17 octobre 2017

Actualités juridiques

Désigner un avocat comme correspondant informatique et libertés de son entreprise (CIL) : un choix judicieux.

04 sept 2012 à 18h11 par Christophe Landat



"Le CIL, qu'est-ce que c'est que cette bête?... "

Si la première question que vous vous êtes posée est celle-ci en voyant ce logo ou en lisant cette mention "correspondant informatique et liberté" et que votre structure traite  des données personnelles, la responsabilité civile ou pénale de votre entité, qu'elle soit publique ou privée (collectivité ou entreprise par exemple) risque fort d'être d'ores et déjà engagée... Lisez-vite ce qui suit.
Pour ne pas être rebuté par un article juridique, il faut tout d'abord en comprendre le vocabulaire : qu'est-ce qu'une donnée à caractère personnelle? Comment savoir si ma collectivité ou ma société traite des données personnelles? Suis-je concerné par les obligations (pénalement sanctionnées pour certaines) posées par la Loi Informatique et Libertés?

Une donnée personnelle, pour faire simple, c'est tout type d'information qui concerne une personne physique identifiée, ou pouvant l'être, grâce à une référence ou à un numéro d'identification ou à des éléments qui lui sont propres : nom, prénom, n° de carte bleue, n° de pièce d'identité, adresse, sexe, orientation religieuse, photographie, vidéosurveillance, géolocalisation... etc... etc...

La loi règlemente "(...) la collecte, l’enregistrement, l’organisation,la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, ainsi que le verrouillage, l’effacement ou la destruction. (...)" des données personnelles.

Une fois ces premières notion assimilées, la seconde question venant à l'esprit est la suivante : suis-je concerné?

Une façon très simple de le savoir existe et il faut remercier la Commission Nationale Informatique et Liberté de l'outil qu'elle met à disposition du public. En vous rendant sur son site en suivant ce lien vous découvrirez un outil vous permettant de savoir si vous êtes tenu de respecter ou non certaines obligations posées par la loi informatique et libertés de 1978.

 

Le cheminement est assez simple à suivre et permet très vite de réaliser la quantité considérable d'obligations pesant sur les collectivités ou les structures privées s'agissant du traitement, de la conservation ou de l'exploitation des données personnelles.

Sachant que la manipulation des données personnelles tend à se développer de manière considérable, la CNIL a créé en 2004 le "Correspondant Informatique et Libertés". Celle-ci nous dit que "Tous les responsables de fichiers peuvent désigner un Correspondant Informatique et Libertés, qu’ils soient publics ou privés, qu’ils aient le statut d’associations, de collectivités locales ou de grandes administrations de l’Etat, qu’il s’agisse de PME-PMI ou d’entreprises multinationales. ".

Les principes posées sont assez simples.

Si moins de 50 personnes sont chargées de la mise en oeuvre du traitement ou peuvent y accéder directement, le CIL peut être externe à la structure : il peut donc s'agir d'un avocat. De la même manière si le responsable du traitement des données personnelles est membre d'un organisme professionnel ou d'un organisme regroupant des responsables de traitements d'un même secteur d'activité, là encore un avocat peut être désigné comme CIL. A titre d'exemple la Profession de Notaire n'a qu'un seul CIL.


Quel intérêt une entreprise ou une collectivité a-t-elle à désigner un correspondant informatique et libertés? 

L'intérêt est d'abord administratif : l’organisme est exonéré de l’obligation de déclaration préalable des traitements ordinaires et courants. Seuls les traitements identifiés comme sensibles dans la loi demeurent soumis à autorisation et continuent à faire l’objet de formalités. 

Il garantit ensuite la conformité de l’organisme à la loi Informatique et Libertés, s'assure que toutes les précautions utiles ont été prises pour préserver la sécurité des données, que des personnes non autorisées y aient accès.

Enfin il est une vitrine pour la structure qui le met en place, cette désignation témoignant de l’engagement de l’organisme en faveur du respect de la vie privée et des droits des personnes dont les données sont traitées. L'aposition du logo "CIL" sur un site commerçant par exemple permettra de communiquer sur le sérieux réservé au traitement des données personnelles et pourra entraîner une plus grande confiance du public.


