Correspondant informatique et libertés
Le correspondant informatique et libertés
Mots-clés :
correspondant informatique et libertés
Date :
03-11-2005
La nouvelle loi informatique et libertés prévoit, pour les responsables de traitement, la possibilité de nommer un correspondant informatique et libertés.
Le décret d'application de la loi Informatique et libertés, paru au Journal officiel le 22 octobre 2005, précise les conditions de nomination ainsi que les missions de ce correspondant.
L'avantage
La désignation d'un correspondant informatique et libertés permet de dispenser le responsable de traitement de déclaration. Elle n'emporte cependant pas dispense de demander l'autorisation ou l'avis de la CNIL dans les cas prévus par la loi, et n'est pas possible pour les traitements comportant des transferts de données personnelles hors de l'Union Européenne.
Les qualifications requises
La loi informatique et libertés prévoit que " le correspondant est une personne bénéficiant des qualifications requises pour exercer ses missions ".
Selon la CNIL le correspondant devrait ainsi avoir des compétences :
- "en informatique et en droit : on peut envisager de former un salarié déjà en place aux qualifications qui lui manquent ;
- en conseil et en management : le correspondant a un rôle d'information et d'audit de l'organisme ;
- en médiation et en pédagogie : le correspondant sera amené dans l'exercice de ses fonctions à permettre un dialogue entre le responsable du traitement, les personnes faisant l'objet du traitement, et la CNIL."
Les liens entre le correspondant et le responsable du traitement
- Pour les petites entités (lorsque moins de cinquante personnes sont chargées de la mise en oeuvre ou ont directement accès aux traitements), le correspondant peut être externe à l'organisme responsable de traitement.
- Lorsque plus de 50 personnes sont chargées de la mise en oeuvre ou ont directement accès aux traitements ou catégories de traitements automatisés pour lesquels le responsable entend désigner un correspondant à la protection des données à caractère personnel, le correspondant doit impérativement être interne à l'organisme responsable des traitements, sauf dans les cas suivants :
- Lorsque le responsable des traitements est une société qui contrôle ou qui est contrôlée au sens de l'article L. 233-3 du code de commerce, le correspondant peut être désigné parmi les personnes au service de la société qui contrôle, ou de l'une des sociétés contrôlées par cette dernière ;
- Lorsque le responsable des traitements est membre d'un groupement d'intérêt économique au sens du titre V du livre deuxième du code de commerce, le correspondant peut être désigné parmi les personnes au service dudit groupement ;
- Lorsque le responsable des traitements fait partie d'un organisme professionnel ou d'un organisme regroupant des responsables de traitements d'un même secteur d'activités, il peut désigner un correspondant mandaté à cette fin par cet organisme.
Les incompatibilités et les conflits d'intérêts
Le responsable des traitements ou son représentant légal ne peut être désigné comme correspondant.
Les fonctions ou activités exercées concurremment par le correspondant ne doivent pas être susceptibles de provoquer un conflit d'intérêts avec l'exercice de sa mission.
Les missions du correspondant
Le correspondant doit notamment :
- établir (dans les 3 mois suivant sa désignation) et actualiser régulièrement une liste des traitements automatisés mis en oeuvre au sein de l'établissement,
- tenir cette liste à la disposition de toute personne qui en fait la demande,
- veiller au respect des obligations prévues par la loi informatique et libertés pour les traitements au titre desquels il a été désigné, à cette fin, il peut faire toute recommandation au responsable des traitements,
- être consulté, préalablement à leur mise en oeuvre, sur l'ensemble des nouveaux traitements figurant sur la liste,
- recevoir les demandes et les réclamations des personnes intéressées relatives aux traitements sur la liste. Lorsqu'elles ne relèvent pas de sa responsabilité, il les transmet au responsable des traitements et en avise les intéressés,
- informer le responsable des traitements des manquements constatés avant toute saisine de la Commission nationale de l'informatique et des libertés,
- établir un bilan annuel de ses activités qu'il présente au responsable des traitements et qu'il tient à la disposition de la commission.
Les modalités d'exercice de ses missions
Le correspondant à la protection des données à caractère personnel exerce sa mission directement auprès du responsable des traitements.
Le correspondant ne reçoit aucune instruction pour l'exercice de sa mission.
Lorsqu'il est salarié du responsable de traitement, il ne peut faire l'objet d'aucune sanction de la part de l'employeur du fait de l'accomplissement de ses missions.
Les obligations du responsable de traitement
Le responsable des traitements doit fournir au correspondant tous les éléments lui permettant d'établir et d'actualiser régulièrement une liste des traitements automatisés mis en oeuvre au sein de l'établissement, du service ou de l'organisme au sein duquel il a été désigné.
La procédure de désignation du correspondant
La désignation d'un correspondant à la protection des données à caractère personnel par le responsable de traitements est notifiée à la CNIL par :
- lettre recommandée avec demande d'avis de réception, ou
- par remise au secrétariat de la commission contre reçu, ou
- par voie électronique avec accusé de réception qui peut être adressé par la même voie.
