Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 





















Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Bruno Rasle – Délégué général de l’AFCDP : Le Correspondant Informatique et Libertés bientôt quasiment obligatoire

décembre 2015 par Marc Jacob

La maîtrise des risques liés au développement des technologies de l’information est aujourd’hui un enjeu stratégique pour tout organisme. Depuis 2004, ceux-ci peuvent désigner auprès de la CNIL un Correspondant Informatique et Libertés (CIL), qui est un vecteur de sécurité juridique, une source de sécurité informatique, la preuve d’un engagement éthique, un facteur de simplification administrative, un outil de valorisation du patrimoine informationnel et un facteur de différenciation.
Alors que ce sujet n’avait jamais retenu l’attention depuis la publication de la proposition de la Commission européenne pour remplacer la directive 95/46/CE sur la protection des données personnelles, en janvier 2012, la question relative à la désignation des délégués à la protection des données a donné lieu à de longues discussions dans le cadre du trilogue qui vient de se terminer à Bruxelles, la formule du délégué quasiment obligatoire semblant trop lourde pour le secteur public et pour les entreprises, notamment en période de crise.

Pour faire accepter la quasi-obligation de désigner un délégué ou DPO (Data protection officer), la Présidence luxembourgeoise a proposé une formulation de consensus, qui aurait limité la portée de la mesure au secteur public et, pour le secteur privé, aux seuls acteurs qui réalise du profiling à grande échelle et ceux qui traitent des données « sensibles ». Lors du trilogue, il a même été évoqué l’idée de moduler les missions du « CIL 2.0 » selon les états membres. De plus la présidence suggérait de donner un an de plus (trois au lieu de deux) aux responsables de traitement pour désigner un délégué à la protection des données.
Ces efforts ont porté leurs fruits. Les responsables de traitement et les sous-traitants devront désigner un DPO s’ils appartiennent au secteur public, si leur activité les amène à réaliser du « profiling » à grande échelle ou si leur activité les amène à traiter (toujours à grande échelle) des données dites « sensibles » ou relatives à des condamnations. Dans la réalité, peu d’organismes échapperont à ces critères. Il est précisé, comme c’est le cas aujourd’hui, qu’un groupe peut désigner un seul DPO qui serait mutualisé, du moment qu’il est facilement joignable de chaque établissement. Les responsables de traitement peuvent aussi opter pour un délégué externe.

Le texte issu du trilogue a été voté en Commission LIBE (Parlement Européen) le 17 décembre, par quarante-huit votes pour, quatre contre et quatre abstentions. Le COREPER (Comité des représentants permanents) doit se prononcer ensuite très rapidement. Le projet de règlement pourra donc ensuite être voté par le Parlement européen en plénière (la prochaine est annoncée du 18 au 21 janvier), alors que le prochain Conseil des ministres de la Justice est prévu les 10 et 11 mars 2016. S’ouvrira alors une période intermédiaire de deux ans, durant laquelle les responsables de traitements devront continuer à respecter les règles de la loi Informatique et Libertés actuelles (et sans doute quelques dispositions qui proviendrait de la loi Numérique dont le projet va être examiné par le Parlement du 19 au 26 janvier) et se mettre en position d’appliquer le nouveau règlement.

Pour une clause du « grand père »

C’est donc la fin annoncée de la formule actuelle qui laisse le choix aux responsables de traitement de désigner un CIL. À ce jour, 4.300 Correspondants Informatique et Libertés ont été désignés par 16.376 responsables de traitement, privés ou publics. Dans le cadre du basculement sur les nouvelles règles, l’AFCDP, association qui regroupe les professionnels de la conformité Informatique et Libertés et de la protection des données personnelles, demande que soit ménagée une « clause du grand-père » qui permettrait à ces CIL qui le souhaitent et qui répondent aux nouvelles exigences d’être confirmés dans leur fonction en tant que DPO, ceci pour capitaliser sur les travaux déjà réalisés et pour assurer la diffusion la plus large possible de l’esprit de la loi.

L’expérience accumulée ces dernières années montre clairement les avantages de la formule, la seule qui réduise réellement l’exposition du responsable de traitement aux risques juridiques, opérationnel, d’ordre pénal et en termes d’image et de réputation, dès lors que le Correspondant Informatique et Libertés est mis en position d’exercer efficacement ses missions. Le CIL est un acteur clé de la co-régulation, par la pratique.

