Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

CIL : le défenseur de la culture Informatique & Libertés

octobre 2010 par Emmanuelle Lamandé

La désignation d’un Correspondant Informatique & Libertés (CIL) en entreprise reste à ce jour facultative en France. Elle est toutefois vivement conseillée, et deviendra même obligatoire si la proposition de loi « Détraigne – Escoffier » est adoptée par l’Assemblée Nationale. Sans attendre cette décision réglementaire, de nombreuses entreprises ont d’ores et déjà choisi de s’inscrire dans cette démarche, comprenant très vite l’intérêt du CIL, garant de la culture Informatique et Libertés au sein de l’entreprise et de la conformité avec la loi. A l’occasion de sa dernière conférence, le CLUSIF revient sur les évolutions de ce métier « naissant » et les bonnes pratiques en la matière.

En l’état actuel des choses, il n’existe pas de profil type pour exercer la fonction de CIL en entreprise. Le plus souvent, ce sont les juristes, informaticiens, responsables qualité, …, qui sont désignés à ce poste. Néanmoins, n’importe qui peut l’être, du moment qu’il n’y ait aucun conflit d’intérêt entre les différentes missions du CIL dans l’entreprise, souligne Mathias Moulin, Chef du Service des CIL – CNIL. Par exemple, le Responsable du Traitement ne peut pas être CIL. Le correspondant peut également être une personne extérieure à l’entreprise, ou mutualisé.

Au sein de l’entreprise, le CIL a pour principales missions de :
- veiller à la conformité de la loi Informatique & Libertés ;
- dresser la liste des traitements mis en œuvre et tenir à jour ce registre ;
- il a également un rôle de conseil, de recommandation et d’alerte. S’il constate des manquements, il doit avertir le Responsable du Traitement. Si après plusieurs avertissements, rien n’est fait dans l’entreprise, le CIL devra en référer à la CNIL ;
- le CIL doit être consulté préalablement à la mise en œuvre des traitements ;
- il reçoit les réclamations et requêtes des personnes concernées par ces traitements ;
- enfin, il est de chargé de répondre aux demandes de droit d’accès, de rectification ou d’opposition.

Les missions du CIL doivent être clairement définies

Toutefois, l’activité du CIL dépasse parfois même le cadre des missions évoquées précédemment. Il peut également mener des actions pédagogiques, des formations en interne, mettre en place des missions d’audits, des études de risques, élaborer un code de bonne conduite, … Quelles que soient les missions du CIL, l’essentiel, pour Mathias Moulin, est de clairement les notifier noir sur blanc, mais aussi de définir les relais qui pourront l’accompagner dans sa fonction.

De son côté, la CNIL propose un certain nombre de services destinés à accompagner les CIL dans leurs missions. En effet, le SCIL (Service des Correspondants Informatique & Libertés) est chargé de fournir aide et assistance aux correspondants. Ce service propose des ateliers gratuits d’information, un extranet et une ligne téléphonique dédiés aux CIL. L’objectif est de développer et fédérer une communauté de CIL, mais aussi de leur offrir un service personnalisé.

Au sein du groupe Orange - France Télécom, le CIL, « c’est la nouveauté dans la continuité » souligne Marie-Gaëlle Choisy, Direction Juridique Groupe / CIL - Orange - France Télécom. Son groupe fut, en effet, l’un des premiers en France à désigner un CIL, suite à une directive chez France Telecom datant de 1992. « Avec 190 millions de clients et 190.000 personnes qui travaillent dans le groupe, sans compter la nature de nos activités, les données à caractère personnel sont partout ». Nombreuses sont donc les personnes concernées par les traitements mis en œuvre. La fonction de CIL s’est, en conséquent, inscrite tout naturellement dans les bonnes pratiques.

N’est pas CIL qui veut !

Pour Marie-Gaëlle Choisy, le CIL est un interlocuteur dédié spécialisé, tant pour l’entreprise que pour la CNIL. C’est un expert en matière de protection des données à caractère personnel pour l’entreprise et un intermédiaire dédié pour la CNIL. Il est chargé de diffuser la culture Informatique & Libertés, de faciliter les formalités préalables et de gérer les plaintes.

