publicité

 

Réagir
Fiche pratique 05/06/2015

Protection des données : le correspondant informatique et libertés

par Auteur associé
Guide du correspondant informatique et libertés © Cnil

Conditions, modalités d’exercice et intérêts de cette fonction stratégique pour les collectivités, à l’heure où se renforcent les enjeux juridiques, techniques et politiques relatifs à la protection des personnes en matière de traitement de données.

Fiche pratique d’Alice de La Mure, juriste, service des CIL, Commission nationale de l’informatique et des libertés

 

Pour permettre aux organismes publics et privés d’exercer leur activité tout en protégeant les données personnelles traitées, il est possible depuis 2005 de désigner un correspondant informatique et libertés (CIL). Les responsables de collectivités locales disposent ainsi d’un précieux acteur de mise en conformité à la loi informatique et libertés.

A l’occasion des contrôles réalisés depuis 2010, la Commission nationale de l’informatique et des libertés (Cnil) a constaté que les collectivités territoriales méconnaissaient les règles de la protection des données.

Or, ces règles sont de plus en plus importantes dans un contexte de déploiement des technologies pour la gestion de fichiers aux objectifs variés (surveillance et sécurité des individus, mise à disposition de téléservices, de plateformes d’open data, etc.) et de multiplication des cyber-attaques.

La désignation d’un CIL constitue ainsi une opportunité pour limiter les risques encourus par les autorités responsables, comme l’atteste le nombre toujours croissant d’organismes y recourant, le mouvement de professionnalisation de la fonction (intégration de celle-ci dans le référentiel des métiers de Pôle emploi et du CNFPT en 2011 et 2012), ainsi que la volonté des institutions de l’Union européenne de la placer au cœur du prochain dispositif de régulation.

 

1. Qu’est-ce qu’un CIL ?

Définition du poste. Le correspondant informatique et libertés est la personne qu’un organisme va désigner volontairement pour bénéficier d’un accompagnement dans l’identification et le respect des diverses obligations prévues par la loi informatique et libertés. Il contribue ainsi à une meilleure application des règles relatives à la protection des données personnelles.

Corrélativement, il limite les risques liés à la méconnaissance desdites règles, laquelle peut notamment aboutir à engager la responsabilité personnelle, civile et pénale des représentants des collectivités locales.

Le profil du CIL n’étant pas défini légalement, il peut s’agir d’une personne physique ou morale, interne ou externe à l’organisme (employé de celui-ci, salarié d’une autre entité, professionnel indépendant, cabinet de consultants, etc.), dès lors qu’elle dispose des qualifications requises pour exercer la fonction.

Profils. Aucun agrément n’est prévu et aucune exigence de diplôme n’est fixée. En pratique, si des juristes et responsables informatiques sont majoritairement désignés, on compte également dans la profession des archivistes, des chargés de communication, des travailleurs sociaux, etc.

L’expérience a démontré que l’important résidait moins dans le parcours initial de la personne retenue que dans l’intérêt de celle-ci pour les questions « informatique et libertés », le soutien et les moyens qui lui seront apportés par le responsable des traitements (en particulier, la possibilité de se former, le temps laissé pour l’exercice de la fonction et la visibilité accordée vis-à-vis de l’ensemble des collaborateurs).

Fonction mutualisée. Au sein d’un groupement de collectivités, la fonction de correspondant peut être mutualisée. Un certain nombre de collectivités recourent déjà aux services de « CIL mutualisés », qui sont employés, soit par un centre de gestion de la fonction publique territoriale (ex. : CDG 60, CDG 54), soit par un syndicat mixte (ex. : ALPI), soit par un EPCI ou l’une des collectivités membres de cet EPCI (ex. : CIL de la ville de Nantes et de Nantes Métropole).

A noter. Une telle mutualisation apparaît particulièrement opportune en ce qu’elle permet aux collectivités de partager les coûts associés à l’introduction de la fonction, tout en bénéficiant d’un correspondant présentant la disponibilité et les expertises nécessaires à un bon exercice des missions.

 

2. Quelles sont les missions du CIL ?

Aux termes des textes, son action prend plusieurs formes. En premier lieu, le correspondant établit la liste des traitements effectués par l’organisme, et la tient à disposition de toute personne en faisant la demande.

En second lieu, le CIL veille à la bonne prise en compte des obligations légales, en fournissant toute recommandation utile aux responsables et services traitants, en s’assurant de l’effectivité des droits des personnes concernées par un suivi de leurs demandes, et en établissant un bilan annuel de ses activités.

