01net. | Actualités | Comparatifs et tests | Jeux | Astuces | Vidéo | Telecharger.com | Services | Forums
01net Pro Entreprise informatique
01net. web avec Google
Actualités gestion et logiciel informatique professionnel
Offre et recherche Emploi informatique internet
Salon conférences inofrmatique IT ebusiness 01
Informatique et TIC pour les PME TPE
Vidéos reportage entreprise acteur informatique
Retrouvez tous les services 01Net dédiés aux professionnels !
Télécharger logiciels Pro et progiciels
Livres blancs e-commerce informatique et nouvelles technologies
Retrouvez l'ensemble des dossiers de la rédaction 01net Entreprise
Les synthèses des bonnes pratiques sur les sujets IT du moment
01net Entreprises

260 correspondants de la Cnil, seulement !

Un an après l'instauration des CIL, le bilan est mitigé. Et il semble plus facile d'exercer cette mission dans l'informatique ou la sécurité des SI.
01net.
le 11/12/06 à 07h00
envoyer
par mail
imprimer
l'article
Ce n'est pas à proprement parler un raz-de-marée. La parution du décret du 22 octobre 2005 précisant les missions et les modalités de mise en place de correspondants informatique et libertés (CIL) n'a pas révolutionné les entreprises. En effet, en un an, seulement 260 correspondants ont été désignés par 500 organismes.
Mais leur nombre progresse régulièrement. Nathalie Metallinos, responsable de la cellule Correspondants à la direction juridique de la Cnil, se félicite de la ' constitution de véritables réseaux ' dans certains secteurs, comme l'assurance-maladie ou les retraites complémentaires. Ainsi, la CnamTS a désigné son correspondant national. Il anime le réseau de relais progressivement nommés dans les 129 caisses primaires.
Dans la plupart des entreprises, les CIL remplissent leur mission à temps partiel, en plus d'une activité professionnelle. Ainsi, 38 % d'entre eux travaillent dans le domaine de l'informatique ou à la sécurité des systèmes d'information (DSI, RSSI, etc.). ' En choisissant ce correspondant au c?"ur du métier informatique, le responsable légal de l'entreprise a l'assurance qu'aucun traitement ne lui échappera ', déclare Nathalie Metallinos.
Ainsi, la qualité d'autorité qualifiée en sécurité des systèmes d'information (AQSSI) du port autonome de Marseille facilite la tâche de Jacques Parent, premier correspondant désigné dans une entreprise. Les juristes (16 % des CIL) viennent en deuxième position, suivis des professionnels de l'audit et de la qualité (15 %).
Est-il avantageux ou non de désigner un correspondant Cnil ? Selon Ariane Mole, avocate chez Bird&Bird : ' Il est impossible de donner une réponse unique. ' Tout dépend du secteur d'activité de l'entreprise, de sa dimension nationale ou internationale, du type de traitement des données nominatives.
La désignation au sein de l'entreprise d'un CIL ?" dont le nom officiel est ' correspondant à la protection des données à caractère personnel ' ?" exonère des formalités de déclaration des traitements de gestion les plus courants. Mais, la mise en service des traitements sensibles, telle l'utilisation de technologies biométriques, reste soumise à une autorisation de la Cnil.

Un dispositif pourtant intéressant dans les PME

Chaque entreprise doit donc décider selon ses objectifs : ' Une multinationale peut hésiter à désigner un CIL si son principal but consiste à être exonéré des déclarations auprès de la Cnil, note Ariane Mole. Car cette désignation n'allégera pas substantiellement le processus déclaratif puisque de nombreux flux de données sont effectués entre ses filiales. Or, dès lors que des données sont transférées hors de l'Union européenne, les traitements nominatifs concernés sont soumis à autorisation, même en cas de nomination d'un correspondant. Mais elle lui donnera l'assurance que quelqu'un veillera à la conformité à la loi des traitements. '
Au contraire, dans une PME, la désignation d'un correspondant peut s'avérer plus intéressante pour alléger le dispositif de déclarations. Mais, elle ne disposera pas toujours des ressources nécessaires.
A la Cnil, la cellule qui anime le réseau de correspondants joue actuellement un rôle d'assistance téléphonique de premier niveau. Le deuxième niveau étant assuré par les différents experts de la direction juridique. Mais les choses devraient encore s'améliorer puisqu'un extranet va bientôt être mis en place.