Pourquoi choisir un avocat comme CIL?


Comme l'indique elle-même la CNIL dans un rapport : "(...) à la différence des CIL « classiques » qui doivent dénoncer à la CNIL les manquements qu’ils constatent et ne peuvent résoudre seuls, le CIL avocat à l’interdiction de porter à la connaissance de la Commission les manquements de son client. Il ne peut que se démettre de ses fonctions de CIL si ce dernier refuse de se mettre en conformité. (...)."

Le client se voit donc protéger par le secret professionnel de l'avocat-CIL.

Autre avantage : l'avocat est un professionnel du Droit, ce que n'est pas forcément un CIL puisqu'aucune exigence n'est posée en terme de diplôme ou de qualification.

Dans un article de Business Manager du 11.04.2007, on pouvait ainsi lire le témoignage d'un correspondant informatique et liberté n'étant pas avocat : "La principale difficulté pour un CIL externe consiste à ne pas être assimilé à un conseil juridique (...) au cours des réunions d'informations que j'ai organisées quand j'ai été nommé CIL, j'ai été exposé à une multitude de questions de droit, celle qui revenait le plus souvent étant "ai-je le droit de le faire". Le CIL doit faire comprendre au responsable des traitements que son rôle n'est pas d'autoriser les traitements mais de les rendre transparents et licites".

Désigner un avocat comme CIL présente donc l'avantage de permettre à la fois d'assurer cette sécurité juridique et cette décharge de formalités, mais aussi et surtout, celui d'avoir un partenaire juridique compétent et apte à répondre à vos besoins de droit.

Autre avantage de taille : la désignation d'un CIL n'exonère pas le responsable des traitements de sa responsabilité civile ou pénale. Or la profession d'avocat bénéficie d'une assurance responsabilité professionnelle dont le client éventuellement victime des fautes commises par son conseil peut attendre une réparation. Il s'agit là encore d'une garantie structurelle particulièrement forte à l'échelle de la Profession d'Avocat dans son ensemble.

On se référera encore à ce rapport de la CNIL indiquant : "(...)il existe plusieurs types de formalités préalables à effectuer auprès de la CNIL. Le niveau de complexité de certaines d’entre elles peut justifier l’intervention d’un professionnel du droit, tel qu’un avocat. Cela peut permettre d’accompagner utilement un responsable de traitement dans l’accomplissement des formalités préalables obligatoires prévues par la loi informatique et libertés. Cet accompagnement apparaît particulièrement utile pour les traitements relevant du régime de l’autorisation préalable.(...)"

Enfin dernier point : si d'aventure la responsabilité de l'entreprise ou de la collectivité doit être recherchée, l'avocat est bien évidemment le plus à même de défendre le dossier. Là encore, la CNIL le rappelle : "(...) L’avocat trouve naturellement sa place comme représentant des intérêts de son client à l’occasion d’une procédure de sanction administrative diligentée par la CNIL. tel est le cas, notamment, lorsque l’avocat assiste ou représente un client devant la « formation restreinte » de la Commission(...)".

Le propos n'est pas de dénigrer les CIL qui ne sont pas avocats, puisque la mission du CIL peut être rempli par un non-juriste. Mais un constat objectif consiste à pointer le fait qu'un avocat peut apporter en sus de cette compétence spécifique, celle Ô combien complémentaire, de l'expertise juridique de la défense et du conseil.

Dans un rapport rédigé en 2011, Alex TÜRK, alors président de la CNIL indiquait ceci : "A l’heure où les dispositifs de traçage de l’individu dans l’espace et dans le temps se multiplient et portent en eux des atteintes potentielles à nos libertés fondamentales et notre vie privée, le rôle de l’avocat rejoint celui de notre Commission." (...) L’indépendance dont le CIL doit faire preuve pour mener à bien ses missions fait de l’avocat un intervenant naturel pour assumer une telle fonction."


