Groupe AFCDP « Mission et rôle du DPO »

Animé par Jean-Pierre Rémy (Banque de France), ce groupe de travail a anticipé sur le décret d’application, en menant des réflexions approfondies sur le rôle et les missions du DPO. Parmi les résultats de ces travaux, les documents « Quinze raisons de désigner un CIL » et « Dix idées fausses au sujet du CIL ».

Il a ensuite poursuivi ses travaux en travaillant à la phase qui précède la désignation (Comment désigner un DPO ?).

Vous êtes intéressé par ce sujet et par ces travaux ?

>>>

N’hésitez pas à nous contacter si vous souhaitez être invité à participer à l’une des réunions du groupe pour juger du sérieux de nos réflexions et de l’intérêt de rejoindre l’association (la participation suivie réclame la qualité de membre).


L’actualité du groupe

Le rôle du correspondant

Avant d’engager les travaux sur la Charte du Correspondant Informatique et Liberté, il me semble qu’il faut assurer une transition avec ceux du groupe de réflexion sur les missions du CIL. En effet, cette nouvelle étude, destinée à définir « comment » le CIL doit agir, doit se fonder sur « pour quoi » et « pourquoi » il doit agir. Il convient donc de préciser son rôle et sa responsabilité.

Rôle du CIL


La loi I&L (art. 22-III) :

« … un correspondant à la protection des données à caractère personnel chargé d’assurer, d’une manière indépendante, le respect des obligations prévues dans la présente loi….

Il peut saisir la Commission nationale de l’informatique et des libertés des difficultés qu’il rencontre dans l’exercice de ses missions… »

Le décret d’application (art. 49) :

« Le correspondant veille au respect des obligations prévues par la loi du 6 janvier 1978 susvisée pour les traitements au titre desquels il a été désigné.

A cette fin, il peut faire toute recommandation au responsable des traitements.

Il est consulté, préalablement à leur mise en oeuvre, sur l’ensemble des nouveaux traitements appelés à figurer sur la liste prévue par l’article 47.

Il reçoit les demandes et les réclamations des personnes intéressées relatives aux traitements figurant sur la liste prévue par l’article 47. Lorsqu’elles ne relèvent pas de sa responsabilité, il les transmet au responsable des traitements et en avise les intéressés.

Il informe le responsable des traitements des manquements constatés avant toute saisine de la Commission nationale de l’informatique et des libertés. »

Références complémentaires :

Le code civil (Art. 1134)

Les conventions légalement formées tiennent lieu de loi à ceux qui les ont faites.

Elles doivent être exécutées de bonne foi.

Le code du travail (Art. 121-9)

Le salarié reste soumis à l’obligation de loyauté à l’égard de son employeur.

La lettre de la loi et du décret

Il appartient au CIL d’analyser la conformité à la loi des projets qui lui sont soumis et de faire toutes les recommandations qui s’imposent en vue « d’assurer le respect des obligations prévues dans la présente loi ».

Si le CIL estime que certaines dispositions d’un projet ne sont pas conformes à la loi, ses obligations pourraient être, dans une transposition stricte des textes :

- faire les recommandations qui s’imposent au « promoteur » du traitement (un décideur de l’entreprise) pour respecter les dispositions légales,

- alerter le responsable du traitement (le chef d’entreprise, en l’absence de délégation de pouvoirs), si elles ne sont pas suivies d’effet et l’informer que, à défaut d’évolution satisfaisante, il sera conduit à saisir la CNIL,

- saisir la CNIL, en dernier recours, s’il considère que des manquements perdurent.

Le dernier point, si on l’assimile à une ‘dénonciation’, pourrait placer le CIL face à un dilemme. La loi 78-17 et, surtout, le décret lui imposent de saisir la CNIL des manquements de son entreprise. Le Code du travail et le Code civil lui imposent, quant à eux, loyauté et bonne foi. De même, certains avocats considèrent qu’une telle action à l’encontre de leur client serait contraire à la déontologie, et que partant ils ne peuvent être un CIL « externe ». La fonction de CIL pourrait ainsi être « mort-née », du fait de ce « syndrome cornélien », qui est une question lancinante depuis l’origine, tant pour les employeurs que pour les CILs potentiels.

Le risque de survenance de ce dilemme peut, selon moi, être relativisé par une approche pragmatique du contexte dans lequel le CIL évoluera.

L’approche pragmatique

Il est permis de penser qu’une « non-conformité » ne découlera jamais d’une décision délibérée d’ignorer la loi. Cette attitude serait contradictoire avec la décision de nommer un CIL, et donc d’y consacrer des ressources, qui témoigne d’une prise en compte de la problématique « informatiques et libertés » et du souci de la gérer au mieux. Pour être complet, le cas où le CIL constituerait un alibi destiné à couvrir les libertés prises avec la loi peut être envisagé. La seule réponse possible pour le CIL est le refus de se prêter au jeu, sauf à engager sa responsabilité (cf. infra). En conséquence, ce cas ne mérite pas d’être examiné … du moins sous l’angle du rôle à tenir par le CIL.

Plaçons nous, donc, dans l’hypothèse d’une entreprise soucieuse de respecter la loi I&L, qui, en conséquence, désigne un CIL pour atteindre cet objectif. Cette approche conduit à comparer le CIL à un directeur de projet, qui doit agir à son niveau de responsabilité et, le cas échéant, rendre compte des difficultés qu’il ne peut résoudre pour quelle soient traitées à un niveau de décision ou d’expertise supérieur.

