Lire l`article
Transcription
Lire l`article
RLDI Par Brad SPITZ Docteur en droit Avocat associé YS Avocats Dans la mesure où il s’agit là d’une spécificité française qui pourrait être remise en cause par un projet européen du 25 janvier dernier, la question mérite d’être posée. L es entreprises et les autorités et organismes publics ont la faculté de désigner un correspondant informatique et libertés (CIL), ce qui leur permet de sécuriser la gestion des données personnelles, tout en allégeant les formalités déclaratives auprès de la Cnil (1). L’article 44 du décret du 20 octobre 2005 (2) prévoit néanmoins que « lorsque plus de 50 personnes sont chargées de la mise en œuvre ou ont directement accès aux traitements ou catégories de traitements automatisés pour lesquels le responsable entend désigner un correspondant à la protection des données à caractère personnel, seul peut être désigné un correspondant exclusivement attaché au service de la personne, de l’autorité publique ou de l’organisme, ou appartenant au service, qui met en œuvre ces traitements ». Dès lors que ce « seuil des 50 » est dépassé, un organisme qui souhaite désigner un CIL devra alors désigner un CIL interne (un salarié ou fonctionnaire dépendant directement du responsable des traitements), sans pouvoir recourir aux services d’un CIL externe, un avocat ou un expert-comptable par 2804 CIL externe : vers la suppression du « seuil des 50 » ? exemple (3). Les personnes à prendre en compte pour déterminer si ce seuil est dépassé sont toutes celles qui, dans le cadre de leurs fonctions ou pour les besoins du service, mettent en œuvre les traitements de données ou y ont accès. Il peut s’agir de salariés ou fonctionnaires des organismes, mais également, le cas échéant, de tiers : sous-traitants et prestataires doivent en effet être comptabilisés dès lors qu’ils ont accès aux traitements ou les mettent en œuvre. Cette règle est supposée être une « mesure de proximité » (4), l’idée étant que dans « les grandes structures, l’externalisation de la fonction de CIL risque de ne pas répondre aux besoins de proximité, d’expérience et de disponibilité » du CIL, qui doit être « facilement accessible et disposer d’une connaissance approfondie du fonctionnement, des activités et des traitements de l’organisme » (5). Cette raison n’est toutefois pas convaincante, dans la mesure où en pratique de nombreux organismes – le seuil des 50 étant rapidement dépassé – n’auront pas de salariés ayant les compétences requises et/ou pouvant être mobilisés sur une mission aussi délicate et technique. Les CIL doivent en effet réaliser un audit des traitements de données, conseiller le responsable des traitements sur l’application de la loi et tenir un registre précis et complet des traitements. Ainsi, cette règle du seuil des 50 est difficile à concilier avec une qualité essentielle du CIL : ses compétences juridiques et techniques, lesquelles ne sont pas liées à la présence permanente du CIL dans l’organisme. L’article 35-5 du projet de règlement du 25 janvier 2012 relatif à la protection des données (6) précise à cet égard que le « délégué à la protection des données » est désigné « sur la base de ses qualités professionnelles et, en particulier, de ses connaissances spécialisées de la législation et des pratiques en matière de protection des données » (7). Ce projet prévoit en outre de rendre obligatoire la désignation du CIL (8), ce qui accentuerait le besoin de désigner des CIL externes ayant les compétences requises (9). La règle du seuil des 50, qui est une spécificité française, pourrait néanmoins être prochainement supprimée ou modifiée. En effet, l’article 35-8 du projet de règlement précité prévoit, sans autre précision, que le délégué à la protection des données peut être un salarié ou un prestataire externe. Et dans la perspective de ce projet de règlement, la Cnil a, le 22 mai 2012, adressé à l’ensemble des CIL un questionnaire comprenant la question suivante : la règle du seuil des 50 doit-elle être maintenue, modifiée pour élever le seuil ou supprimée ? La question mérite en effet d’être posée. X (1) Article 22 de la loi « relative à l’informatique, aux fichiers et aux libertés », modifiée par la loi n° 2004-801 du 6 août 2004 (JO 22 oct. 2005). (2) Décret n° 2005-1309 du 20 octobre 2005 pris pour l’application de la loi du 6 janvier 1978, précité. (3) L’alinéa 2 de l’article 44 du décret précité prévoit quelques exceptions à cette règle : lorsque le responsable des traitements est une société qui est contrôlée au sens de l’article L. 233-3 du Code de commerce (le correspondant peut alors être désigné parmi les personnes au service de la société qui contrôle ou de l’une des sociétés contrôlées) ; lorsque le responsable des traitements est membre d’un GIE (le CIL peut alors être désigné parmi les personnes au service du GIE) ; lorsque le responsable des traitements fait partie d’un organisme regroupant des responsables de traitements d’un même secteur d’activités, il peut désigner un correspondant externe mandaté à cette fin (sont par exemple visés les syndicats professionnels, les fédérations d’associations ou d’entreprises, les établissements publics de coopération intercommunale et les conseils nationaux de professions). (4) Selon la formule de Frayssinet J., in Le décret n° 2005-1309 du 20 octobre 2005, RLDI 2005/11, n° 317, qui approuve cette règle. (5) Cnil, Guide du correspondant informatique et libertés, 2011, p. 6, <www. cnil.fr>. (6) Proposition de règlement du Parlement européen et du Conseil « relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données », COM(2012) 11 final. (7) L’article 22-III, alinéa 3, de la loi « Informatique et libertés » précise d’ailleurs également en ce sens que le « correspondant est une personne bénéficiant des qualifications requises pour exercer ses missions ». (8) L’article 35-1 du projet de règlement prévoit de rendre la désignation des « délégués à la protection des données » obligatoire pour les autorités ou organismes publics, pour les entreprises ayant plus de 250 employés et pour les organismes dont les activités de base consistent en des traitements qui « exigent un suivi régulier et systématique des personnes concernées ». (9) L’AFCDP (Association française des correspondants à la protection des données à caractère personnel) explique en ce sens qu’il est nécessaire que les organismes puissent désigner librement des CIL externes, notamment pour pallier l’absence de collaborateur possédant les compétences nécessaires et parce qu’il est difficile de recruter un salarié pour un tel emploi (lettre de l’AFCDP du 7 juin 2010, <www.afcdp.net>). 98 R E V U E L A M Y D R O I T D E L’ I M M A T É R I E L • J U I N 2 0 1 2 • N 0 8 3 Informatique I Médias I Communication