Le Guide Des Correspondants Informatique Et Libertés (CNIL)

DU CORRESPONDANT INFORMATIQUE ET LIBERTES
dition 2011
Sommaire
AvAnt-propos Fiche n1 - les 6 bonnes raisons de dsigner un CIL Fiche n2 - les services disposition du CIL Fiche n3 - le profil du correspondant Fiche n4 - le statut du correspondant Fiche n5 - les principales missions du CIL Fiche n6 - les modalits de dsignation du CIL Fiche n7 - le choix du CIL externe Fiche n8 - la prise de fonction du correspondant Fiche n9 - la liste des traitements du CIL ou registre Fiche n10 - le CIL et les formalits pralables Fiche n11 - le bilan de laction du CIL Fiche n12 - linstruction des demandes de droit daccs et de rectification Fiche n13 - lexercice du droit dalerte Fiche n14 - la responsabilit du CIL Fiche n15 - la fin de mission du CIL Fiche n16 - le CIL et les contrles Fiche n17 - le CIL lors de la procdure de sanction Fiche n18 - le CIL et les instances reprsentatives du personnel Fiche n19 - les rseaux de CIL Fiche n20 - le CIL et les conventions de partenariats Fiche n21 - le CIL des organismes de presse crite ou audiovisuelle Fiche n22 - le CIL et les transferts de donnes hors UE Fiche n23 - les CIL ltranger Fiche n24 - le CIL et la reprsentation sur le territoire national AnnExEs tExtEs dE rFrEnCE ModLE dE CoUrrIEr dInForMAtIon dEs rEprsEntAnts dU pErsonnEL ModLE dE LEttrE dE MIssIon rEMIsE pAr LE rEsponsAbLE dEs trAItEMEnts AU CIL Lors dE sA prIsE dE FonCtIons ModLE dE FIChE portEr AU rEgIstrE Ce guide est tlchargeable sur le site Internet de la CNIL : www.cnil.fr page 2 page 3 page 4 page 6 page 9 page 10 page 12 page 14 page 16 page 18 page 22 page 24 page 26 page 29 page 31 page 32 page 35 page 37 page 38 page 40 page 42 page 43 page 44 page 46 page 48 page 49 page 50 page 56 page 57 page 59
Avant-propos
A v A N t- p r o p o s
Madame, Monsieur, Depuis 2005 et la parution du dcret dapplication de la loi Informatique et Liberts, la fonction de Correspondant Informatique et Liberts (CIL) est en plein essor. Le CIL est devenu un acteur incontournable de la protection des donnes dans le paysage professionnel franais. Il est reprsent dans tous les secteurs dactivit et dans tous les types dorganismes. Pour rpondre aux besoins lis laffirmation du rle de correspondant en tant que mtier part entire, la CNIL a toff son offre de services. Cest ainsi quun extranet a t mis en ligne en 2009 afin de proposer de nouveaux outils et moyens dchanger sur la protection des donnes. Diffrents niveaux dexpertise ont par ailleurs t introduits dans les ateliers dinformation organiss par la CNIL. La prsente actualisation et mise jour du guide destin au correspondant participe de cette mme logique qui consiste mettre disposition des CIL des outils adapts leurs besoins en facilitant lexercice de leurs missions au sein des organismes qui les ont dsigns. Cette dmarche de collaboration entre la CNIL, le CIL et les responsables de fichiers porte chaque jour ses fruits. Elle permet de garantir que le dveloppement de linformatique sopre sans danger pour les droits et liberts des usagers, des clients et des salaris. Je vous invite, avec ce nouveau guide, dcouvrir ou approfondir, selon votre niveau de connaissance, le statut et les missions du correspondant ainsi que les modalits pratiques dexercice de cette fonction. Isabelle FALQUE-PIERROTIN Prsidente de la CNIL
Guide Pratique COrreSPONdaNt
Fiche n1 - les 6 bonnes raisons de dsigner un CIL

Tous les responsables de fichiers peuvent dsigner un Correspondant Informatique et Liberts, quils soient publics ou privs, quils aient le statut dassociations, de collectivits locales ou de grandes administrations de lEtat, quil sagisse de PME-PMI ou dentreprises multinationales. Les multiples avantages quils y trouvent, peuvent tre rsums par les 6 points suivants :
u N F I C h e N 1 L e s 6 b o N N e s r A I s o N s d e d s I g N e r C I L
1. Un vecteur de scurit juridique

Le CIL permet de garantir la conformit de lorganisme la loi Informatique et Liberts. Cette matrise des risques juridiques est dautant plus importante que la plupart des manquements la loi du 6 janvier 1978 sont pnalement sanctionns.
2. Une source de scurit informatique

Parmi les missions du CIL, celui-ci doit sassurer que toutes les prcautions utiles ont t prises pour prserver la scurit des donnes et, notamment, empcher quelles soient dformes, endommages, ou que des personnes non autorises y aient accs. Des outils sont mis disposition du CIL pour laider dans cette tche.
3. Un facteur de simplification des formalits administratives

La dsignation dun CIL permet de bnficier dun allgement considrable des formalits. Lorganisme est exonr de lobligation de dclaration pralable des traitements ordinaires et courants. Seuls les traitements identifis comme sensibles dans la loi demeurent soumis autorisation et continuent faire lobjet de formalits.
4. Un accs personnalis aux services de la CnIL

La CNIL met disposition des correspondants : - une ligne tlphonique et une adresse lectronique ddies ; - un extranet proposant des services exclusifs et notamment des forums de discussion et des outils pratiques ; - un suivi personnalis de leurs dossiers de demandes davis et demandes dautorisation ; - des ateliers dinformation gratuits sur de nombreux thmes (RH, scurit informatique, sant, etc.).
5. La preuve dun engagement thique et citoyen

La dsignation dun correspondant tmoigne de lengagement de lorganisme en faveur du respect de la vie prive et des droits des personnes dont les donnes sont traites.
6. Un outil de valorisation du patrimoine informationnel

En sassurant de la fiabilit des donnes traites, le CIL garantit la possibilit de cder, transmettre ou louer les fichiers dtenus par lorganisme dans le respect de la loi Informatique et Liberts.
Fiche n2 - les services disposition du CIL

Pour accompagner les CIL dans laccomplissement de leurs missions, la CNIL dispose dun service ddi, le Service des Correspondants Informatique et Liberts. Celui-ci organise rgulirement des sessions dinformation thmatiques et se tient en permanence la disposition de chacun des membres de la communaut . La CNIL a galement mis en place un site Extranet lattention des correspondants, notamment pour leur permettre dchanger, entre eux et avec elle, sur les diffrents sujets dont ils ont traiter.
d u F I C h e N 2 L e s s e r v I C e s d I s p o s I t I o N C I L
1. Un service ddi laccompagnement et lanimation du rseau des correspondants

La fonction de CIL garantit aux organismes un contact privilgi et rgulier avec la CNIL, par lintermdiaire du Service des Correspondants Informatique et Liberts. Celui-ci est disponible pour rpondre aux diverses demandes dinformation des CIL et toutes les questions quils se posent dans lexercice de leurs missions : contenu du registre des traitements, modalits dapplication de la rglementation, rgime de formalit applicable, etc. Quel que soit lobjet de leur interrogation, les CIL peuvent solliciter le Service des correspondants par trois moyens : - lappel tlphonique, - lenvoi dun mail sur une bote ddie, - la publication dune question sur le forum de lExtranet. Le Service sengage leur rpondre dans les meilleurs dlais. Sauf difficult particulire (complexit de la question, contrainte procdurale, etc.), une rponse est ainsi apporte : - immdiatement par tlphone, - dans les dix/quinze jours sur le site Extranet, - dans un dlai moyen de trois/quatre semaines par mail.
2. des ateliers dinformation portant sur des thmatiques diverses :

