Le correspondant informatique et libertés bientôt quasiment obligatoire
21 déc. 2015 - 10:37,
Communiqué
- AFCDPProtection des données personnelles: alors que ce sujet n’avait jamais retenu l’attention depuis la publication de la proposition de la Commission européenne, en janvier 2012, la question relative à la désignation des Délégués à la protection des données a donné lieu à de longues discussions dans le cadre du trilogue qui vient d’aboutir à Bruxelles.
Alors que ce sujet n’avait jamais retenu l’attention depuis la publication de la proposition de la Commission européenne pour remplacer la directive 95/46/CE sur la protection des données personnelles, en janvier 2012, la question relative à la désignation des délégués à la protection des données a donné lieu à de longues discussions dans le cadre du trilogue qui vient de se terminer à Bruxelles, la formule du délégué quasiment obligatoire semblant trop lourde pour le secteur public et pour les entreprises, notamment en période de crise.
Pour faire accepter la quasi-obligation de désigner un délégué ou DPO (Data protection officer), la Présidence luxembourgeoise a proposé une formulation de consensus, qui aurait limité la portée de la mesure au secteur public et, pour le secteur privé, aux seuls acteurs qui réalise du profiling à grande échelle et ceux qui traitent des données « sensibles ».
Ces efforts ont porté leurs fruits. Les responsables de traitement et les sous-traitants devront désigner un DPO s’ils appartiennent au secteur public, si leur activité les amène à réaliser du profiling à grande échelle ou si leur activité les amène à traiter (toujours à grande échelle) des données dites « sensibles » ou relatives à des condamnations. Dans la réalité, peu d’organismes échapperont à ces critères. Il est précisé, comme c’est le cas aujourd’hui, qu’un groupe peut désigner un seul DPO qui serait mutualisé, du moment qu’il est facilement joignable de chaque établissement. Les responsables de traitement peuvent aussi opter pour un délégué externe.
Le texte issu du trilogue a été voté en Commission LIBE (Parlement Européen) le 17 décembre, par quarante-huit votes pour, quatre contre et quatre abstentions. Le COREPER (Comité des représentants permanents) doit se prononcer ensuite très rapidement. Le projet de règlement pourra donc ensuite être voté par le Parlement européen en plénière (la prochaine est annoncée du 18 au 21 janvier), alors que le prochain Conseil des ministres de la Justice est prévu les 10 et 11 mars 2016. S’ouvrira alors une période intermédiaire de deux ans, durant laquelle les responsables de traitements devront continuer à respecter les règles de la loi Informatique et Libertés actuelles (et sans doute quelques dispositions qui proviendrait de la loi Numérique dont le projet va être examiné par le Parlement du 19 au 26 janvier) et se mettre en position d’appliquer le nouveau règlement.
C’est donc la fin annoncée de la formule actuelle qui laisse le choix aux responsables de traitement de désigner un CIL. À ce jour, 4.300 Correspondants Informatique et Libertés ont été désignés par 16.376 responsables de traitement, privés ou publics. Dans le cadre du basculement sur les nouvelles règles, l’AFCDP, association qui regroupe les professionnels de la conformité Informatique et Libertés et de la protection des données personnelles, demande que soit ménagée une « clause du grand-père» qui permettrait à ces CIL qui le souhaitent et qui répondent aux nouvelles exigences d'être confirmés dans leur fonction en tant que DPO, ceci pour capitaliser sur les travaux déjà réalisés et pour assurer la diffusion la plus large possible de l’esprit de la loi.
L’expérience accumulée ces dernières années montre clairement les avantages de la formule, la seule qui réduise réellement l’exposition du responsable de traitement aux risques juridiques, opérationnel, d’ordre pénal et en termes d’image et de réputation, dès lors que le Correspondant Informatique et Libertés est mis en position d’exercer efficacement ses missions. Le CIL est un acteur clé de la co-régulation, par la pratique.
Compte tenu de la forte augmentation des contraintes pour les responsables de traitement que va engendrer le règlement européen (notification des violations de données, réalisation d’étude d’impact, tenue d’une documentation prouvant la mise en conformité, etc.) et l’explosion annoncée du montant des sanctions financières, l’apport d’un professionnel en charge de la thématique, au plus près du terrain, est indispensable.
« C’est pourquoi nous appelons les responsables de traitement – chefs d’entreprise, mais aussi présidents de région et de départements, maires, présidents de centres hospitaliers et d’université – à désigner sans attendre leur Correspondant Informatique et Libertés qui les aidera à se préparer aux nouvelles règles qui vont être imposées par le règlement européen » ajoute Patrick Blum, CIL de l’Essec et Vice-président de l’AFCDP, en charge de la Commission « Métier ». La sélection du CIL doit naturellement se faire en tenant compte des exigences du futur règlement, les futurs DPO devant avoir les épaules plus larges que la plupart des CIL actuels (l’AFCDP anime une série de réunions pour accompagner ses membres vers cet objectif). Rappelons que le « CIL 2.0 » est le véritable pivot du règlement européen et qu’il devra être le garant de la conformité, veiller à la réalisation des analyses de risques et des études d’impacts, qu’il sera l’interlocuteur privilégié en cas de violation de données personnelles (et qu’il devra veiller à ce que cette violation soit documentée), qu’il sera l’interlocuteur principal des personnes concernées, qu’il devra veiller à ce que les demandes de droit d’accès soient satisfaites en un mois (au lieu de deux actuellement), etc.
