Le Correspondant à la protection des données, plus connu sous le nom de CIL (Correspondant Informatique et Libertés), apparait en 2004⁽¹⁾ lors de la profonde modification de la loi de protection des libertés fondamentales du 6 janvier 1978, dite “loi Informatique et Libertés”. Selon les chiffres cités par la CNIL en avril 2010, près de 6300 acteurs économiques, secteur privé et secteur public confondus, ont compris l’enjeu de cette fonction et fait le choix de désigner un CIL (contre 3679 en décembre 2008). Parmi eux : beaucoup de grandes entreprises de secteurs d’activité variés (banque, assurance, énergie, transports, grande distribution, télécoms, presse) ; 25% des entreprises du CAC40 ; les filiales françaises de grands groupes internationaux (notamment : Google, American Express, IBM, Procter & Gamble, ...) ; des professions (huissiers de justice, notaires, avocats, etc.) ; des collectivités territoriales; des chambres de commerce et des métiers ; des CPAM ; des hôpitaux ; des URSSAF; des PME et PMI; des associations... Le CIL est désigné à 85% dans le secteur privé. 

Dans les structures de moins de 50 personnes mettant en œuvre ou ayant directement accès à un traitement de données à caractère personnel⁽²⁾, le CIL est soit un collaborateur de l’entreprise soit un professionnel extérieur. Au-delà de ce seuil, il est internalisé pour des exigences de proximité, de disponibilité et d’approche “métier”. Il existe des exceptions : par exemple, un CIL externe «mutualisé» peut être mandaté dans un organisme professionnel ou un organisme regroupant les responsables de traitements d’un même secteur d’activité (communautés de communes, d’agglomérations, EPCI, regroupements d’associations, etc.). L’avocat, notamment en raison de la nature juridique de la mission et de son caractère indépendant, peut assumer les fonctions de CIL. Le Règlement Intérieur National de la profession a d’ailleurs été modifié en juin 2009 pour permettre à l’avocat d’exercer cette activité⁽³⁾.

Le caractère facultatif de la désignation du CIL pourrait être remis en cause, à l’instar de nombreux pays européens. Une proposition de loi

n° 93 «visant à  mieux garantir le droit à la vie privée à l’heure du numérique» (2009-2010)⁽⁴⁾, adoptée par le Sénat le 23 mars 2010 vise notamment à conforter son statut et ses missions : le CIL pourrait devenir obligatoire lorsqu’une autorité publique ou un organisme privé recourt à un traitement de données à caractère personnel et que plus de 100 personnes y ont directement accès ou sont chargées de sa mise en œuvre (ce seuil de 100 personnes résulte d’un amendement du Sénat à l’initiative de Mme Catherine Troendle, alors que la proposition de loi initiale, confirmée par la commission des lois, le fixait à seulement 50). 

La mission du CIL, qui prend effet un mois après sa notification aux Institutions Représentatives du Personnel puis à la CNIL, peut couvrir tous les traitements en vigueur ou une partie de ceux-ci seulement (par exemple : uniquement les traitements ressources humaines, ou ceux concernant telle filiale).

Pour tout responsable de traitement, le CIL est avant tout synonyme d’allègement considérable des formalités auprès de la CNIL et facteur de réduction du risque juridique : sauf en cas de transfert des données en dehors de l’Union Européenne, seuls les traitements soumis à demande d’autorisation ou demande d’avis préalables devront continuer à être déclarés. Pour les déclarations dites normales ou simplifiées, qui ne présentent pas de risques manifestes pour le droit des personnes, une liste des traitements est dressée par le CIL dans les 3 mois de sa désignation. Le “registre” informatisé ou non est mis à disposition de toute personne en faisant la demande. Certains organismes anticipent en diffusant sur leur site Internet les traitements intéressant les clients ou les usagers.