Ces ateliers sont gratuits et se tiennent, sur un rythme quasi-hebdomadaire, dans les locaux de la CNIL. Les inscriptions se font partir de lExtranet des CIL o se trouve galement un programme dtaill de la journe. Les thmes de ces ateliers sont : - fondamentaux de la loi informatique et liberts (3 niveaux) ; - ressources humaines (2 niveaux) ; - collectivits locales ; - sant (2 niveaux) ; - scurit des donnes (2 niveaux) ; - banque/assurance/marketing.
4. LExtranet des CIL : un forum, des actualits, des outils dinformation et dauto-valuation
Accessible uniquement aprs saisie dun identifiant et dun mot de passe, le site Extranet apporte aux CIL, de manire personnalise, quatre catgories de services adaptes leurs besoins particuliers. Ils y trouvent ainsi la possibilit : - de se former en accdant des contenus pdagogiques vidos, des fiches pratiques, des foires aux questions relatives lexercice de leur fonction et divers points de la rglementation ; - dchanger avec leurs homologues, dans le cadre dun forum organis par thmatiques ; - de consulter les dernires actualits sur les sujets et secteurs dactivit qui les intressent ; - dvaluer leur niveau de connaissance de la rglementation par le biais de QCM prvus cet effet. Cet Extranet a vocation complter le site Internet de la Commission, www. cnil.fr, sur lequel les CIL trouveront dj un grand nombre dinformations utiles lexercice de leurs missions. Notamment, dans les rubriques Dossiers et En savoir plus : - les textes fondateurs de la rglementation Informatique et Liberts (directive europenne, loi, dcret dapplication, etc.) ; - les diffrentes dlibrations de la CNIL (recommandations, dispenses de dclaration, normes simplifies, autorisations uniques, actes rglementaires uniques) ; - des dossiers, rapports, fiches pratiques, questions/rponses et guides thmatiques (travail, sant, collectivits locales, banque, enseignement, scurit, etc.) ; - des modles de mentions lgales et notes dinformation (prospection commerciale, vidosurveillance, golocalisation, dlivrance dinformations cadastrales, etc.).
F I C h e
N 2
L e s
s e r v I C e s
d I s p o s I t I o N
Le Service des correspondants renforce la visibilit des CIL sur linstruction des dossiers les concernant par le Service des Affaires juridiques. Il assure un suivi des demandes davis/dautorisation pralable manant de leurs organismes et les renseigne ainsi sur ltat davancement des dmarches engages auprs de la CNIL. Il participe en outre linstruction des cas problmatiques qui leur sont relatifs (injonction de procder aux formalits pralables, dcharge du CIL en cas de manquement grave aux devoirs de sa mission, etc.).
d u
C I L
3. Le suivi de linstruction des dossiers par la CnIL
Fiche n3 - le profil du correspondant

C o r r e s p o N d A N t F I C h e N 3 L e p r o F I L d u
La loi informatique et liberts prvoit que le correspondant est une personne qui bnficie des qualifications requises pour exercer ses missions , sans autre indication. Son dcret dapplication prcise quil peut sagir dune personne physique ou morale, dun employ de lorganisme ou, sous certaines conditions, dune personne extrieure celui-ci.
1. Un salari ou une personne extrieure

Le CIL est, de prfrence, un employ du responsable des traitements connaissant bien lactivit et le fonctionnement interne de son entreprise ou administration. Le correspondant interne est en effet mme de veiller en temps rel la bonne application des rgles de protection des donnes caractre personnel et, par consquent, la licit des traitements mis en uvre. Il est toutefois possible, dans certains cas, de dsigner un correspondant extrieur lorganisme. Les possibilits de choix dun correspondant externe ne sont pas les mmes pour toutes les structures. A cet gard, deux hypothses doivent tre envisages. a) Une libert de choix lorsque moins de 50 personnes sont charges de la mise en uvre des traitements ou y ont directement accs 1 Dans les structures de petite et moyenne importance, il peut tre difficile de trouver parmi les salaris ou agents une personne disposant des qualifications et comptences ncessaires pour exercer les fonctions de correspondant. De mme, lembauche ou laffectation dun salari cette tche, mme temps partiel, peut apparatre impossible ou non ncessaire compte tenu de la nature et du nombre de traitements mis en uvre. Cest pourquoi, lorsque moins de 50 personnes sont charges de la mise en uvre des traitements ou y ont directement accs, le choix du correspondant est entirement libre. Le CIL peut donc tre aussi bien : - un employ de lorganisme ; - un employ dune autre entit (socit du groupe, association, groupement de collectivits locales,) ; - ou un professionnel indpendant (avocat, expert comptable, consultant, ...). b) Un choix limit lorsque plus de 50 personnes sont charges de la mise en uvre des traitements ou y ont directement accs Dans les grandes structures, lexternalisation de la fonction risque de ne pas rpondre aux besoins de proximit, dexprience et de disponibilit du correspondant. Celui-ci doit en effet tre facilement accessible et disposer dune connaissance approfondie du fonctionnement, des activits et des traitements de lorganisme.
1 Doivent tre considres comme des personnes charges de la mise en oeuvre des traitements ou y ayant directement accs , toutes les personnes charges de dvelopper et dassurer la maintenance de lapplication (service informatique), tous les utilisateurs chargs notamment de saisir les donnes ou de les consulter (services oprationnels comme, par exemple, la direction des ressources humaines, la direction marketing, le service comptabilit,....), les ventuels soustraitants, ainsi que toutes les personnes qui, en raison de leurs fonctions ou pour les besoins du service, accdent aux donnes enregistres.
- un salari dune des entits du groupe de socits auquel appartient lorganisme (sige, holding, filiale) ; - un salari du groupement conomique dont est membre lorganisme ; - une personne mandate cet effet par un organisme professionnel (ex. : syndicat) 2 ; - une personne mandate cet effet par un organisme regroupant des responsables de traitements dun mme secteur dactivit (ex. : tablissements publics de coopration intercommunale, fdrations dassociations) 3. La fonction de CIL peut tre mutualise entre diffrents organismes publics et privs, ds lors que ceux-ci sont lis par des intrts conomiques communs ou appartiennent un mme secteur dactivit. Lavantage principal de la mutualisation est de permettre un lissage des cots associs au bnfice dun CIL prsentant la disponibilit et les comptences ncessaires un bon exercice de la fonction.
2. Une personne qualifie

La loi prvoit que le correspondant est une personne bnficiant des qualifications requises pour exercer ses missions. Lorsque le CIL est une personne morale, cette condition de qualification doit tre remplie par le prpos dsign par celleci pour mettre en uvre les activits du correspondant. Aucun agrment nest prvu et aucune exigence de diplme nest fixe. Nanmoins, le CIL doit disposer de comptences varies et adaptes la taille comme lactivit du responsable des traitements. Ces comptences doivent porter tant sur linformatique et les nouvelles technologies que sur la rglementation relative la protection des donnes caractre personnel. Elles doivent galement avoir trait au domaine dactivit dans lequel il exerce ses fonctions. Ainsi, les connaissances du CIL devront aussi concerner les lgislations spcifiquement applicables lorganisme (par exemple,
2 Il peut sagir dun salari de lorganisme professionnel, mais aussi dun professionnel indpendant avec lequel lorganisme aura conclu une convention dfinissant les qualifications exiges et les conditions dexercice des missions (rgles de confidentialit, disponibilit, moyens,...). Cette solution parat notamment adapte pour des organismes professionnels ayant adopt des codes de conduites lis lapplication de la loi informatique et liberts. Le correspondant aurait dans ce cas galement pour mission de veiller lapplication du code de conduite. 3 Attention : chaque organisme, en tant que responsable des traitements dune entit juridique particulire, devra notifier la CNIL la dsignation du correspondant concern par la mutualisation. Pour cette mme raison, le CIL mutualis tiendra autant de registre de traitements quil y aura dorganismes concerns par sa dsignation.
F I C h e
N 3
L e
p r o F I L
d u
C o r r e s p o N d A N t
Cest pourquoi, lorsque plus de 50 personnes sont charges de la mise en uvre des traitements ou y ont directement accs, le choix du correspondant externe est limit. Seul peut tre dsign comme CIL un employ de lorganisme ou :
En informatique, une bonne comprhension du vocabulaire, des mtiers et des diffrents modes de traitement des donnes parait ncessaire. Les connaissances du CIL porteront par exemple sur les systmes de gestion et dexploitation de bases de donnes, les types de logiciels, de fichiers et de modes de stockage des donnes, ainsi que sur les lments dune politique de confidentialit et de scurit des informations (chiffrement des donnes, signature lectronique, biomtrie, ...). Elles doivent lui permettre de suivre le dploiement des projets informatiques et de conseiller utilement le responsable de traitement. Lorsque le CIL ne dispose pas de lensemble des qualifications requises la date de sa dsignation, il devra les acqurir, notamment, en participant aux ateliers du CIL organiss par la CNIL.
F I C h e
N 3
L e
p r o F I L
d u
en matire de commerce lectronique, de sant ou de travail) ainsi que les rgles particulires de recueil et de traitement de certaines donnes (par exemple, les donnes couvertes par le secret mdical ou bancaire).
Fiche n4 - le statut du correspondant

C o r r e s p o N d A N t F I C h e N 4 L e s tAt u t d u
La loi prvoit que le correspondant doit exercer ses missions de faon indpendante. En consquence, il doit disposer dune autonomie daction reconnue par tous et garantie par le respect dun certain nombre de rgles.
1. Le correspondant exerce sa fonction directement auprs du responsable des traitements

Le correspondant adresse au responsable des traitements les conseils, recommandations et alertes concernant lapplication de la loi Informatique et Liberts aussi bien lors des premires rflexions sur la cration dun nouveau traitement que lors de la mise en uvre effective des traitements. Il linforme galement du nombre, de la nature et de ltat dinstruction des plaintes et requtes manant des personnes concernes par ces traitements. Il na, cet gard, aucun compte rendre son suprieur hirarchique traditionnel, cest--dire celui auquel il se trouve subordonn dans lexercice de ses autres missions de salari ou dagent (ex. : juriste, informaticien, etc.).
2. Le correspondant dispose dune libert organisationnelle et dcisionnelle

Le correspondant ne reoit aucune instruction dans lexercice de sa fonction et arrte seul les dcisions sy rapportant (avis, recommandations, audits, alertes, etc.). Cette libert ne signifie pas quil agit seul et sans concertation. Au contraire, il peut, et doit mme dans certains cas, recueillir ou susciter lavis des autres personnes ou services concerns par laccomplissement de ses missions (juristes et informaticiens notamment).
3. Le correspondant est labri des conflits dintrt

