Certifier la conformité aux autorisations uniques de la CNIL

3.2 Est-ce un rôle pour Le Correspondant Informatique et Libertés (CIL) ?

Les entreprises domiciliées en France et dont les effectifs en charge des traitements automatisés de données à caractère personnel dépassent 50 personnes ont la possibilité de désigner parmi leur salarié un correspondant Informatique et Libertés (CIL).

Celles dont les effectifs en charge des traitements automatisés de données à caractère personnel ne dépassent pas 50 personnes ont également la possibilité de faire appel à une personne externe en lieu et place d'un salarié pour prendre en charge ces questions.

La désignation du CIL présente l'intérêt comme le souligne l'article 23 de la loi 78-17 du 6 janvier 1978 modifiée le 6 Août 2004¹³² d'alléger les formalités déclaratives de l'entreprise vis à vis de la CNIL. Le CIL comme le précise l'article 49 du décret du 20 octobre 2005¹³³ qui définit ses missions, a la charge de tenir un registre des traitements qui dispense l'entreprise de déclarations préalables mais pas des demandes d'autorisation préalable pour les traitements relevant de l'article 25 -1 de la loi 78-17 ni des déclarations de conformité aux Autorisations uniques au sens de l'article 25-4 de la loi.

Dans le cadre de cette mission de « facilitateur » souhaitée par la loi, il nous est apparu intéressant de nous interroger sur le rôle que pourrait jouer le CIL dans l'évaluation de la conformité aux Autorisations uniques, ceci dans l'optique d'une certification.

Le CIL interne est un salarié de l'entreprise dont le contrat de travail prévoit par nature un lien de subordination¹³⁴ à son employeur.

Situation qui exclut toute indépendance organique même si l'article 46 du décret du 20 octobre 2005 qui définit le statut et les missions du CIL précisent que « le correspondant ne reçoit aucune instruction pour l'exercice de sa mission ».

Cette absence d'indépendance organique présente un risque quant à son objectivité. Règle qui nous l'avons vu est une condition indispensable pour assurer la validité de l'évaluation en vue d'une certification. Ce qui exclut à notre sens le CIL interne en tant que salarié du rôle d'évaluateur possible.

Un Correspondant Informatique et Libertés (CIL) externe ou bien un CIL mutualisé pourrait éventuellement remplir ces conditions. La possibilité de lui confier cette mission d'évaluation nous semble cependant subordonnée à l'existence d'une relation de travail en cours entre l'entreprise auditée et le CIL externe ou mutualisé. Dès lors que le CIL entretient des relations déjà formalisées avec le futur audité, son indépendance et par conséquent son objectivité risque d'être compromises par une trop grande dépendance ou proximité.

132 Loi n°78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés

JORF du 7 janvier 1978 page 227

http://www.legifrance.gouv.fr/affichTexte.do?cidTexte=LEGITEXT000006068624&dateTexte=20101121

133 Décret n° 2005-1309 du 20 octobre 2005 pris pour l'application de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, modifiée par la loi n° 2004-801 du 6 août 2004

JORF n°247 du 22 octobre 2005 page 16769

http://www.legifrance.gouv.fr/affichTexte.do?cidTexte=LEGITEXT000006052581&dateTexte=20090319

134 Définition du lien de subordination

«Le lien de subordination est caractérisé par l'exécution d'un travail sous l'autorité de l'employeur qui a le pouvoir de donner des ordres et des directives, d'en contrôler l'exécution et de sanctionner les manquements de son subordonné ; É le travail au sein d'un service organisé peut constituer un indice du lien de subordination lorsque l'employeur détermine unilatéralement les conditions d'exécution du travail » Cass. soc., 13 novembre 1996, Bull. civ., V, n° 386

73

Il nous semble que seul un prestataire totalement indépendant et donc sans relation préalable avec l'audité pourrait être valablement chargé d'une mission de ce type. Prestataire qui pourrait très bien être un CIL externe dès lors que celui-ci n'entretient pas de relation préalable avec le futur audité. Ce pourrait également être un CIL mutualisé dès lors que celui-ci n'entretient pas de relation de subordination ou de dépendance avec l'audité; si son activité est supporté (financièrement et hiérarchiquement) par un syndicat, une association professionnelle ou un groupement d'intérêt.

