Le correspondant CNIL, ange gardien des données personnelles

Quel est le rôle du correspondant CNIL ?

Le correspondant CNIL (Commission Nationale Informatiques et Libertés) a une double mission. Il doit d'une part s'assurer que les données personnelles collectées par l'organisme dans lequel il se trouve ne soient pas utilisées dans un autre contexte que celui pour lequel elles ont été collectées.

Il doit, d'autre part, être en mesure d'assurer le droit d'accès, de rectification, de radiation ou encore d'opposition aux informations personnelles de tout collaborateur ou client de l'organisme qui le souhaiterait.

Mais au-delà de son rôle de conseil auprès des responsables de traitement d'informations de l'entreprise, il peut faire remonter à la CNIL tout manquement constaté en termes de préservation de la confidentialité des données. Ou de tout manque de moyens auquel il pourra être confronté.

Quelles sont les entreprises concernées ?

La désignation d'un correspondant informatique concerne tous types d'organisation, publique, privée voire même association mais ne constitue, en aucun cas, une obligation.

Le correspondant pourra ainsi être présent au sein des collectivités territoriales, des administrations, et des établissements publics, mais également d'organisations privées : PME, grands comptes ou encore multinationales.

Au 1er janvier 2007, la CNIL signalait que 650 organismes avaient d'ores et déjà désigné un correspondant informatique. Cette proportion apparaît toutefois encore faible par rapport au nombre total d'entreprises ou d'administrations françaises.

A quelle date est apparue le correspondant CNIL ?

La notion de correspondant CNIL a été introduite le 6 août 2004, à l'occasion de la refonte de la Loi Informatique et Libertés du 6 janvier 1978. Le décret du 20 octobre 2005 peut être considéré comme l'acte de naissance de la fonction de correspondant informatique.

Pour quelles raisons désigner un correspondant CNIL ?

Désigner un correspondant CNIL permet tout d'abord d'alléger les formalités en termes de déclaration des informations à caractère privé et d'assurer la meilleure efficacité possible de la mise en œuvre de systèmes de traitement des données personnelles.

Désigner un correspondant CNIL permet aussi de s'assurer que l'informatique de l'organisation se développe sans danger pour les droits et usages des clients et salariés. D'autres bénéfices sont également identifés par la CNIL.

Elle permettrait ainsi de contribuer à l'amélioration du climat social, favoriser la mise en œuvre d'une approche qualité pour la gestion de l'information au sein de l'organisation, contribuer à améliorer la politique de sécurité informatique de l'organisation, mais également à réduire les coûts de traitement des informations.

Qui peut être désigné correspondant CNIL ?

Le rôle de correspondant CNIL peut être assuré soit par un salarié, soit par une personne externe à l'organisation. Toutefois, la CNIL estime qu'au-delà d'un certain seuil de traitement de données et d'informations personnelles nécessitant l'emploi de plus d'une cinquantaine de personnes, l'externalisation du correspondant n'est plus envisageable.

Parmi les raisons mises en avant, on trouve notamment un risque trop important de ne plus répondre au besoin de proximité et de disponibilité du correspondant informatique, donnant justement toute son ampleur à cette fonction.

Outre une personne externe, le correspondant CNIL peut être désigné par un salarié de l'organisme, d'une des entités du groupe, du groupement d'intérêt économique dont l'organisme est membre ou encore une personne mandatée par un organisme professionnel.

Quelles sont les compétences requises d'un correspondant CNIL ?

Il n'existe pas à proprement parler de parcours idéal pour devenir correspondant CNIL, aucun diplôme ou agrément n'étant d'ailleurs prévu. Si les compétences du correspondant devront être adaptées en fonction du contexte de l'activité de l'organisation (e-commerce…) ou de se taille (PME, grand compte…), des connaissances juridiques et également informatiques seront naturellement les bienvenues.

Au-delà de ces types de qualifications et compétences, le correspondant CNIL pourra disposer d'aptitudes en termes de médiation, de dialogue et de négociation, tout en sachant être à l'aise dans un rôle de conseil et de préconisation.

Une fois le profil du correspondant CNIL approuvé, le responsable des traitements de données dans l'entreprise informe les représentants du personnel de cette nomination. Mais ce n'est qu'après notification auprès de la CNIL - 1 mois après réception d'un formulaire ad hoc - que la désignation du correspondant CNIL sera effective.

Que se passe t'il après sa prise de fonction ?

Dans les trois mois suivant sa nomination, le correspondant informatique désigné par l'entreprise devra tenir à jour une liste concernant les traitements relatifs aux données personnelles. Cette dernière devra notamment mentionner les raisons et le contexte de collecte des données personnelles, les catégories de destinataires auxquels les données seront susceptibles d'être communiquées ou encore la durée de conservation des données traitées.

Bien que tout traitement de données sans risque manifeste en termes d'atteinte au droit des personnes n'aura plus à être référencé dans une liste, ce n'est pas le cas d'autres types d'informations. Celles soumises à autorisation ou avis préalable de la CNIL notamment devront, elles, continuer à être déclarées.

La présence d'un correspondant CNIL dispense-t-elle la CNIL d'intervenir directement en cas de défaillance ?

Non. La désignation d'un correspondant ne prive absolument pas la CNIL de ses pouvoirs de contrôle, d'investigation, mais également de mises en demeure ou encore de sanction.

Elle peut même, constatant par exemple un manquement grave à la mission du correspondant CNIL, demander à l'organisation de le décharger de ses fonctions.

Pour autant, le correspondant CNIL n'endosse pas un rôle de bras armé. Présent pour désamorcer les conflits, sa nomination constitue avant tout un engagement fort et solennel de l'organisation envers la protection des données personnelles.