Rôles et obligations du responsable du traitement des données.
Article publié par Thierry ROBY
Aujourd’hui le rôle du DSI (Directeur des Systèmes d’Information) au sein de l’Entreprise est déterminant. En effet son périmètre d’intervention est généralement vaste et la responsabilité qui en découle conséquente. Ainsi, tout à la fois chargé de la gestion et de l’exploitation du Système d’Information existant mais également de la mise en œuvre des projets en cours d’élaboration, il devra assumer les risques techniques (informatiques) et juridiques (responsabilité relatif au traitement des données à caractère personnel) associés à sa mission. Depuis la réforme du 6 août 2004 de la loi « Informatique et Liberté » et l’institution d’un Correspondant à la Protection des Données à caractère Personnel (CDP ou CIL ) il est probable qu’une nouvelle répartition des rôles s’opère entre le DSI d’une part et le CIL d’autre part. Aussi après avoir présenté l’étendue du périmètre d’intervention du DSI et sa responsabilité ( I ) nous envisagerons les conséquences de la nomination d’un CIL sur l’organisation de la gestion (juridique) du ou des système(s) d’Information(s) (II).
I ) Périmètre d’intervention du DSI : rôle et responsabilité.
1- Rôle technique :
En effet le DSI assume généralement une mission lourde(« La tentation du DSI », Michel VOLLE du 10 novembre 2005, à lire sur : volle.com) qui consiste à animer et encadrer les projets informatiques en cours d’élaboration (Maîtrise d’Ouvrage) tout en envisageant les contraintes techniques (maîtrise d’œuvre) et le choix des prestataires.
2- Rôle juridique et « déontologique» :
L’article 34 de la loi « Informatique et Liberté » dispose que « Le responsable du traitement est tenu de prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu’elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès ». A l’évidence sa responsabilité n’est pas négligeable (« Les DSI et les RSSI sont-ils responsables pénalement ? », Isabelle RENARD du 2 février 2005, à lire JDN ou encore « DSI, ne sortez plus sans votre avocat », J-P BICHARD du 31/08/2005, à lire sur O1net. ). Il devra en effet assurer la protection des données à caractère personnel (clients, salariés, tiers) mais également garantir le secret de la correspondance des salariés et veiller au respect de la législation bancaire et financière ou concernant la propriété intellectuelle (lutte contre l’usage du p2p …).
Pour autant les DSI sont généralement peu sensibilisés à l’étendue de leur responsabilité (« Le DSI connaît-il son droit ? », Mohamed MSEFER du 23 novembre 2005, à lire sur Elenbi.com ). Or bien souvent le profil du DSI est à dominante technique (informatique) et non juridique. Aussi la réforme du 6 août 2004 de la loi « Informatique et Liberté », qui institue le Correspondant à la Protection des Données à caractère Personnel (CDP ou CIL ), est susceptible de décharger le DSI d’un certain nombre de missions et de lui permettre ainsi de se concentrer sur son rôle fondamental ( à savoir la gestion et l’exploitation des données traitées par le système d’Information ).
II ) Vers une nouvelle organisation de la gestion du système d’Information.
1- Définition de la mission du CIL :
Son rôle est vaste (Art 49 du décret 2005-1309 du 20 octobre 2005.) puisqu’il constitue un organe d’information et de conseil du responsable des traitements, consultatif lors la mise en œuvre de nouveaux traitements, et enfin il joue le rôle de conciliateur préalablement à toute saisine de la CNIL. Pour cela le CIL devra disposer d’une certaine qualification juridique(art 22, III 3al loi CNIL.).
2- Relations DSI / CIL …
Le CIL est indépendant à l’égard du DSI et ne reçoit aucune instruction de sa part(art 22, III 1er al loi CNIL.). Les rôles du DSI et du CIL sont en effet fondamentalement différents et ne doivent pas être exercés par la même personne(art 46 du décret d’application du 20 octobre 2005). Pour autant celui-ci est désigné par le responsable des traitements et doit être exclusivement rattaché ( lien de subordination ) à la personne qui met en œuvre les traitements lorsque ceux-ci font intervenir plus de cinquante personnes. En outre c’est le responsable des traitements qui peut décharger le correspondant ( article 22, III loi CNIL ). Aussi le CIL est-il en mesure de remplir pleinement sa mission? S’agit-il d’une véritable indépendance ou d’un principe ( un de plus ) non suivi d’effet à défaut d’application ? Sans doute la pratique et les organismes professionnels (Voir les travaux du CIGREF.) permettront de clarifier le problème.
