Le Blog du Cabinet CHEMOULI DAUZIER

La désignation du Correspondant à la Protection des Données à Caractère Personnel ou CPDCP ou encore CIL pour « Correspondant Informatique et Libertés » dispense l’entreprise de l’ensemble des formalités obligatoires liées aux déclarations des fichiers contenant des informations à caractère personnel (article 22 III de la loi n°78-17 du 6 janvier 1978).
Rappelons rapidement ce qu’est un tel fichier. Dès que certaines données permettant d’identifier une personne physique sont réunies dans un fichier, automatisé ou manuel, ce fichier doit être déclaré à la CNIL. Il peut s’agir d’informations directes comme le nom, l’adresse ou encore le numéro de téléphone (les fichiers de gestion des badges d’accès, de gestion de la téléphonie, de gestion du personnel, …). Mais, il peut s’agir également de données indirectes comme l’adresse email ou les données de connexion(les fichiers contenant les informations sur les prospects ou sur les visiteurs de sites Internet, … ).
La CNIL a prévu des dispenses de déclarations (aujourd’hui, on en compte dix) pour des fichiers ne présentant pas de risque au regard de la vie privée et des droits fondamentaux de la personne comme par exemple, les fichiers de fournisseurs comportant des personnes physiques. Tous les autres cas doivent faire l’objet de déclarations, ordinaires ou simplifiées. Les fichiers contenant certaines catégories de données comme celles relatives à la santé ou relatives à des condamnations sont à traiter de manière particulière. Ceux-ci ne doivent être mis en œuvre qu’après autorisation de la CNIL (article 25 de la loi précitée).
En 2005, les contrôles réalisés par la CNIL ont augmenté de 113%. Les principaux secteurs d’activité contrôlés ont été la grande distribution (modalités du contrôle des paiements par chèque, tenue de fichiers de personnes surprises en flagrant délit de vol à l’étalage), le marketing direct (prises en compte des droits d’opposition des clients ou prospects, notamment internautes), la biométrie (contrôles d’accès sur les lieux de travail, à des clubs de sport, des chambres d’hôtel, etc.), la vidéosurveillance implantée dans des lieux privés, le courtage d’assurance sur internet. Pour le secteur bancaire, 2005 fut une année record en matière d’avertissements.
Les sanctions en cas de non-respect de ces dispositions légales peuvent être très lourdes (articles 47 et suivants de la loi précitée). Elles sont de deux types : sanctions administratives et sanctions pénales. En ce qui concerne les sanctions administratives, la CNIL procède dans un premier temps par l’envoi d’une mise en demeure. En cas de 1er manquement, la sanction ne peut excéder 150 000 €. En cas de manquement réitéré dans les 5 ans, elle ne peut excéder 300 000 € ou s’agissant d’une entreprise, 5% du CA dans la limite de 300 000 €. En ce qui concerne les sanctions pénales, dès lors que les obligations de déclaration ne sont pas respectées, y compris par négligence, la non-déclaration est punie de cinq ans d'emprisonnement et de 300 000 Euros d'amende. (art. 226-16 du Code pénal).
Aussi, pour simplifier la gestion de cette réglementation, la CNIL a créé le statut de correspondant à la protection des données à caractère personnel. Les fichiers qui devraient faire l’objet d’une déclaration préalable, sont dispensés de notification à la CNIL. Cette obligation légale est remplacée par la désignation du correspondant. Celui-ci tient à jour la liste des fichiers existant au sein des différents services de l’entreprise. Il vérifie la conformité des traitements avec les dispositions. Il a un devoir d’alerte en cas de non-respect de ces dispositions légales. Il est l’interlocuteur privilégié de la CNIL.
Le correspondant est désigné par l’entreprise. Sa désignation est notifiée auprès des services de la CNIL. Les instances représentatives du personnel sont également informées de cette nomination. Si la loi ne définit pas précisément les qualifications requises, il apparaît que celui-ci doit avoir des connaissances en matière juridique voire informatique. Il doit également connaître le monde de l’entreprise. Le correspondant peut être soit un salarié ou une personne externe à l’entreprise comme un avocat ou un consultant spécialisé en protection des données personnelles. Il rend directement compte à la direction de l’entreprise. Cette fonction, quel que soit le statut interne ou externe du correspondant, devra être détaillée dans une lettre de mission eu égard aux enjeux liés au respect des dispositions de la loi « Informatique et Libertés ».
Concernant la responsabilité du correspondant, sa désignation n’exonère pas l’entreprise. Néanmoins, en cas de désignation d’un correspondant externe, il sera aisé d’engager la responsabilité civile voire pénale de celui-ci ; c’est pourquoi, le choix du correspondant relève d’une décision stratégique de l’entreprise.