Correspondant Informatique et Libertés : quel bilan

Intervention du mercredi 23 janvier pour L’ADIJ
Correspondant Informatique et Libertés : quel bilan ?
Philippe Pays – Correspondant Informatique et Liberté externe
Mon profil
Consultant en informatique de gestion.
Après des études d’Expert-comptable et cinq ans passés en cabinet, je me suis orienté vers une
activité de consultant informatique.
Je suis resté dix ans salarié dans des sociétés de formation et de conseil, puis je me suis installé en
profession libérale à partir de 1996.
Mon activité d’ingénieur conseil s’exerce essentiellement auprès de PME et d’associations.
Mon activité de CIL
C’est en janvier 2006 que j’ai été, pour la première fois, désigné « Correspondant Informatique et
Liberté ». Depuis, trois autres nominations ont suivi.
Je suis donc actuellement le CIL de 3 sociétés et d’une association.
Dans trois cas, je suis à l’origine de cette nomination ; pour le quatrième cas, c’est le responsable
de la qualité et de la sécurité de l’entreprise qui m’a proposé cette mission.
L’association exerce son activité dans le domaine de l’aide à domicile.
Elle emploie environ 400 personnes. Cependant, la majorité de ces personnes sont des
intervenants. La partie administrative ne représente qu’une dizaine de salariés. J’ai donc estimé
que je pouvais être désigné CIL sans enfreindre « la limite des 50 personnes chargées de la
mise en œuvre ou de l’accès aux traitements ».
Deux des sociétés sont des filiales de groupes allemands. L’un dans le domaine de l’électronique ;
l’autre dans le domaine des biens d’équipement industriels. Elles ont respectivement 50 et 10
salariés.
La troisième société est la structure de distribution en France d’un designer Italien. Elle emploie
10 personnes.
Pour ces quatre entités, les traitements de données personnelles concernent surtout leur
personnel. Pour l’association et la société de distribution, ils concernent également les personnes
physiques qui constituent leur clientèle. L’association traite des données sensibles sur des
personnes considérées comme « fragiles ».
Ma démarche méthodologique
Les missions du CIL sont bien décrites dans la loi et dans les documents rédigés par la CNIL.
En revanche, le CIL doit définir lui-même ses méthodes de travail.
Ma première tâche fut d’organiser des séances d’information pour expliquer aux responsables des
entreprises le contenu de la loi « Informatique et Libertés » et le rôle du CIL.
Dans les PME, cette loi est très mal connue. En général, les responsables ne connaissent que
l’obligation de déclarer les fichiers et l’existence de la CNIL.
Ma seconde tâche fut d’informer les collaborateurs de ces entreprises de la création de la fonction
CIL et de ma nomination à cette fonction.
Pour cela, J’ai utilisé les procédés classiques d’information (affichage règlementaire, notes de
service) et aussi les méthodes actuelles, telles que l’ajout d’une rubrique CIL sur le site intranet.
Pour la réalisation de ma mission, je me suis inspiré de la « démarche qualité » mise en œuvre
dans les entreprises pour obtenir les certifications Iso.
Cette démarche repose sur les étapes suivantes :
1.
2.
3.
4.
5.
6.
Définition d’un référentiel.
Analyse de l’existant.
Détermination des écarts entre l’existant et le référentiel.
Définition d’une série d’actions destinées à la mise en conformité avec le référentiel.
Définition d’un calendrier pour ces actions.
Mise en place d’un outil de contrôle.
Pour le CIL, le référentiel est donné par la loi et les recommandations de la CNIL.
L’analyse de l’existant suppose un audit des traitements et des procédures. Dans le cas d’une
PME, cela ne représente pas un gros travail.
Parmi les actions qui ont été définies dans mes quatre dossiers, je peux citer, à titre d’exemple :
•
•
•
•
L’établissement de la liste des traitements.
La révision des documents (contrats, bons de commandes, questionnaires d’embauche).
L’élaboration de chartes informatiques et la modification du règlement intérieur.
La conception et la mise en production d’une page « CIL » sur le site intranet de
l’entreprise.
Dans tous les cas, j’ai trouvé dans l’entreprise un « pivot » ; c'est-à-dire une personne « interne »
sur laquelle je me suis appuyé pour faire avancer les actions.
Conclusions
Dans les PME, les traitements les plus sensibles ne sont pas toujours les applications principales
qui sont généralement des progiciels. En revanche, les auto développements sous Excel ou
Access sont souvent plus pernicieux car ils contiennent les données que les utilisateurs ne
pouvaient pas stocker dans les applications principales. Ce sont des traitements « clandestins ». Ils
échappent à la supervision de la direction et ne sont pas déclarés. Les personnes concernées les
ignorent.
La partie la moins bien traitée dans l’informatique d’une PME est la gestion de la durée de
conservation des données. Il n’y a aucune politique d’archivage.
La principale difficulté pour le correspondant externe consiste à ne pas être assimilé à un conseil
juridique. Au cours des réunions d’information, je me suis vu exposé à une multitude de
questions de droit. La question qui revient le plus souvent est « Ai-je le droit de faire …. ».
Le Cil doit faire comprendre au responsable des traitements que son rôle n’est pas d’autoriser les
traitements mais de les rendre transparents et licites. Il doit aussi s’assurer que les droits des
personnes sont bien respectés.