|
|
Tant attendu, le décret d'application de la célèbre réforme de la loi dite "informatique et libertés" vient enfin d'être adopté. En effet, le décret d'application n°2005-1309 du 20 octobre dernier précise utilement le statut du correspondant à la protection des données à caractère personnel (CDP).
Constituant l'une des principales innovations de la récente loi du 6 août 2004, le CDP permet de déroger à la plupart des formalités déclaratives incombant aux responsables des traitements automatisés. Sans que la liste de ses missions ne soit exhaustive, le CDP est principalement chargé d'assurer de manière indépendante le respect de la loi "informatique et libertés". Fort des multiples fonctions découlant de son statut, le décret précise les qualifications requises du CDP et la nature de son indépendance permettant ainsi de mieux appréhender son rôle au sein de l'entreprise.
Les multiples fonctions du CDP au profit de l'entreprise
Notifier une seule fois son CDP auprès de la CNIL et de l'instance représentative du personnel, c'est ne plus avoir à déclarer l'ensemble de ses traitements automatisés et sites web préalablement à leur mise en uvre. C'est également ne plus avoir à veiller à leur constante mise à jour. Le CDP peut également se charger de réaliser les démarches nécessaires auprès de la CNIL lors des transferts de données en-dehors de l'Union européenne.
Par ailleurs, le CDP a une double mission d'information : être informé des règles applicables puisqu'il est un interlocuteur privilégié de la CNIL, et en informer l'entreprise. En informant le personnel de l'entreprise, il permet aux salariés de mieux respecter les différentes obligations notamment relatives à la collecte, communication, sécurité et durée de conservation des données à caractère personnel.
En tenant et mettant à jour une liste des traitements automatisés de l'entreprise, le CDP permet également à l'entreprise de mieux connaître ses ressources afin de garantir une meilleure valorisation de son patrimoine auprès de ses partenaires. Le CDP se chargera également de gérer les demandes et réclamations des intéressés, contribuant ainsi à améliorer l'image de marque de l'entreprise.
Enfin, le CDP devrait contribuer à limiter les risques de sanctions (300.000 euros d'amende et 5 ans d'emprisonnement en cas de violation la loi "informatique et liberté", sanctions pécuniaires prononcées par la CNIL en cas de récidive dans les 5 ans, dans la limite de 5 % du bénéfice hors taxe de l'entreprise).
Le choix d'un CDP adapté à son entreprise
Le décret ne dresse aucune liste des "qualifications (du CDP) requises pour exercer ses missions", et autorise ainsi l'entreprise à choisir le CDP le mieux adapté à son activité et à son personnel. En effet, le CDP pourra aussi bien être DSI, ingénieur, DRH que juriste.
Bien plus, le décret permet de recourir à un prestataire extérieur dès lors que l'entreprise compte moins de 50 personnes mettant en uvre ou ayant accès à des traitements ou catégories de traitements automatisés. Au-delà de ce seuil, "seul peut être désigné un correspondant exclusivement attaché au service de la personne (
) ou appartenant au service, qui met en uvre ces traitements", les groupes de sociétés, les GIE et les organismes professionnels pouvant désigner un CDP appartenant à ce groupement.
Les PME, et plus généralement les entreprises en-deça du seuil de 50 personnes, pourront ainsi mutualiser un CDP externe, spécialiste du domaine.
En tout état de cause, le responsable des traitements pourra préciser dans un accord contractuel les modalités d'exercice des missions du CDP correspondant au mieux à ses besoins dans le respect de la loi.
L'indépendance du CDP au service de l'entreprise
A l'évidence, le CDP ne peut exercer ses fonctions sans être indépendant. Ainsi, le décret prévoit expressément que le responsable des traitements ou son représentant légal ne peuvent être désignés comme CDP. Comme l'a précisé la CNIL, il s'agit de garantir "la possibilité de communiquer directement avec la direction d'une entreprise, l'interdiction pour l'employeur d'interférer dans l'accomplissement des missions du correspondant à la protection des données et l'absence de conflit d'intérêt avec les fonctions exercées en même temps". Le CDP peut en outre saisir la CNIL des difficultés qu'il rencontre dans l'exercice de ses missions, à condition cependant d'en informer préalablement le responsable des traitements tel que l'a précisé le décret.
Si le CDP ne peut faire l'objet d'aucune sanction de la part de son employeur, il peut toutefois être déchargé de ses fonctions par le responsable des traitements dès lors qu'il manque aux devoirs de sa mission. Le responsable des traitements souhaitant y procéder doit alors obtenir un avis consultatif de la CNIL, qui est tenue de répondre dans un délai d'un mois à compter du jour de sa saisine et exceptionnellement de deux mois après décision motivée de son président. La CNIL peut par ailleurs demander au responsable de traitement de décharger le CDP de ses fonctions pour ces mêmes raisons.
La France se donne enfin les moyens de simplifier les procédures de protection des données personnelles. Il reste aux entreprises à exploiter au mieux ces nouvelles dispositions légales.
|
