Le responsable juridique du lancement d'un fichier de données personnelles ou de la collecte de données nominatives doit déclarer préalablement auprès de la Commission Nationale Informatique et Liberté (Cnil) son intention de collecter, diffuser, ou encore commercialiser ses fichiers de données nominatives…

Poser le problème
Beaucoup d'entreprises n'ont pas respecté de bonne ou de mauvaise foi, cette obligation et sont donc passibles de sanctions pénales. Toutefois, depuis la loi du 6 août 2004 qui transpose la directive du 24 octobre 1995, relative à la protection des personnes physiques à l'égard des traitements de données à caractère personnel et à la libre circulation de ces données, il est désormais possible de désigner un responsable détaché à la protection des données à caractère personnel.

Cette désignation ne concerne que les fichiers soumis à déclaration. Sont donc exclus les fichiers qui font l'objet d'une autorisation ou encore ceux qui sont soumis à un régime particulier lorsque les données nominatives sont transférées à destination d'un état non membre de la Communauté Européenne.

La loi du 6 août 2004 a modifié la loi n°78-17 du 6 janvier 1978 dite "Loi Informatique et Libertés" et définit le correspondant à la protection des données (CPD) comme la personne "chargée d'assurer, d'une manière indépendante, le respect des obligations prévues dans la présente loi". Elle poursuit en énonçant que "Le correspondant est une personne bénéficiant des qualifications requises pour exercer ses missions" (art. 22).

Les entreprises ou les organismes, responsables des traitements des données, qui désignent un correspondant à la protection des données, sont dispensés de déclarer auprès de l'autorité de contrôle, la majeure partie des traitements auxquels ils procèdent sauf lorsqu'un transfert de données à caractère personnel est envisagé à destination d'un Etat non membre de la Communauté européenne.¹

Comme le remarque le président de la Cnil, M. Alex Turk, "l'instauration d'un correspondant à la protection des données au sein des entreprises devrait permettre la diffusion de la culture informatique et liberté au sein de celle-ci, et, en conséquence, garantir au mieux le respect des droits des personnes".

Cette fonction pose trois questions pratiques : Quel est le statut du correspondant à la protection des données ? Quels est son rôle et sa responsabilité ?

1. Statut du CPD
Compétence : Le CPD doit avoir les qualifications requises pour exercer sa fonction, mais le texte ne précise pas quelles sont ces qualifications, elles sont donc à déduire des missions imparties au correspondant à la protection des données. Il est désigné par le responsable juridique de la mise en œuvre des traitements automatisés d'informations nominatives. Le responsable juridique du traitement automatisé d'informations nominatives a une entière liberté pour nommer le CDP, sous réserve, bien sûr, qu'il ait les qualités et capacités requises.

Indépendance : Le correspondant à la protection des données exerce ses fonctions d'une manière indépendante. Par conséquent, le CPD peut-être soit, l'employé d'un organisme, soit encore un tiers (personne physique ou morale).Mais dans tous les cas, il faut que ce dernier accepte expressément sa mission, c'est-à-dire ses modalités d'intervention et les conséquences qu'elle pourrait avoir aussi bien sous l'angle économique, technique et juridique. Puisqu'il exerce sa mission d'une "manière indépendante", il ne peut faire l'objet d'aucune sanction du fait de leur accomplissement par le responsable juridique des traitements automatisés d'informations nominatives.

Information : Il n'y a pas besoin d'agrément, pour être opérationnel, cette désignation facultative doit être seulement notifiée à la Cnil et portée également à la connaissance des instances représentatives du personnel.

2. Rôle du CPD
Le correspondant à la protection des données est chargé d'assurer le respect des obligations prévues dans la loi Informatique et Libertés. Il tient un registre qui liste les traitements effectués, immédiatement accessible à toute personne en faisant la demande. S'il rencontre des difficultés dans l'exercice des ses missions, le correspondant à la protection des données peut saisir la Cnil.

Observons que la loi ne dresse pas une liste exhaustive et détaillée des différentes missions appartenant au correspondant, elle se borne juste à fixer un cadre d'exercice. Si on prend en considération les pays dans lesquels ont déjà été mis en place des CPD (Allemagne, Pays-Bas, Suède), on peut décrire sa mission. Ainsi, il peut :
- Diffuser des informations relatives à la loi Informatique et Libertés.
- Superviser les traitements mis en œuvre, en établir une liste.
- Détecter les problèmes éventuels liés à la mise en œuvre des traitements.
- Prendre contact avec la Cnil en cas de problème identifié ou de doute sur un dossier…

3. Responsabilité du CPD
Le correspondant à la protection des données ne peut faire l'objet d'aucune sanction de la part de l'employeur du fait de l'accomplissement de ses missions. En revanche, en cas de défaillance ou de manquement constaté à ses obligations, le correspondant est déchargé de ses fonctions sur demande du responsable juridique des traitements ou de la Cnil. Le responsable du traitement est alors enjoint de procéder aux déclarations.

En conclusion, la désignation d'un CPD au sein d'une organisation sur lequel la Cnil peut s'appuyer, vaut dispense de toute formalité déclarative. Mais pour être efficace, ce dernier doit pouvoir jouir d'une parfaite indépendance statutaire, intellectuelle et technique. Les entreprises sont-elles prêtes à cela ?

Afin d'éviter toute difficulté, il faut bien évaluer la situation et définir précisément le cadre de la mission du CPD, d'instaurer des procédures de régulation interne en termes de sécurité et de conformité à la loi informatique et liberté. Lorsque le CPD est une personne physique, il peut être parfois en congé ou encore en déplacement, c'est pourquoi il convient de désigner aussi son suppléant pour le remplacer à ce moment là.

La Cnil vient de trouver un moyen de se constituer un réseau de correspondant sans avoir la charge de ces ressources humaines. Finalement, cette faculté se justifie-t-elle au regard du coût que cela représente et ne vaut-il pas mieux procéder aux formalités de déclaration ? Chaque entreprise doit donc faire le point sur cet aspect financier de la question.

La désignation d'un CPD entraînera probablement l'élaboration de charte visant à décrire les modalités de la mise à jour des fichiers, la conformité avec la Loi Informatique et Liberté et les méthodes de régulation et de concertation entre la direction et le CPD. Tout reste donc à faire… 

¹ A cet égard, on observera que plusieurs députés avaient déposé un recours devant le Conseil Constitutionnel car ils considéraient que ces correspondants à la protection des données n'étaient pas en mesure de présenter des garanties d'indépendance indispensables et cette désignation était de nature à porter une atteinte aux garanties légales de droit à la vie privée et à la liberté individuelle. Cependant, dans sa décision n° 2004-489 du 29 juillet 2004, le Conseil Constitutionnel a relevé que des précautions avaient été prises pour la qualification, le rôle et l'indépendance du correspondant, dès lors, la dispense de déclaration résultant de la désignation ne privait pas de garanties légales aucune exigence constitutionnelle (considérant 23).