Les Correspondants Informatique et Libertés (CIL)

Cet article a été publié il y a 13 ans, 9 mois.
Il est probable que son contenu ne soit plus à jour.

Le 22 avril 2010, la formation contentieuse de la Commission nationale de l’informatique et des libertés (CNIL) adressait un avertissement public à l’encontre de la société Acadomia, spécialiste du soutien scolaire et des cours particuliers à domicile.

La CNIL a relevé, parmi d’autres manquements à la loi informatique et libertés : « La présence dans ses fichiers de milliers de commentaires excessifs, voire injurieux, tels que « gros con », « saloperie de gamin », « cancer du poumon tant mérité » ou encore « élève retourné en prison ». Ces commentaires concernaient des enseignants, des parents ou des élèves…

Mauvais élève en matière d’Informatique et libertés, Acadomia s’en sort plutôt bien. En effet, la CNIL, dont la mission est de protéger la vie privée et les libertés « dans un monde interconnecté », aurait pu se montrer plus dure envers le groupe. Depuis la loi du 6 août 2004, en effet, la formation contentieuse de la Commission, composée de six membres, peut prononcer des sanctions allant de l’avertissement à une amende maximale de 300.000 euros à l’encontre des responsables ne respectant pas la loi.

De même, et plutôt désastreux pour l’image, « En cas de mauvaise foi, la CNIL peut ordonner l’insertion de la décision de sanction dans la presse », est-il indiqué par la Commission.

Garantir la sécurité des données

Les entreprises ont bel et bien des obligations en matière de protection des salariés vis-à-vis des informations qu’elles détiennent et qui les concernent directement.

Vigilance donc au niveau des services ressources humaines qui concentrent désormais un grand nombre d’informations concernant les salariés, via l’outil informatique. L’ensemble du secteur des RH est concerné : recrutement, gestion des carrières et des compétences, suivi du temps de travail, etc.

La loi impose en effet que les entreprises garantissent la sécurité des données qui y sont traitées. Cette exigence se traduit par un ensemble de mesures que les détenteurs de fichiers doivent mettre en oeuvre, essentiellement par l’intermédiaire de leur direction des systèmes d’information (DSI) ou de leur responsable informatique, est-il indiqué auprès de la CNIL.

Nouvelle fonction obligatoire ?

Avec la réforme de la loi Informatique et libertés du 6 janvier 1978 en 2004, la fonction de Correspondant informatique et liberté (CIL), celui qui veille au grain, est apparue. Toujours facultative à ce jour, elle pourrait devenir obligatoire sous peu. C’est en tout cas l’un des axes de la proposition de loi Detraigne-Escoffier présentée à l’automne 2009.

En attendant et contre toute attente, le nombre de désignations de correspondants informatique et libertés a littéralement explosé en 2009 ! Une augmentation de 150% a été enregistrée, indique un membre de la Commission, et, au 31 décembre 2009, ce sont près de 6.000 organismes qui ont désigné un CIL !

L’avantage de nommer un CIL ?

Depuis la réforme de 2004, la loi Informatique, fichiers et libertés prévoit que les entreprises et collectivités publiques sont dispensées de déclaration normale ou simplifiée à la CNIL, du fait de leurs traitements de données à caractères personnel, si elles ont nommé en leur sein un « correspondant à la protection des données à caractère personnel »? le fameux correspondant informatique et libertés.

Le décret d’application de la loi Informatique et libertés, paru au Journal officiel le 22 octobre 2005, précise les conditions de nomination ainsi que les missions de ce correspondant.

Le CIL, quelles missions ?

Le CIL doit permettre au responsable de traitements de mieux respecter les obligations qui lui incombent, notamment les droits des personnes concernées (droit d’accès, droit de rectification et de radiation, droit d’opposition…).

D’une manière générale, il a pour mission de conseiller le responsable de traitements afin qu’il ne prenne pas des orientations stratégiques qui se révèlent, en pratique, incompatibles avec la loi «informatique et libertés». Il doit également l’alerter en cas de manquements afin d’éviter qu’il ne commette des infractions qui pourraient être pénalement sanctionnées. Le CIL apparaît ainsi comme source de sécurité juridique et témoigne des aspirations éthiques des organismes.

