Protection des données personnelles : un correspondant pour quoi faire ?
Publié le 14/12/2005 par Romain PERRAY
Avec l’adoption, le 20 octobre 2005, du décret d’application de la loi Informatique et Libertés du 6 janvier 1978, les entreprises comme les organismes publics ont désormais la possibilité de désigner un correspondant pour la protection des données personnelles. Inspiré notamment de l’exemple américain du « Chief Privacy Officer », ce nouvel intermédiaire a pour…
Avec l’adoption, le 20 octobre 2005, du décret d’application de la loi Informatique et Libertés du 6 janvier 1978, les entreprises comme les organismes publics ont désormais la possibilité de désigner un correspondant pour la protection des données personnelles.
Inspiré notamment de l’exemple américain du « Chief Privacy Officer », ce nouvel intermédiaire a pour vocation d’être un interlocuteur privilégié entre les personnes dont les données sont collectées, la CNIL et les entreprises elles-mêmes.
Afin d’en déterminer le rôle exact, le décret précise les modalités à suivre pour désigner un tel correspondant, les missions dont il a la charge, les conditions dans lesquelles elles peuvent être externalisées, ainsi que son statut d’indépendance.
En pratique, désigner un correspondant présente pour les entreprises de nombreux avantages, à condition qu’elles en connaissent et en définissent le rôle et les missions.
-
Allégement et simplification des formalités. L’intérêt pour les entreprises d’avoir recours à un correspondant réside avant tout dans l’allègement et la simplification des formalités qu’elles doivent habituellement accomplir auprès de la CNIL. Elles sont ainsi dispensées de toutes formalités de déclaration pour les traitements de données personnelles ou de sites Internet qu’elles souhaitent mettre en œuvre, exception faite de ceux faisant l’objet d’une autorisation spécifique de la CNIL ou de transferts de données hors de l’Union européenne.
-
Missions d’expert. Outre ce régime de dispense, la désignation d’un correspondant a surtout pour but d’apporter aux entreprises une expertise précieuse en matière de données personnelles. À ce titre, le correspondant dispose d’un délai de trois mois pour dresser la liste, qu’il tiendra à jour et dont il délivrera copie à toute personne qui en fait la demande, des traitements mis en œuvre par l’entreprise. En pratique, cette liste constitue le moyen pour lui de veiller au respect de l’ensemble des obligations fixées par la loi du 6 janvier 1978. En cas de manquement, il est tenu d’en informer le responsable des traitements avant de saisir lui-même la CNIL.
-
Au surplus, le correspondant participe à l’élaboration des traitements de données personnelles : en adressant des recommandations au responsable des traitements, en étant obligatoirement consulté avant leur mise en œuvre et en réalisant un bilan annuel de ses activités qu’il tiendra à disposition de la CNIL. En définitive, le correspondant est un intermédiaire autorisé tant au sein qu’à l’extérieur de l’entreprise qui l’a désigné, puisqu’il a pour mission de répondre aux demandes et aux réclamations des personnes dont les données sont collectées.
-
Procédure de désignation. Sans apporter plus de précisions, le décret rappelle que seule peut être nommée à cette fonction une personne bénéficiant des « qualifications nécessaires ». La personne désignée doit donc disposer de compétences juridiques et informatiques auxquelles il faut ajouter une certaine expérience en matière de médiation et de pédagogie. Le correspondant ne fait l’objet d’aucun agrément de la part de la CNIL. Les entreprises peuvent ainsi porter leur choix sur un de leurs employés ou sur une personne extérieure qui peut être l’un de ses consultants, son expert-comptable, voire son avocat. Dans ce dernier cas, on peut toutefois se demander si cette disposition ne risque pas d’interférer avec les règles déontologiques strictes auxquelles les avocats sont assujettis.
-
Externalisation limitée. Si le décret envisage la désignation d’un correspondant extérieur à l’entreprise, il en limite toutefois les hypothèses. Ne peuvent en effet bénéficier de cette possibilité que les entreprises ou les organismes publics où moins de 50 personnes mettent en œuvre ou ont accès à des traitements ou catégories de traitements automatisés. Au-delà de ce seuil, seul peut être désigné un correspondant exclusivement attaché au service du responsable des traitements concerné, sauf si ce dernier est un groupe de sociétés, un GIE ou un organisme professionnel.
-
Indépendance nécessaire. Afin d’assurer pleinement les missions qui lui sont attribuées, le décret précise que le correspondant « ne reçoit aucune instruction ». Ne peuvent ainsi être désignés comme tel, le responsable des traitements, son représentant légal ou, plus largement, toute personne dont les fonctions sont susceptibles d’entrer en conflit d’intérêt avec celles de correspondant.
En dépit du rôle significatif du correspondant, ceci n’exonère pas les entreprises de leur responsabilité pénale ou civile. Cela est également le cas, dans l’hypothèse où le correspondant a été à l’origine de difficultés au sein de l’organisme qui l’a désigné ou s’il a manqué à ses devoirs. Dans ces deux cas, les entreprises ne disposent, aux termes du décret, que de la faculté de saisir la CNIL, à condition d’en avoir informé le correspondant. À la suite de cette saisine, la CNIL formule un avis qui ne lie pas l’entreprise, mais sans lequel cette dernière ne peut décharger de ses fonctions son correspondant.
Si ces dispositions protègent le correspondant interne, elles n’interdisent cependant pas les entreprises d’invoquer, devant le Tribunal de grande instance compétent, la responsabilité civile professionnelle du correspondant extérieur qu’elles ont pu désigner. En pratique, les entreprises auront donc tout intérêt à surveiller l’action de la personne qu’elles ont désignée, afin d’informer la CNIL de la moindre difficulté.