Episode I : Le Réveil du CIL

Le 28 février 2017, dans Analyse juridique, par Mariana Opris

DPO_ACTECILOn compte aujourd’hui environ 4000 CIL en France gérant un total de plus de 17 800 organismes, un chiffre qui s’épanouira naturellement jusque l’an prochain.

  • Pourquoi « s’épanouira » ? Parce que les métiers des NTIC sont aussi protéiformes que recherchés en fonction des besoins d’un organisme : le CIL rejoint le panel de ces nouvelles vocations, à l’instar des community managers, des data scientists, etc.
  • Pourquoi « naturellement » ? Parce qu’il n’est point besoin de s’appeler Madame Irma pour affirmer que l’actualité juridique vrombira l’an prochain sous le nouveau moteur du Règlement européen à la protection des données.

Mais alors, qu’est-ce que la profession de CIL (Correspondant Informatique et Libertés) ou DPO (Data Protection Officer) que représente t-elle pour un organisme face à la question commune à ces nouveaux métiers ? Et surtout : quelles conditions quant à sa désignation ?

Dura lex, sed lex

Avant toute chose, petit retour en arrière au 06 août 2004, date de la genèse de la profession…

Le statut de CIL est introduit à l’occasion de la refonte législative de la loi Informatique et Libertés du 06 janvier 1978. Le décret du 20 octobre 2005 vient en poser les bases applicatives : le Correspondant a comme mission principale de veiller à la gestion et à la protection (au sens global) des données à caractère personnel, traitées par un organisme. Ce maitre jedi des données doit donc maitriser un premier aspect de la Force, à savoir la bonne connaissance de son organisme et de ses différents services. Si le DPO reste principalement un individu disposant d’un bagage juridique, il doit également connaitre les processus métiers de l’organisme qui l’a désigné afin d’identifier les flux de données personnelles.

Deux qualités sont donc essentielles pour décider si on peut être DPO : savoir identifier les flux de données et interpréter les risques juridiques issus de cette identification.

CIL, Qui es-tu ?

Le CIL a alors un rôle de conseil, à l’instar des démarches majoritairement pédagogiques proposées par la Commission Nationale de l’Informatique et des Libertés (autorité chargée du respect des dispositions légales sur notre territoire).

Si le CIL est indépendant dans la poursuite de ses missions, il reste un collaborateur rattaché au Responsable de traitement. Ce responsable est la personne qui portera la responsabilité des non-conformités à la loi en ce qu’il a la capacité de créer des traitements et d’engager son organisme (Directeurs, Gérants, Président ou toute personne bénéficiant d’une délégation de pouvoir). Le CIL fait office de phare dans la nuit terrible de la non-conformité à la loi Informatique et Libertés et prévient des naufrages comme l’atteinte à la vie privée.

Le CIL fait donc des remontées régulières d’informations vers le responsable, en cas de mise en place d’un projet ou de constat d’une non-conformité qui fait courir un risque pour le dirigeant. En outre, La CNIL a maintes fois souligné que le CIL alerte le responsable, mais ne le dénonce à la Commission.

La logique est donc d’accompagner vers une mise en place ou pérennisation de la conformité tout en prenant en compte les intérêts légitimes de l’organisme. Il ne s’agit pas de se positionner en délateur pourfendeur des atteintes à la vie privée mais en véritable conseil.

A suivre : Episode II : La revanche du CIL

Auteur: Bertrand PLAU, Juriste NTIC, ACTECIL

Mots cls:  

Comments are closed.