Donnez votre avis

« Le Correspondant informatique et libertés doit être capable d'expliquer, de conseiller et d'accompagner »

CommentCaMarche - mercredi 23 février 2011 - 12:02
« Le Correspondant informatique et libertés doit être capable d'expliquer, de conseiller et d'accompagner »
Depuis 2005, les organismes publics et privés ont la possibilité de désigner un "correspondant informatique et libertés" auprès de la CNIL (Commission nationale de l'informatique et des libertés). Dépositaire de la conformité du traitement informatique des données "à caractère personnel" avec la loi, celui-ci joue le rôle d'interface opérationnelle et juridique entre les entreprises et la CNIL. Il dispense les entreprises d'avoir à déclarer les traitements informatiques courants auprès de la Commission, simplifiant ainsi leurs démarches. Mais son mandat et son implication dans l'entreprise vont bien au-delà de son rôle de "facilitateur". Retour en détails sur les missions du correspondant informatique et libertés (CIL), son profil, et sa place dans l'entreprise. Avec l'éclairage de Christophe Champoussin -gérant d'une société de conseil en informatique- et qui exerce le métier de Correspondant informatique et libertés en externe.


Le Correspondant informatique et libertés en bref


La loi relative à l'informatique, aux fichiers et aux libertés, complétée par un décret d'application en 2005 (suivi d'un autre décret en 2007) introduit la possibilité, pour les organismes publics et privés, de nommer un "correspondant à la protection des données à caractère personnel", couramment appelé "correspondant informatique et libertés".

Son rôle est notamment de :

- Tenir la liste des traitements informatiques d'une société (contenus des traitements, mise à jour de la liste, communication de celle-ci aux tiers qui ont font la demande)
- Veiller à l'application de la loi (conseils aux entreprises, médiation, information du responsable de traitement sur les manquements constatés et recommandations adéquates, rédaction d'un bilan annuel)

Christophe Champoussin, Anaxia conseil : "L'aspect humain et relationnel est très important chez un correspondant informatique et libertés"


Christophe Champoussin est dirigeant d'Anaxia Conseil, un société de conseil en informatique. Il exerce par ailleurs le métier de correspondant informatique et libertés en externe. Il nous livre son éclairage sur les types de traitement informatique qui doivent faire l'objet d'une déclaration auprès de la CNIL, et son point de vue sur les interactions -complexes- entre le CIL, l'entreprise qui l'emploie et la CNIL.

CCM - Quels sont les traitements informatiques qu'un correspondant informatique et libertés doit lister dans le registre et qui, en son absence, devraient être déclarés à la CNIL ?

Christophe Champoussin - Il faut avant tout comprendre la notion de "données à caractère personnel" pour savoir ce qui doit être déclaré à la CNIL. Celles-ci sont de trois ordres : les données nominatives -nom, prénom, numéro de sécurité sociale-, les données indirectement nominatives -comme le numéro de téléphone-, puis les données rattachées aux données nominatives, par exemple, les cartes de fidélité, qui permettent d'analyser le comportement d'achat d'un individu.

Partant de là, du moment où une société dispose de données de ce type dans un ou plusieurs traitements, chacun de ces traitements doit faire l'objet d'une formalité auprès de la CNIL. Les traitements informatiques renfermant les données à caractère personnel peuvent de manière simplifiée être classées pour les sociétés dans deux catégories : internes et externes.

Les traitements internes correspondent notamment à tout ce qui a trait à la gestion du personnel. Prenons l'exemple d'une société qui fait un bilan annuel où elle attribue des notes à ses salariés, fixe des objectifs et des critères d'obtention de primes, etc. Celle-ci crée pour cela un un fichier qu'elle doit déclarer à la CNIL. Même chose pour le processus de recrutement, où une entreprise récolte des données détaillées sur les candidats.

On peut aussi évoquer la problématique des contrôles d'accès. Quand une entreprise met à disposition des badges à ses employés, elle sait à quelle heure ils rentrent, à quelle heure ils sortent, éventuellement -pour les grosses sociétés-, par où ils passent : Toutes ces données doivent être déclarées à la CNIL. Idem pour les dispositifs de vidéosurveillance, et d'autres moyens informatiques : comme les outils permettant d'enregistrer la navigation web des employés.

Si la déclaration à la CNIL n'est pas faite, il y a deux problèmes : d'abord c'est totalement illégal. Ensuite , si les entreprises utilisent ce genre de preuve pour sanctionner quelqu'un, elles sont quasi-certaines de perdre un contentieux prud'hommal, du fait de ce manquement.

Il y a ensuite les traitements externes. Ce sont toutes les données qui concernent les clients et les prospects des entreprises. Pour une administration publique comme une marie, il peut aussi s'agir du fichier d'état civil et des électeurs, etc. On peut aussi citer le cas des services médicaux/à la personne, avec les données relatives à l'état de santé d'un patient. Toutes ces données externes doivent également faire l'objet d'une déclaration à la CNIL.

CCM - Quel est le profil typique d'une entreprise employant un correspondant informatique et libertés ?

