CIL / DSI : un fauteuil pour deux ?
Article publié par Thierry ROBY

La réforme du 6 août 2004 de la loi du 6 janvier 1978, relative à l’Informatique, aux fichiers et aux libertés, dite « Loi CNIL » a institué le Correspondant à la Protection des Données à caractère Personnel ( CDP ou CIL ). Le décret d’application du 20 octobre 2005 vient de préciser son statut.
Si le principe de l’existence d’une autorité spécifique indépendante, chargée de contrôler le respect du traitement des données au regard des obligations légales, semble pertinent et opportun le statut qui est défini par le décret d’application ne va pas sans susciter certaines interrogations.

Sa Mission ?

Sa mission est vaste puisqu’il constitue un organe d’information et de conseil du responsable des traitements, consultatif lors la mise en œuvre de nouveaux traitements, et enfin il joue le rôle de conciliateur préalablement à toute saisine de la CNIL ( Art 49 du décret 2005-1309 du 20 octobre 2005 ).

Ses Compétences ?

Il est précisé que « Le correspondant est une personne bénéficiant des qualifications requises pour exercer ses missions … » ( art 22, III 3al loi CNIL ). Bien qu’il ne soit pas précisé s’il doit avoir ou non une formation juridique, il semble que la connaissance et la compréhension de la loi CNIL qui se rattachent à sa mission impose une formation juridique minimum.

Son Indépendance ?

Il est en effet précisé que le « … correspondant à la protection des données à caractère personnel est chargé d’assurer, d’une manière indépendante ». ( art 22, III 1er al loi CNIL ) Il est également précisé à l’article 46 du décret d’application que :

• Le correspondant à la protection des données à caractère personnel exerce sa mission directement auprès du responsable des traitements.
• Le correspondant ne reçoit aucune instruction pour l'exercice de sa mission.
• Le responsable des traitements ou son représentant légal ne peut être désigné comme correspondant.
  Les fonctions ou activités exercées concurremment par le correspondant ne doivent pas être susceptibles de provoquer un conflit d'intérêts avec l'exercice de sa mission.

On saisit en effet la difficulté qu’il y aurait pour le correspondant à exercer sa mission de manière indépendante en gérant également le système d’Information dont il doit contrôler le fonctionnement respectueux au regard de la loi. Il serait ainsi juge et partie.

Néanmoins il faut remarquer que celui-ci est désigné par le responsable des traitements et doit être exclusivement rattaché ( lien de subordination ) à la personne qui met en œuvre les traitements lorsque ceux-ci font intervenir plus de cinquante personnes. En outre c’est le responsable des traitements qui peut décharger le correspondant ( article 22, III loi CNIL ) .

Que se passerait-il si les irrégularités constatées étaient connues du responsable et que celui-ci ignorait sciemment ces manquements ? Le correspondant pourrait il librement intervenir ?

On le voit la nécessaire indépendance du correspondant vis-à-vis du responsable des traitements semble compromise. Seule la pratique permettra d’évaluer l’utilité et l’efficacité de ce nouveau dispositif.