Labsence de conflit dintrts avec dautres fonctions ou activits exerces paralllement est galement de nature apporter les garanties de lindpendance du CIL. Cest pourquoi la fonction de correspondant est incompatible avec celle de responsable de traitements. Sont concerns le reprsentant lgal de lorganisme (ex. : le maire / le PDG) et les autres personnes participant la prise de dcisions en matire de mise en uvre des traitements (ex. : les conseillers municipaux / les personnes disposant dune dlgation de pouvoirs). De mme, le fait dtre investi dun mandat de reprsentant du personnel ou de dlgu syndical est susceptible de constituer un conflit dintrts avec la fonction de CIL sagissant des missions que ce dernier est amen effectuer vis--vis des traitements relatifs la gestion du personnel, notamment dans le cadre de linstruction dune rclamation effectue par un employ. Il apparat nanmoins possible de contourner cette difficult en procdant une dsignation partielle du CIL, cest--dire en sortant de son champ de comptence tous les traitements concernant les personnels.
4. Le correspondant est protg des sanctions de lemployeur

Le correspondant ne peut faire lobjet de sanctions de lemployeur du fait de lexercice de ses missions de CIL, sauf en cas de manquements graves dment constats et qui lui sont directement imputables. Afin dassurer leffectivit de cette protection, la CNIL devra tre avertie de toute modification affectant sa fonction. Il ne pourra notamment y tre mis fin sans que celle-ci en connaisse les raisons. En outre, dans lhypothse dune fin de mission lie une dcharge pour faute, la CNIL devra rendre un avis (cf. fiche n15 - la fin de mission du CIL). 9
Fiche n5 - les principales missions du CIL

Dans les trois mois de sa dsignation, le correspondant dresse la liste des traitements automatiss pour lesquels il a t dsign. Ce document est galement appel registre des traitements ou tout simplement registre . Ce registre peut tre tabli de faon informatise. Comme le fichier des fichiers de la CNIL, le registre rpond un objectif de transparence. Il sagit de mettre disposition de tous, les informations relatives aux traitements mis en uvre par un organisme. A cet gard, il doit tre communiqu toute personne en faisant la demande, sans justification. Un modle de fiche porter au registre figure en annexe de ce guide ainsi que sur lextranet des CIL. La fiche n9 de ce guide est ddie au registre et aux obligations lies sa tenue.
d u F I C h e N 5 L e s p r I N C I pA L e s m I s s I o N s C I L
1. tenir la liste des traitements et assurer son accessibilit
2. veiller en toute indpendance au respect de la loi

Le correspondant veille en toute indpendance ce que les traitements pour lesquels il est dsign respectent la loi Informatique et Liberts. - Diffusion dune culture informatique et liberts Le correspondant sensibilise le responsable des traitements et les personnes en charge de leur mise en uvre au contenu de la loi et aux enjeux de la mise en conformit. Il peut laborer des supports dinformation, des documents internes de rfrence, organiser des missions daudit - Conseil et recommandation Le correspondant rpond aux demandes de renseignements et davis dont il est saisi. Il est obligatoirement consult avant la mise en uvre dun nouveau traitement ou la modification substantielle dun traitement en cours et peut faire toute recommandation au responsable de traitement. - Exercice dun droit dalerte Le correspondant informe le responsable de traitement des difficults quil rencontre dans lexercice de ses missions. Lorsque les dmarches auprs du responsable de traitement nont pas abouti, le CIL pourra saisir la CNIL. Cette procdure, activer avec prcaution, rpond un formalisme particulier. La fiche n13 de ce guide est ddie au droit dalerte et ses modalits dexercice - Mdiation et coordination Le correspondant reoit les rclamations et requtes des personnes concernes par les traitements pour lesquels il a t dsign, sassure de leur transmission aux services intresss et leur apporte son conseil. Il veille galement au respect du droit daccs et dopposition et linformation des personnes sur leurs droits. Il est le contact privilgi du responsable de traitement et de la CNIL, mais aussi des personnes dont les donnes sont traites.
10
La fiche n12 de ce guide est ddie la gestion des demandes de droit daccs, de rectification, dopposition et des rclamations.
Le correspondant tablit chaque anne un bilan de ses activits quil prsente au responsable des traitements et quil tient la disposition de la CNIL. Il ne transmet son bilan dactivit la Commission que sur demande expresse de sa part. La fiche n11 du prsent guide est ddie au bilan annuel. Un modle de bilan est mis disposition des CIL sur leur extranet.
4. Les autres missions

Dautres missions peuvent, de convention expresse, tre confies au correspondant. Il peut sagir, sans que cette liste soit exhaustive de : - llaboration des dossiers de formalits auprs de la CNIL pour les traitements non exonrs ; - llaboration dune politique de protection des donnes caractre personnel (par exemple, dans le cadre dune charte dutilisation sur les moyens informatiques et sur la scurit, dans le cadre dun rglement intrieur) ; - la sensibilisation des personnels aux dispositions de la loi sous forme de brochures explicatives, de mesures diffuses sur lextranet, dactions de formation ; - llaboration et le contrle de lapplication de codes de conduite spcifiques
11
F I C h e
N 5
L e s
p r I N C I pA L e s
m I s s I o N s
3. rendre compte de son action
d u
C I L
Fiche n6 - les modalits de dsignation du CIL

Le responsable des traitements doit, avant la notification de la dsignation du correspondant la CNIL, informer les instances reprsentatives du personnel de sa dcision de nommer un CIL. Cette information doit tre effectue par lettre remise contre signature.
d u F I C h e N 6 L e s m o d A L I t s d e d s I g N At I o N C I L
1. Linformation des reprsentants du personnel
2. La notification de la dsignation la CnIL

La dsignation dun correspondant peut tre notifie la CNIL selon trois modalits : - par voie lectronique directement sur le site internet de la CNIL : http://www. cnil.fr ; - par lettre remise contre signature comportant le formulaire complt, disponible sur le site de la CNIL : www.cnil.fr ; - par remise laccueil de la CNIL contre reu.
3. Les diffrents types de dsignation

Dfinition / porte Dsignation partielle Dsignation gnrale La dsignation est faite seulement pour certains des traitements relevant des rgimes de la dispense de dclaration, de la dclaration normale et de la dclaration simplifie. La dsignation est faite pour lensemble des traitements relevant des rgimes de la dispense de dclaration, de la dclaration normale et de la dclaration simplifie. La dsignation est faite pour la totalit des traitements relevant de la responsabilit de celui qui dsigne : les missions du CIL concernent galement les traitements soumis au rgime de la demande dautorisation ou davis pralable.
Dsignation tendue
4. La prise deffet de la dsignation

La dsignation du correspondant prend effet un mois aprs la date de rception de la notification par la CNIL. Cette prise deffet est alors notifie au responsable des traitements et au correspondant, ds la clture de linstruction de la dsignation.
5. En cas de modifications relatives la dsignation

Toute modification substantielle affectant les informations mentionnes dans la dsignation, doit tre porte la connaissance de la CNIL dans les mmes conditions de formalisme que celles prvues pour la notification initiale.
12
13
F I C h e
N 6
L e s
m o d A L I t s
d e
d s I g N At I o N
Le responsable de traitement doit informer la CNIL du remplacement du correspondant par lettre remise contre signature ou par remise au secrtariat de la Commission contre reu, ou par voie lectronique avec accus de rception. Les circonstances et les motifs qui justifient le remplacement (dmission, dpart la retraite de lancien CIL, mobilit interne) doivent tre indiqus dans le courrier. Le responsable de traitement doit justifier avoir inform le correspondant de sa dcision. Le remplacement ne peut devenir effectif que huit jours aprs la date de rception du courrier dinformation par la CNIL (pour plus de dtails, se reporter la fiche n15 la fin de mission du CIL).
d u
C I L
6. Linformation de la CnIL en cas de remplacement du correspondant
Fiche n7 - le choix du CIL externe

e x t e r N e F I C h e N 7 L e C h o I x d u C I L
Au-del des conditions formelles remplir par lorganisme responsable de traitement, le choix de dsigner un CIL extrieur doit saccompagner dune rflexion sur plusieurs autres points.
1. CIL externe personne morale ou personne physique ?

