sont précisés, pour chacun des traitements automatisés :
o Les nom et adresse du responsable du traitement et, le cas échéant, de son représentant.
o La ou les finalités de traitement.
o Le ou les services chargés de le mettre en œuvre.
o La fonction de la personne ou le service auprès duquel s'exerce le droit d'accès et de rectification ainsi que leurs coordonnées.
o Une description des catégories de données traitées, ainsi que les catégories de personnes concernées par le traitement.
o Les destinataires ou catégories de destinataires habilités à recevoir communication des données.
o La durée de conservation des données traitées (Art 48 du décret du 20 octobre 2005).
Mais le correspondant doit également veiller au respect des obligations prévues par la loi du 6 janvier 1978 pour les traitements au titre desquels il a été désigné.
Pour ce faire :
o Il peut faire toute recommandation au responsable des traitements.
o Il est consulté, préalablement à leur mise en oeuvre, sur l'ensemble des nouveaux traitements appelés à figurer sur la liste qu’il est chargé de dresser.
o Il reçoit les demandes et les réclamations des personnes intéressées relatives aux traitements figurant sur la liste qu’il est chargé de dresser. Lorsqu'elles ne relèvent pas de sa responsabilité, il les transmet au responsable des traitements et en avise les intéressés.
o Il informe le responsable des traitements des manquements constatés avant toute saisine de la Commission nationale de l'informatique et des libertés.
o Il établit un bilan annuel de ses activités qu'il présente au responsable des traitements et qu'il tient à la disposition de la commission.
Pour finir, lorsque la Commission nationale de l'informatique et des libertés constate, après avoir recueilli ses observations, que le correspondant manque aux devoirs de sa mission, elle demande au responsable des traitements de le décharger de ses fonctions (Art 52 du décret du 20 octobre 2005).
ARTICLES EN RELATION