Article publié par Thierry ROBY
Aujourd’hui le rôle du DSI (Directeur des Systèmes d’Information) au sein de l’Entreprise est déterminant. En effet son périmètre d’intervention est généralement vaste et la responsabilité qui en découle conséquente. Ainsi, tout à la fois chargé de la gestion et de l’exploitation du Système d’Information existant mais également de la mise en œuvre des projets en cours d’élaboration, il devra assumer les risques techniques (informatiques) et juridiques (responsabilité relatif au traitement des données à caractère personnel) associés à sa mission. Depuis la réforme du 6 août 2004 de la loi « Informatique et Liberté » et l’institution d’un Correspondant à la Protection des Données à caractère Personnel (CDP ou CIL ) il est probable qu’une nouvelle répartition des rôles s’opère entre le DSI d’une part et le CIL d’autre part. Aussi après avoir présenté l’étendue du périmètre d’intervention du DSI et sa responsabilité ( I ) nous envisagerons les conséquences de la nomination d’un CIL sur l’organisation de la gestion (juridique) du ou des système(s) d’Information(s) (II).
I ) Périmètre d’intervention du DSI : rôle et responsabilité.
1- Rôle technique :
En effet le DSI assume généralement une mission lourde(« La tentation du DSI », Michel VOLLE du 10 novembre 2005, à lire sur : volle.com) qui consiste à animer et encadrer les projets informatiques en cours d’élaboration (Maîtrise d’Ouvrage) tout en envisageant les contraintes techniques (maîtrise d’œuvre) et le choix des prestataires.
2- Rôle juridique et « déontologique» :
L’article 34 de la loi « Informatique et Liberté » dispose que « Le responsable du traitement est tenu de prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu’elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès ». A l’évidence sa responsabilité n’est pas négligeable (« Les DSI et les RSSI sont-ils responsables pénalement ? », Isabelle RENARD du 2 février 2005, à lire JDN ou encore « DSI, ne sortez plus sans votre avocat », J-P BICHARD du 31/08/2005, à lire sur O1net. ). Il devra en effet assurer la protection des données à caractère personnel (clients, salariés, tiers) mais également garantir le secret de la correspondance des salariés et veiller au respect de la législation bancaire et financière ou concernant la propriété intellectuelle (lutte contre l’usage du p2p …).
Pour autant les DSI sont généralement peu sensibilisés à l’étendue de leur responsabilité (« Le DSI connaît-il son droit ? », Mohamed MSEFER du 23 novembre 2005, à lire sur Elenbi.com ). Or bien souvent le profil du DSI est à dominante technique (informatique) et non juridique. Aussi la réforme du 6 août 2004 de la loi « Informatique et Liberté », qui institue le Correspondant à la Protection des Données à caractère Personnel (CDP ou CIL ), est susceptible de décharger le DSI d’un certain nombre de missions et de lui permettre ainsi de se concentrer sur son rôle fondamental ( à savoir la gestion et l’exploitation des données traitées par le système d’Information ).
II ) Vers une nouvelle organisation de la gestion du système d’Information.
1- Définition de la mission du CIL :
Son rôle est vaste (Art 49 du décret 2005-1309 du 20 octobre 2005.) puisqu’il constitue un organe d’information et de conseil du responsable des traitements, consultatif lors la mise en œuvre de nouveaux traitements, et enfin il joue le rôle de conciliateur préalablement à toute saisine de la CNIL. Pour cela le CIL devra disposer d’une certaine qualification juridique(art 22, III 3al loi CNIL.).
2- Relations DSI / CIL …
Le CIL est indépendant à l’égard du DSI et ne reçoit aucune instruction de sa part(art 22, III 1er al loi CNIL.). Les rôles du DSI et du CIL sont en effet fondamentalement différents et ne doivent pas être exercés par la même personne(art 46 du décret d’application du 20 octobre 2005). Pour autant celui-ci est désigné par le responsable des traitements et doit être exclusivement rattaché ( lien de subordination ) à la personne qui met en œuvre les traitements lorsque ceux-ci font intervenir plus de cinquante personnes. En outre c’est le responsable des traitements qui peut décharger le correspondant ( article 22, III loi CNIL ). Aussi le CIL est-il en mesure de remplir pleinement sa mission? S’agit-il d’une véritable indépendance ou d’un principe ( un de plus ) non suivi d’effet à défaut d’application ? Sans doute la pratique et les organismes professionnels (Voir les travaux du CIGREF.) permettront de clarifier le problème.
posted by Kaci Consulting | 10:15 PM
0 Comments:
Enregistrer un commentaire
<< Home