Les deux sont possibles, il peut sagir dune socit prestataire de service informatique, dun consultant, dun avocat ou dun syndicat mixte en charge, par exemple, de linformatisation des collectivits locales. Lors de la dsignation dune personne morale, la dsignation doit comporter des renseignements sur la forme de lorganisme CIL (SAS, SARL), sa dnomination, son sige social ainsi que sur lorgane qui le reprsente lgalement (Conseil dadministration, PDG, DG). De mme, il est ncessaire de prciser les nom, prnom, profession et coordonnes professionnelles de la personne que lorganisme CIL aura choisi pour exercer les missions de correspondant. En effet, mme si le CIL est une personne morale, lidentification dun rfrent personne physique est indispensable. Les qualifications ou rfrences professionnelles de cette personne devront galement tre prcises. Le plus souvent les relations entre la CNIL et le CIL passeront par cette personne dnomme le prpos par le dcret du 20 octobre 2005 pris pour lapplication de la loi du 6 janvier 1978 modifie en aot 2004.
2. Lencadrement des relations entre le CIL externe et le responsable des traitements

- Lencadrement contractuel Comme toute prestation de service, lexcution des missions de CIL fait gnralement lobjet dun contrat. Lensemble des points ncessaires la formalisation de la relation y figure (prix, objet, dure) mais en aucun cas, lindpendance du CIL ne doit tre remise en question. De mme, le contrat ne peut tre loccasion dorganiser un transfert de responsabilit sur la tte du CIL pour ce qui est de la conformit la loi Informatique et Liberts. - Lencadrement oprationnel Dans la mesure o le CIL externe nest pas prsent dans les locaux du responsable du traitement et quil na pas un vcu permanent et quotidien de son activit, il est essentiel dorganiser cette relation de manire oprationnelle. Ainsi, est-il recommand de : formaliser des circuits de transmission dinformations notamment, sagissant de linstruction des plaintes et des demandes des personnes dont les donnes sont traites ainsi que de la tenue de la liste des traitements (registre) ; mettre en place, au sein de lorganisme responsable de traitement, un ou plusieurs points de contact, interlocuteurs privilgis du CIL ; planifier rgulirement des points dinformation entre le CIL et les services ou personnes en charge de la mise en uvre des traitements ;
14
3. Les risques de conflit dintrt

Le responsable des traitements devra l aussi sassurer que les activits annexes de lorganisme ou de la personne externe choisie ne sont pas susceptibles de provoquer un conflit dintrt avec sa fonction de CIL. A titre dexemple, le fait dtre CIL pour un organisme concurrent du responsable de traitement, pourrait constituer une source de conflit dintrt. Il pourrait en tre de mme sagissant de lexistence de liens capitalistiques entre le responsable de traitement et le CIL.
La modification, en mai 2009, du rglement intrieur national (RIN, art. 6.2.2) encadrant dsormais lactivit de CIL exerce par un avocat renforce par ailleurs le rle que cette profession pourra jouer dans les annes venir en matire de protection des donnes caractre personnel. Le RIN prcise ainsi que lavocat correspondant la protection des donnes personnelles doit mettre un terme sa mission sil estime ne pas pouvoir lexercer, aprs avoir pralablement inform et effectu les dmarches ncessaires auprs de la personne responsable des traitements . Cette disposition a pour objet de garantir la compatibilit entre les rgles dontologiques de la profession davocat et les missions du CIL. En outre, la dsignation dun avocat en tant que CIL ne saurait violer lobligation du secret professionnel, ds lors quaucune obligation de dnonciation nest mise la charge du CIL au regard de la loi Informatique et Liberts et de son dcret dapplication : le CIL doit systmatiquement informer le responsable des traitements pralablement toute saisine de la CNIL (art. 49 et 51 du dcret), un avocat mme dsign en tant que CIL doit dans le cadre du mandat qui le lie son client, obtenir son accord pralable avant toute saisine de la CNIL. De mme, cette dsignation nentrane aucune exonration de responsabilit civile ou pnale pour le responsable de traitement. Un avocat dsign en tant que CIL nest susceptible dengager que sa responsabilit professionnelle davocat. Enfin, il est noter que certaines dispositions particulires ont t insres dans le rglement intrieur du Barreau de Paris (RIBP) concernant les avocats parisiens exerant les fonctions de CIL (article P 6.2.0.2).
15
F I C h e
Lavocat peut tenir le rle de CIL avec efficacit. Il prsente les garanties de comptences techniques et dindpendance requises par la loi. En outre, tant charg, de par sa fonction mme, de la protection des liberts publiques et individuelles, son rle est essentiel dans les mcanismes de protection des donnes caractre personnel dfinis par les responsables de traitement.
N 7
L e
4. Le cas du CIL avocat
C h o I x
d u
C I L
e x t e r N e
faire procder par le CIL un audit des traitements mis en uvre afin quil en ait une connaissance pratique.
Fiche n8 - la prise de fonction du correspondant

C o r r e s p o N d A N t F I C h e N 8 L A p r I s e d e F o N C t I o N d u
Dans les trois mois suivant sa prise de fonction, le correspondant doit dresser la liste des traitements mis en uvre par lorganisme et entrant dans le champ de sa dsignation. La constitution de ce registre est loccasion de procder un tat des lieux sur les traitements en cours, les formalits accomplies auprs de la CNIL et deffectuer dventuelles rgularisations. Pour tre ralise dans les meilleures conditions possibles, la prise de fonction du CIL devra saccompagner dactions de communication destines assurer sa visibilit et asseoir sa lgitimit aux diffrents niveaux de lorganisme.
1. Lorganisation dactions de communication pour tablir la visibilit et la lgitimit du CIL

Au moment de la prise de fonction du correspondant, le responsable des traitements met gnralement en uvre des actions dinformation et de sensibilisation sur la loi Informatique et Liberts auprs de lensemble du personnel. A cet gard, il lui est recommand dadresser publiquement au CIL une lettre de mission reprenant les points suivants : - les enjeux de la conformit la rglementation et lopportunit de la mise en place dune telle fonction ; - le statut, les missions et le positionnement du CIL au sein de la structure ; - les moyens humains et matriels affects lexercice de ses missions (ex. : dotation dun budget spcifique, cration dun service ddi ou allgement de la charge de travail li aux autres missions du CIL) ; - les procdures et mesures organisationnelles associes un exercice efficace de la fonction (ex. : circuits dinformation et dchange avec les collaborateurs, dsignation de relais du CIL dans les principaux services/directions concerns par la mise en uvre des traitements, dveloppement dune application spcifique pour la gestion des activits du CIL, cration dun espace ddi la protection des donnes personnelles sur le site Intranet de lorganisme).
2. La constitution du registre dans les trois mois suivant sa dsignation4

La loi prvoit que la dsignation dun correspondant a pour effet de dispenser lorganisme des formalits pralables la mise en uvre des traitements qui relvent des rgimes de la dispense de dclaration, de la dclaration normale et de la dclaration simplifie (articles 22, 23 et 24 de la loi). Il appartient ainsi au CIL de tenir la liste de ces traitements qui sont mis en uvre ou modifis compter du dbut de lexercice de sa fonction. Le dcret prcise que le correspondant dispose dun dlai de trois mois pour tablir son registre. En cas de dsignation partielle , seuls les traitements que le reprsentant lgal de lorganisme aura choisi de faire entrer dans le champ de la dsignation devront figurer dans le registre.
4 Cf. fiche n 9 la liste des traitements ou le registre .
16
Dans le cadre de la constitution du registre, il est recommand au CIL de procder un audit des diffrents traitements mis en uvre au sein de la structure, afin dobtenir une vue densemble sur leur nombre, leur nature et leurs caractristiques principales. Pour ce faire, il lui appartient de prendre contact avec les responsables des diffrents directions et services composant lorganisme. A loccasion de cet audit, le correspondant est susceptible de dcouvrir des irrgularits entachant dillgalit la mise en uvre de ces derniers. Par exemple, le CIL peut sapercevoir quun traitement mis en uvre au sein de lorganisme na jamais t dclar la CNIL. Dans ce cas, il lui appartiendra de rgulariser la situation : en portant au registre le traitement, si celui-ci relve du rgime de la dclaration normale ou simplifie ; en faisant procder, le cas chant, une demande davis ou une demande dautorisation auprs de la Commission. Cest galement loccasion pour le CIL dtre pdagogue et de rappeler au collgue en charge de la gestion du fichier concern, les principales rgles de la protection des donnes caractre personnel.
17
F I C h e
N 8
L A
p r I s e
d e
F o N C t I o N
d u
3. Loccasion de faire un tat des lieux et de procder aux rgularisations qui simposent
Fiche n9 - la liste des traitements du CIL ou registre

1. Quest ce que le registre ?
Lun des principaux avantages de la dsignation dun CIL est lallgement des formalits pralables auprs de la CNIL. En contrepartie, le correspondant est charg dtablir et de tenir jour une liste des traitements mis en uvre au sein de lorganisme (article 22 de la loi Informatique et Liberts - article 47 du dcret de 2005) Le registre est la liste des traitements automatiss qui sont mis en uvre par un organisme public ou priv.
r e g I s t r e F I C h e N 9 L A L I s t e d e s t r A I t e m e N t s d u C I L o u
2. La constitution du registre
Le CIL dispose dun dlai de trois mois compter de sa dsignation (sa prise de fonction) pour constituer son registre. Ce dlai ne peut faire lobjet daucune prorogation. Le responsable des traitements doit fournir au CIL tous les lments ncessaires lui permettant de rdiger la liste des traitements mis en uvre (article 47). De son cot, le CIL nouvellement dsign peut faire un audit des traitements mis en uvre par son organisme afin de garantir la fiabilit et lexhaustivit de son registre. Il peut galement demander la CNIL de lui fournir la liste des formalits pralables dj effectues par son organisme. Cette demande seffectue en application de larticle 31 de la loi Informatique et Liberts. La liste communique comporte lindication de toutes les dclarations, demandes davis et demandes dautorisations effectues auprs de la CNIL. Elle permettra au CIL de vrifier si tous les traitements mis en uvre au sein de son organisme ont bien fait lobjet des formalits pralables exiges. En principe, le registre contient uniquement les traitements mis en uvre par lorganisme partir de cette date. Toutefois, dans un souci dexhaustivit, le CIL peut inscrire au registre les traitements qui sont antrieurs sa dsignation et qui ont t dclars auprs de la CNIL (dans cette hypothse, il peut le faire tout moment, y compris aprs le dlai de trois mois). La tenue du registre est obligatoire et constitue une des missions principales du correspondant. Le cas particulier du CIL mutualis Lorsquun CIL a t dsign par plusieurs entits, il devra rdiger un registre par organisme. Exemple : si un correspondant a t dsign par cinq organismes, il lui incombera alors de rdiger et de tenir jour cinq registres distincts et propres chaque organisme.
18
3. Quels traitements recenser ?