L'article 49 du Décret n°2005-1309 du 20 octobre 2005 délimite les missions du CIL de la manière suivante:

« Le correspondant veile au respect des obligations prévues par la loi du 6 janvier 1978 susvisée pour les traitements au titre desquels il a été désigné. A cette fin, il peut faire toute recommandation au responsable des traitements.

Il est consulté, préalablement à leur mise en oeuvre, sur l'ensemble des nouveaux traitements appelés à figurer sur la liste prévue par l'article 47.

Il reçoit les demandes et les réclamations des personnes intéressées relatives aux traitements figurant sur la liste prévue par l'article 47. Lorsqu'eles ne relèvent pas de sa responsabilité, il les transmet au responsable des traitements et en avise les intéressés.

Il informe le responsable des traitements des manquements constatés avant toute saisine de la Commission nationale de l'informatique et des libertés.

Il établit un bilan annuel de ses activités qu'il présente au responsable des traitements et qu'il tient à la disposition de la commission. »

L'article 49 n'évoque en revanche aucune mission pour le CIL qui soit liée de près ou de loin à la certification. La question se pose alors de savoir si il est juridiquement envisageable que le CIL remplisse d'autres missions que celles qui ont été expressément prévues par la loi ? Pour le dire autrement, ses missions sont-elles strictement limitées à celles qui sont expressément prévues par le Décret ou peut-on considérer l'article 49 comme une série de dispositions « planchers » à laquelle d'autres missions pourraient s'ajouter dès lors qu'elles entrent dans le cadre de sa mission de protection des données à caractère personnel ?

La deuxième option nous paraîtrait plus conforme à l'esprit de la loi qui vise à diffuser la culture Informatique et Libertés au sein des entreprises et des institutions. Cela reste néanmoins une interprétation qui n'engage que l'auteur. Aucune jurisprudence n'est venue jusqu'à présent confirmer ou infirmer cette interprétation.

Pour illustrer ce point de vue, nous pourrions prendre l'exemple de la mise en place d'outils de pilotage de l'activité du CIL; mission qui n'est pas expressément prévue par le Décret du 20 Octobre 2005. Cette activité constitue pourtant une tâche essentielle pour le CIL qui souhaite remplir pleinement sa mission et pouvoir identifier les « manquements, les signaler au responsable de traitements et consigner son action dans le bilan » comme l'article 49 du décret l'enjoint à le faire.

Certains objecteront que l'évaluation de la conformité en vue d'obtenir une certification ne correspond pas à un moyen de parvenir à la réalisation d'un quelconque objectif définis par l'article 49. Cette mission non explicitement prévue par les textes pourrait même détourner le CIL de la réalisation des missions qui elles sont explicitement prévues par le décret. Ceci d'autant plus qu'il est encore rare que le CIL consacre tout son temps de travail à cette activité.

Ces critiques nous paraissent justifiées et ceci d'autant plus si le nombre de traitements relevant de la conformité aux Autorisations uniques s'avèrent nombreux et dispersés au sein d'entités ou de filiales éloignées.

Il nous semble néanmoins que le CIL qu'il soit interne, externe ou mutualisé pourrait jouer un rôle de supervision dans cette procédure d'évaluation/certification et ceci en accord avec les dispositions de l'article 49 du Décret du 20 octobre 2005.

- Il pourrait superviser ce projet de certification depuis le choix du prestataire jusqu'à l'obtention de la certification.

- il pourrait également s'assurer que les mesures sont prises pour maintenir la conformité de ces traitements spécifiques afin de garantir la certification dans le temps. Son obligation demeurant une obligation de moyen et non de résultat dans la mesure ou son rôle se borne à alerter le responsable de traitement des manquements comme le précise l'article 49 alinéa 4.

Ces deux tâches entrent à notre avis dans le champ définit par le décret du 20 Octobre 2005 puisque celui-ci dispose dans l'article 49 que « Le correspondant veille au respect des obligations prévues par la loi du 6 janvier 1978 ».

74

Loi 78-17 du 6 janvier 1978 modifiée le 6 août 2004 dans laquelle il est clairement énoncé dans l'article 25-4 que « le Responsable de Traitement prend un « engagement de conformité de celui-ci (ndlr : le traitement) à la description figurant dans l'autorisation» lors de sa déclaration volontaire de conformité. Conformité qu'il est censé assurer dans la durée.