Véritable chef de projet au rôle transversal, le CIL favorise les synergies entre les directions opérationnelles de l’entreprise (marketing, juridique, informatique, etc.) et est force de proposition dans le cadre de la politique de déploiement notamment contractuel des projets informatiques. Il contribue à améliorer la politique de sécurité informatique et de mise en place d’une approche qualité de gestion de l’information (implémentation de clauses contractuelles de sécurité et confidentialité des données; mise à jour de la cartographie des traitements; réflexion sur l’élaboration d’une politique de durée de conservation des données, de biométrie ou de signature électronique; accélération de la mise en œuvre de nouveaux traitements et services en ligne, etc.). Le CIL est obligatoirement consulté préalablement à la mise en œuvre des traitements. Du fait d’une approche en amont des mises en conformité nécessaires pour l’entreprise, les coûts de traitement ainsi que les coûts de gestion client (exercice des droits d’accès, d’opposition, gestion des litiges) sont rationalisés et réduits⁽⁵⁾.  Beaucoup d’entreprises diffusent sur leurs sites Internet, aux côtés des mentions légales et des CGV, de véritables “chartes informatique et libertés”. Leur image en ressort crédibilisée, ce qui est un facteur de compétitivité. Une sensibilisation affichée aux problématiques informatique et libertés ainsi que la désignation d’un CIL sont en effet une manière d’afficher un engagement éthique en faveur des droits à la protection de la vie privée, ce qui renforce incontestablement le degré de confiance des usagers, des clients, des salariés et des partenaires. A l’inverse, de nombreuses entreprises ont compris à leurs dépens l’impact désastreux en termes d’image d’une publication d’une décision de la CNIL les sanctionnant au titre du non-respect des droits des consommateurs. La mise en place d’un correspondant permet enfin d’apporter des réponses concrètes pour garantir que la cession, la transmission ou la location de fichiers s’effectuent dans le respect de la loi informatique et libertés.

Sur des sujets sensibles tels que la cyber surveillance des salariés, le CIL peut contribuer à apaiser le climat social. Interlocuteur direct des institutions représentatives du personnel et des salariés, il diffuse la culture informatique et libertés par la voie de formations internes ou de lettres d’information.

Le CIL n’est pas un salarié protégé, mais il bénéficie de certaines mesures visant à encadrer son statut et ses relations avec son employeur. Il ne peut pas faire l’objet de sanctions du fait de l’exercice de ses missions, sauf si des manquements graves qui lui sont directement imputables sont dûment constatés. L’employeur ne peut pas mettre fin à la mission du CIL et le remplacer sans en informer la CNIL et préciser les circonstances et motifs de ce remplacement. Il doit justifier d’avoir informé le CIL, et son remplacement ne peut prendre effet que 8 jours après réception du courrier recommandé AR informant la CNIL. Si la proposition de loi n°93 « visant à  mieux garantir le droit à la vie privée à l’heure du numérique » était adoptée, la démission d’office du CIL pourrait ne plus être conditionnée à l’avenir à l’avis conforme de la CNIL.

Le CIL interne a un rôle sensible en ce sens qu’il réfère directement au responsable de traitement et à la CNIL. Il établit un bilan annuel de ses activités qu’il présente au responsable et tient à la disposition de la CNIL. Indépendant en théorie, s’il arrête seul les décisions se rapportant à ses activités, il agit après  concertation avec les interlocuteurs internes concernés. En vue d’éviter un conflit d’intérêt, le responsable de traitement, son représentant légal, ou tout autre acteur interne qui auraient autorité pour définir les finalités et objectifs des traitements ne peuvent être désignés. Le conflit d’intérêt est susceptible de provenir des autres fonctions ou activités exercées par le CIL. L’employeur et le CIL devront veiller à cet aspect de la fonction  en aménageant éventuellement le contrat de travail du salarié désigné CIL. La mission du CIL peut prendre fin suite à son initiative (démission du CIL en poste, sortie des effectifs), au choix de l’entreprise, ou du fait de l’arrivée du terme de la mission (fin de mission contractuelle du CIL externalisé) si celle-ci, comme la loi le permet, est à durée déterminée. L’entreprise devra alors veiller à ce que l’ensemble des formalités déclaratives dont elle était jusqu’ici dispensée soient effectuées (déclarations simplifiées et normales dont la liste mise à jour figure dans le registre dressé par le CIL). Désigner un CIL n’empêche pas de faire l’objet de contrôles sur place de la CNIL, et ne protège pas contre d’éventuelles mises en demeure et sanctions. Un CIL étant toutefois le gage de mise en place d’outils informatique et libertés, la désignation d’un CIL permet à une organisation de bénéficier d’une relation privilégiée avec la CNIL, avec des interlocuteurs dédiés. Pour mémoire, la CNIL, autorité administrative indépendante dotée d’un pouvoir de contrôle, a augmenté de 1334% en 5 ans le nombre des contrôles (Rapport 2008) et dispose d’un pouvoir de sanctions notamment financières pouvant atteindre pour les entreprises jusqu’à 5% de leur chiffre d’affaires HT. Les plafonds actuellement fixés à 150 000 euros et 300 000 euros en cas de réitération du manquement pourraient être doublés si le nouveau texte était adopté. Ce sont autant d’éléments qui pourraient favoriser l’émergence de la fonction.

M^e Caroline Nicolas, avocate

au Barreau de Bordeaux