Le CIL doit obligatoirement inscrire dans son registre les traitements relevant : - du rgime de la dclaration normale ; - dune norme simplifie ; - dune dispense de dclaration. Pour tous les traitements relevant de lun de ces trois rgimes de dclaration, le CIL nenverra aucun dossier de formalit auprs de la CNIL puisquil devra uniquement les inscrire dans son registre. Comme indiqu dans le tableau ci-dessous, les obligations du CIL concernant la tenue du registre varient en fonction de la porte de sa dsignation. TRAITEMENTS RELEVANT DES REGIMES DE LA DISPENSE, DE LA DECLARATION NORMALE ET SIMPLIFIEE (articles 23 et 24 de la loi) Dclaration5 auprs de la CNIL Dsignation gnrale Oui Non Dsignation partielle Seulement pour ceux qui ont Seulement pour ceux qui ne t limitativement numrs sont pas dans le champ de dans la notification de la la dsignation du CIL dsignation faite la CNIL Dsignation tendue Oui Non Inscription au registre du CIL A NOTER Sagissant des traitements qui se conforment une norme simplifie et une dispense, il est admis que le CIL indique uniquement dans sa fiche de registre : engagement de conformit la norme simplifie nX ou la dispense nX . Il lui incombera ensuite dannexer cette norme ou cette dispense son registre afin quon puisse la consulter rapidement. De mme, le CIL peut ventuellement inscrire dans son registre les traitements relevant du rgime de lautorisation : il sagit des traitements qui ont fait lobjet dune autorisation de la CNIL ainsi que ceux relevant dune autorisation unique. Le CIL peut galement porter dans son registre les traitements sinscrivant dans la procdure de la demande davis : cela concerne les traitements ayant reu un avis de la CNIL et ceux relevant dun acte rglementaire unique. Si le CIL dcide de ne pas faire mention de ces traitements, il devra imprativement prciser dans son registre que dautres traitements mis en uvre par lorganisme figurent sur la liste nationale mise la disposition du public par la CNIL (article 31 de la loi).
5 Dclaration normale (article 23) ou simplifie (article 24). Voir la liste des normes simplifies adoptes par la CNIL ladresse URL suivante : http://www.cnil.fr/en-savoir-plus/deliberations/ normes-simplifiees .
19
F I C h e
N 9
L A
L I s t e
d e s
t r A I t e m e N t s
d u
C I L
o u
r e g I s t r e
4. La composition dune fiche de registre

Pour chaque traitement, et donc dans chaque fiche de registre, le correspondant doit indiquer : - le nom et ladresse du responsable du traitement ; - la finalit du traitement ; - le service charg de sa mise en uvre ; - la fonction de la personne ou le service auprs duquel sexerce le droit daccs et de rectification ainsi que leurs coordonnes ; - les catgories de donnes traites ; - les catgories de personnes concernes par le traitement ; - les destinataires habilits recevoir communication des donnes ; - et enfin, la dure de conservation des donnes traites. Une fiche de registre se compose donc obligatoirement de ces huit lments (article 48 du dcret n2005-1309). Nanmoins, le CIL reste libre de dajouter des lments supplmentaires permettant de prciser certains aspects du traitement. Cela peut tre, par exemple, des indications portant sur les mesures de scurit physique et logique mises en place. Il convient de prciser que le registre doit tre tenu jour (article 48 du dcret). Si lun des traitements relevant du champ de comptence du CIL fait lobjet dune modification substantielle6, son objet et la date laquelle elle est intervenue doivent tre ports au registre.
A cet gard, afin de faciliter laccs au registre au sein de son organisme, il peut tre intressant de le mettre en ligne sur lintranet. Cela peut tre loccasion pour le CIL dobtenir un espace ddi la protection des donnes sur lintranet, dans lequel il pourra diffuser des informations en lien avec la loi Informatique et Liberts afin de sensibiliser ses collaborateurs et collgues. Il est souligner que certains organismes ont fait le choix de publier leur registre sur leur site internet.
6 Une modification substantielle dun traitement est une modification portant sur lun des lments recenss dans larticle 48 du dcret, savoir : le nom du responsable des traitements, la finalit du traitement, le service charg de sa mise uvre, la personne auprs duquel sexerce le droit daccs, les catgories de donnes traites, les catgories de personnes concernes, les destinataires, les dures de conservation.
20
F I C h e
Au terme de larticle 48 du dcret, toute personne en faisant expressment la demande peut consulter le registre et en obtenir une copie. Cela peut tre, par exemple, un salari de lorganisme, un organisme concurrent, un client, etc. Le correspondant doit toujours rpondre favorablement une demande daccs et de copie du registre.
N 9
L A
5. Laccs au registre
L I s t e
d e s
d u
C I L
o u
r e g I s t r e
6. Que devient le registre en cas de fin de mission du CIL?

- si lorganisme remplace son CIL Le nouveau correspondant dsign par lorganisme poursuivra la tenue et la mise jour du registre commenc par son prdcesseur. Toutefois, il lui appartiendra de sassurer de la conformit de celui-ci et de refaire ventuellement un audit des traitements mis en uvre au sein de son organisme. - si lorganisme ne souhaite pas dsigner un nouveau CIL Il appartiendra alors au responsable des traitements : dinformer la CNIL de la fin de mission de ce dernier ; de dclarer la CNIL tous les traitements qui ont t inscrits dans le registre du CIL. Pour cela, il disposera dun dlai dun mois compter de la fin de mission de son correspondant.
21
F I C h e
N 9
L A
L I s t e
d e s
d u
C I L
o u
Il est conseill au correspondant mutualis denvoyer un exemplaire de son registre lorganisme qui la dsign ou dorganiser un accs distant (diffusion sur lintranet ou un site internet). En effet, le CIL mutualis se trouve dans la plupart des cas, gographiquement loign de lorganisme qui la dsign. Pour les demandes daccs au registre faites dans les locaux de lorganisme, il convient dy rpondre dans les dlais les plus brefs et la transmission de la demande au CIL serait susceptible de la retarder.
r e g I s t r e
Cas particulier du CIL mutualis
Fiche n10 - le CIL et les formalits pralables