Le CIL a ainsi vocation à piloter la mise en conformité de l’organisme, en axant en particulier ses actions sur la diffusion d’une culture « informatique et libertés » (sensibilisation des collaborateurs, élaboration d’outils pédagogiques, etc.).

A titre d’illustration, celui d’une collectivité veillera notamment à la proportionnalité des dispositifs déployés en matière de vidéosurveillance et de vidéoprotection.

Il s’assurera que les fichiers « sensibles » des services de police et d’aide sociale sont suffisamment sécurisés en n’étant accessibles que par les personnes habilitées et vérifiera que les mentions d’information légales figurent bien sur l’ensemble des formulaires de collecte de données.

Il communiquera également sur la nécessité de ne recueillir que les données strictement utiles à l’accomplissement de la démarche administrative ou à la délivrance de la prestation publique sollicitée, de ne conserver celles-ci que le temps requis par les besoins des services, de ne pas en faire une utilisation détournée (ex. : communication politique) et de répondre favorablement aux demandes d’accès et de rectification émanant des personnes concernées.

 

3. Quel est le statut du CIL ?

Autonomie d’action. Le correspondant exerce ses missions directement auprès du responsable des traitements et de façon indépendante. Il doit en conséquence disposer d’une autonomie d’action reconnue par tous et garantie par le respect d’un certain nombre de règles.

Ainsi, par principe et sur ce point, il est à l’abri des conflits d’intérêts (un DGS ne saurait être CIL), n’a pas de compte à rendre à son supérieur hiérarchique habituel et ne reçoit aucune instruction dans l’organisation de son travail, le développement de ses analyses et prises de position.

A noter. Une telle liberté ne signifie pas que le CIL agit seul et sans concertation. Bien au contraire, n’étant généralement pas expert sur toutes les questions susceptibles de se poser (niveau de sécurité du système d’information, réglementation propre à un domaine d’activité, etc.), et travaillant avant tout pour le compte de l’organisme l’ayant désigné, le correspondant doit en permanence travailler en collaboration avec les services traitants, s’appuyer sur leurs expérience et expertise, être à l’écoute de leurs besoins, problématiques particulières et tenir ainsi compte des exigences du terrain.

 

Responsabilités. En outre, le contrôle hiérarchique trouve pleinement à s’appliquer en pratique : le CIL reste placé sous l’autorité du responsable des traitements, dans la mesure où il doit lui rendre compte de son action (présentation de son bilan annuel d’activité, information sur les manquements constatés).

De même, ce dernier conserve un pouvoir de sanction disciplinaire puisqu’il peut décharger le correspondant de sa fonction en cas de manquements aux devoirs de ses missions.

Enfin, la désignation d’un CIL n’emporte pas un transfert de la responsabilité de la tête du représentant légal de l’organisme vers celle de ce dernier.

A noter. Le correspondant doit être perçu comme un outil, un appui, dont le responsable des traitements va se doter pour être accompagné dans la gestion des risques liés à d’éventuels manquements plus positivement, s’inscrire dans une démarche créatrice de transparence et de confiance à l’égard de l’ensemble des personnes concernées (agents publics, usagers, etc.).

 

4. Quels intérêts s’attachent à la désignation d’un CIL ?

Avantages. Le CIL est un vecteur de réduction des risques en plaçant l’organisme et son représentant à l’abri d’importantes sanctions civiles, administratives et pénales et en contribuant notamment à la cybersécurité des infrastructures techniques.

Ce point n’est guère négligeable au regard de la profusion des données personnelles intervenant dans la gestion des agents et usagers de l’administration.

La désignation d’un CIL témoigne également d’un attachement aux principes de protection de la vie privée, des droits et libertés, et constitue un facteur de valorisation de l’image de la collectivité, voire d’adhésion politique.

En outre, elle dispense l’organisme de la réalisation d’un certain nombre de formalités auprès de la Cnil, tout en lui offrant un accès personnalisé à ses services.

A noter. La collectivité ayant recruté un CIL dispose à la Cnil d’une équipe dédiée à l’accompagnement de cette communauté de professionnels, chargée de répondre quotidiennement à toutes leurs questions, de développer des outils pédagogiques et de dispenser des ateliers d’information spécialement à leur intention.

