« Le CIL évite aux organisations de commettre des infractions relatives aux données personnelles »

Le métier de CIL (correspondant informatique et libertés) existe depuis 10 ans, mais il reste méconnu. Paul-Olivier Gibert, président de l’Association française des correspondants à la protection des données à caractère personnel (AFCDP), dessine les contours des missions des délégués à la protection des données personnelles qui devraient s’amplifier avec le nouveau règlement européen.

Données personnelles

Quel est le statut du correspondant informatique et libertés (CIL) ?

Bien que sa désignation doive être notifiée à la CNIL, le CIL n’est pas un représentant de la CNIL dans l’entreprise. Le CIL est indépendant de la CNIL et décide librement de ses actes. Le choix de créer ou non un poste de CIL appartient au chef d’entreprise. Le CIL est un professionnel dont les compétences recoupent le juridique, les systèmes d’information et le management, notamment en ce qui concerne l’identification des bons relais dans l’organisation. Le CIL a un savoir-faire qui amène les différents interlocuteurs de l’entreprise à comprendre que les données personnelles représentent un sujet important.

Quels sont ses missions et son champ d’action ?

Les missions du CIL sont définies par la loi [1]. Il veille au respect de la loi informatique et liberté au sein de l’organisation. Avoir un CIL dans une entreprise entraîne plus de sécurité, car ce dernier est à même d'identifier les mesures à prendre pour réduire les risques de sanctions encourues en cas de non-respect de la loi. S’agissant des banques, les données personnelles des clients ne leur appartiennent pas. Elles sont simplement dépositaires des données. C’est pour cette raison que l’intéressé a un droit de rectification. Par exemple, si un établissement bancaire utilise le fichier FICOBA de manière non conforme, le CIL pourra l’aider à éviter de commettre des infractions. Le CIL procède à l’audit et assure un contrôle interne afin d’éviter les dérives dans l’utilisation et la gestion des données personnelles. Les moyens du CIL dépendent du chef d’entreprise.

Comment expliquez-vous l’absence de CIL dans les banques ?

En effet, le secteur bancaire a désigné très peu de CIL. Seules quelques banques l'ont fait, dont La Banque Postale. Il semblerait que les banques préfèrent gérer elles-mêmes les données personnelles. Mais elles ont tout intérêt à intégrer un CIL ou un délégué à la protection des données (DPO), comme le prévoit le projet de règlement européen, dans leurs organisations car elles auront des directives de conformité. Les banques ont autant de responsabilités vis-à-vis des données personnelles de leurs clients que de l’argent qui leur est confié. Les CIL sont les mieux placés pour les aider dans la gestion des données personnelles car ils incarnent au mieux la nécessité de vigilance à l’égard de ces dernières. Nous constatons que les organisations qui ont nommé un CIL se montrent plus respectueuses des droits et des libertés des personnes. Il en est ainsi pour la moitié des entreprises du CAC 40 qui ont créé un poste de CIL.

La protection des données personnelles étant actuellement mise sur le devant de la scène, tant au niveau national qu’européen, la désignation d’un CIL va-t-elle s’imposer à toute organisation ?

En effet, la protection des données personnelles est désormais un enjeu économique et social central. Actuellement, les données personnelles sont régies par la directive de 1995 [2]. Le projet européen [3] vise à remplacer la directive par un règlement. Le texte prévoit de rendre obligatoire la désignation d’un délégué aux données personnelles dans les grandes entreprises (article 35 du projet de règlement). Ainsi les DPO devraient se substituer aux CIL actuels avec des missions plus étendues. Si le règlement est adopté, l’AFCDP accompagnera ses adhérents dans l’exercice de leurs nouvelles responsabilités. L’AFCDP fait déjà partie de la CEDPO [4] depuis 2 ans, dans le but d’échanger de bonnes pratiques. Le règlement pourrait être adopté en mars 2014.

Propos recueillis par Samorya Wilson

[1] Loi n°2004-801 du 6 août 2004 relative à la protection des personnes physiques à l’égard des traitements de données à caractère personnel et modifiant la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés.

[2] Directive 95/46/CE.

[3] Projet publié par la Commission européenne le 25 janvier 2012.

[4] Confédération européenne des associations de protection des données personnelles.

 

Sommaire du dossier

Données personnelles : une protection de plus en plus renforcée

Sur le même sujet