Le correspondant est charg de veiller au respect des obligations informatique et liberts pour lensemble des traitements entrant dans le champ de sa dsignation. A ce titre, il doit tre consult pralablement la mise en uvre de tout nouveau traitement ou de toute modification dun traitement en cours. Il peut ainsi faire des recommandations au responsable de traitement, informer celui-ci des manquements constats et le guider dans les rponses apporter pour y remdier. La vigilance du CIL doit couvrir toute la dure de vie du traitement. En effet, il doit veiller ce que sa mise en uvre respecte les conditions prvues initialement par le responsable du traitement ainsi que lensemble des principes relatifs la protection des donnes caractre personnel. Ainsi, lorsquun traitement lui a t dclar comme tant en conformit avec une norme simplifie, le CIL doit sassurer, dans la dure, que les conditions de mise en uvre du traitement correspondent en tout point au cadre strict fix par la norme vise. Sil apprend ou constate que ce nest plus le cas (modification de la finalit, largissement du champ des donnes traites ou de leurs destinataires, etc.), il lui appartient de rgulariser la situation. En effet, la modification des conditions de mise en uvre du traitement peut avoir pour consquence de faire basculer celui-ci : a minima, dans le rgime de la dclaration normale ; a maxima, dans le rgime plus protecteur de la demande davis ou dautorisation (ex. : collecte de donnes biomtriques ou relatives des infractions). Dans la premire hypothse, le CIL devra dtailler les caractristiques du traitement dans une fiche de registre ; dans la seconde hypothse, linscription au registre ne suffira plus et il lui faudra donc enclencher une dmarche en bonne et due forme auprs de la CNIL.
p r A L A b L e s F I C h e N 1 0 L e C I L e t L e s F o r m A L I t s
1. Le rle de suivi des traitements et de leurs volutions
2. Lextension possible de sa comptence aux traitements relevant des rgimes de la demande dautorisation ou davis pralable
- Des traitements restant soumis examen et dcision pralables de la CNIL Quelle que soit la porte accorde la dsignation dun correspondant, elle na pas pour effet dexonrer lorganisme des formalits qui lui incombent sagissant des traitements soumis aux rgimes de la demande dautorisation ou davis. En effet, compte tenu des risques pour les droits, les liberts et la vie prive que sont susceptibles de comporter de tels traitements, un examen et une dcision pralables de la Commission restent ncessaires. Le Service des correspondants renforce la visibilit des CIL sur linstruction des dossiers par le Service des Affaires juridiques. Ils sont ainsi informs de ltat davancement des demandes davis ou dautorisation manant de leurs organismes.
22
Dmarche auprs de la CNIL Demande dautorisation ou demande davis sur un projet dacte rglementaire Engagement de conformit une autorisation ou un acte rglementaire unique 7
Procdure suivre En renseignant un formulaire en ligne sur le site de la CNIL : Vos responsabilits / Dclarer un fichier / Autres formulaires (ou Toutes les procdures compltes) En renseignant un formulaire en ligne sur le site de la CNIL : Vos responsabilits / Dclarer un fichier / Dclaration simplifie
Inscription au registre
Oui
Recommand
Oui
Recommand
- Des traitements soumis lanalyse du correspondant Comme on la vu, le responsable des traitements peut, avec laccord du correspondant, lui confier la mission de veiller au respect des obligations lgales pour lintgralit des traitements mis en uvre au sein de lorganisme (dsignation tendue). Dans cette hypothse, les projets de traitements relevant des rgimes de la demande dautorisation ou davis pralable devront systmatiquement tre ports la connaissance du correspondant. De la mme manire que pour les traitements relevant du rgime de la dclaration, le CIL pourra alerter leur responsable des manquements constats et mettre toute recommandation utile pour assurer la conformit du projet la rglementation. Il lui appartiendra en outre de veiller la prennit de cette conformit, une fois le traitement mis en uvre. Le bilan annuel dactivit tabli par le correspondant rendra compte, dune faon concrte, de lextension de sa comptence aux traitements susviss.
7 Voir la liste des autorisations uniques adoptes par la CNIL ladresse URL suivante : http://www.cnil.fr/en-savoir-plus/deliberations/autorisations-uniques . Voir la liste des actes rglementaires uniques pris aprs avis de la CNIL ladresse URL suivante : http://www.cnil.fr/ en-savoir-plus/deliberations/actes-reglementaires-uniques
23
F I C h e
Au stade de la mise en uvre du traitement, il appartient son responsable de veiller au respect des termes de lacte rglementaire ou de lautorisation accorde par la CNIL, cest--dire aux limites quil sest ou qui lui ont t fixes. Ainsi, sil souhaite que le traitement volue dans un sens non prvu par lacte rglementaire ou lautorisation initiale, il devra imprativement adresser un courrier la CNIL, lui signalant le contenu et les contours de cette volution. La Commission jugera alors de la ncessit ou non de statuer une nouvelle fois sur la conformit du traitement la rglementation Informatique et Liberts.
N 1 0
L e
C I L
e t
L e s
F o r m A L I t s
p r A L A b L e s
TRAITEMENTS RELEVANT DES REGIMES DE LAVIS OU DE LAUTORISATION PREALABLE (articles 26 et 27 / 25 et 69 de la loi)
Fiche n11 - le bilan de laction du CIL

Le CIL doit rdiger chaque anne un bilan de ses activits quil prsente au responsable des traitements et quil tient la disposition de la CNIL (article 49 du dcret de 2005). La rdaction du bilan est obligatoire et constitue une des missions principales du correspondant.
d u F I C h e N 1 1 L e b I L A N d e L A C t I o N C I L
1. de quoi sagit-il ?
2. Quand le CIL doit-il le rdiger ?

Ce bilan doit tre rdig chaque anne, mais il nexiste aucune obligation particulire quant sa date de rdaction. Le CIL doit uniquement disposer pour chaque anne dexercice dun rapport exhaustif sur les actions quil a menes. Plusieurs choix soffrent ainsi au correspondant : il peut rdiger son bilan en dbut danne civile, au moment de ltablissement des budgets annuels de son organisme ou en fonction de son exercice fiscal. La solution la plus oprationnelle, notamment en cas de changement de CIL, semble cependant de le rdiger compter de la date de sa dsignation.
3. Quel contenu ?
Les textes ne prcisent ni le contenu, ni la nature des informations y faire figurer. Le CIL peut donc y inscrire les lments quil jugera utiles et pertinents. Limportant tant dtre relativement exhaustif. A titre dexemple, il est conseill dy faire figurer les informations suivantes : - la liste des traitements arrte la date du bilan ; - les procdures internes mises en place durant lanne en cours ; - les plaquettes de communication interne ; - un code de bonne conduite ; - une charte informatique ; - un exemple de fiche de contrle ; - etc. Un modle de bilan est mis disposition sur lextranet des CIL.
4. sous quelle forme ?

Les textes ne prvoient aucune forme particulire. Cela laisse donc une grande libert au CIL qui pourra, au choix, le rdiger sous un format papier ou lectronique.
24
6. La communication du bilan
Le correspondant doit prsenter le bilan quil a constitu au responsable des traitements. Cette prsentation peut seffectuer par lenvoi dun exemplaire du bilan au responsable des traitements, mais il est recommand, lorsque cest possible, dorganiser une prsentation formelle loccasion, par exemple, dune runion. Il sagit dun moment privilgi entre le CIL et le responsable des traitements. Cest loccasion pour le CIL de communiquer sur ses actions et le niveau de conformit de lorganisme. Le bilan nobit pas la mme rgle de communication que le registre puisque larticle 49 du dcret circonscrit sa transmission au responsable des traitements et la CNIL si celle-ci en fait la demande expresse. En dehors de ces deux cas, toute transmission du bilan doit se faire avec laccord pralable du responsable des traitements. Si le CIL a obtenu son accord, il peut tout fait prsenter son bilan en interne lensemble du personnel. Cest dailleurs une trs bonne initiative puisque cela permettra de rendre visible son activit et son rle au sein de lorganisme. Cela peut galement tre un moyen pour mettre en avant ses collaborateurs directs et diffrents relais en interne au sein des directions et services. Quid dune demande des Instances Reprsentatives du Personnel (IRP) ? Dans lhypothse o ce sont les IRP qui lui demandent expressment de leur communiquer son ou ses bilans, le correspondant devra obtenir laccord de son responsable des traitements qui nest pas tenu de donner suite.
25
F I C h e
N 1 1
L e
b I L A N
d e
L A C t I o N
Exemple : si un correspondant a t dsign par cinq organismes, il lui incombera alors de rdiger cinq bilans annuels distincts.
d u
Lorsquun CIL a t dsign par plusieurs entits, il devra rdiger un bilan dactivit par organisme.
C I L
5. Le cas particulier du CIL mutualis
1. Quest ce que le droit daccs et de rectification ?

Toute personne peut obtenir communication des informations la concernant dtenues par un responsable de traitements (art. 39 de la loi Informatique et Liberts). Lexercice de ce droit na pas tre motiv. Le droit daccs est un droit strictement personnel. Toutefois, le demandeur peut se faire reprsenter par un mandataire ou se faire assister. De mme, les parents ou les tuteurs peuvent accder aux donnes concernant leurs enfants mineurs ou les personnes dont ils ont la tutelle. Le CIL devra sassurer de la ralit du lien de parent ou de la tutelle. Le titulaire de ce droit daccs peut galement demander, pour des raisons lgitimes, que les informations qui le concernent soient rectifies (si elles sont inexactes), compltes (si elles sont incompltes ou quivoques), mises jour (si elles sont primes) ou effaces (si ces donnes nont pas t rgulirement collectes) : cest le droit de rectification et de suppression (art. 40 de la loi). Les hritiers dtiennent un droit de rectification sur les donnes du dfunt pour permettre la mise jour des informations et ainsi prendre en compte le dcs de la personne (art. 40 de la loi). En revanche, ils ne disposent pas dun droit accder aux donnes de la personne dcde.
2. Quelles informations peut obtenir une personne exerant son droit daccs ?
Le demandeur peut obtenir une copie des donnes le concernant. Il doit galement tre inform, sous une forme comprhensible : - du fait que des donnes caractre personnel le concernant font ou non lobjet dun traitement ; - des catgories de donnes traites ; - des finalits du ou des traitement(s) de ces donnes ; - de lorigine et des destinataires ou catgories de destinataires des donnes, et le cas chant, des informations relatives leurs transferts destination dun Etat non membre de la Communaut europenne. De plus, le titulaire du droit daccs pourra connatre le raisonnement appliqu ses donnes dans le cadre de processus aboutissant une dcision le concernant (Ex : tablissement de profils, scoring, segmentation, etc.)
26
FIChe
N12
LINstruCtIoN
des
demANdes
de
droIt
dACCs
et
de
reCtIFICAtIoN
Fiche n12 - linstruction des demandes de droit daccs et de rectification
Les demandes dexercice du droit daccs peuvent tre formules auprs du CIL soit : - par crit, le demandeur adresse un courrier sign accompagn de la copie dun titre didentit ; - sur place, en justifiant de son identit.
4. Quel est le rle du CIL ? Quelles sont ses obligations en cas de demande daccs et de rectification ?
En pratique, le CIL reoit les demandes et les rclamations des personnes concernant les traitements recenss dans le registre. Dans le cas dune dsignation tendue , ce rle stend aux traitements ayant fait lobjet dune demande dautorisation ou davis auprs de la CNIL (art. 49 du dcret du 20 octobre 2005). Le CIL doit en premier lieu sassurer de lidentit du demandeur par la prsentation dun titre didentit ou de la copie de ce titre dans le cas dune demande faite par crit. Il doit galement rpondre la demande dans un dlai de 2 mois compter de sa rception (art. 92 du dcret). Si la demande est imprcise, il peut tre demand des complments dinformation au demandeur avant lexpiration de ce dlai qui sera alors suspendu et ne recommencera courir qu compter de la rception des complments. Enfin, le CIL devra fournir une rponse complte, rdige en langage clair et lisible. Le droit daccs au dossier mdical : Sa communication doit tre faite dans un dlai allant de 48h 8 jours au plus tard. Ce dlai est port 2 mois si les informations datent de plus de 5 ans. La communication peut se faire directement au demandeur ou par lintermdiaire dun mdecin de son choix (art. L.1111-7 du code de la sant publique). Attention, un mineur peut sopposer ce que son dossier mdical soit transmis au titulaire de lautorit parentale.
5. dans quels cas peut-on ne pas rpondre favorablement une demande ?

