lundi 23 octobre 2017

Accueil du site > Informatique > Internet > 260 correspondants de la Cnil, seulement !

260 correspondants de la Cnil, seulement !

Christine Peressini, 01 Informatique

lundi 11 décembre 2006, sélectionné par Spyworld

logo

Un an après l’instauration des CIL, le bilan est mitigé. Et il semble plus facile d’exercer cette mission dans l’informatique ou la sécurité des SI.

Ce n’est pas à proprement parler un raz-de-marée. La parution du décret du 22 octobre 2005 précisant les missions et les modalités de mise en place de correspondants informatique et libertés (CIL) n’a pas révolutionné les entreprises. En effet, en un an, seulement 260 correspondants ont été désignés par 500 organismes.

Mais leur nombre progresse régulièrement. Nathalie Metallinos, responsable de la cellule Correspondants à la direction juridique de la Cnil, se félicite de la « constitution de véritables réseaux » dans certains secteurs, comme l’assurance-maladie ou les retraites complémentaires. Ainsi, la CnamTS a désigné son correspondant national. Il anime le réseau de relais progressivement nommés dans les 129 caisses primaires.

Dans la plupart des entreprises, les CIL remplissent leur mission à temps partiel, en plus d’une activité professionnelle. Ainsi, 38 % d’entre eux travaillent dans le domaine de l’informatique ou à la sécurité des systèmes d’information (DSI, RSSI, etc.). « En choisissant ce correspondant au coeur du métier informatique, le responsable légal de l’entreprise a l’assurance qu’aucun traitement ne lui échappera », déclare Nathalie Metallinos.

Ainsi, la qualité d’autorité qualifiée en sécurité des systèmes d’information (AQSSI) du port autonome de Marseille facilite la tâche de Jacques Parent, premier correspondant désigné dans une entreprise. Les juristes (16 % des CIL) viennent en deuxième position, suivis des professionnels de l’audit et de la qualité (15 %).

Est-il avantageux ou non de désigner un correspondant Cnil ? Selon Ariane Mole, avocate chez Bird&Bird : « Il est impossible de donner une réponse unique. » Tout dépend du secteur d’activité de l’entreprise, de sa dimension nationale ou internationale, du type de traitement des données nominatives.

La désignation au sein de l’entreprise d’un CIL - dont le nom officiel est « correspondant à la protection des données à caractère personnel » - exonère des formalités de déclaration des traitements de gestion les plus courants. Mais, la mise en service des traitements sensibles, telle l’utilisation de technologies biométriques, reste soumise à une autorisation de la Cnil.

Un dispositif pourtant intéressant dans les PME

Chaque entreprise doit donc décider selon ses objectifs : « Une multinationale peut hésiter à désigner un CIL si son principal but consiste à être exonéré des déclarations auprès de la Cnil, note Ariane Mole. Car cette désignation n’allégera pas substantiellement le processus déclaratif puisque de nombreux flux de données sont effectués entre ses filiales. Or, dès lors que des données sont transférées hors de l’Union européenne, les traitements nominatifs concernés sont soumis à autorisation, même en cas de nomination d’un correspondant. Mais elle lui donnera l’assurance que quelqu’un veillera à la conformité à la loi des traitements. »

Au contraire, dans une PME, la désignation d’un correspondant peut s’avérer plus intéressante pour alléger le dispositif de déclarations. Mais, elle ne disposera pas toujours des ressources nécessaires.

A la Cnil, la cellule qui anime le réseau de correspondants joue actuellement un rôle d’assistance téléphonique de premier niveau. Le deuxième niveau étant assuré par les différents experts de la direction juridique. Mais les choses devraient encore s’améliorer puisqu’un extranet va bientôt être mis en place.

La démarche à suivre

Désignation du CIL en interne par le responsable du traitement (responsable légal de l’entreprise).

Information des représentants du personnel Ppar lettre recommandée avec avis de réception.

Notification à la Cnil, en remplissant le formulaire, téléchargeable sur le site de la commission (www.cnil.fr). Pour le moment, ce formulaire est envoyé sous la forme de courrier papier à la Cnil et contient deux signatures. Celle du CIL, qui doit accepter ses missions, et celle du responsable du traitement qui s’engage ainsi à lui donner les moyens de les remplir. La Cnil ne porte pas de jugement sur cette désignation, mais elle vérifie qu’il n’y ait pas d’incompatibilité de fonctions (directement ou par délégation) ou des conflits d’intérêts. Par exemple, le responsable légal ne peut pas être désigné comme correspondant.

Dans les trois mois de sa désignation, le correspondant doit dresser la liste des traitements de l’entreprise. Une liste qu’il devra ensuite tenir à jour.


Envoyer : Newsletter Imprimer : Imprimer Format PDF : Enregistrer au format PDF PartagerPartager :