L’évolution de la fonction CIL vers la fonction DPO – Partie 1/2

Le Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données définit dans la section 4, articles 37, 38 et 39 la désignation du Délégué à la Protection des Données, ses fonctions et ses missions. Le G29 a adopté le 13 décembre 2016 un « Guidelines on Data Protection Officers » afin d’aider les organismes à se mettre en conformité dans la désignation du DPO. Pourtant, un grand nombre d’organismes au sein de l’union se pose un grand nombre de questions dans l’interprétation de ces différents textes. Le DPO est-il simplement le nouveau nom du Correspondant à la Protection des données (CIL) pour la France ou s’agit-il d’une nouvelle fonction ? Comment intégrer la répartition des fonctions dans la gouvernance pour la sécurité des données à caractère personnel et la protection de la vie privée ?

1. Introduction

Nous nous intéresserons tout d’abord aux missions du Correspondant à la Protection des Données, (Correspondant Informatique et Libertés, pour la France) et aux évolutions vers la fonction de DPO (Data Protection Officer) présentée dans le GDPR (Règlement 2019/ : 679 du Parlement européen et du Conseil relatif à la protection et à la libre circulation de ces données, et abrogeant la directive 95/46/CE).

L’objectif étant de non seulement structurer l’organisation pour la protection de la vie privée et la sécurité des données à caractère personnel, mais aussi, et surtout de concevoir une gouvernance efficace, notamment avec les directions métiers et les services chargés de la mise en œuvre opérationnelle des traitements, harmonieuse, en fonction de la culture professionnelle de l’entité et conforme aux exigences du règlement.

2. La désignation et les missions du CIL

Nous allons analyser les types de désignation, les missions et les qualifications du CIL présentées dans la loi et comment les organismes ont intégré la fonction dans leur système de gouvernance. L’objectif est de modéliser trois types de maturité (naissante, moyenne et forte).

L’article 22 III de la loi du 6 janvier 1978 modifiée suite à la Directive européenne du 24 octobre 1995 définit que : « Les traitements pour lesquels le responsable a désigné un correspondant à la protection des données à caractère personnel chargé d’assurer, d’une manière indépendante, le respect des obligations prévues dans la présente loi sont dispensés des formalités prévues aux articles 23 et 24 sauf, lorsqu’un transfert de données à caractère personnel à destination d’un État non membre de la Communauté européenne est envisagé. La désignation du correspondant est notifiée à la CNIL. Elle est portée à la connaissance des instances représentatives du personnel. Le correspondant est une personne bénéficiant des qualifications requises pour exercer ces missions. Il tient une liste des traitements effectués immédiatement accessible à toute personne en faisant la demande et ne peut faire l’objet d’aucune sanction de la part de l’employeur du fait de l’accomplissement de ses missions … Il peut saisir la CNIL des difficultés qu’il rencontre dans l’exercice de ses missions ».

2.1 Les trois types de désignation

Trois types de désignation sont alors possibles de la part du Responsable du Traitement :

  • la désignation partielle : la désignation est faite seulement pour certains des traitements relevant des régimes de la dispense de déclaration, de la déclaration normale et de la déclaration simplifiée ;
  • la désignation générale : la désignation est faite pour l’ensemble des traitements relevant des régimes de la dispense de déclaration, de la déclaration normale et de la déclaration simplifiée ;
  • la désignation étendue : la désignation étendue est faite pour la totalité des traitements relevant de la responsabilité de celui qui désigne : les missions du CIL concernent également les traitements soumis au régime de la demande d’autorisation ou d’avis préalable.

Dans les trois cas, les traitements pour lesquels le responsable a désigné un CIL, chargé d’assurer, d’une manière indépendante, le respect des obligations prévues dans la présente loi sont dispensés des formalités prévues aux articles 23 (déclaration) et 24 (déclaration simplifiée).

La désignation d’un CIL permet donc d’alléger les formalités. Elle a pour effet d’exonérer les responsables de traitements de l’accomplissement de tout ou partie des formalités préalables leur incombant. L’idée directrice est donc d’assurer une meilleure application de la loi. La désignation du correspondant permet au responsable de traitements de mieux assurer les obligations qui lui incombent en application de la loi.

La désignation du CIL offre un vecteur de sécurité juridique, elle doit permettre de garantir la conformité de l’organisme à la LIL. Elle est bien sûr un facteur de simplification des formalités administratives (exonération de l’obligation de déclaration préalable des traitements ordinaires et courants), elle offre un accès personnalisé aux services de la CNIL (extranet, formations, suivi personnalisé…), elle donne la preuve d’un engagement éthique et citoyen.

Le CIL exerce sa mission directement auprès du Responsable des Traitements. Sa désignation n’entraîne aucun transfert de responsabilité. Le responsable des traitements demeure responsable de tous les manquements à la loi.