Deux hypothses doivent-tre envisages : Lorganisme nest matriellement pas en mesure de rpondre la demande, par exemple : - lorsque lorganisme ne dtient aucune donne caractre personnel concernant le demandeur, - lorsque les donnes sont anonymises et quil est par consquent impossible de remonter au demandeur,
27
F I C h e
N 1 2
L I N s t r u C t I o N
d e s
d e m A N d e s
d e
d r o I t
d A C C s
e t
d e
r e C t I F I C At I o N
3. Quelle forme doit prendre la demande ?
La dcision de ne pas donner une suite favorable une demande de droit daccs ou de rectification doit tre motive et doit mentionner la voie et le dlai de recours pour la contester (art. 94 du dcret) La demande est manifestement abusive. Une demande est qualifie dabusive en raison de son nombre, son caractre rptitif ou systmatique ; par exemple : une personne ayant exerc son droit daccs auprs dun organisme et obtenu une rponse satisfaisante qui solliciterait tous les mois, ou plus, le mme organisme sur les mmes traitements. ATTENTION En labsence de rponse ou en cas de rponse incomplte de lorganisme le demandeur peut saisir le service des plaintes de la CNIL. A la suite de cette plainte, la CNIL interroge le CIL afin dobtenir une explication sur la rponse apporte au demandeur ou son absence de rponse. Le CIL dispose alors dun dlai dun mois pour rpondre la demande de droit daccs dans les plus brefs dlais. Lorganisme encourt des sanctions pnales (contraventions de cinquime classe) en cas de non respect du droit daccs et de rectification (art. R.625-11 et R.625-12 du code pnal)
28
F I C h e
N 1 2
L I N s t r u C t I o N
d e s
d e m A N d e s
d e
d r o I t
d A C C s
e t
d e
r e C t I F I C At I o N
- lorsque la demande de rectification nest pas lgitime ou fonde (par exemple : demande de changement de sa date de naissance ou de son prnom sans justificatif).
Fiche n13 - lexercice du droit dalerte

Le correspondant et le responsable du traitement peuvent saisir la CNIL concernant les difficults lies lexercice des missions du CIL (article 51 du dcret du 20 octobre 2005). Lalerte de la CNIL en cas de difficult nest pas une obligation mais simplement un droit que le CIL ou le responsable du traitement peut exercer.
d A L e r t e F I C h e N 1 3 L e x e r C I C e d u d r o I t
1. de quoi sagit-il ?
2. sur quoi porte le droit dalerte ?

Cela couvre tout type de difficults rencontres dans le cadre de lexercice des missions du CIL, mais aussi des difficults dans lapplication des dispositions lgislatives et rglementaires. Exemples : - absence de consultation du CIL pralablement la mise en uvre dun traitement ; - constatation de lexistence dune faille de scurit ; - absence de mise jour du registre par le CIL
3. Les modalits dexercice

Lorsque le CIL est confront une difficult dans le cadre de lexercice de ses missions, il doit tenter de rsoudre ce problme au sein de son organisme. Il fera remonter une alerte au responsable du traitement en prcisant : la nature des difficults, ses prconisations et les dlais dans lesquels il pourra y tre mis fin. Ce nest que si la difficult persiste et que le responsable du traitement nagit pas que le CIL peut dcider dexercer son droit dalerte. Il doit dans ce cas, informer au pralable le responsable du traitement quil saisit la CNIL.
4. Comment saisir la CnIL ?

Ce droit peut tre exerc tout moment, cest--dire compter de la dsignation du CIL jusqu sa fin de mission. La Commission doit tre saisie par lettre recommande avec demande davis de rception ou par voie lectronique avec accus de rception (article 56 du rglement intrieur de la CNIL). Le courrier doit contenir la preuve que le CIL ou le responsable des traitements, selon le cas, a pralablement t inform de cette saisie. Le responsable de traitement est astreint au mme formalisme sil souhaite alerter la CNIL sur des difficults lies aux missions du CIL.
29
La CNIL va solliciter les observations des deux parties (CIL et responsable des traitements). Selon les cas, la CNIL peut : - tenter de rsoudre lamiable le conflit entre le responsable des traitements et le CIL rle dintermdiaire entre le CIL et le responsable des traitements ; - demander au responsable des traitements de dcharger son CIL sil savre que celui-ci a manqu ses missions (article 52 du dcret) ; - enjoindre le responsable des traitements de procder aux formalits pralables ncessaires (article 55 du dcret) ; - effectuer un contrle sur pices ou sur place au sein de lorganisme ; - engager une procdure de sanction lencontre de lorganisme.
30
F I C h e
N 1 3
L e x e r C I C e
d u
d r o I t
d A L e r t e
5. Les suites au droit dalerte
Fiche n14 - la responsabilit du CIL

La dsignation dun correspondant Informatique et Liberts nentraine aucun transfert de responsabilit. Il est galement impossible dorganiser ce transfert de responsabilit dans le cadre dune dlgation de pouvoir En effet, larticle 46 du dcret du 20 octobre 2005 organise une incompatibilit entre les fonctions de correspondant et de responsable des traitements, ce qui ne permet pas la mise en place dune dlgation dans le cadre de laquelle le CIL assumerait les obligations et les responsabilits lies aux pouvoirs qui lui ont t dlgus. La dlgation de pouvoir est une cration jurisprudentielle permettant au reprsentant lgal dun organisme de se dcharger dune partie de ses fonctions au profit dun de ses salaris. Par ce biais, il dlgue galement la responsabilit pnale en dcoulant, sauf sil a pris part la ralisation de linfraction. Il est prciser que le droit administratif autorise uniquement les dlgations de pouvoirs entre organe des personnes morales de droit public, et non vers les directeurs ou chefs de services. Les lus dune collectivit locale ne sont donc pas en mesure dorganiser des dlgations de pouvoirs vers les agents. Il existe en revanche des dlgations de signature mais qui nemportent aucun transfert de responsabilit.
d u F I C h e N 1 4 L A r e s p o N s A b I L I t C I L
1. Labsence de transfert de responsabilit
2. Le cas de la commission dune infraction la loi ou de complicit

Le responsable des traitements demeure responsable de tous les manquements la loi qui pourraient tre constats au sein de son organisme et ne peut sanctionner le CIL du fait de laccomplissement de ses missions. Pour autant, il existe des situations dans lesquelles le correspondant peut, malgr tout, voir sa responsabilit pnale engage. Ainsi, la responsabilit pnale dun correspondant devrait pouvoir tre retenue sil enfreint intentionnellement la lgislation Informatique et Liberts ou sil aide le responsable des traitements violer la loi. Pour plus de dtails, vous pouvez consulter dans lExtranet CIL, un tableau portant sur la responsabilit pnale en cas de manquement aux dispositions de la loi Informatique et Liberts ainsi quune note sur la responsabilit du CIL.
31
Fiche n15 - la fin de mission du CIL

Le correspondant nest pas un salari protg au sens des dispositions du Code du travail. Toutefois, il bnficie dun statut spcifique dindpendance, dont lun des effets est que le responsable des traitements ne peut mettre fin lexercice de ses fonctions sans en informer la CNIL. La fin de mission du CIL est ainsi encadre, tant par la loi Informatique et Liberts que par son dcret dapplication8. Pour chacune des hypothses de fin de mission du CIL, un formalisme particulier doit tre respect. En outre, la fin de mission du CIL aura des consquences distinctes pour lorganisme, selon quil procde ou non la dsignation dun nouveau correspondant.
d u F I C h e N 1 5 L A F I N d e m I s s I o N C I L
1. Les diffrents cas de fin de mission du CIL et le formalisme respecter