CC - Toutes les entreprises sont concernées. Ceci-dit, une entreprise de trois personnes n'a bien sûr pas vraiment besoin de recruter un correspondant. Si l'on doit faire des catégories : il y a tout d'abord les collectivités locales. C'est absolument indispensable, et pourtant très peu d'entre elles ont fait la démarche. Aujourd'hui, environ 200 mairies seulement disposent d'un correspondant informatique et libertés. En second lieu, toutes les entreprises/prestataires de services qui exercent dans le domaines de la santé. Par exemple, les cliniques, les maisons de retraite (EHPAD), les pôles de santé et centres de soins etc.

Si l'on parle d'une entreprises proprement dite, je dirais qu'à partir d'une cinquantaine/centaine de personnes, ça me paraît utile. Il est important de noter que le correspondant travaille rarement à temps plein pour une entreprise.

La nécessité de nommer un correspondant dépend aussi du type de traitement de données. Si vous avez en interne un traitement de type centre d'appels, géolocalisation, vidéosurveillance, contrôle d'activités web, ça s'avère évidemment très utile. Le correspondant va se porter garant de la conformité avec la loi de ces types de contrôle.

CCM - Dans la pratique, comment se passent les relations entre le correspondant informatique et libertés et les différents services de l'entreprise ayant un lien avec le traitement de données internes/externes ?

CC - Avant de parler du lien avec les différents services, il faut parler du lien avec la hiérarchie. La loi dit que pour sa mission, le correspondant informatique et libertés est complètement autonome et n'a de consignes et d'ordres à recevoir de personne. Il gère son métier comme il le veut.

Maintenant les relations peuvent être ambiguës car le correspondant est payé par l'entreprise dont il vérifie la conformité des procédures. Concernant les relations avec ces collègues, il va être en contact avec le service juridique, avec les services informatique et marketing (services clients en vente directe), les RH, etc. Le correspondant doit être capable d'expliquer, de conseiller et d'accompagner sans "brutaliser". Il doit avoir de bons talents de diplomate. Il n'est pas là pour dire aux différents services "vous n'avez pas le droit de faire ça" mais pour définir, avec les différents responsables du traitement, un cadre aux différents traitements qu'une société veut mettre en oeuvre.

CCM - Comment les entreprises doivent-elles s'y prendre pour recruter un correspondant et libertés ?

CC - Il y deux possibilités : soit en interne, soit en externe. En externe, ça peut être un avocat ou un prestataire spécialisé, qu'une entreprise recrutera en fonction de plusieurs critères : ses compétences bien sûr mais aussi son vécu et son expérience car il doit bien connaître le fonctionnement général d'une société. L'aspect humain est relationnel est très important.

La deuxième façon de recruter un correspondant, c'est de le faire en interne : mais c'est plutôt rare. Une société préférera ce type de recrutement pour s'assurer que la personne choisie connaît parfaitement les rouages et la culture de la société. On s'oriente alors vers quelqu'un qui vient du département juridique ou du département informatique, à mon sens cette dernière option peut être délicate, car le correspondant sera alors juge et partie. Parmi les autres profils à privilégier dans une configuration de recrutement en interne : les professionnels familiers du contrôle qualité, qui sont en général "carrés" et rigoureux, et font preuve de méthodologie.

CCM - Peut-on estimer le rapport temps/ressources RH "épargné" par la nomination d'un correspondant informatique et libertés, au bénéfice d'une entreprise ?

CC - C'est très difficile à estimer et à chiffrer. La question que les entreprises doivent se poser, c'est : si demain, j'ai une sanction de la part de la CNIL, combien cela va-t-il me coûter en termes d'image ? Idem si je me sépare d'un salarié pour une raison lié à un traitement que je n'ai pas déclaré, ou si j'ai des salariés qui dénoncent un traitement informatique lui aussi non déclaré. Les sanctions de la CNIL, c'est régulièrement 10.000, 15.000 ou 20.000 euros.

Dans le cadre d'une infraction à la loi informatique et libertés, l'entreprise doit s'acquitter d'une amende à la CNIL. Mais ce n'est pas le seul risque. Dans certains cas, le responsable du traitement, souvent le dirigeant de la société, est lui aussi passible d'une sanction pénale, sous la forme d'une amende ou d'une peine d'emprisonnement, selon la loi.

Au lieu de se poser la question "qu'est-ce que je gagne ?" à mettre en place un correspondant informatique et libertés, il est peut être préférable de se se poser la question : "qu'est-ce que je ne perds pas ?"

Dans le détail


- Depuis le décret d'application de 2005, on estime à 5500 le nombres d'organismes en France qui disposent d'un Correspondant informatique et libertés (entreprises du secteur privé dans 90% des cas).
- L'Association Française des Correspondants à la Protection des Données à Caractère Personnel (AFCDP) regroupe regroupe les CIL de France et est chargé de promouvoir leur action.

- A l'issue d'un parcours de responsable informatique, Christophe Champoussin a créé la société Anaxia en 2008 et exerce le métier de Correspondant Informatique et Libertés en externe. Il intervient plus largement en tant que conseil en dehors de sa mission CIL (formation, accompagnement, audit). Voir [www.anaxia-cil.fr Anaxia-CIL].

En savoir plus
Guide pratique du Correspondant Informatique et Libertés édité par la CNIL (PDF)