Le CIL ne peut faire l’objet d’aucune sanction de la part de l’employeur du fait de l’accomplissement de sa mission.

La responsabilité pénale d’un CIL doit toutefois pouvoir être retenue s’il enfreint intentionnellement la législation Informatique et Libertés ou s’il aide le Responsable des Traitements à violer la loi.

2.2 CIL interne ou externe

Le CIL interne est un employé du Responsable du Traitement connaissant bien l’activité et le fonctionnement interne de l’organisme.

Il est toutefois possible de désigner un CIL extérieur à l’organisme. Les possibilités de choix d’un CIL externe ne sont pas les mêmes pour toutes les structures :

  • le CIL interne : Le CIL est un employé du RT, de préférence connaissant bien l’activité et le fonctionnement interne de son entreprise ou administration ;
  • CIL externe : Il est toutefois possible de désigner un CIL extérieur à l’organisme. Les possibilités de choix d’un CIL externe ne sont pas les mêmes pour toutes les structures :– Pour les entreprises ayant moins de 50 personnes qui sont chargées de la mise en œuvre des traitements et qui y ont directement accès, c’est-à-dire les structures de petite, moyenne importance : le choix du CIL est ici entièrement libre, c’est-à-dire qu’il peut être un employé, un employé d’une autre entité ou un professionnel indépendant ;- Pour les entreprises ayant plus de 50 salariés qui sont chargées de la mise en œuvre des traitements ou qui y ont directement accès : le choix du CIL externe est limité et seul peut être désigné comme CIL un employé de l’organisme ou un salarié d’une des entités du groupe de sociétés auquel appartient l’organisme, un salarié du groupement économique dont est membre l’organisme, une personne mandatée à cet effet par un organisme professionnel, une personne mandatée à cet effet par un organisme regroupant des responsables de traitements d’un même secteur d’activité.
  • le CIL mutualisé : la fonction de CIL peut être mutualisée entre différents organismes publics et privés, dès lors que ceux-ci sont liés par des intérêts économiques communs ou appartiennent à un même secteur d’activité.

3. Les missions

Le correspondant ne reçoit aucune instruction pour l’exercice de sa mission (le Responsable des Traitements ou son représentant légal ne peut être désigné comme CIL).

Les fonctions ou activités exercées concurremment par le CIL ne doivent pas être susceptibles de provoquer un conflit d’intérêts avec l’exercice de sa mission (article 46 du décret d’application de 2005) :

  • diffuser une culture Informatique & Libertés ;
  • veiller en toute indépendance à l’application de la loi ;
  • tenir à jour la liste des traitements et assurer son accessibilité ;
  • définir une politique de protection de la vie privée ;
  • conseiller les acteurs concernés par le traitement des données à caractère personnel ;
  • fournir des recommandations à ces différents acteurs ;
  • réaliser la médiation entre les personnes concernées et le Responsable du Traitement ou le Responsable du Traitement et l’autorité de contrôle (la CNIL) ;
  • exercer un droit d’alerte auprès de l’autorité de contrôle en cas de manquements constatés de la part du Responsable du Traitement.

4. Les qualifications

La loi prévoit que le CIL est une personne bénéficiant des qualifications requises pour exercer ses missions. Ces compétences doivent porter tant sur l’informatique et les nouvelles technologies que sur la règlementation relative à la protection des données à caractère personnel. Elles doivent également avoir trait au domaine d’activité dans lequel il exerce ses fonctions.

Lorsque le CIL est une personne morale, cette condition de qualification doit être remplie par le préposé désigné par celle-ci pour mettre en œuvre les activités du correspondant.

Attention, la loi ne prévoit pas d’agrément et aucune exigence de diplôme. Toutefois, le CIL doit disposer de compétences variées et adaptées à la taille comme à l’activité du Responsable du Traitement.

Lorsque le CIL ne dispose pas de l’ensemble des qualifications requises à la date de sa désignation, il devra les acquérir, notamment, en participant aux ateliers du CIL organisés par la CNIL.

5. La fonction CIL et les types de maturité face à la protection des données à caractère personnel

5.1 Les organismes en maturité naissante

Un très grand nombre d’organismes privés ou publics n’ont retenu que le gain de l’allègement des formalités dans la nomination d’un CIL. La nomination du Correspondant devient donc un véritable « alibi » de mise en conformité avec la loi.

