Lire l`article

RLDI
Par Brad SPITZ
Docteur en droit
Avocat associé
YS Avocats
Dans la mesure où il s’agit là d’une
spécificité française qui pourrait être
remise en cause par un projet européen du 25 janvier dernier, la question mérite d’être posée.
L
es entreprises et les autorités
et organismes publics ont la faculté de désigner un correspondant informatique et libertés (CIL), ce
qui leur permet de sécuriser la gestion
des données personnelles, tout en allégeant les formalités déclaratives auprès
de la Cnil (1).
L’article 44 du décret du 20 octobre
2005 (2) prévoit néanmoins que « lorsque
plus de 50 personnes sont chargées de la
mise en œuvre ou ont directement accès
aux traitements ou catégories de traitements automatisés pour lesquels le responsable entend désigner un correspondant
à la protection des données à caractère
personnel, seul peut être désigné un correspondant exclusivement attaché au service
de la personne, de l’autorité publique ou
de l’organisme, ou appartenant au service,
qui met en œuvre ces traitements ».
Dès lors que ce « seuil des 50 » est dépassé, un organisme qui souhaite désigner un CIL devra alors désigner un CIL
interne (un salarié ou fonctionnaire dépendant directement du responsable des traitements), sans pouvoir
recourir aux services d’un CIL externe,
un avocat ou un expert-comptable par
2804
CIL externe :
vers la suppression
du « seuil des 50 » ?
exemple (3). Les personnes à prendre
en compte pour déterminer si ce seuil
est dépassé sont toutes celles qui, dans
le cadre de leurs fonctions ou pour les
besoins du service, mettent en œuvre les
traitements de données ou y ont accès.
Il peut s’agir de salariés ou fonctionnaires des organismes, mais également,
le cas échéant, de tiers : sous-traitants et
prestataires doivent en effet être comptabilisés dès lors qu’ils ont accès aux
traitements ou les mettent en œuvre.
Cette règle est supposée être une « mesure de proximité » (4), l’idée étant que
dans « les grandes structures, l’externalisation de la fonction de CIL risque de ne
pas répondre aux besoins de proximité,
d’expérience et de disponibilité » du CIL,
qui doit être « facilement accessible et
disposer d’une connaissance approfondie
du fonctionnement, des activités et des
traitements de l’organisme » (5).
Cette raison n’est toutefois pas convaincante, dans la mesure où en pratique de
nombreux organismes – le seuil des 50
étant rapidement dépassé – n’auront pas
de salariés ayant les compétences requises et/ou pouvant être mobilisés sur
une mission aussi délicate et technique.
Les CIL doivent en effet réaliser un audit
des traitements de données, conseiller le
responsable des traitements sur l’application de la loi et tenir un registre précis
et complet des traitements.
Ainsi, cette règle du seuil des 50 est difficile à concilier avec une qualité essentielle du CIL : ses compétences juridiques
et techniques, lesquelles ne sont pas liées
à la présence permanente du CIL dans
l’organisme. L’article 35-5 du projet de
règlement du 25 janvier 2012 relatif à la
protection des données (6) précise à cet
égard que le « délégué à la protection
des données » est désigné « sur la base
de ses qualités professionnelles et, en
particulier, de ses connaissances spécialisées de la législation et des pratiques en
matière de protection des données » (7).
Ce projet prévoit en outre de rendre
obligatoire la désignation du CIL (8), ce
qui accentuerait le besoin de désigner
des CIL externes ayant les compétences
requises (9).
La règle du seuil des 50, qui est une
spécificité française, pourrait néanmoins
être prochainement supprimée ou modifiée. En effet, l’article 35-8 du projet
de règlement précité prévoit, sans autre
précision, que le délégué à la protection
des données peut être un salarié ou un
prestataire externe. Et dans la perspective de ce projet de règlement, la Cnil
a, le 22 mai 2012, adressé à l’ensemble
des CIL un questionnaire comprenant
la question suivante : la règle du seuil
des 50 doit-elle être maintenue, modifiée
pour élever le seuil ou supprimée ? La
question mérite en effet d’être posée. X
(1) Article 22 de la loi « relative à l’informatique, aux fichiers et aux libertés », modifiée par la loi n° 2004-801 du 6 août 2004 (JO 22 oct. 2005). (2) Décret n° 2005-1309 du 20 octobre 2005
pris pour l’application de la loi du 6 janvier 1978, précité. (3) L’alinéa 2 de l’article 44 du décret précité prévoit quelques exceptions à cette règle : lorsque le responsable des traitements est une
société qui est contrôlée au sens de l’article L. 233-3 du Code de commerce (le correspondant peut alors être désigné parmi les personnes au service de la société qui contrôle ou de l’une des
sociétés contrôlées) ; lorsque le responsable des traitements est membre d’un GIE (le CIL peut alors être désigné parmi les personnes au service du GIE) ; lorsque le responsable des traitements
fait partie d’un organisme regroupant des responsables de traitements d’un même secteur d’activités, il peut désigner un correspondant externe mandaté à cette fin (sont par exemple visés les
syndicats professionnels, les fédérations d’associations ou d’entreprises, les établissements publics de coopération intercommunale et les conseils nationaux de professions). (4) Selon la formule
de Frayssinet J., in Le décret n° 2005-1309 du 20 octobre 2005, RLDI 2005/11, n° 317, qui approuve cette règle. (5) Cnil, Guide du correspondant informatique et libertés, 2011, p. 6, <www.
cnil.fr>. (6) Proposition de règlement du Parlement européen et du Conseil « relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la
libre circulation de ces données », COM(2012) 11 final. (7) L’article 22-III, alinéa 3, de la loi « Informatique et libertés » précise d’ailleurs également en ce sens que le « correspondant est une
personne bénéficiant des qualifications requises pour exercer ses missions ». (8) L’article 35-1 du projet de règlement prévoit de rendre la désignation des « délégués à la protection des données »
obligatoire pour les autorités ou organismes publics, pour les entreprises ayant plus de 250 employés et pour les organismes dont les activités de base consistent en des traitements qui « exigent
un suivi régulier et systématique des personnes concernées ». (9) L’AFCDP (Association française des correspondants à la protection des données à caractère personnel) explique en ce sens
qu’il est nécessaire que les organismes puissent désigner librement des CIL externes, notamment pour pallier l’absence de collaborateur possédant les compétences nécessaires et parce qu’il est
difficile de recruter un salarié pour un tel emploi (lettre de l’AFCDP du 7 juin 2010, <www.afcdp.net>).
98
R E V U E L A M Y D R O I T D E L’ I M M A T É R I E L • J U I N 2 0 1 2 • N 0 8 3
Informatique I Médias I Communication