La désignation d'un correspondant à la protection des données à caractère personnel prend effet un mois après la date de réception de la notification par la CNIL.
Préalablement à la notification à la CNIL, la désignation du correspondant informatique et libertés est portée à la connaissance de l'instance représentative du personnel compétente par le responsable des traitements, par lettre recommandée avec demande d'avis de réception.
Le contenu de la notification à la CNIL
La notification à la CNIL doit contenir :
- Les nom, prénom, profession et coordonnées professionnelles du responsable des traitements, le cas échéant, ceux de son représentant, ainsi que ceux du correspondant informatique et libertés. Pour les personnes morales, la notification mentionne leur forme, leur dénomination, leur siège social ainsi que l'organe qui les représente légalement ;
- Lorsque le correspondant informatique et libertés est une personne morale, les mêmes renseignements concernant le préposé que la personne morale a désigné pour exercer les missions de correspondant ;
- Si la désignation est faite seulement pour certains traitements ou catégories de traitements, l'énumération de ceux-ci ;
- La nature des liens juridiques entre le correspondant et la personne, l'autorité publique, le service ou l'organisme auprès duquel il est appelé à exercer ses fonctions ;
- Tout élément relatif aux qualifications ou références professionnelles du correspondant et, le cas échéant, de son préposé en rapport avec cette fonction ;
- Les mesures prises par le responsable des traitements en vue de l'accomplissement par le correspondant de ses missions en matière de protection des données.
L'accord écrit de la personne désignée en qualité de correspondant est annexé à la notification.
Le contenu de la liste des traitements qui doit être établie par le correspondant Informatique et libertés
La liste doit préciser, pour chacun des traitements automatisés :
- Les nom et adresse du responsable du traitement et, le cas échéant, de son représentant ;
- La ou les finalités de traitement ;
- Le ou les services chargés de le mettre en oeuvre ;
- La fonction de la personne ou le service auprès duquel s'exerce le droit d'accès et de rectification ainsi que leurs coordonnées ;
- Une description des catégories de données traitées, ainsi que les catégories de personnes concernées par le traitement ;
- Les destinataires ou catégories de destinataires habilités à recevoir communication des données ;
- La durée de conservation des données traitées.
La liste doit être actualisée en cas de modification substantielle des traitements en cause.
Elle doit comporter la date et l'objet de ces mises à jour au cours des trois dernières années.
Lorsque la liste ne recense pas la totalité des traitements mis en oeuvre par le responsable, elle mentionne que d'autres traitements relevant du même responsable figurent sur la liste nationale mise à la disposition du public en application de l'article 31 de la loi du 6 janvier 1978.
La fin des fonctions du correspondant informatique et libertés
Il peut être mis fin aux fonctions du correspondant à la demande de la CNIL ou du responsable de traitement ou à l'initiative du correspondant.
A l'initiative de la CNIL lorsque le correspondant manque aux devoirs de sa mission :
Lorsque la Commission nationale de l'informatique et des libertés constate, après avoir recueilli ses observations, que le correspondant manque aux devoirs de sa mission, elle demande au responsable des traitements de le décharger de ses fonctions.
A l'initiative du responsable de traitement lorsque le correspondant manque aux devoirs de sa mission :
Le responsable de traitement doit alors :
- saisir la CNIL pour avis par lettre recommandée avec demande d'avis de réception, ce courrier doit comporter toutes précisions relatives aux faits dont il est fait grief,
- notifier cette saisine au correspondant par lettre recommandée avec demande d'avis de réception, en l'informant qu'il peut adresser ses observations à la Commission nationale de l'informatique et des libertés.
La Commission nationale de l'informatique et des libertés fait connaître son avis au responsable des traitements dans un délai d'un mois à compter de la réception de sa saisine.
Ce délai peut être renouvelé une fois sur décision motivée de son président.
Aucune décision mettant fin aux fonctions du correspondant ne peut intervenir avant l'expiration de ce délai.
Lorsque le correspondant est démissionnaire ou déchargé de ses fonctions (sans qu'ait été constatés de manquements aux devoirs de sa mission) :
Le responsable des traitements en informe la CNIL :
- par lettre recommandée avec demande d'avis de réception, ou
- par remise au secrétariat de la commission contre reçu, ou
- par voie électronique avec accusé de réception qui peut être adressé par la même voie.
La notification de cette décision mentionne en outre le motif de la démission ou de la décharge.
Cette décision prend effet huit jours après sa date de réception par la CNIL.
Hormis le cas du remplacement du correspondant, le responsable des traitements est alors tenu de procéder, dans le délai d'un mois, aux déclarations auprès de la CNIL pour l'ensemble des traitements qui s'en étaient trouvés dispensés du fait de la désignation à laquelle il est mis fin.
Hélène Lebon
Avocat à la Cour
Retour à la liste des articles
|