La difficulté, terme utilisé par le législateur et transformé en « manquement » par l’exécutif, résultera d’une différence d’interprétation des dispositions légales, soit avec le promoteur d’un projet soit avec le responsable du traitement. Cette situation pourrait, notamment, se présenter pour la détermination du régime d’un traitement, dont la CNIL, elle-même, reconnaît que certains des critères qui la fondent sont sujets à interprétation.

Le premier cas fera l’objet d’une saisine du responsable pour l’arbitrage qui lui appartient puisque, justement, il engage sa responsabilité pénale. Si le responsable entérine la position du CIL, la difficulté sera levée dans la mesure où, à la différence du CIL, il exerce une autorité sur le « promoteur » et peut lui imposer ses directives.

Si le responsable du traitement estime infondée la recommandation du CIL, il ne sera pas, et c’est un euphémisme, enclin à la mettre en œuvre (et, si cela se répète, il sera surtout enclin à changer de CIL !). Dans cette situation de divergence d’analyses, et non de constat d’un manquement qui constituerait une infraction (le CIL n’est pas un gendarme, et il n’existe pas de radar pour mesurer la conformité), la saisine de la CNIL ne constituerait pas une « dénonciation » mais la demande de conseil prévue par la loi (art 11, 2° - d[[Elle (la CNIL)…conseille les personnes et organismes qui mettent en oeuvre ou envisagent de mettre en oeuvre des traitements automatisés de données à caractère personnel]] ). Cette faculté peut d’ailleurs être exercée tant par le CIL que l’entreprise.

Ainsi, il appartiendrait au CIL d’analyser la conformité à la loi des projets qui lui sont soumis, et, en vue « d’assurer le respect des obligations prévues dans la présente loi » de :

- faire toutes les recommandations qui s’imposent au promoteur du traitement,

- saisir le responsable, pour arbitrage, en cas de désaccord, voire, dans le pire des cas, de refus d’un promoteur qui privilégierait l’efficience,

- adresser une demande de conseil à la CNIL si le responsable ne partage pas son analyse.

Dans ce schéma, qui reste à valider, le « syndrome cornélien », principal obstacle à l’émergence de candidats à la fonction, deviendrait hautement improbable. Il en serait de même des réticences des entreprises, qui pourraient juger inconcevable, dans l’absolu, de se priver de leur pouvoir de direction sur un salarié qui ne peut être sanctionné ni recevoir d’instruction. En effet, ce pouvoir légitime ne demande à être exercé qu’en cas de désaccord avec un salarié, perspective improbable si l’objectif est partagé et les divergences d’analyse levées par recours à « l’expertise » de la CNIL.

Responsabilités du CIL


Conformité du projet

Revenons à l’hypothèse du CIL « alibi », rôle écarté lors de l’analyse de la procédure, qui retrouve tout son intérêt ici. La responsabilité du CIL, peut être engagée aux plans civil et pénal, notamment pour ‘complicité’, si, sur ordre, il n’accomplit pas les obligations décrites ci-dessus ou s’il ne va pas jusqu’au bout de la démarche (saisine de la CNIL, par exemple) alors qu’il a « l’intime conviction » qu’un manquement perdure malgré ses recommandations.

Une non-conformité peut, également, découler d’une défaillance du CIL, qui n’aurait pas rempli ses obligations, non pas « sous influence » mais par incompétence ou négligence. Dans ce cas, il est vraisemblable qu’il sera sanctionné par des mesures administratives internes, qui peuvent aller jusqu’à la révocation à la demande de la CNIL ou de l’employeur. En outre, pour se décharger ou alléger sa responsabilité pénale personnelle, le chef d’entreprise peut rechercher celle du CIL.

Respect des dispositions déclarées

Le CIL, pas plus que la CNIL qui délivre « sans délai » un récépissé, n’a à concevoir de doutes sur la sincérité des déclarations qui lui sont faites. Il n’aurait donc pas à procéder à des contrôles a priori pour vérifier la réalité des dispositions déclarées.

Par contre, si le CIL reçoit des demandes ou réclamations de particuliers (cf. décret), il lui appartient de saisir le service chargé de la mise en oeuvre du traitement pour instruire le dossier. Là encore, il n’aurait pas de mission d’investigation : les éléments de réponse fourni par le responsable démontrant que la plainte est infondée, ou l’engagement qu’il a été remédié au disfonctionnement, suffisent. (Éléments à communiquer par écrit).

Si, les demandes ou plaintes sont réitérées, il devra, en l’absence d’éléments nouveaux apportés par le service, saisir le responsable. Ce n’est qu’à ce niveau qu’un audit pourrait s’avérer nécessaire. Il serait donc diligenté par le chef d’entreprise, qui est responsable et possède l’autorité, et non par le CIL, qui a un devoir de veille et d’alerte.

Si la situation perdurait, le plaignant pourrait exercer la faculté, offerte par la loi, d’adresser sa plainte à la CNIL, voire à la justice, en y incluant des doléances sur l’inanité de ses réclamations auprès du CIL.

La conséquence vraisemblable d’une telle situation, pour le CIL, serait l’application du dernier alinéa du 22-III : en cas de manquement constaté à ses devoirs, le correspondant est déchargé de ses fonctions sur demande de la Commission nationale de l’informatique et des libertés.

JP REMY


Événements à venir

    Aucun événement à venir pour ce groupe