En effet, tout responsable de traitement de données engage sa responsabilité civile et pénale s’il manque à des formalités de déclaration et de surveillance des traitements automatisés de données, ainsi qu’au respect des droits d’accès, de rectification et d’opposition des personnes concernées par ces traitements.
Véritable conseil du responsable du traitement de données, le correspondant joue un rôle d’interface entre l’entreprise, la CNIL et les personnes dont les données ont été collectées.
Sources et origines
Le décret d’application du 22 octobre 2005, issu de la nouvelle réforme de la loi de 1978, offre la possibilité à toutes les personnes morales de droit public et de droit privé, dès lors qu’elles procèdent à un traitement automatisé de données à caractère personnel, de désigner un correspondant informatique et libertés.
Innovation en France, ce rôle de médiateur existe déjà, sous différentes appellations, en Europe : ‘Datenschutzbeauftragte’ en Allemagne, ‘functionaris gegevensbescherming’en Suède, ‘personuppgiftsombud’ aux Pays Bas, ainsi qu’aux Etats-Unis : ‘Chief Privacy Officer’.
Les bénéfices de la désignation/missions du correspondant
Le correspondant joue le rôle d’interface entre la CNIL, le responsable du traitement, et les personnes dont les données ont été collectées.
Il décharge le responsable du traitement de ses obligations de déclaration, sa nomination permet une dispense de formalités de déclarations des traitements ordinaires, seuls les traitements considérés comme sensibles par la loi doivent obtenir une autorisation et restent assujettis à des formalités.
Il est le garant de la bonne application de la loi informatique et libertés au sein de l’entreprise, et conseille le responsable du traitement lorsque de nouveaux traitements sont mis en œuvre de même qu’il le prévient lorsqu’apparaît un risque de sanction.
A compter de sa nomination au sein de l’entreprise, le correspondant doit sous un délai de trois mois faire une liste de tous les traitements existants au sein de l’entreprise, qu’il actualisera si nécessaire et dont il délivra copie à toute personne qui en fera la demande.
En cas de manquement aux obligations de la loi informatique et libertés, le correspondant doit essayer de résoudre le problème en avertissant le responsable du traitement puis en saisissant la CNIL en dernier recours.
Enfin, le correspondant dresse un bilan annuel de ses activités qu’il présente au responsable du traitement et tient à la disposition de la CNIL.
Limite de la désignation
Si la désignation d’un correspondant contribue à réduire de façon significative les risques résultant d’une mauvaise application de la loi informatique et liberté, elle n’emporte toutefois, aucune exonération de responsabilité civile ou pénale du responsable du traitement. Il faut donc envisager le rôle du correspondant comme celui d’un ‘interlocuteur privilégié’ qui assiste le responsable du traitement.
La qualification du correspondant
La loi pose une condition à la nomination du correspondant : ce doit être une personne " bénéficiant des qualifications requises pour exercer ses missions ".
D’après la CNIL, le correspondant doit avoir des compétences dans des domaines aussi variés que l’informatique, le droit, le conseil, le management sans négliger un rôle pédagogique important, puisqu’il va en interne, collecter et centraliser les traitements qui devront être déclarés et répondre aux questions des différents intervenants mais aussi aux réclamations des personnes extérieures qui font l’objet du traitement.
Dans les entreprises où moins de cinquante personnes sont chargées de la mise en œuvre des traitements ou y ont directement accès, le responsable de traitement peut désigner comme correspondant une personne externe ( consultant, avocat, expert-comptable).
Dans les plus grosses entités, où plus de cinquante personnes sont chargées de la mise en œuvre des traitements ou y ont directement accès, la désignation du correspondant doit obligatoirement se faire en interne sauf si le responsable des traitements est un organisme professionnel, un GIE, ou un groupe de sociétés au sens de l’art. L. 233-3 du code de commerce.
Indépendance nécessaire / Incompatibilités de désignation
Le rôle de médiateur qu’exerce le correspondant nécessite une certaine indépendance vis-à-vis du responsable de traitement qu’il doit conseiller mais aussi diriger, en faisant preuve d’autorité afin de mener à bien l’exercice de sa mission. Par conséquent, il ne reçoit aucune instruction du responsable du traitement avec qui il travaille directement et ne peut faire l’objet d’aucune sanction de son employeur du fait de l’exercice de sa mission.
L’entreprise dispose toutefois d’un recours contre le correspondant qui aurait commis une faute dans l’exercice de ses missions, en invoquant sa responsabilité professionnelle devant le Tribunal de Grande Instance compétent.
Ce souci d’indépendance explique pourquoi le correspondant ne peut être en même temps le responsable du traitement, son représentant légal, ou plus généralement toute personne dont les activités sont susceptibles de provoquer un conflit d’intérêt avec l’exercice de sa mission
Nomination / Fin des fonctions de correspondant
La CNIL doit être informée aussi bien quand les fonctions du correspondant commencent ou se terminent.
La nomination du correspondant informatique et libertés est notifiée à la CNIL par le responsable du traitement, elle prend effet un mois à compter de la réception de la notification par la CNIL.
La fin des fonctions, quant à elle, résulte soit du choix du correspondant d’arrêter l’exercice de sa mission, soit de l’initiative de la CNIL ou du responsable du traitement lorsque le correspondant manque à ses devoirs.
La CNIL peut demander que le correspondant soit déchargé de ses fonctions lorsqu’elle constate des manquements dans l’exercice de sa mission.
Lorsque le responsable du traitement souhaite décharger de correspondant de sa mission, il doit saisir la CNIL et le notifier par lettre RAR au correspondant, la CNIL rendant un avis sous un délai d’un mois ne liant pas l’entreprise.
Enfin, lorsque le correspondant présente sa démission il doit avertir la CNIL des motifs de son départ, celui-ci prenant effet huit jours après la date de réception par la CNIL.
Si la fonction du correspondant n’est pas renouvelée, le responsable des traitements dispose alors d’un mois afin de procéder à toutes les déclarations des traitements qui en étaient dispensés du fait de la désignation du correspondant.
Xavière Caporal
Avocat à la Cour
7 rue Saint-Lazare - 75009 Paris
Tel : +33 (0) 1 47 66 31 16
Contact
|
