Faut-il mettre en place un correspondant Cnil ?
Telle est la question qui se pose aujourd'hui, suite à l'adoption, le 6 août 2004, de la Loi modifiant la loi Informatique et Libertés. Qui a consacré la notion de responsable à la protection des données personnelles. Notion qui, avant même l'introduction de ce texte, commençait à apparaître dans plusieurs entreprises françaises.
La notion de correspondant à la protection des données à caractère
personnel a été introduite dans le chapitre 4 de la nouvelle loi, dédié aux
formalités préalables lors de la mise en œuvre des traitements. De par son
rôle, le correspondant peut permettre aux entreprises de déroger à certaines
formalités déclaratives. En effet, les traitements, pour lesquels le
responsable a désigné un correspondant, sont dispensés des formalités.
Toutefois, cette dispense ne concerne que les traitements soumis aux formalités
telles que déclaration simplifiée ou ordinaire. Ceux pour lesquels existent des
demandes d'autorisation, simples ou par décret ou arrêté, ne sont pas
dispensés. Il en est de même pour tout traitement de données à caractère
personnel lorsqu'un transfert de données est envisagé à destination d'un Etat
non membre de la Communauté européenne. L'absence de déclaration ne signifie
pas une dispense totale et, en fonction de la finalité des traitements mis en
œuvre, des traitements ou des informations y figurant, les formalités
déclaratives existeront. Son deuxième rôle essentiel est de veiller au respect
des dispositions de la loi Informatique et libertés. Il doit tenir un registre
des traitements et, de ce fait, identifier si la loi est respectée. Il peut
saisir la Cnil de toutes difficultés qu'il rencontre dans l'exercice de sa
mission. Troisième rôle : communiquer à toute personne qui en fait la demande
les informations relatives aux traitements de l'entreprise : dénomination,
finalités du traitement, identité et adresse du responsable du traitement et
fonction de la personne ou service auprès duquel s'exerce le droit d'accès. Un
autre rôle essentiel, non explicité dans la loi, s'entend de son rôle au titre
des demandes de droit d'accès. Le droit d'accès venant d'être extrêmement
enrichi, il appartient au correspondant de veiller à son respect, tout en
mettant en place une politique de confidentialité et de sécurité nécessaire à
son exercice.
Qui est le correspondant ?
La loi ne
prévoit pas si le correspondant s'entend d'une personne physique ou morale. Si
les deux options semblent envisageables, le législateur avait, dans un premier
temps, souhaité privilégier une personne physique. Compte tenu de son rôle, le
correspondant ne peut en effet faire l'objet d'aucune sanction de la part de
l'employeur du fait de l'accomplissement de sa mission. Une même analyse peut
être faite, au vu des travaux parlementaires, puisque deux modèles avaient été
débattus. A savoir celui de salarié protégé, représentant du personnel, et
celui de responsable à la protection des données. C'est cette dernière notion
qui a été retenue, le correspondant ne disposant pas, à ce jour, de droits
spécifiques eu égard au concept de salarié protégé. Toutefois, un principe
essentiel est posé par l'article 22-3,de la nouvelle loi, à savoir celui de
l'indépendance du correspondant. Vis-à-vis de ses employeurs et de son client.
Sa mission devra dès lors être clairement définie et acceptée formellement par
la personne désignée, qui doit disposer d'un réel pouvoir afin de mettre en
place et de veiller au respect de la loi. Une mission qui devra être encadrée
par un contrat ou une convention, réglant ses modalités.
Comment désigner un correspondant ?
Première règle : le correspondant doit
bénéficier des qualifications requises pour exercer sa mission et d'une
véritable indépendance. Deuxième règle : sa désignation doit être portée à la
connaissance des instances représentatives du personnel mais également de la
Cnil. Si sa désignation a été encadrée par l'article 22 de la loi nouvelle, sa
révocation l'a été également. En cas de non-respect des dispositions de la
loi, la Cnil peut enjoindre le responsable du traitement de procéder aux
formalités prévues aux articles 23 et 24 et dès lors, à effectuer les
déclarations simplifiées ou ordinaires. De même, en cas de manquement à ses
devoirs, le correspondant peut être déchargé de ses fonctions sur demande ou
après consultation de la Cnil. n