Flux RSS
Le correspondant CNIL, un nouveau label pour les entreprises respectueuses de la vie privée des citoyens ? 
La loi Informatique et Libertés permet dorénavant aux organismes privés ou publics d’être exemptés de déclaration pour les fichiers soumis à cette obligation préalable dès lors qu’un correspondant à la protection des données à caractère personnel aura été désigné par le responsable du traitement.
La désignation du correspondant à la protection des données devra également être notifiée à la Commission Nationale Informatique et Libertés (CNIL) et portée à la connaissance des instances représentatives du personnel.
Ne rentrent pas dans le champ d’application de cet assouplissement les traitements de données à caractère personnel soumis à autorisation, à l’exception des traitements de données sensibles ou relatives aux condamnations mis en œuvre par les entreprises de presse afin de respecter la liberté de la presse.
Sont également exclus de ce régime, d’exonération les fichiers dont les données sont transférées à destination d’un Etat non membre de l’Union européenne[1].
¨¨¨
Le correspondant à la protection des données est défini comme la personne « chargée d’assurer, d’une manière indépendante, le respect des obligations prévues par la présente loi ».
Son indépendance suppose donc que sa fonction au sein de l’entreprise n’entre pas en conflit avec sa mission, de sorte que le dirigeant d’une entreprise ne pourra jamais être désigné comme correspondant. En est il de même pour le responsable du traitement, le directeur marketing ou le directeur des systèmes informatiques ? Un décret d’application devrait répondre à ces questions en précisant le statut et les missions du correspondant au cours du premier semestre 2005. Le décret permettra aussi aux PME et PMI, en dessous d’un certains seuil de salariés, d’externaliser leur futur correspondant dans un souci de mutualisation et donc de maîtrise des coûts.
Pour garantir son indépendance, la loi précise actuellement que le correspondant ne peut faire l’objet d’aucune sanction de la part de l’employeur du fait de l’accomplissement de ses missions. Dans ce cadre il sera rappelé que le correspondant doit tenir une liste des traitements effectués, immédiatement accessible à toute personne en faisant la demande. En pratique, son rôle sera bien plus important, il devra superviser les traitements mis en œuvre, détecter les problèmes éventuels et prendre contact avec la CNIL en cas de doute sur la création ou la gestion de certains fichiers.
A cet égard le correspondant a la faculté de saisir la CNIL des difficultés qu’il rencontrerait dans l’exercice de ses missions. Dans ce cas l’autorité de contrôle a le pouvoir d’enjoindre le responsable du traitement de procéder aux formalités de déclaration de ses fichiers.
Si le correspondant manque à ses devoirs, le responsable du traitement peut le décharger de ses fonctions sur demande, ou après consultation, de la CNIL.
Selon le Président Alex TÜRK, l'instauration d'un correspondant au sein des entreprises devrait permettre la diffusion de la culture « informatique et libertés » au sein de celles-ci et, en conséquence, garantir au mieux le respect des droits des personnes !
(Avril 2005)
Source : Nicole BONDOIS, Avocat - Nicolas SAMARCQ, Juriste TIC
Contact : www.brmavocats.com
[1] En cas de transfert vers un pays tiers, la directive du 24 octobre 1995 impose un niveau de protection adéquat ou suffisant (loi Informatique et Libertés). La Commission européenne a adopté à ce titre (le 27 décembre 2004) un nouvel ensemble de clauses contractuelles types destinées à encadrer les transferts de données vers des responsables de traitement établis hors de l’Union européenne, offrant ainsi une alternative au modèle de clauses contractuelles types adoptées le 25 juin 2001 jugées trop contraignantes par les professionnels. Les principales différences entre ces deux modèles ont trait aux clauses de responsabilité, de règlement des litiges, aux modalités d’exercice du droit d’accès par les personnes fichées et à la coopération avec les autorités de protection des données. Ces clauses types offrent aux entreprises un moyen supplémentaire d’encadrer de manière satisfaisante les transferts internationaux de données personnelles.