D’ores et déjà, la période transitoire de deux ans pour se mettre en conformité avec les nouvelles contraintes issues du règlement européen parait bien courte pour bien des entités. Celles qui ont déjà désigné un CIL ont pris clairement une bonne longueur d’avance. Les autres doivent s’attacher les services d’un professionnel ou faire monter rapidement en compétences l’un de leurs collaborateurs – nous allons sans doute observer une pénurie de personnels formés et un rush vers les cursus de formation spécialisés.
Publication du nom du Data Protection Officer
Le texte apporte plusieurs modifications par rapport à la pratique actuelle. Ainsi les noms des « CIL 2.0 » seront rendu publics, ce qui n’est pas le cas aujourd’hui (la base de données ouverte mise en ligne par la CNIL n’indique que la raison sociale du responsable de traitement qui a désigné un CIL, mais pas le nom du correspondant). « L’AFCDP observe qu’avec le développement des réseaux sociaux professionnels il devenu courant de rendre publique sa fonction » commente Bruno Rasle, Délégué général de l’association, « Par ailleurs, la publication de son identité est une pratique déjà connue en France depuis plusieurs années concernant les Personnes responsables de l'accès aux documents administratifs désignées au titre de la loi CADA, sans que cela ne pose de problème. D’autre part, le CIL/DPO est un élément de pacification et de confiance, et le règlement confirme le rôle qu’il doit jouer dans la bonne gestion des demandes et réclamations des personnes concernées ». Dans ce contexte, l’AFCDP considère que la publication de l’identité du DPO ne présente pas de difficulté majeure. Elle sera par contre vigilante quant à la sécurité des personnes : il ne faudrait pas qu’une personne concernée, en litige avec un responsable de traitement, s’en prenne à son CIL 2.0 !
Liberté de désigner un DPO externe
La disposition française qui limite actuellement la possibilité pour un responsable de traitement français de désigner un DPO à l'extérieur de son organisme (moins de 50 salariés) disparaît dans le règlement, et l’AFCDP s’en félicite. Cela confère une certaine souplesse, chaque organisme étant le mieux placé pour décider selon le contexte et son degré de maturité en matière de conformité Informatique et Libertés quelle est la meilleure approche. « Nous ne privilégions ni le DPO externe ni le DPO interne, chaque formule présentant ses avantages » indique Paul-Olivier Gibert, Président de l’AFCDP, « Cette ouverture devrait également avoir un effet marquant sur le marché du travail, avec la création de nombreux postes de consultants spécialisés ».
C’est donc une semaine historique que viennent de vivre les CIL, qui se féliciteront sans doute du résultat du trilogue lors de leur prochaine « grand- messe », l’Université des Correspondants Informatique et Libertés, qui se tiendra à Paris le 27 janvier 2016, la veille de la journée mondiale de la protection des données à caractère personnel.
Pour tout complément : Paul-Olivier Gibert, [email protected]
A propos de l’AFCDP - www.afcdp.net
L’AFCDP a été créée dès 2004, dans le contexte de la modification de la Loi Informatique & Libertés qui a officialisé un nouveau métier, celui de « Correspondant à la protection des données à caractère personnel » (ou CIL, pour Correspondant Informatique & Libertés).
L’AFCDP est l’association représentative des CIL, mais elle rassemble largement. Au-delà des professionnels de la protection des données et des Correspondants désignés auprès de la CNIL, elle regroupe toutes les personnes intéressées par la protection des données à caractère personnel. La richesse de l’association réside – entre autres – dans la diversité des profils des adhérents : Correspondants Informatique & Libertés, délégués à la protection des données, juristes et avocats, spécialistes des ressources humaines, informaticiens, professionnels du marketing et du e-commerce, RSSI et experts en sécurité, qualiticiens, archivistes et Record Manager, déontologues, consultants, universitaires et étudiants.
Quelques membres de l’AFCDP : 3 Suisses, Accor, Adecco, AG2R La Mondiale, American Hospital of Paris, AXA, BP France, Carrefour, Cecurity.com, Caisse nationale des allocations familiales, Communauté Urbaine de Marseille Provence, Conseil Général de Seine-Maritime, CCIP, CPAM des Bouches du Rhône, Crédit Immobilier de France, Ecole Polytechnique, Fédération Nationale des Tiers de Confiance, Orange, IBM France, INRA, Groupe Casino, Legrand, Malakoff Mederic, Michelin, La Poste, Port autonome de Dunkerque, RATP, Région Haute Normandie, Région Lorraine, Sénat, SNCF, Ville de Paris, Ville de Saint-Etienne, Total...