La démarche à suivre

Désignation du CIL en interne par le responsable du traitement (responsable légal de l'entreprise).
Information des représentants du personnel Ppar lettre recommandée avec avis de réception.
Notification à la Cnil, en remplissant le formulaire, téléchargeable sur le site de la commission (www.cnil.fr). Pour le moment, ce formulaire est envoyé sous la forme de courrier papier à la Cnil et contient deux signatures. Celle du CIL, qui doit accepter ses missions, et celle du responsable du traitement qui s'engage ainsi à lui donner les moyens de les remplir. La Cnil ne porte pas de jugement sur cette désignation, mais elle vérifie qu'il n'y ait pas d'incompatibilité de fonctions (directement ou par délégation) ou des conflits d'intérêts. Par exemple, le responsable légal ne peut pas être désigné comme correspondant.
Dans les trois mois de sa désignation, le correspondant doit dresser la liste des traitements de l'entreprise. Une liste qu'il devra ensuite tenir à jour.

Le témoignage de Jacques Parent , CIL au port autonome de Marseille

Ma nomination en tant que correspondant informatique et libertés n'a pas véritablement augmenté ma charge de travail. Certes, je dois désormais tenir à jour le registre des traitements nominatifs de l'établissement. Mais j'y avais déjà accès. En effet, en tant qu'autorité qualifiée en sécurité des systèmes d'information (AQSSI), depuis 2000, je dois donner mon visa avant la mise en service de l'ensemble des traitements. J'établis des recommandations en matière de sécurité, celles-ci sont ensuite mises en ?"uvre par le DSI et le RSSI. Et concernant les traitements sensibles, j'instruisais déjà les dossiers de demandes d'autorisation que je transmettais à la Cnil.

En tant que gardien interne de l'application de la loi Informatique et liberté, mes interlocuteurs privilégiés sont la vingtaine de responsables des traitements que sont les directeurs des différents services du port. Je les informe sur les dispositions de la loi et joue un rôle de conseil. Ainsi, je leur fais des recommandations, mais je vérifie aussi sur le terrain si elles sont bien appliquées. Je m'appuie sur la DRH pour les actions de sensibilisation. En cas de problème, j'informe la direction générale des risques qu'elle prend. Mon pouvoir s'arrête là.

Un dirigeant d'entreprise ne doit pas désigner un CIL uniquement pour s'exonérer de formalités administratives. Il doit nommer avant tout un médiateur. La position indépendante que j'occupe dans l'établissement et ma connaissance de l'organisation facilite ce rôle de médiateur. Toutefois, si le correspondant est mal intentionné, il peut se servir de sa fonction pour entraver l'activité de son entreprise.

Parcours

Le point de vue du juriste : Ariane Mole (avocate au cabinet Bird&Bird)

Associée chargée des questions Informatique et libertés au sein de ce cabinet, elle accompagne, notamment, les entreprises avant la désignation de leur CIL. Ariane Mole propose ensuite une méthodologie de travail aux correspondants.

' Analyser préalablement les avantages et inconvénients '
' La mise en place d'un CIL présente de nombreux avantages, mais il faut préalablement définir ce que l'entreprise recherche : une mise en conformité par rapport à la loi Informatique et Libertés ? Une image de marque vis-à-vis du public ou vis-à-vis de la Cnil ? L'allégement des processus déclaratifs ? Un bilan sur les avantages et les inconvénients s'avère nécessaire. Le choix doit être fait en connaissance de cause. '

' Un choix dont il faut maîtriser les conséquences '
' La désignation d'un correspondant Cnil n'exonère pas le responsable légal de l'entreprise de sa responsabilité pénale en tant que responsable de traitements, en cas de violation de la loi Informatique et Libertés. Et une fois le correspondant désigné, il sera difficile de faire machine arrière. En effet, il faut un avis préalable de la Cnil pour mettre fin aux fonctions du CIL. Et cela risque de ternir l'image de marque de l'entreprise. '

' Tester le futur correspondant '
' Une fois désigné, celui-ci ne disposera que de trois mois pour constituer le registre des traitements nominatifs de l'entreprise. C'est un gros travail si rien n'a été réalisé auparavant. C'est pourquoi, il peut être préférable pour le CIL pressenti de constituer le registre préalablement à sa désignation officielle, ce qui permettra également à la direction générale de le tester et de vérifier quelle a fait un bon choix. '

publicité
Nos partenaires
 
Nous contacter | Charte de confiance | Notice légale | Conditions d'abonnement | 01net. recrute
01net. - 01men - RMC - RMC Sport - BFM BUSINESS - BFMTV - Association RMC-BFM