Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Isabelle Falque-Pierrotin, CNIL : l’avenir des CIL se dessine à Bruxelles

janvier 2012 par Emmanuelle Lamandé

L’Université AFCDP des CIL a réuni pour sa 6ème édition plus de 300 professionnels de la conformité à la loi Informatique et Libertés. L’occasion pour Isabelle Falque-Pierrotin, Présidente de la CNIL, de faire le point sur l’évolution du métier de CIL en France, mais aussi de débattre des grandes lignes du projet de révision de la Directive européenne de 1995, relative à la protection des données, qui se dessine actuellement à Bruxelles.

Paul-Olivier Gibert, Président de l’AFCDP, et Isabelle Falque-Pierrotin, Présidente de la CNIL

L’environnement dans lequel les CIL évoluent connaît des évolutions majeures. Le numérique a envahi nos vies ; Internet évolue vers un modèle cloud, basé sur un échange de services ; les données sont partout et de plus en plus stratégiques… « Les données à caractère personnel sont le pétrole du numérique » (Viviane Reding).
Dans cet environnement en mutation, la gestion des données à caractère personnel représente un enjeu de taille pour les entreprises. « Le régulateur que nous sommes ne peut pas à lui seul mettre en conformité cet environnement avec la Loi Informatique et Libertés » souligne Isabelle Falque-Pierrotin. « Nous avons besoin de partenaires. Les entreprises et, plus particulièrement, les CIL sont, dans cette démarche, nos premiers partenaires ».

Le métier de CIL représente donc un enjeu essentiel. « La CNIL soutient votre métier et continue à aider à son développement. On recense actuellement plus de 2700 CIL en France pour 9000 organismes concernés. Ce constat est plutôt positif, mais pourrait encore s’améliorer ».
Une étude menée par la CNIL en 2010 auprès de 18 organismes nous a permis de dessiner une vision des CIL en entreprise aujourd’hui, qui se veut assez contrastée. Trois situations apparaissent :
- Des CIL compétents et pleinement investis par leur hiérarchie ;
- Des CIL extrêmement motivés, mais non reconnus par leur hiérarchie ;
- Enfin, des CIL « de papier », qui n’ont pas un grand rôle et mènent peu d’actions.

Notre objectif est d’améliorer cette situation. Pour ce faire, il faut, dans un premier temps, comprendre pourquoi dans un certain nombre de cas, une méfiance persiste en entreprise et comment faire pour faire évoluer la place du CIL au sein de sa structure. La CNIL va d’ailleurs lancer en 2012 une consultation auprès des CIL, afin d’étudier les différentes propositions d’évolution de ce métier.

Révision de la Directive européenne : entre accord et inquiétude…

Un autre changement majeur est en train de se dessiner au niveau européen. En effet, la Directive européenne de 1995 relative à la protection des données à caractère personnel est en cours de révision. « Nous devons collectivement moderniser ce dispositif, afin de s’adapter à la fois au monde moderne tout en défendant les valeurs traditionnelles européennes d’humanisme ». La Commission européenne vient, en ce sens, d’adopter le 25 janvier dernier un projet de règlement européen et de directive réformant le cadre de la protection des données.

Cette proposition, portée par Viviane Reding, prévoit, entre autres, de rendre le CIL obligatoire pour les entreprises de plus de 250 salariés, et celles dont l’activité est basée sur le profilage des individus. Concernant ce point, la CNIL estime que c’est un signal positif, qui traduit la maturité de la dimension de CIL dans l’entreprise. Le caractère obligatoire serait à la fois une avancée et une reconnaissance de ce métier.

Le texte prévoit également d’étendre l’obligation de notification des failles de sécurité à toutes les entreprises. Cette obligation est aujourd’hui effective en France pour les opérateurs, suite à l’Ordonnance du 24 août 2011 venue transposée le Paquet Telecom. « Le dispositif de notification des failles de sécurité pour les opérateurs n’est pas encore tout à fait opérationnel. C’est un dispositif compliqué à mettre en œuvre, et nous réfléchissons encore aux meilleurs moyens de le mettre en œuvre de manière efficiente ».

La CNIL n’est cependant pas d’accord sur tous les aspects de cette proposition. Elle s’inquiète en particulier du risque d’éloignement entre les citoyens européens et leurs autorités nationales. En effet, en proposant que l’autorité compétente soit celle où se situe l’établissement principal d’une entreprise, quel que soit le public ciblé par son activité, la Commission européenne conduit les autorités nationales à ne jouer qu’un rôle de boîte aux lettres. Concrètement, cela signifie qu’en cas de problème pour un internaute sur un réseau social dont l’établissement principal est implanté dans un autre Etat membre, cette plainte sera traitée par l’autorité de ce dernier.

La CNIL considère que ce dispositif proposé par la Commission européenne conduirait à une centralisation de la régulation de la vie privée au profit d’un nombre limité d’autorités. Quelle serait d’ailleurs la place du CIL dans ce schéma : continuera-t-il à « être » en France ou deviendra-t-il européen ? Ce critère de la simplification du guichet unique donne lieu à beaucoup d’interrogations et de soucis. La CNIL aurait préféré une autorité plus distribuée et un système participatif, reposant sur une coopération approfondie entre autorités compétentes.

La commission vient de s’achever, laissant désormais place au débat parlementaire. « Toutefois, dans ce débat, la CNIL a encore son mot à dire et son rôle à jouer ». Il faudra certainement attendre 2014 pour que cette révision de la Directive européenne soit effective.

Cependant, ce n’est pas une raison pour les entreprises d’attendre que la législation l’impose pour prendre en compte ces problématiques. La protection des données à caractère personnel fait partie de la responsabilité sociétale et environnementale des entreprises. « Nous sommes d’ailleurs en train d’essayer de faire passer cette notion de vie privée dans le RSE, mais ce n’est pas chose facile ».

Quoiqu’il advienne, la CNIL et l’AFCDP continueront à travailler de concert autour d’un objectif commun. « Les relations qui nous unissent s’inscrivent dans la confiance et l’innovation. Nous souhaitons pérenniser nos échanges. L’AFCDP nous fait remonter ses interrogations, ce qui nous permet d’ajuster nos outils et conseils. De plus, dans cet environnement mouvant, nous devons innover ensemble, afin de faire en sorte que le métier de CIL puisse évoluer dans de bonnes conditions, respectueuses des droits et des libertés. Ce métier se trouve au cœur des évolutions constatées et je souhaite que nous puissions travailler et évoluer ensemble sur ces problématiques » conclut-elle.


Articles connexes:


Voir les articles précédents

    

Voir les articles suivants