 

650 collectivités. Ces différents avantages expliquent la croissance exponentielle du nombre d’organismes ayant désigné un CIL en l’espace de dix ans : plus de 15 000 aujourd’hui, dont près de 650 collectivités territoriales et EPCI, soit près des trois quarts des régions, la moitié des départements, les deux tiers des communautés urbaines, 11% des communautés d’agglomération, 2% des communautés de communes et 1,5% des communes. Ces chiffres devraient augmenter sensiblement avec l’adoption prochaine du règlement européen sur la protection des données personnelles qui renforcera les obligations et risques de sanction des responsables de traitements.

A savoir. Pour désigner un CIL : 1/informer les représentants du personnel ; 2/renseigner le formulaire de désignation en ligne.

Références

  • Loi n° 78-17 du 6 janvier 1978 modifiée (article 22)
  • Décret d’application n° 2005-1309 (articles 42 à 55)
Approfondir le sujet
Thèmes

Réagissez à cet article

  1. Le problème concernant les mairies c’est que les maires pensent qu’ils n’ont aucune obligation en matière informatique et libertés. Ils pensent d’ailleurs que c’est l’État qui se porte garant pour eux des traitements qu’ils mettent en œuvre et de leur conformité. On part de loin !
    Dans le secteur privé on a bien compris l’intérêt de la désignation d’un CIL (stratégique, concurrentiel, transparence, diminution des risques d’atteinte à l’image, etc).
    Pour les mairies aucun de ces intérêts n’est en jeu, ce qui explique, hélas, l’indifférence de nos élus.

    La mutualisation de la fonction de CIL pour les petites mairies devrait être mieux organisée peut-être par les communautés de communes. Il reste en tout cas beaucoup de travail notamment en matière de sensibilisation.

    Comment les mairies vont bien pouvoir « encaisser » le choc du projet de règlement européen qui est en train de s’écrire actuellement? Nul doute que l’externalisation de la fonction de CIL permettra de répondre à la problématique si et uniquement si nos élus prennent enfin la mesure de la problématique.

    En attendant, seuls les contrôles de la CNIL permettent de faire remonter les manquements des mairies en matière de traitements de données à caractère personnel et de faire taire les sirènes de la vidéosurveillance installées de façon non respectueuse de libertés individuelles.
    Dégager un peu de budgets pour garantir le respect de la vie privée de leurs administrés ne serait pas stupide au regard des fortunes englouties dans les moyens de surveillance de masse. Deux poids deux mesures !
    La désignation obligatoire d’un CIL est certainement la solution qui serait la plus efficace.
    Vivement l’application du règlement européen, qui ne laissera plus le choix.

  2. Chèr-e AC2R
    Ne basons pas le nombre de CIL sur la prise en compte de la protection des données personnelles;
    De plus vous ne pouvez comparer le secteur privé et public sur leur intérêt à la désignation d’un CIL : Il n’existe pas de notion marchande dans le secteur public mais des notions de service public et d’intérêt général qui n’existe pas dans le privé (sauf délégation).
    Mais pour autant les collectivités et élus ne sont pas éloignés de ces questions et le nombre de CIL en augmentation le montre, tout comme dans le privé : c’est aussi un facteur de transparence et de confiance mais également de sécurité juridique pour les élus.
    Et même s’il n’y a pas de CIL (ce n’est pas une obligation) les élus et les agents du service public respectent la loi.
    Sinon (Un peu de démagogie ) :La loi existe pour tous depuis 1978 et pourtant seules 13 791 structures privées ont désignées un CIL (source CNIL) sur les 3,7 millions d’entreprises en France (source Insee 2015) : Cela signifie t’il que seulement 0 ,4% des entreprises respectent la loi ?
    Je passerais bien sûr sur les propos à la Big Brother qui ne reflète nullement la réalité, sinon je serais de mauvaise fois avec des exemples du privé.
    Pour conclure les élus et agents du service public ont ces problématiques en têtes et travaillent dans ce sens comme vous devez le faire dans le privé.
    Il n’y a pas deux poids deux mesures vu le nombre de contrôles, recommandations, que la CNIL fait sur les collectivités et ces dernières l’ont bien compris;
    N’opposons pas le public/privé surtout sur ces questions, sur lesquelles nous avons tant à travailler ensemble.

    Bien à vous

Laisser un commentaire

Vous pouvez utiliser ces balises et attributs HTML : <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>

publicité

Abonnez-vous