Constat >
|
|
Depuis deux ans, la CNIL insiste pour généraliser la loi « Informatique et Libertés ». Deux axes majeurs ont été apportés. La commission proposait d’une part l’adoption en juin 2005 d’une
déclaration simplifiée des fichiers clients et prospects. D’autre part, elle organise depuis octobre de cette même année la simplification administrative de la loi en délégant son application à des
personnes indépendantes de l’organisme de régulation : les Correspondants Informatique et Liberté (CIL).
L’objectif implicite est de rejoindre les autres pays européens qui ont déjà mis en place avec succès cette délégation auprès de « data protection officer »
(DPO), comme en Allemagne, aux Pays-Bas, en Suède ou au Luxembourg. Cette mesure a permis à nos voisins européens de
réduire la bureaucratie liée à l’enregistrement des fichiers. Cependant, l’apport essentiel du CIL, comme le souligne la CNIL, est son rôle de conseil et de pédagogie pour assurer une meilleure application de la loi informatique et libertés.
Le CIL est parfois appelé « correspondant à la protection des données à caractère
personnel », ou CPD.
 |
| numéro de |
TVA
Intracommunautaire |
conversion
depuis le
SIREN |
|
à partir de |
|
119€ |
|
 |
|
|
La CNIL précise le rôle du correspondant informatique et libertés
- Le CIL a vocation à être un interlocuteur spécialisé en matière de protection de données à caractère personnel, tant pour le responsable des traitements, que dans les rapports de ce dernier avec la CNIL.
- Le CIL se doit d’apporter une aide aux différents responsables des traitements de données personnelles. Il a un rôle de
conseil et de suivi pour le déploiement des projets informatiques et, plus largement, de la gestion de données à caractère personnel. Il propose les solutions permettant de concilier protection des libertés individuelles et intérêt légitime des professionnels.
Quel est l’intérêt du CIL pour les entreprises ou organisation ?
La désignation d’un CIL est facultative, mais elle permet d’être exonéré de l’obligation de déclaration préalable des traitements ordinaires et courants auprès de la Commission. Seuls les traitements identifiés comme sensibles dans la loi demeurent soumis à
autorisation et continuent à faire l’objet de formalités.
|
Méthode >
|
|
Les organisations qui possèdent un fichier contenant des données personnelles doivent-elles désigner un CIL ? Dans l’affirmative,
quelles sont les compétences requises ?
Faut-il recruter un CIL ?
La désignation d’un CIL n’est pas obligatoire, elle permet simplement dans le cas d’une organisation possédant d’importantes bases de données à caractère
personnel de simplifier certaines démarches.
Si des traitements fréquents sont appliqués ou si de nouvelles bases émergent
régulièrement, la désignation d’un CIL peut être un
atout.
Le recrutement interne ou l’externalisation de cette fonction dépend du nombre de salariés dans la société.
Lorsque l’entité compte moins de 50 salariés, la CNIL laisse libre choix à l’entreprise. Ainsi, dans les petites structures, il peut être difficile de trouver parmi les salariés des personnes disposant des qualifications et compétences nécessaires pour exercer les fonctions de correspondant. Dans ce cas, le correspondant peut être un collaborateur d’une autre entité (société du groupe, association, groupement etc.), ou encore un professionnel indépendant (avocat, expert comptable, consultant…)
Pour des entités plus importantes, ou pour celles mettant en œuvre des traitements plus
nombreux ou stratégiques, l’externalisation de cette fonction risque de ne pas répondre aux besoins de proximité et de disponibilité du correspondant.
|
| Text
mining |
| Forfait tout compris |
| -20%
à partir de |
|
1492€ 1193€
|
|
|
|
|
Définir les compétences d’un CIL
La CNIL ne propose pas de diplôme particulier pour reconnaître un CIL. En revanche, elle émet des conseils pour définir les qualifications nécessaires :
- Être une personne qualifiée : le correspondant doit disposer de compétences adaptées à la taille et à l’activité du responsable de traitement. Ces compétences et qualifications doivent porter sur :
- La législation relative à la protection des données à caractère personnel, principalement la connaissance de la loi « informatique et libertés »,
- une culture informatique et sur les nouvelles technologies, c’est-à-dire le vocabulaire informatique, les systèmes de gestion de données, les logiciels existants, les types de stockages, les mesures de cryptage, etc.
