La désignation d’un correspondant informatique et libertés (CIL) permet à la collectivité et à son e-administration de maîtriser les enjeux relatifs à la protection des données personnelles.
1. Un acteur au service de la conformité
Responsable des services mis en œuvre par la collectivité (état civil, listes électorales, paiement des cantines, action sociale, facturation de taxes et redevances, etc.), le maire peut voir sa responsabilité engagée en cas de non-respect des dispositions de la loi informatique et libertés. La désignation d’un CIL peut se révéler très utile.
Qu’il soit ingénieur, documentaliste, assistant de direction ou juriste, le correspondant informatiques et libertés (CIL) sensibilise la collectivité à la protection des données personnelles et peut intervenir dès la conception de dispositifs de vidéoprotection ou de téléservices permettant, par exemple, l’inscription scolaire. Il participe ainsi activement à la réduction des risques juridiques, des manquements à la loi du 6 janvier 1978 étant pénalement sanctionnés.
En effet, la collectivité doit garantir le respect des principes élémentaires de la loi informatique et libertés (principes de finalité, de proportionnalité des données, de conservation limitée dans le temps, de sécurité et de confidentialité) et s’assurer que les droits des personnes concernées sont effectifs (droit d’opposition, d’accès, de rectification…).
Par ailleurs, la désignation d’un CIL permet à la collectivité de s’exonérer de ses formalités déclaratives obligatoires pour les traitements courants. Seuls les traitements identifiés comme sensibles dans la loi demeurent soumis à autorisation.
La sécurité informatique de la collectivité figure également parmi les missions du CIL. Ce dernier doit s’assurer que toutes les précautions utiles ont été prises pour préserver la sécurité des données de la collectivité et, notamment, empêcher qu’elles soient déformées, endommagées ou que des personnes non autorisées y aient accès.
Le CIL constitue un véritable atout pour les collectivités par son rôle de conseil et de sensibilisation des agents.
2. Le profil du CIL
La loi informatique et libertés indique uniquement que le CIL est une personne qui bénéficie « des compétences et des qualifications requises pour exercer ses missions », sans autre précision. Aucun agrément n’est prévu et aucune exigence de diplôme n’est fixée. Il peut ainsi s’agir, sous certaines réserves, d’une personne physique ou morale, salariée ou non de l’organisme.
Le correspondant idéal aurait :
- une double compétence en droit et en informatique ;
- plusieurs années d’ancienneté dans l’organisme ;
- et serait chef de service ou d’un niveau de responsabilité équivalent.
Les deux derniers critères sont de nature à faciliter l’action du CIL car ils impliquent généralement une bonne connaissance des personnels clés au sein de l’organisme et des procédures en vigueur.
Le responsable de traitement ne peut pas être CIL. Ainsi, le maire ne peut pas être correspondant.
Cela ne signifie pas que le CIL agit seul et sans concertation. Au contraire, il peut et doit, dans certains cas, recueillir ou susciter l’avis d’autres personnes ou services concernés par l’exercice de ses missions. Toutefois, il arrête seul les décisions se rapportant à l’exercice de ses fonctions (avis, recommandations, audits, alertes…). Cependant, il n’y a pas de transfert de la responsabilité civile ou pénale sur le CIL concernant le respect de la loi informatique et libertés. Le responsable de traitement (le maire) conserve la pleine et entière responsabilité vis-à-vis des traitements mis en œuvre et de leur conformité à la loi.
3. Un service dédié de la Cnil
La désignation peut s’effectuer directement en ligne ou via un formulaire papier envoyé par lettre recommandée avec avis de réception à la Cnil. Un service entièrement dédié aux correspondants met à leur disposition un extranet dédié contenant de la documentation et des outils spécifiques, une ligne téléphonique et une adresse électronique directe, un suivi personnalisé des dossiers.
Le service des correspondants organise plus de 30 ateliers d’informations gratuits par an sur de nombreux thèmes (ressources humaines, collectivités locales, santé, sécurité, etc.), réservés exclusivement aux CIL.
Règlement européen : la désignation d’un CIL est aujourd'hui optionnelle. Mais le futur « délégué à la protection des données » sera au cœur du modèle proposé par le projet de règlement européen sur la protection des données. La désignation du CIL, dès à présent, permet donc aux collectivités de se préparer à ces nouveaux enjeux.
Service juridique de la Commission nationale de l’informatique et des libertés
