Fiche pratique sur le Correspondant Informatique et Libertés (CIL)

Les progrès de l’informatique et la mise en place du système d’information (SI) ont conduit, en plus de trente ans, à des bouleversements majeurs au sein de notre société.

Spécifiquement, grâce aux performances sans cesse accrues des logiciels et des matériels de stockage de l’information, la communication dématérialisée a connu un essor sans précédent. Le développement du web ou, plus récemment, du cloud computing ou encore du big data en constitue les exemples les plus prégnants.

 

Pour autant, cette société de l’information où règnent l’instantanéité et la libre circulation des données n’est pas sans danger pour les droits et libertés fondamentaux des individus : sans maîtrise technique et juridique du cadre relatif aux données personnelles, ce sont inexorablement le droit à la vie privée ou encore la liberté d’expression qui risquent d’en pâtir.

 

A ce titre, la législation française a très tôt disposé d’un texte propre à régenter ces problématiques. En effet, la protection des données à caractère personnel est principalement couverte par la loi dite « Informatique et Libertés » du 6 janvier 1978 (loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés) qui a institué la Commission Nationale de l’Informatique et des Libertés (CNIL). Cette loi a pour ambition d’assurer la protection du traitement des données à caractère personnel des personnes physiques à travers l’édiction de cinq grands principes : la loyauté du traitement des données ; la sécurité et la confidentialité des données ; le droit des personnes dont les données sont collectées ; les transferts de données hors de l’Union européenne ; l’exécution de formalités auprès de la CNIL.

 

Dans un tel contexte, l’entreprise ne perçoit pas toujours les différents enjeux liés au respect de la loi Informatique et Libertés. Pourtant, depuis 2004, la CNIL s’est vue attribuer un pouvoir de sanction et de contrôle grandissant : elle opère des contrôles de plus en plus nombreux qui, de concert avec son pouvoir de sanction, assurent une réponse financière et pénale forte.

 

Dans le même temps, la fonction de Correspondant Informatique et Libertés (CIL) a vu le jour, fonction dont l’objet n’est autre que de garantir le respect de la loi Informatique et Libertés au sein de l’organisme qui l’a désigné et d’assurer à ce dernier une mise en conformité avec les différents contrôles opérés par la CNIL.

 

 

QUELLES SONT LES MISSIONS DU CIL ?

 

 

Conformément à la loi Informatique et Libertés et à son décret d’application n° 2005-1309, les missions principales du CIL sont :

  • D’établir un registre des traitements : dans les trois mois suivant sa désignation, le correspondant doit dresser, par l’intermédiaire d’un registre, une liste des traitements automatisés pour lesquels il a été désigné.

  • De veiller à l’application de la loi Informatique et Libertés au sein de l’organisme qui l’a désigné : à ce titre, il est obligatoirement consulté préalablement à la mise en œuvre des traitements et il participe à la diffusion de la « culture Informatique et Libertés » dans l’organisme.

  • De se charger de la réception des réclamations et requêtes des personnes concernées par les traitements et de les transmettre aux services intéressés dans les formes et les délais prévus par la législation ; il assure le respect du droit d’accès et d’opposition et à l’information des personnes concernées sur leurs droits.

  • D’alerter le responsable du traitement des manquements constatés. Il peut, le cas échéant, saisir la CNIL.

  • De procéder à des audits internes.

  • De préparer les dossiers auprès de la CNIL pour les traitements non exonérés de formalités par la loi.

  • De rédiger une politique de protection des données à caractère personnel ou une charte.

  • De former le personnel de l’organisme.

  • D’établir le bilan annuel de ses activités : remis au responsable de l’organisme, il explique ce qui a été fait et ce qui est prévu pour l’année suivante. Ce document est en outre mis à la disposition de la CNIL.

 

 

QUELS SONT LES DIFFÉRENTS TYPES DE CIL ?

 

 

La loi prévoit différents types de CIL :

 

  • Le CIL externe : lorsque moins de 50 personnes participent à la mise en œuvre du traitement ou y ont accès, l’organisme est libre de désigner un CIL externe. Il peut s’agir d’un juriste spécialisé doté des compétences requises, à l’instar des juristes/docteurs en droit présents au sein de LEX@TIC (voir la rubrique « votre solution CIL »).

 

  • Le CIL interne : dans les autres structures, celles ou plus de 50 personnes participent à la mise en œuvre du traitement ou y ont accès, seul peut être désigné comme CIL :

 

un salarié de l’entreprise,

 

un salarié d’une des entités du groupe de sociétés auquel appartient l'entreprise,

un salarié du groupement d'intérêt économique dont l'entreprise est membre,

une personne mandatée à cet effet par un organisme professionnel,

une personne mandatée à cet effet par un organisme regroupant des responsables de traitement d'un même secteur d'activité.

LEX@TIC peut vous permettre de trouver une solution si vous souhaitez désigner un CIL interne (voir la rubrique « votre solution CIL »).

 

 

  • Le CIL mutualisé : La fonction de CIL peut être mutualisée entre différents organismes publics et privés, dès lors que ceux-ci sont liés par des intérêts économiques communs ou appartiennent à un même secteur d’activité. L’avantage principal de la mutualisation est d’ordre économique car elle assure le déploiement de la conformité avec la loi Informatique et Libertés dans un ensemble de structures similaires ou du même secteur à moindre coût. L’équipe LEX@TIC propose là encore des solutions qui peuvent être adaptées (voir la rubrique « votre solution CIL »).