Compte tenu de la forte augmentation des contraintes pour les responsables de traitement que va engendrer le règlement européen (notification des violations de données, réalisation d’étude d’impact, tenue d’une documentation prouvant la mise en conformité, etc.) et l’explosion annoncée du montant des sanctions financières, l’apport d’un professionnel en charge de la thématique, au plus près du terrain, est indispensable. Concernant le niveau des pénalités financières qui devraient bientôt s’imposer au niveau européen, il est intéressant de noter que, déjà, l’homologue britannique de la CNIL (l’ICO) vient d’infliger ces dernières semaine 200.000 £ de pénalités au service des condamnations de la Couronne (The Crown Prosecution Service) qui s’était fait voler les interviews vidéo de quarante-trois victimes et témoins, 130.000 £ à une pharmacie en ligne qui avait commercialisé les données de ses contacts à des tiers, et 200.000 £ à un acteur de la relation clients qui avait adressé des messages commerciaux non sollicités en grand nombre.

« C’est pourquoi nous appelons les responsables de traitement – chefs d’entreprise, mais aussi présidents de région et de départements, maires, présidents de centres hospitaliers et d’université – à désigner sans attendre leur Correspondant Informatique et Libertés qui les aidera à se préparer aux nouvelles règles qui vont être imposées par le règlement européen » ajoute Patrick Blum, CIL de l’Essec et Vice-président de l’AFCDP, en charge de la Commission « Métier ». La sélection du CIL doit naturellement se faire en tenant compte des exigences du futur règlement, les futurs DPO devant avoir les épaules plus larges que la plupart des CIL actuels (l’AFCDP anime une série de réunions pour accompagner ses membres vers cet objectif). Rappelons que le « CIL 2.0 » est le véritable pivot du règlement européen et qu’il devra être le garant de la conformité, veiller à la réalisation des analyses de risques et des études d’impacts, qu’il sera l’interlocuteur privilégié en cas de violation de données personnelles (et qu’il devra veiller à ce que cette violation soit documentée), qu’il sera l’interlocuteur principal des personnes concernées, qu’il devra veiller à ce que les demandes de droit d’accès soient satisfaites en un mois (au lieu de deux actuellement), etc.
D’ores et déjà, la période transitoire de deux ans pour se mettre en conformité avec les nouvelles contraintes issues du règlement européen parait bien courte pour bien des entités. Celles qui ont déjà désigné un CIL ont pris clairement une bonne longueur d’avance. Les autres doivent s’attacher les services d’un professionnel ou faire monter rapidement en compétences l’un de leurs collaborateurs – nous allons sans doute observer une pénurie de personnels formés et un rush vers les cursus de formation spécialisés.

Publication du nom du Data Protection Officer

Le texte apporte plusieurs modifications par rapport à la pratique actuelle. Ainsi les noms des « CIL 2.0 » seront rendu publics, ce qui n’est pas le cas aujourd’hui (la base de données ouverte mise en ligne par la CNIL n’indique que la raison sociale du responsable de traitement qui a désigné un CIL, mais pas le nom du correspondant). « L’AFCDP observe qu’avec le développement des réseaux sociaux professionnels il devenu courant de rendre publique sa fonction » commente Bruno Rasle, Délégué général de l’association, « Par ailleurs, la publication de son identité est une pratique déjà connue en France depuis plusieurs années concernant les Personnes responsables de l’accès aux documents administratifs désignées au titre de la loi CADA, sans que cela ne pose de problème. D’autre part, le CIL/DPO est un élément de pacification et de confiance, et le règlement confirme le rôle qu’il doit jouer dans la bonne gestion des demandes et réclamations des personnes concernées ». Dans ce contexte, l’AFCDP considère que la publication de l’identité du DPO ne présente pas de difficulté majeure. Elle sera par contre vigilante quant à la sécurité des personnes : il ne faudrait pas qu’une personne concernée, en litige avec un responsable de traitement, s’en prenne à son CIL 2.0 !

Liberté de désigner un DPO externe

La disposition française qui limite actuellement la possibilité pour un responsable de traitement français de désigner un DPO à l’extérieur de son organisme (moins de 50 salariés) disparaît dans le règlement, et l’AFCDP s’en félicite. Cela confère une certaine souplesse, chaque organisme étant le mieux placé pour décider selon le contexte et son degré de maturité en matière de conformité Informatique et Libertés quelle est la meilleure approche. « Nous ne privilégions ni le DPO externe ni le DPO interne, chaque formule présentant ses avantages » indique Paul-Olivier Gibert, Président de l’AFCDP, « Cette ouverture devrait également avoir un effet marquant sur le marché du travail, avec la création de nombreux postes de consultants spécialisés ».

C’est donc une semaine historique que viennent de vivre les CIL, qui se féliciteront sans doute du résultat du trilogue lors de leur prochaine « grand-messe », l’Université des Correspondants Informatique et Libertés, qui se tiendra à Paris le 27 janvier 2016, la veille de la journée mondiale de la protection des données à caractère personnel.

  (TIFF - 106 ko)

Voir les articles précédents

    

Voir les articles suivants