Néanmoins, n’est pas CIL qui veut ! Pour occuper ce poste, il faut, selon elle, très bien connaître les rouages de son entreprise. Ce n’est donc pas un travail de junior. Le correspondant doit avoir un minimum d’expérience dans l’entreprise. Elle souligne, en outre, l’importance de la double compétence, juridique et informatique.

CIL : un RoI rapidement visible

La désignation d’un CIL est certes un investissement, mais le RoI est rapidement visible, constate Frédéric Connes, Consultant Sécurité – HSC. Les principaux coûts que représentent le CIL pour une entreprise sont temporelles : à la fois liés au temps passé à préparer la désignation du correspondant et à celui consacré à l’exercice même de ces fonctions. Dans un premier temps, il faut, en effet, déterminer la personne qui sera Responsable des Traitements dans l’entreprise, celle qui fera office de CIL (salarié, externe, mutualisé), combien de personnes auront accès au traitement, quelles seront les mesures d’accompagnement du CIL, … Ensuite, le CIL devra, bien évidemment être formé (au droit, à l’informatique, …), au début mais aussi tout au long de l’exercice de sa fonction. Pour ce faire, il pourra suivre les sessions d’informations de la CNIL, faire appel à des organismes de formation, …

Mais, bien entendu, le temps consacré aux fonctions reste l’investissement principal, car les missions du CIL sont nombreuses : recenser les traitements, veiller au respect des obligations légales, conseiller et sensibiliser, faire de la veille, préparer un audit Informatique & Libertés, ainsi qu’un éventuel contrôle de la CNIL, rédiger le bilan annuel, … Néanmoins, rares sont les CIL qui exercent aujourd’hui cette fonction à temps plein ; la plupart le sont à temps partiel et ont un autre métier au sein de l’entreprise.

Même s’ils ne sont pas vraiment financiers, les coûts du CIL sont donc bel et bien réels. Toutefois, les actions menées par le CIL s’avèrent être un très bon RoI pour les entreprises. Outre le fait d’alléger les formalités de déclaration, elles permettent surtout aux responsables, de par la mise en conformité à la loi Informatique & Libertés, de dormir tranquille. D’ailleurs, aucun des organismes ayant désigné un CIL et été contrôlé par la CNIL n’a été à ce jour sanctionné, car conforme. La désignation d’un CIL ne doit donc pas être perçue comme une contrainte pour l’entreprise, mais bien comme une démarche qualité et une opportunité.

Ce métier nécessite un poste à temps complet

Pour Hélène Legras, CIL d’Areva, « on ne peut pas être CIL tout seul ». Le CIL est avant tout un coordinateur entre différentes fonctions indispensables à l’entreprise : risk manager, déontologue, DRH, directeur informatique, … Il devient un défenseur de la culture Informatique & Libertés au sein de son organisme. Cependant, son activité ne s’exerce pas uniquement en interne ; il rayonne également hors des frontières de son entreprise (formation, interview, membre d’associations professionnelles, …). D’ailleurs la synergie avec les autres CIL est un facteur essentiel à l’exercice de cette fonction.

En France, cette fonction est amenée à évoluer. « Ce métier nécessite qu’on y consacre beaucoup de temps » souligne-t-elle, « c’est pourquoi un poste à temps partiel n’est pas suffisant ». Hélène Legras prône ce qui pourrait à terme s’appeler « commissaire à la protection des données ». Si la proposition de loi « Détraigne – Escoffier » est adoptée par l’Assemblée Nationale, le caractère obligatoire du CIL donnera, selon elle, plus d’importance à la fonction, mais « ne risque-t-on pas de se retrouver avec encore plus de personnes qui ne savent pas vraiment ce qu’elles font là, ni quel est leur rôle ? » En outre, à l’heure actuelle, les réglementations entre les différents pays européens divergent à ce sujet, à quand une harmonisation européenne ? Quid au niveau international ?


Articles connexes:


Voir les articles précédents

    

Voir les articles suivants