 

Dans tous les cas de figure (CIL interne, externe ou mutualisé), la loi « Informatique et Libertés » prévoit explicitement que le CIL exerce « sa mission directement auprès du responsable de traitement ». Pour autant, le CIL doit exercer son rôle en toute autonomie. Directement rattaché au responsable des traitements dans l’entreprise, le CIL ne peut recevoir aucune instruction pour l’exercice de sa mission. Evidemment, pour parachever sa mission, il devra agir en recueillant l’avis d’autres personnes ou des services concernés.

 

 

 

QUI PEUT ÊTRE DÉSIGNÉ CIL ?

 

 

Selon la loi, il n’y a pas d'exigence de diplôme ou de procédure d’agrément. Pour autant, la Commission Nationale de l’Informatique et des Libertés (CNIL) estime que le CIL doit être une personne nécessairement qualifiée, disposant de compétences en droit, en conseil, en informatique et en médiation évidentes.

 

Par ailleurs, le CIL doit être une personne indépendante pour pouvoir exercer ses missions en toute objectivité, à l’abri de tout conflit d'intérêts qui pourrait naître d'autres fonctions : à ce titre, le responsable des traitements dans l’entreprise ou l’organisme ne peut pas être désigné comme CIL puisque ne disposant pas de la neutralité nécessaire à l’accomplissement de sa mission.

 

De ce fait, les juristes de l’équipe LEX@TIC, Docteurs en droit, indépendants, spécialisés en technologies de l’information et de la communication (TIC) et en informatique, correspondent parfaitement aux critères nécessaires à l’accomplissement des missions du CIL (voir la rubrique « votre solution CIL »).

 

 

 

POURQUOI NOMMER UN CIL ?

 

 

La loi Informatique et Libertés et son décret d’application prévoient, pour les entreprises, les collectivités locales, les administrations ou encore les associations, la possibilité de nommer un CIL. Ceci présente, pour l’organisme qui fait un tel choix, plusieurs avantages :

 

  • Le CIL vise à présenter une image de conformité à la loi Informatique et Libertés et il est, dans cette perspective, un vecteur de sécurité juridique . En effet, le CIL assure à l’organisme qui le nomme le respect des obligations prévues par la loi Informatique et Libertés, pour les traitements entrant dans son champ de compétence. Il effectue aussi une veille juridique constante nécessaire à l’accomplissement de ses missions.

 

  • Le CIL assure un rôle de conseil et de recommandation au sein de l’organisme qui l’a nommé. Il est ainsi un vecteur de sécurité informatique puisqu’il veille à la diffusion de la « culture Informatique et Libertés » et il doit être consulté préalablement à la mise en œuvre des traitements. De même, il peut faire toute recommandation qu’il juge utile au responsable des traitements. Enfin, il informe le responsable des traitements des manquements constatés et le conseille dans les moyens à mettre en œuvre pour y remédier.

 

  • La désignation d’un CIL permet à l’organisme qui l’a désigné un allègement des formalités administratives en l’exonérant de tout ou partie des formalités préalables de déclaration des traitements de données.

 

  • La nomination d’un CIL participe à l’instauration et au développement d’une relation privilégiée avec la CNIL, celle-ci disposant d’un département spécifique pour assister les CIL dans leurs missions.

 

  • La désignation d’un CIL permet d’anticiper la modification de la législation européenne sur les données personnelles, actuellement en cours de finalisation, et qui rendra obligatoire les CIL (les futurs "Data Protection Officer" - DPO) dans certains cas.

 

  • Enfin, le CIL permet d'apporter la confiance aux différentes parties prenantes (employés, agents, élus, citoyens, usagers, etc.) et participe à l’amélioration de l’image de l’organisme qui l’a désigné . La nomination d’un CIL par l’organisme atteste en effet que celui-ci est engagé dans le respect des droits fondamentaux des citoyens et des usagers dont les données sont collectées.  Il convient de noter que la CNIL a lancé, en décembre 2014, un label « gouvernance Informatique et Libertés »[1] dont l’attribution permet à l’organisme bénéficiaire de prouver qu’il respecte ses obligations en matière d’Informatique et Libertés. Or, pour obtenir ce label, l’une des conditions est justement d’avoir désigné un CIL.

 

 

Autant de raisons qui amènent l’équipe LEX@TIC à vous proposer ses conseils et services afin que vous puissiez désigner, en toute connaissance de cause, un CIL. Ne vous privez pas des conseils d’un expert ! Voyez notre billet consacré à nos prestations de CIL et contactez-nous pour toute question ou pour un devis gratuit au : 06.37.83.89.98 ou sur  Cette adresse e-mail est protégée contre les robots spammeurs. Vous devez activer le JavaScript pour la visualiser.

 

 

 


 

 

[1] V. le site de la CNIL, « Un nouveau label CNIL gouvernance Informatique et Libertés », 13 janvier 2015 : http://www.cnil.fr/linstitution/actualite/article/article/un-nouveau-label-cnil-gouvernance-informatique-et-libertes-1/

 

Autres Actualités

+
d'actualités
juridiques
Droit des TICDroit des médiasDroit de l'informatiqueProtection de la vie privéePropriété intellectuelle

Nos Formations Solution CIL