|
Le correspondant à la protection des données à caractère personnel.
Introduit en 2004 à l’occasion de la refonte de la loi du 6 janvier 1978, le correspondant à la protection des données ou «correspondant informatique et libertés» est désormais un personnage incontournable dans le paysage de la protection des données à caractère personnel. Tous les responsables de traitement, qu’ils soient publics ou privés, qu’ils aient le statut d’associations, de collectivités locales ou de grandes administrations de l’Etat, qu’il s’agisse de PME-PMI ou d’entreprises multinationales, sont concernés.
Avec la parution du décret d’application de la loi informatique et libertés, les entreprises, les collectivités locales, les administrations, les associations peuvent désormais désigner un correspondant à la protection des données. Cette innovation majeure constitue un tournant dans l’application de la loi : l’accent est mis sur la pédagogie et le conseil en amont. En effet, désigner un correspondant permet certes de bénéficier d’un allègement des formalités déclaratives mais surtout de s’assurer que l’informatique de l’organisation se développera sans danger pour les droits des usagers, des clients et des salariés. C'est aussi pour les responsables de fichiers, le moyen de se garantir de nombreux risques vis-à-vis de l'application du droit en vigueur.
Un dispositif facultatif permettant d’alléger les formalités tout en assurant une meilleure application de la loi
La désignation d’un correspondant a pour effet d’exonérer les responsables des traitements de l’accomplissement de tout ou partie des formalités préalables leur incombant. Seuls les traitements relevant d’un régime d’autorisation ou comportant des transferts de données en dehors de l’Union européenne continueront à faire l’objet de formalités préalables.
La désignation du correspondant permet surtout au responsable de traitements de mieux assurer les obligations qui lui incombent en application de la loi et réduit d’autant le risque juridique. Sécurité, transparence, proportionnalité, respect de la finalité des traitements et des droits des personnes sont autant d’obligations incombant au responsable de traitement. De lourdes sanctions sont encourues en cas de manquements. En recourant au mécanisme du correspondant, le responsable de traitement dispose d’un interlocuteur spécialisé à même de le conseiller, d’émettre des recommandations, de faire de la pédagogie, voire de l’alerter en cas de dysfonctionnements graves.
Les principales caractéristiques de la fonction de correspondant
une personne pouvant agir de manière indépendante
Le correspondant est avant tout la personne pouvant répondre aux besoins spécifiques du responsable de traitement, disposant de la liberté d’action et de l’autorité indispensables à la préconisation de solutions organisationnelles ou technologiques qui pourraient ne pas recueillir immédiatement l’assentiment de la direction ou des services concernés.
Il doit ainsi être à l’abri des conflits d’intérêt. Le responsable de traitement, ainsi que par extension toutes les personnes exerçant par délégation de fait ou de droit les fonctions du responsable de traitement, ne peuvent être désignés comme correspondant.
une personne dotée de qualifications adaptées
Il devra nécessairement disposer des qualifications adaptées à la taille et à l’activité du responsable de traitement. Aucun agrément n’est prévu et aucune exigence de diplôme n’est fixée. Ces compétences et qualifications doivent porter tant sur la législation relative à la protection des données à caractère personnel que sur l’informatique et les nouvelles technologies, sans oublier le domaine d’activité propre du responsable des traitements.
une personne interne ou externe
Il peut être aussi bien interne qu’externe. Toutefois, les possibilités de choix d’un correspondant externe ne sont pas les mêmes pour tous les organismes. Au-delà d’un certain seuil, seuls peuvent être choisis comme correspondants des personnes se trouvant dans l’entourage économique de l’organisme qui le désigne.
Des moyens au service des correspondants
Pour aider les correspondants dans l’accomplissement de leurs missions, la CNIL a mis en place un service entièrement dédié avec pour objectif de les faire bénéficier, dans un délai très court, des conseils, de l'information et de l'orientation qui leur sont nécessaires pour développer leur action. Ceci signifie qu'ils feront l'objet d'un traitement prioritaire.
Ils seront invités à des échanges réguliers avec la CNIL qui, bien sûr, ne pourra prendre en charge l'ensemble de leur formation mais favorisera l’émergence d’enseignements adaptés, indispensables à l’exercice des missions du correspondant.
Les modalités de désignation
La CNIL doit être informée de la désignation d’un correspondant par lettre recommandée avec demande d’avis de réception. Cette notification s’effectue après information des instances représentatives du personnel à l’aide d’un formulaire spécifique.
Glossaire
-Données à caractère personnel
Toute information concernant une personne physique identifiée ou identifiable ("personne concernée"); est réputée identifiable une personne qui peut être identifiée, directement ou indirectement, notamment par référence à un numéro d'identification ou à un ou plusieurs éléments spécifiques, propres à son identité physique, physiologique, psychique, économique, culturelle ou sociale.
-Traitement de données à caractère personnel
Toute opération ou ensemble d'opérations effectuée(s) ou non à l'aide de procédés automatisés et appliquées à des données à caractère personnel, telles que la collecte, l'enregistrement, l'organisation, la conservation, l'adaptation ou la modification, l'extraction, la consultation, l'utilisation, la communication par transmission, diffusion ou toute autre forme de mise à disposition, le rapprochement ou l'interconnexion, ainsi que le verrouillage, l'effacement ou la destruction.
-Fichier de données à caractère personnel
Tout ensemble structuré de données à caractère personnel accessibles selon des critères déterminés, que cet ensemble soit centralisé, décentralisé ou réparti de manière fonctionnelle ou géographique.
-Responsable du traitement
L'institution ou organe communautaire, la direction générale, l'unité ou toute autre entité organisationnelle qui, seule ou conjointement avec d'autres, détermine les finalités et les moyens du traitement de données à caractère personnel; lorsque les finalités et les moyens du traitement sont déterminés par un acte communautaire spécifique, le responsable du traitement ou les critères spécifiques applicables pour le désigner peuvent être fixés par cet acte communautaire.
-Sous-traitant
La personne physique ou morale, l'autorité publique, le service ou tout autre organisme qui traite des données à caractère personnel pour le compte du responsable du traitement.
-Tiers
La personne physique ou morale, l'autorité publique, le service ou tout autre organisme autres que la personne concernée, le responsable du traitement, le sous-traitant et les personnes qui, placées sous l'autorité directe du responsable du traitement ou du sous-traitant, sont habilitées à traiter les données.
-Destinataire
La personne physique ou morale, l'autorité publique, le service ou tout autre organisme qui reçoit communication de données, qu'il s'agisse ou non d'un tiers; les autorités qui sont susceptibles de recevoir communication de données dans le cadre d'une mission d'enquête particulière ne sont toutefois pas considérées comme des destinataires.
-Consentement de la personne concernée
Toute manifestation de volonté, libre, spécifique et informée par laquelle la personne concernée accepte que des données à caractère personnel la concernant fassent l'objet d'un traitement.
-Utilisateur
Toute personne physique utilisant un réseau de télécommunications ou un équipement de terminal fonctionnant sous le contrôle d'une institution ou d'un organe communautaire.
PC-NTIC
Patrick CHAUDOIN
Consultant membre de l'AFCDP
|
