Protection des données : le correspondant informatique et libertés

Fiche pratique d’Alice de La Mure, juriste, service des CIL, Commission nationale de l’informatique et des libertés

Pour permettre aux organismes publics et privés d’exercer leur activité tout en protégeant les données personnelles traitées, il est possible depuis 2005 de désigner un correspondant informatique et libertés (CIL). Les responsables de collectivités locales disposent ainsi d’un précieux acteur de mise en conformité à la loi informatique et libertés.

A l’occasion des contrôles réalisés depuis 2010, la Commission nationale de l’informatique et des libertés (Cnil) a constaté que les collectivités territoriales méconnaissaient les règles de la protection des données.

Or, ces règles sont de plus en plus importantes dans un contexte de déploiement des technologies pour la gestion de fichiers aux objectifs variés (surveillance et sécurité des individus, mise à disposition de téléservices, de plateformes d’open data, etc.) et de multiplication des cyber-attaques.

La désignation d’un CIL constitue ainsi une opportunité pour limiter les risques encourus par les autorités responsables, comme l’atteste le nombre toujours croissant d’organismes y recourant, le mouvement de professionnalisation de la fonction (intégration de celle-ci dans le référentiel des métiers de Pôle emploi et du CNFPT en 2011 et 2012), ainsi que la volonté des institutions de l’Union européenne de la placer au cœur du prochain dispositif de régulation.

1. Qu’est-ce qu’un CIL ?

Définition du poste. Le correspondant informatique et libertés est la personne qu’un organisme va désigner volontairement pour bénéficier d’un accompagnement dans l’identification et le respect des diverses obligations prévues par la loi informatique et libertés. Il contribue ainsi à une meilleure application des règles relatives à la protection des données personnelles.

Corrélativement, il limite les risques liés à la méconnaissance desdites règles, laquelle peut notamment aboutir à engager la responsabilité personnelle, civile et pénale des représentants des collectivités locales.

Le profil du CIL n’étant pas défini légalement, il peut s’agir d’une personne physique ou morale, interne ou externe à l’organisme (employé de celui-ci, salarié d’une autre entité, professionnel indépendant, cabinet de consultants, etc.), dès lors qu’elle dispose des qualifications requises pour exercer la fonction.

Profils. Aucun agrément n’est prévu et aucune exigence de diplôme n’est fixée. En pratique, si des juristes et responsables informatiques sont majoritairement désignés, on compte également dans la profession des archivistes, des chargés de communication, des travailleurs sociaux, etc.

L’expérience a démontré que l’important résidait moins dans le parcours initial de la personne retenue que dans l’intérêt de celle-ci pour les questions « informatique et libertés », le soutien et les moyens qui lui seront apportés par le responsable des traitements (en particulier, la possibilité de se former, le temps laissé pour l’exercice de la fonction et la visibilité accordée vis-à-vis de l’ensemble des collaborateurs).

Fonction mutualisée. Au sein d’un groupement de collectivités, la fonction de correspondant peut être mutualisée. Un certain nombre de collectivités recourent déjà aux services de « CIL mutualisés », qui sont employés, soit par un centre de gestion de la fonction publique territoriale (ex. : CDG 60, CDG 54), soit par un syndicat mixte (ex. : ALPI), soit par un EPCI ou l’une des collectivités membres de cet EPCI (ex. : CIL de la ville de Nantes et de Nantes Métropole).

A noter. Une telle mutualisation apparaît particulièrement opportune en ce qu’elle permet aux collectivités de partager les coûts associés à l’introduction de la fonction, tout en bénéficiant d’un correspondant présentant la disponibilité et les expertises nécessaires à un bon exercice des missions.

2. Quelles sont les missions du CIL ?

Aux termes des textes, son action prend plusieurs formes. En premier lieu, le correspondant établit la liste des traitements effectués par l’organisme, et la tient à disposition de toute personne en faisant la demande.

En second lieu, le CIL veille à la bonne prise en compte des obligations légales, en fournissant toute recommandation utile aux responsables et services traitants, en s’assurant de l’effectivité des droits des personnes concernées par un suivi de leurs demandes, et en établissant un bilan annuel de ses activités.

Le CIL a ainsi vocation à piloter la mise en conformité de l’organisme, en axant en particulier ses actions sur la diffusion d’une culture « informatique et libertés » (sensibilisation des collaborateurs, élaboration d’outils pédagogiques, etc.).

A titre d’illustration, celui d’une collectivité veillera notamment à la proportionnalité des dispositifs déployés en matière de vidéosurveillance et de vidéoprotection.

Il s’assurera que les fichiers « sensibles » des services de police et d’aide sociale sont suffisamment sécurisés en n’étant accessibles que par les personnes habilitées et vérifiera que les mentions d’information légales figurent bien sur l’ensemble des formulaires de collecte de données.

Il communiquera également sur la nécessité de ne recueillir que les données strictement utiles à l’accomplissement de la démarche administrative ou à la délivrance de la prestation publique sollicitée, de ne conserver celles-ci que le temps requis par les besoins des services, de ne pas en faire une utilisation détournée (ex. : communication politique) et de répondre favorablement aux demandes d’accès et de rectification émanant des personnes concernées.

3. Quel est le statut du CIL ?

Autonomie d’action. Le correspondant exerce ses missions directement auprès du responsable des traitements et de façon indépendante. Il doit en conséquence disposer d’une autonomie d’action reconnue par tous et garantie par le respect d’un certain nombre de règles.

Ainsi, par principe et sur ce point, il est à l’abri des conflits d’intérêts (un DGS ne saurait être CIL), n’a pas de compte à rendre à son supérieur hiérarchique habituel et ne reçoit aucune instruction dans l’organisation de son travail, le développement de ses analyses et prises de position.

A noter. Une telle liberté ne signifie pas que le CIL agit seul et sans concertation. Bien au contraire, n’étant généralement pas expert sur toutes les questions susceptibles de se poser (niveau de sécurité du système d’information, réglementation propre à un domaine d’activité, etc.), et travaillant avant tout pour le compte de l’organisme l’ayant désigné, le correspondant doit en permanence travailler en collaboration avec les services traitants, s’appuyer sur leurs expérience et expertise, être à l’écoute de leurs besoins, problématiques particulières et tenir ainsi compte des exigences du terrain.

Responsabilités. En outre, le contrôle hiérarchique trouve pleinement à s’appliquer en pratique : le CIL reste placé sous l’autorité du responsable des traitements, dans la mesure où il doit lui rendre compte de son action (présentation de son bilan annuel d’activité, information sur les manquements constatés).

De même, ce dernier conserve un pouvoir de sanction disciplinaire puisqu’il peut décharger le correspondant de sa fonction en cas de manquements aux devoirs de ses missions.

Enfin, la désignation d’un CIL n’emporte pas un transfert de la responsabilité de la tête du représentant légal de l’organisme vers celle de ce dernier.

A noter. Le correspondant doit être perçu comme un outil, un appui, dont le responsable des traitements va se doter pour être accompagné dans la gestion des risques liés à d’éventuels manquements plus positivement, s’inscrire dans une démarche créatrice de transparence et de confiance à l’égard de l’ensemble des personnes concernées (agents publics, usagers, etc.).

4. Quels intérêts s’attachent à la désignation d’un CIL ?

Avantages. Le CIL est un vecteur de réduction des risques en plaçant l’organisme et son représentant à l’abri d’importantes sanctions civiles, administratives et pénales et en contribuant notamment à la cybersécurité des infrastructures techniques.

Ce point n’est guère négligeable au regard de la profusion des données personnelles intervenant dans la gestion des agents et usagers de l’administration.

La désignation d’un CIL témoigne également d’un attachement aux principes de protection de la vie privée, des droits et libertés, et constitue un facteur de valorisation de l’image de la collectivité, voire d’adhésion politique.

En outre, elle dispense l’organisme de la réalisation d’un certain nombre de formalités auprès de la Cnil, tout en lui offrant un accès personnalisé à ses services.

A noter. La collectivité ayant recruté un CIL dispose à la Cnil d’une équipe dédiée à l’accompagnement de cette communauté de professionnels, chargée de répondre quotidiennement à toutes leurs questions, de développer des outils pédagogiques et de dispenser des ateliers d’information spécialement à leur intention.

650 collectivités. Ces différents avantages expliquent la croissance exponentielle du nombre d’organismes ayant désigné un CIL en l’espace de dix ans : plus de 15 000 aujourd’hui, dont près de 650 collectivités territoriales et EPCI, soit près des trois quarts des régions, la moitié des départements, les deux tiers des communautés urbaines, 11% des communautés d’agglomération, 2% des communautés de communes et 1,5% des communes. Ces chiffres devraient augmenter sensiblement avec l’adoption prochaine du règlement européen sur la protection des données personnelles qui renforcera les obligations et risques de sanction des responsables de traitements.

A savoir. Pour désigner un CIL : 1/informer les représentants du personnel ; 2/renseigner le formulaire de désignation en ligne.