Dans le cadre du programme annuel des contrôles 2010, la Commission a souhaité apprécier l’efficacité des Correspondants Informatique et Libertés (CIL). C’est dans ce contexte qu’elle a décidé de procéder à deux types de contrôles :
- des contrôles comparatifs destinés à évaluer le niveau de conformité d’organismes dotés d’un CIL par rapport à des organismes sans correspondant ;
- des contrôles auprès d’organismes dotés d’un CIL afin d’apprécier l’efficacité des missions qui sont dévolues au CIL par le décret du 20 octobre 2005 modifié ;
Au total, 18 organismes ont été contrôlés dont 8 dans le cadre des contrôles comparatifs (4 avec CIL et 4 sans). Il s’agissait aussi bien de CIL internes aux organismes concernés que de CIL mutualisés exerçant leurs fonctions pour plusieurs entités différentes.
Ces contrôles permettent de :
- dresser un premier bilan du métier de CIL et des conditions dans lesquelles il est exercé ;
- envisager les mesures pour promouvoir le développement de ce métier tout en prévenant les possibles dérives.
Bilan : différents types de CIL, pour une conformité variable
Les contrôles effectués ont permis de répartir les CIL en trois catégories, en fonction de la manière dont ils accomplissent leurs missions et assurent la conformité des traitements à la loi. Il y a ainsi des CIL compétents et investis dans leurs fonctions ; des CIL qui accomplissent partiellement leurs missions faute de temps, de moyens ou de reconnaissance ; des CIL mis en place comme « paravent » dans le seul but de bénéficier d’un allégement des formalités ou d’un effet d’affichage. A cela s’ajoute le cas particulier des CIL mutualisés au sein d’un groupe de sociétés et des CIL mandatés par une profession.
Le CIL efficace
Il s’agit du CIL impliqué dans ses missions et qui apparait comme le vecteur indispensable d’une meilleure application de la loi Informatique et Libertés au sein de l’organisme concerné.
L’efficacité de ces CIL repose notamment sur :
- des actions de sensibilisation à la loi en interne et à l’extérieur ;
- une communication avec les services opérationnels internes ;
- la mise en place de relais ou d’adjoints qui assistent le CIL dans ses missions ;
- la réalisation d’audits par le CIL pour apprécier concrètement la conformité à la loi.
Traits communs à ces CIL, ils disposent de moyens adaptés à leurs missions. Ils ont ainsi la possibilité de consacrer un temps de travail conséquent à la fonction de correspondant. De même, ils bénéficient de moyens matériels qui les aident dans l’accomplissement de leurs missions (ex : outil de détection des mots « sensibles », intranet spécialement dédié à la fonction de CIL …).
Le CIL partiellement efficace
L’implication partielle du CIL aboutit à une application lacunaire de la loi. Les organismes qui ont désigné un CIL entrant dans cette catégorie n’appliquent pas la loi Informatique et Libertés de manière suffisamment rigoureuse. Même si aucune infraction majeure n’a été relevée, des manquements ont été constatés (ex : durées de conservations excessives ou mesures de sécurité incomplètes). Par ailleurs, les missions du CIL ne sont pas menées pleinement ou à leur terme (ex : liste des traitements incomplète et/ou pas actualisée). Le manque de moyens conférés au CIL par le responsable de traitement ou l’absence de véritable reconnaissance de sa fonction - voire une méfiance à son égard - explique cette efficacité relative.
Le CIL « paravent »
Le CIL « paravent » apparaît comme étant désinvesti ou démotivé. Les missions qui lui sont dévolues ne sont pas ou très imparfaitement accomplies. Dans ce cas de figure, les manquements à la loi s’accumulent et aboutissent à une absence de conformité alarmante de l’organisme. Il s’agit souvent de CIL désignés uniquement pour bénéficier de la dispense de l’accomplissement des formalités préalables et qui ne bénéficie ni de moyens, ni du soutien du responsable de traitement dans l’accomplissement de leurs missions.
Le cas particulier des CIL mutualisés
Les contrôles effectués auprès de CIL mutualisés au sein d’un groupe de sociétés ont révélé un bilan globalement positif, se traduisant par la mise en place d’une politique structurée et harmonisée en matière de protection des données. Cette politique repose notamment sur des aménagements organisationnels ou la mise en place d’outils permettant de centraliser et de diffuser largement la loi « informatique et libertés ».
En revanche, les contrôles effectués auprès de CIL mutualisés agissant respectivement pour deux professions distinctes ont révélé un bilan contrasté.
Ainsi, l’efficacité tant du CIL désigné par un organisme que du CIL mutualisé, est étroitement liée aux moyens et ressources qui lui sont affectés par le responsable de traitement ainsi qu’à son propre investissement dans les missions dévolues à sa fonction.
Vigilance et accompagnement
La campagne de contrôles CIL a permis de mettre en exergue les avantages de la désignation d’un CIL, mais également les dysfonctionnements liés à un mauvais exercice de la fonction. A cet égard, il est apparu que certains correspondants et responsables de traitement n’ont pas véritablement conscience des obligations qui sont les leurs ; faute de temps ou par manque d’investissement. A contrario, dans certains organismes, le CIL participe concrètement à l’amélioration du fonctionnement global de la structure. Il s’éloigne alors d’un rôle administratif pour endosser celui d’un véritable responsable de la conformité sur le modèle du « compliance officer » anglo-saxon, ce qui à terme devrait constituer l’avenir de la profession.
Il apparaît ainsi que le choix d’un correspondant doit aboutir à un meilleur fonctionnement de l’organisme et à la maîtrise des enjeux liés à la protection des données. Sa désignation est avant tout un acte d’engagement fort à respecter la loi et la CNIL reste à cet égard particulièrement vigilante. Parce que la prise de conscience de l’utilité d’une fonction nécessite souvent un accompagnement, la CNIL va renforcer son programme de formation des CIL notamment sur les procédures et les stratégies d’audit interne.
