Le rôle du correspondant Cnil précisé
Il y a un peu plus d'un an, la loi Informatique fichiers et libertés était modifiée et introduisait, en droit français, la notion de correspondant à la protection des données à caractère personnel. Le 20 octobre dernier, le décret d'application a précisé les principales modalités selon lesquelles un correspondant pouvait être désigné.
Ce nouveau texte vient non seulement préciser le rôle du correspondant Cnil
mais également encadrer son activité.
Quel est le rôle du correspondant ?
Le correspondant peut permettre aux entreprises de déroger à certaines formalités déclaratives (1). Cette dispense ne concerne que les principaux traitements soumis aux formalités telles que déclaration simplifiée ou ordinaire. De plus, il doit veiller au respect des dispositions de la loi Informatique et libertés. C'est d'ailleurs clairement défini par l'article 49 du décret qui précise qu'il doit veiller au respect des obligations des traitements au titre desquels il a été désigné. Dans ce cadre, il peut faire toute recommandation au responsable desdits traitements et doit être consulté préalablement à la mise en œuvre de tous nouveaux traitements sur lesquels il veille. Il doit également recevoir et traiter les réclamations et demandes des personnes intéressées relatives aux traitements dont il détient la liste. Enfin, il est de sa responsabilité d'informer le responsable de ces traitements de tous manquements constatés, avant toute saisine de la Commission nationale de l'informatique et des libertés et d'établir un bilan annuel de ses activités, qu'il présente au responsable des traitements et qu'il tient à la disposition de la Commission.
Qui peut être correspondant ?
Lorsque plus de cinquante personnes sont chargées de la mise en œuvre ou ont directement accès aux traitements ou catégories de traitements automatisés pour lesquels le responsable entend désigner un correspondant à la protection des données à caractère personnel, seul peut être désigné un correspondant exclusivement attaché au service de la personne, de l'autorité publique ou de l'organisme, ou appartenant au service, qui met en œuvre ces traitements. Des exceptions à ce principe existent toutefois, s'agissant notamment des groupements d'intérêt économique ou bien encore d'organismes professionnels... Le décret du 20 octobre 2005 précise également et encadre les modalités d'exercice de la mission du correspondant. Dans ce cadre, le responsable des traitements ou le représentant légal ne peut être désigné, sachant que les fonctions ou activités exercées concurremment par le correspondant ne doivent pas être susceptibles de provoquer un conflit d'intérêt avec l'exercice de sa mission. Enfin, le correspondant à la protection des données à caractère personnel est indépendant et exerce sa mission directement auprès du responsable des traitements ; en conséquence, il ne doit recevoir aucune instruction pour l'exercice de sa mission.
Comment désigner un correspondant ?
Première règle : le correspondant doit bénéficier des qualifications requises pour exercer sa mission et d'une véritable indépendance. Deuxième règle : cette désignation doit toujours être portée à la connaissance des instances représentatives du personnel, avant toute notification à la Cnil, par lettre recommandée avec AR. Troisième règle : la notification de la désignation du correspondant doit être adressée par lettre recommandée à la Cnil. Cette désignation ne prendra effet qu'un mois après la date de réception à la Cnil. De même, les modalités selon lesquelles le correspondant est démissionnaire ou déchargé de ses fonctions sont expressément régis par ce nouveau décret. En effet, là encore, la Cnil doit être informée selon des conditions de forme précises tout en explicitant les motifs de démission ou de décharge. Enfin, notons que des modalités précises existent concernant les correspondants à la protection des données appartenant à un organisme de presse écrite ou audiovisuelle. (1) cf. Article dans Marketing Direct n° 88, novembre 2004.