Quels profils ?

La plupart des CIL sont principalement désignés en interne et exercent leurs missions en plus de leur fonction principale. Néanmoins, l’année 2008 a été l’occasion de la mise en place opérationnelle, par certains acteurs économiques, de structures dédiées à la protection des données au service d’un CIL.

… Et quelles responsabilités ?

Le correspondant doit exercer ses missions de manière indépendante, ce qui nécessite une certaine autonomie d’action. Il doit également être directement rattaché au responsable de traitements afin de lui apporter les conseils et alertes nécessaires. Sa responsabilité en tant que CIL ne sera engagée qu’en cas de manquements graves dûment constatés et qui pourraient lui être imputés.

Comment déclarer à la CNIL ?

La déclaration est une obligation légale dont le non-respect est pénalement sanctionné.

Tout fichier ou traitement informatisé comportant des données personnelles doit donc être déclaré à la CNIL préalablement à sa mise en oeuvre, sauf s’il est expressément exonéré de déclaration. Cette formalité peut prendre plusieurs formes selon le fichier concerné.

Les déclarations peuvent être réalisées en ligne sur le site de la CNIL : www.cnil.fr, rubrique « déclarer » . )

Il suffit de réaliser une déclaration normale en ligne : la CNIL se chargera de qualifier le dossier et de contacter le déclarant.

Attention aux contrôles !

La loi de 2004 a profondément modifié les missions de la Commission. Ainsi, en 2003, dernière année d’application de la loi initiale de 1978, la CNIL adoptait 68 délibérations et procédait à moins de 15 contrôles sur place.

En 2008, la CNIL adoptait 588 délibérations et réalisait 218 contrôles sur place. En, 5 ans cinq ans, l’activité a crû de plus de 765 % pour les délibérations, et de 1534% pour les contrôles !

Recrutement, attention danger !

Les informations demandées sous quelque forme que ce soit au candidat à un emploi ont pour finalité d’apprécier sa capacité à occuper l’emploi proposé. Elles doivent présenter un lien direct et nécessaire avec l’emploi proposé ou avec l’évaluation des aptitudes professionnelles du candidat. 

La collecte des informations suivantes n’est pas autorisée, sauf cas particuliers justifiés par la nature très spécifique du poste à pourvoir ou par une obligation légale :

  • date d’entrée en France;
  • date de naturalisation;
  • modalités d’acquisition de la nationalité française;
  • nationalité d’origine;
  • numéros d’immatriculation ou d’affiliation aux régimes de sécurité sociale;
  • détail de la situation militaire : sous la forme « objecteur de conscience, ajourné, réformé, motifs d’exemption ou de réformation, arme, grade »;
  • adresse précédente;
  • entourage familial du candidat (nom, prénom, nationalité, profession et employeur du conjoint ainsi que nom, prénom, nationalité, profession, employeur, des parents, des beaux-parents, des frères et soeurs et des enfants);
  • état de santé, taille, poids, vue;
  • conditions de logement (propriétaire ou locataire);
  • vie associative;
  • domiciliation bancaire, emprunts souscrits, défauts de paiement.
  • Le CIL, la CNIL et la loi

    – La loi « Informatique et Libertés » du 6 janvier 1978, modifiée par la loi du 6 août 2004 est applicable dès lors qu’il existe un traitement automatisé ou un fichier manuel (c’est-à-dire un fichier informatique ou un fichier « papier ») contenant des informations relatives à des personnes physiques. Elle définit les principes à respecter lors de la collecte, du traitement et de la conservation de ces données et garantit un certain nombre de droits pour les personnes.

    – L’article 22 de la loi prévoit que la désignation d’un «correspondant à la protection des données personnelles», dit correspondant «informatique et libertés» (CIL), au sein d’une entreprise, une administration ou une collectivité locale dispense cet organisme des formalités déclaratives les plus courantes. Ces fichiers sont désormais inscrits dans un registre tenu par le CIL. En revanche, les traitements dits «sensibles», nécessitant une autorisation ou un avis, continuent à être soumis à la CNIL.

    Qu'avez-vous pensé de cet article ?

    Note moyenne de 0/5 basé sur 0 avis

    Soyez le premier à donner votre avis

    Laisser un commentaire

    Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *