Article mis en ligne le 31 octobre 2005
Le décret d’application de la Loi informatique et libertés d’août 2004 est (enfin) paru le 22 octobre 2005. On en sait donc un peu plus sur le futur Correspondant Informatique et Libertés. Au-delà des textes, une chose semble désormais acquise : le CIL pourra être très utile, si l’on sait prendre de la distance vis-à-vis des raisons qui ont présidé à sa création.
Avec les 15 articles du titre III du décret d’application du 22 octobre 2005, le Correspondant Informatique et Libertés (CIL) dispose enfin d’un texte qui lui est entièrement consacré. Rappelons en effet que le CIL avait fait son apparition dans la nouvelle Loi informatique et libertés d’août 2004 à la faveur d’une quinzaine de lignes insérées dans un article par ailleurs consacré aux formalités préalables à effectuer vis-à-vis de la Cnil.
Désignation, révocation, statut, mission, bilan annuel d’activité : on en sait donc désormais un peu plus. Ainsi, est obtienue la confirmation que le CIL pourra être une personne morale et que l’externalisation de la fonction sera possible pour les plus petites structures.
Le décret est également intéressant du fait des termes qui n’y figurent pas comme le mot « indépendance ». Dès le départ, la principale difficulté relative au statut du CIL avait été la question de l’indépendance prévue par la Loi, sachant que le CIL ne bénéficie pas d’un statut de salarié protégé et qu’il demeure pourtant dans un rapport de subordination par rapport à son employeur (ou son client). Au cours du premier semestre 2005, plusieurs tentatives avaient été formulées pour contourner ou atténuer ce qui aurait pu constituer un point de blocage. Aux première assises de l’AFCDP (Association Française des Correspondants dont Cecurity.com est membre fondateur), le 21 avril 2005, un représentant de la Cnil avaient indiqué qu’il agissait essentiellement « d’indépendance d’esprit ». Alex Türk, Président de la Cnil ajoutait de son côté dans la même enceinte : « de toute façon, l’indépendance, cela n’existe pas. Personne n’est indépendant ».
Sur cette épineuse question, le décret apporte une forme de réponse en soulevant une nouvelle question. Assez curieusement, il est indiqué que le correspondant « exerce sa mission directement auprès du responsable des traitements » (comprendre son employeur ou son client) mais, dans le même temps, « il ne reçoit aucune instruction pour l’exercice de sa mission ». Il est permis de se demander si cette formulation va susciter un engouement chez les employeurs privés ou public pour une fonction qui, rappelons-le, est pour l’instant facultative.
La solution consistera vraisemblablement à désigner un salarié ou un prestataire envers lequel la direction de l’organisme aura une totale confiance. Avec une parfaite similitude de vue entre les acteurs sur les questions relatives au domaine informatique et libertés, il deviendra en pratique possible de se dispenser de transmettre des instructions et cela permettra de bénéficier des nombreux avantages procurés par un CIL.
En effet, et c’est là un des apports indéniable de la réflexion menée sur les CILs durant la longue attente du décret, il apparaît à l’évidence que le recours à un Correspondant est susceptible de procurer bien des avantages aux organisations qui se dote d’un tel profil. Les travaux menés par les adhérents de l’AFCDP ont ainsi permi de mettre en évidence « les 15 bonnes raisons pour désigner un correspondant ». Si certains aspects figuraient explicitement ou implicitement dans la loi (diminution des formalités, réduction du risque juridique), ce sont aussi des atouts très « business » qui ont été mis en évidence : valorisation de l’image de marque, mise en œuvre plus rapide des nouveaux traitements, réduction des coûts.
Pour en tirer pleinement partie, il faudra en revanche revenir sur certaines idées qui ont présidé à la création du dispositif :
- Censé contribuer à l’allégement de la charge de la Cnil, l’émergence des correspondants obligera en fait l’autorité administrative indépendante à mettre en œuvre des moyens humains pour animer le réseau de ces nouveaux professionnels ;
- Censé être utile pour les déclarations, le CIL sera en pratique particulièrement précieux pour les demandes d’autorisations à transmettre à la Cnil, c’est-à-dire pour la gestion des dossiers les plus sensibles au plan informatique et libertés ;
- Enfin, dans les entreprises les plus exposées aux risques données personnelles, il sera parfois judicieux de renoncer à opter pour le dispositif du CIL pour désigner un véritable « Privacy Manager », membre de la direction ou associé à elle, qui sera dégagé de certaines des contraintes imposées par la réglementation.
Dans un contexte général caractérisé par l’émergence des technologies de traçabilité (biométrie, RFID, signature électronique,.), l’essor de l’exploitation des données personnelles (CRM), l’exigence croissante du public en matière d’éthique et de transparence et le décollage des services de confiance, nul doute que les futurs Correspondants Informatique et Libertés sont appelés à connaître dans les toutes prochaines années un fabuleux destin.
Arnaud Belleil
A lire aussi