Les autres missions sont sous-estimées, voire oubliées, notamment :

  • la mise en conformité opérationnelle et technique avec les normes simplifiées, les autorisations uniques, les actes règlementaires uniques par exemple sur les devoirs de durée de conservation/destruction ;
  • la formalisation des politiques et recommandations pour la protection de la vie privée ;
  • la mise en œuvre effective de ces politiques ;
  • la garantie de respect des droits de la personne concernée ;

De plus il est très courant que la fonction CIL soit partagée avec la mission de Directeur des systèmes d’information ou de Responsable sécurité système d’information. Si ce type de fusion de responsabilités sur le même poste semble faciliter les échanges culturels et d’expérience, il est contradictoire avec les principes de séparation des pouvoirs et des responsabilités liés aux fonctions de gouvernance et contrôle de conformité. Ce type d’organisation entraîne classiquement des situations de conflit d’intérêt ou a minima de divergences de vues dans la réalisation effective des traitements de données à caractère personnel.

Il est intéressant que certaines autorités de contrôle dans l’Union, telle que la Commission nationale pour la Protection des Données du Luxembourg refuse ce type de désignation.

Le point marqueur de ce type d’organisation en faible maturité est la mauvaise compréhension et donc la sous-utilisation de la voie fonctionnelle qui relie le CIL à la CNIL. En effet, comme évoqué plus haut le CIL, ne reçoit aucune instruction de la part du Responsable du Traitement et en cas de difficulté, le CIL doit pouvoir solliciter et alerter la CNIL en cas de manquement.

Pour synthétiser, les caractéristiques de ce type d’organisme sont la faible culture Informatique et Libertés (la mission du CIL est donc réduite à la tenue d’un Registre et la constitution d’un bilan annuel rappelant les actions de sensibilisation effectuées dans l’organisme), le faible engagement opérationnel pour le respect des droits de la personne concernée, l’absence de prise en compte des risques juridiques et techniques.

5.2 Les organismes en maturité moyenne

Les CIL de ces organismes ont su profiter non seulement de la voie fonctionnelle qui les relie à l’autorité de contrôle (la CNIL pour la France), mais aussi de la relation « privilégiée » qui les relie au Responsable des traitements. À force de sensibilisation, en mettant plus en avant le dommage de déficit d’image et la perte de confiance dans l’organisme que la peur de la sanction éventuelle, ils ont su récupérer des moyens et l’autorisation de déclencher des campagnes de sensibilisation, responsabilisation auprès de non seulement les directions métiers et les utilisateurs, mais aussi auprès des directions techniques chargées de la mise en œuvre opérationnelle des traitements.

Ils entretiennent la diffusion de la culture protection de la vie privée grâce à des outils de communication (posters, goodies, plaquettes de synthèse…). Ils mettent en œuvre un réseau de RILS (Relais Informatique et Libertés) dans les métiers afin de relayer les messages essentiels.

Ils ont su aller plus loin que la simple sensibilisation. Ils écrivent ou se font assister pour la formalisation des procédures de traitement des demandes des personnes concernées, ce qui a sans conteste augmenté la mise en conformité de leur organisme avec la loi.

Pourtant la situation n’est pas totalement satisfaisante. Les CIL de ce type d’organisme sont suivis et appuyés par le Responsable du Traitement essentiellement pour les actions non structurantes. L’organisation de campagnes de sensibilisation, la constitution d’un registre des traitements et la définition des procédures pour mieux traiter les demandes des personnes concernées, n’est que peu structurante pour l’organisme et notamment pour le système d’information qui les traite. L’organisme n’a que peu intégré la dimension sécurité des traitements. La sécurité est encore vue comme une affaire d’expert technique.

Dans ce type de cas, le Responsable des Traitements a donné son feu vert pour les actions citées, mais seule une partie du chemin est réalisée pour se mettre en conformité.

En effet, quelle est la nature de la relation du CIL avec le DSI, le directeur de la sécurité physique et le RSSI ? Les engagements de responsabilité du Responsable du Traitement vont-ils plus loin que la simple communication ? Les engagements annoncés pour la protection de la vie privée sont-ils corrélés avec :

  • des règles de sécurité physique pour le cloisonnement, et l’accueil, l’accès, la circulation des personnes externes ou internes dans l’organisme ;
  • des règles de protection pour limiter les risques divers de la protection physique (environnement, services essentiels…) ;
  • des exigences fonctionnelles et opérationnelles de sécurité logique et physique ;
  • des validations formelles des risques résiduels lors des projets manipulant des volumes importants de données à caractère personnel ou de données sensibles ;
  • de sensibilisations aux règles d’utilisation des supports d’informations sensibles ;
  • d’audits de sécurité.

Denis VIROLE
Directeur des services d’Ageris Group – Gérant de Virole Conseil Formation

La seconde partie de cet article sera publiée prochainement sur le blog, restez connectés 😉

Retrouvez cet article (et bien d’autres) dans MISC n°90, disponible sur la boutique et sur la plateforme de lecture en ligne Connect !

Laisser un commentaire