Conclusions

Dans son rapport d'activité 2011, la CNIL relève une augmentation de près de 20% des plaintes reçues (5738) et une hausse de 25% de ses contrôles. Si la protections des données personnelles constitue à l'évidence une lourde contrainte pour les entités publiques comme privées, elle peut aussi constituer un atout.

La Haute Autorité le sougline d'ailleurs dans son rapport : "(...) en apprenant à tirer parti des progrès accomplis dans les moyens d’exploitation des données personnelles de leurs clients, les entreprises les ont progressivement transformées en des actifs à forte valeur financière (...) Cet impératif de protection va au-delà de la volonté de satisfaire à une obligation légale. Il s’agit en réalité de préserver la valeur commerciale des données dont les entreprises ont la responsabilité : en effet, le non-respect de ces règles mine la confiance que les clients plaçaient jusqu’à présent dans l’entreprise, et produit des effets négatifs avérés. Ainsi, la prise en compte de la protection des données personnelles de leurs clients par les entreprises constitue un avantage concurrentiel qui tend à fidéliser une clientèle par ailleurs de plus en plus volatile."

Faire d'une contrainte un avantage commercial, c'est finalement une idée pas si mauvaise que cela, surtout si l'on considère que la violation de la norme en la matère est punie pénalement : les articles 226-16 et suivants du code pénal réprime en effet les infractions liées aux violations des règles relatives à la protection des données personnelles : "Le fait, y compris par négligence, de procéder ou de faire procéder à des traitements de données à caractère personnel sans qu'aient été respectées les formalités préalables à leur mise en oeuvre prévues par la loi est puni de cinq ans d'emprisonnement et de 300 000 Euros d'amende (...)"

En résumé on citera (encore...) la CNIL elle-même : 

"Le CIL - Informations pratiques

Pourquoi désigner un CIL ?
Sa désignation, qui est facultative, exonère de déclaration la plupart des fichiers. Il contribue à une meilleure application de la loi.
Quels avantages pour l’organisme ?
Le CIL est un acteur de la sécurité juridique au sein de l’organisme. Son action peut prendre plusieurs formes : le conseil, la recommandation, la sensibilisation, la médiation et l’alerte en cas de dysfonctionnement.
Comment désigner un CIL ? 
C’est simple, il suffit de compléter en ligne le formulaire de désignation sur le site internet de la CNIL.
Comment le CIL pourrait-il/elle être formé(e) ?
La CNIL propose des ateliers d’information gratuits, généralistes et thématiques, animés par ses propres experts.
Quelle relation avec la CNIL ?
La CNIL a mis en place un service spécifique pour garantir au CIL une réponse rapide et de qualité. Il s’agit d’un guichet unique pour toutes les questions juridiques ou les éclairages liés à l’exercice de la fonction.
D’autres avantages ? 
Le CIL est un interlocuteur privilégié de la CNIL. Ses demandes sont donc traitées en priorité. Il fait partie du réseau des CIL animé par la CNIL. Il participe à la réflexion liée à l’évolution de la fonction, à la création d’outils de travail, des textes juridiques …"

Reste la sempiternelle question du coût. Celui-ci dépendra bien sûr de l'importance du travail qui attendra l'avocat désigné comme CIL. De la facturation à la prestation, à l'abonnement juridique, toutes les formules sont envisageables mais nécessitent à l'évidence que soient bien définies au préalable les attentes du client, ce d'autant que la mission du CIL peut être plus ou moins étendue.

Sachez cependant que dès lors que le CIL est choisi, il convient  de le faire savoir à la CNIL via un formulaire en ligne ou par courrier recommandé après avoir téléchargé un document CERFA.

Les données personnelles représentent un enjeu capital pour le futur : tant sur le plan juridique que commercial. Et à l'évidence, le bon développement de l'aspect commercial commande une parfaite maîtrise de l'aspect juridique.

Une raison de  plus de choisir un avocat comme correspondant informatique et libertés.

 A bon entendeur...

Commentaires

Soyez le premier à poster un commentaire !

Ajouter votre commentaire

Identifiez vous pour poster un commentaire.