Si le droit n’évolue pas tous les jours, l’informatique est dans une aspiration beaucoup plus mouvante qui oblige le CIL à maintenir et perfectionner ses connaissances techniques.
- Une personne indépendante. Cependant, ce correspondant
doit être directement rattaché au responsable des traitements et son rôle doit être reconnu.
Mais, il doit aussi être à l’abri des conflits d’intérêt
(il ne peut donc être en même temps responsable des traitements). Enfin,
il doit être protégé des sanctions de l’employeur. Bien que
la loi ne fasse pas bénéficier le CIL d'un statut de salarié protégé, au même titre qu'un délégué du personnel.
Quelles sont les missions du CIL ?
Le correspondant a deux missions principales : tenir la liste des traitements et veiller à l’application de la loi – principalement conseiller, assurer la médiation, alerter et faire un bilan annuel.
La CNIL définit très précisément le contenu de la liste des
traitements.
Celle-ci doit comporter :
- Le nom et l’adresse du responsable du traitement et, le cas échéant, de son représentant.
- La ou les finalités du traitement.
- Le ou les services chargés de la mise en œuvre.
- L’indication de la fonction de la personne ou du service auprès desquels s’exerce le droit d’accès.
- Une description de la ou des catégories de personnes concernées et des données ou des catégories de données s’y rapportant.
- Les destinataires ou les catégories de destinataires auxquels les données sont susceptibles d’être communiquées.
- La durée de conservation des données traitées.
En définitive, le CIL permet d’assurer au sein de l’entreprise ou de l’organisation une meilleure adéquation des traitements de données avec les lois informatique et libertés.
Une fois validée, cette liste doit ensuite être régulièrement mise à
jour ; un rôle qui soutend une certaine pérennité dans la mission du CIL.
En savoir plus : visiter les pages et documents consacrés
au correspondant informatique et libertés sur le site de la CNIL (www.cnil.fr).
Flash Datalgo : Un
décret impose de nouvelles obligations contraignantes pour les fichiers
15-05-2007
Le décret du 25 mars 2007 qui précise certaines dispositions de la loi
« informatique et libertés » impose de nouvelles contraintes pour les
responsables des traitements informatiques de données à caractère personnel.
Les associations
sont désormais dispensées de déclaration à la CNIL 15-06-2006
La déclaration d'un fichier de membres ou donateurs d'une association ne fait
plus partie des formalités à mettre en œuvre auprès de la Commission Nationale
Informatique et Libertés.
La
CNIL simplifie la déclaration des fichiers de clients et de prospects mais
complique la gestion des contacts 15-07-2005
Afin de simplifier les démarches des entreprises, la CNIL a adopté le 7 juin
2005 une nouvelle norme relative à la gestion des fichiers de clients et de
prospects. Mais cette norme implique quelques transformations sur les bases de
données pour respecter les spécificités de conservation des données
nominatives.
Courrier électronique,
le virage à 180° de la CNIL 15-03-2005
Après avoir interdit l’envoi d’emails sans
consentement préalable des personnes prospectées, la CNIL redessine la Loi
de Confiance en l’Économie Numérique (LCEN) et autorise sous certaines
conditions l’opt-out.
Quels sont les impacts
de la nouvelle loi « informatique et libertés » sur vos bases de
données ? 15-10-2004 (actualisé le 29-11-2004)
Depuis le 8 août 2004, la loi sur les fichiers
informatiques apporte de nouvelles contraintes mais offre d’intéressantes
opportunités pour se mettre en règle. Qui, quand, comment… tout savoir sur
les différentes typologies de données nécessitant une déclaration.
|