- Le CIL est dmissionnaire ou dcharg de ses fonctions La fin de mission du CIL peut intervenir pour diffrentes raisons. La plupart du temps, le correspondant est : soit dmissionnaire : il dcide de mettre fin ses fonctions de CIL, tout en conservant les autres fonctions quil exerce au sein de lorganisme, il part la retraite ou dmissionne de lorganisme. soit dcharg de ses fonctions pour des raisons indpendantes de tout manquement lexercice de ses missions particulires : il change de fonction au sein de lorganisme et ce changement a pour effet de lempcher de poursuivre ses activits de CIL (mutation, promotion, ) ; il fait lobjet dune procdure de licenciement au titre des autres fonctions quil exerce au sein de lorganisme. Dans toutes ces hypothses, il appartient au responsable des traitements de notifier la CNIL la fin de mission du CIL, par lettre remise contre signature ou par voie lectronique avec accus de rception. Le courrier doit mentionner le motif de la dmission ou de la dcharge du correspondant. De plus, la preuve doit tre apporte que ce dernier a bien t averti de la dcision du responsable des traitements. Celui-ci doit ainsi joindre le justificatif de la lettre informant le CIL quil est mis fin ses fonctions (un accus de rception est suffisant). La fin de mission du correspondant revt un caractre officiel huit jours aprs la date de rception par la CNIL de sa notification. - Le cas particulier de la dcharge du CIL pour manquement ses missions La loi et son dcret dapplication distinguent deux hypothses : la dcharge du CIL la demande du responsable des traitements et la dcharge du CIL linitiative de la CNIL. Une telle dcharge doit tre justifie par un manquement grave, personnellement imputable au CIL et relevant directement de lexercice de ses missions. Elle doit en outre obir un formalisme renforc pour que soient prservs les droits de la dfense du correspondant.
8 Articles 22-III de la loi et 52 55 de son dcret dapplication du 20 octobre 2005.
32
Le responsable des traitements doit en outre informer le correspondant dans les mmes formes, en lui indiquant quil peut adresser ses observations la Commission. A compter de la date de rception du courrier de saisine, la CNIL dispose dun dlai dun mois, renouvelable une fois sur dcision motive de son prsident, pour entendre les arguments du CIL et rendre son avis. La dcharge du CIL linitiative de la CNIL Lorsquelle constate quun correspondant a manqu aux devoirs de sa mission, la CNIL peut galement tre linitiative de sa dcharge. Avant de procder une demande en ce sens auprs du responsable des traitements, elle doit adresser au CIL une lettre recommande avec accus de rception, linvitant lui fournir ses observations sur les griefs dont elle fait tat. Dans ces deux hypothses, si la procdure dbouche sur la dcharge du correspondant, le responsable des traitements aura le choix de dsigner ou non un nouveau CIL.
2. Le choix qui soffre lorganisme et ses consquences

- La dsignation dun nouveau CIL Le remplacement du CIL est la procdure la plus simple mettre en uvre, sous rserve de respecter le formalisme prvu par les textes9. Ainsi, le responsable des traitements doit informer les instances reprsentatives du personnel de la dsignation dun nouveau CIL, par lettre remise contre signature. Il doit ensuite notifier la CNIL le remplacement du correspondant en lui transmettant un formulaire de dsignation dment complt. Une dsignation en ligne, sur le site Internet de la Commission, est galement possible. A noter que le responsable des traitements nest pas li par les caractristiques de sa premire dsignation. Ainsi, il est tout fait possible pour lui de modifier, loccasion dun remplacement, la porte accorde la dsignation du CIL (passage dune dsignation partielle une dsignation gnrale ou tendue , et inversement). De mme, le responsable des traitements peut dcider, sous rserve de remplir les conditions prvues par le texte, dexternaliser la fonction ou, au contraire, de linternaliser. Le registre des traitements ntant pas attach la personne du CIL mais lorganisme, le nouveau correspondant reprendra la liste en cours et se chargera de sa mise jour.
9 Articles 42 et 43 du dcret dapplication de la loi Informatique et Liberts.
33
F I C h e
N 1 5
L A
F I N
d e
m I s s I o N
Lorsque le responsable des traitements constate que son correspondant a manqu aux devoirs de sa mission (ex. : non tenue du registre des traitements alors quil disposait la fois du temps, des moyens et des informations ncessaires pour y procder), il peut dcider de le dcharger de ses fonctions pour faute. Il doit alors saisir la CNIL pour avis, par lettre recommande avec accus de rception, mentionnant les manquements graves quil impute au CIL.
d u
C I L
La dcharge du CIL linitiative du responsable des traitements
De mme, il ny a plus lieu de tenir un registre pour lavenir puisqu compter de la date de fin de mission du CIL, lorganisme cesse de bnficier de lexonration des formalits de dclaration pralable auprs de la CNIL. Compte tenu de lintrt administratif que peut prsenter le registre tabli par le CIL, notamment en cas de contentieux, il est recommand au responsable des traitements de procder son archivage dans les conditions prvues par les rgles de prescription lgales applicables (cinq ans en matire civile).
34
F I C h e
N 1 5
L A
F I N
d e
m I s s I o N
Dans cette hypothse, lorganisme doit dclarer auprs de la CNIL, dans le dlai dun mois, lensemble des traitements ports au registre par le CIL et relevant des rgimes de la dclaration normale et simplifie.
d u
La fonction de CIL ntant pas obligatoire, le responsable des traitements est parfaitement libre de dcider de ne pas dsigner un nouveau correspondant.
C I L
- Le non renouvellement de la fonction
Fiche n16 - le CIL et les contrles

C o N t r L e s F I C h e N 1 6 L e C I L e t L e s
Charg de veiller au respect des obligations prvues par la loi Informatique et Liberts, le CIL est amen jouer un rle prpondrant dans le cadre des missions de contrle mises en uvre par des agents habilits de la CNIL.
1. Le rle du CIL en amont dun contrle

Compte tenu du risque de destruction des preuves, le responsable de traitement et le CIL ne sont pas, sauf exceptions10, informs de la ralisation prochaine dune mission de contrle au sein de leur organisme. Dans ce contexte, et pour que la mission se droule dans les meilleures conditions possibles, il appartient au CIL danticiper une telle ventualit en prparant le personnel de lorganisme. Il peut ainsi : - sensibiliser le responsable de traitement et ses collaborateurs lobligation de coopration et aux risques encourus en cas dentrave laction des agents de la CNIL ; - rdiger un document rcapitulant les pouvoirs de la CNIL, les rles des personnels concerns et organisant leur mobilisation aussi rapide que possible ; - ddramatiser le contrle, en en faisant une prsentation pratique et objective, en particulier, aux personnes susceptibles dtre sollicits lors du contrle.
2. Le rle du CIL lors du contrle

A loccasion dune mission de contrle sur place, la dlgation de la CNIL informe le responsable des lieux de lobjet des vrifications quelle compte entreprendre. Il est amen accompagner la dlgation de la CNIL tout au long du contrle et signer le procs-verbal en fin de mission. Cest galement au responsable des lieux quil appartient de dcider de sopposer au contrle de la CNIL (art. 44-I de la loi). Il nexiste pas dans la loi Informatique et Liberts et ses textes dapplication, de disposition dfinissant le responsable des lieux. Il peut ainsi sagir du responsable de traitements ou de toute autre personne quil aura dsign comme tel. Quil soit ou non dsign comme responsable des lieux, il est recommand que le CIL soit prsent lors de toutes les phases du contrle. Il est un interlocuteur privilgi qui a vocation : - clairer la dlgation de la CNIL sur les actions quil a men au titre de ses missions de CIL ; - fluidifier les relations entre les reprsentants de la Commission et les collaborateurs sollicits ; - mettre disposition de la dlgation le registre des traitements ainsi que les bilans annuels dactivit.
10 Notamment lorsque les agents de la CNIL souhaitent obtenir en amont des informations sur larchitecture informatique mise en place ou ont besoin que certains personnels soient mis leur disposition.
35
Aprs le contrle, conformment sa mission gnrale de veiller au respect des obligations prvues par la loi Informatique et Liberts, le CIL devra : - sassurer de la transmission la CNIL, dans les dlais impartis, des ventuels complments dinformation demands par celle-ci ; - veiller la bonne prise en compte des observations adresses par la Commission. Enfin, il pourra rendre compte, dans son bilan annuel, des consquences du contrle, des suites qui y ont t donnes par la Commission et, le cas chant, des mesures correctives adoptes.
36
F I C h e
N 1 6
L e
C I L
e t
L e s
C o N t r L e s
3. Le rle du CIL aprs le contrle
Fiche n17 - le CIL lors de la procdure de sanction

s A N C t I o N F I C h e N 1 7 L e C I L L o r s d e L A p r o C d u r e d e
Le CIL a vocation accompagner le responsable de traitement dans toutes les phases de mise en conformit des fichiers la loi Informatique et Liberts. Dans ce contexte, il est naturel quil intervienne dans le cadre dune procdure de sanction et quil soit associ aux actions entreprises pour remdier aux manquements constats par la CNIL.
1. Un rle de prvention des sanctions

- Lors de linstruction des demandes et des plaintes Plus dun tiers des sanctions adoptes par la CNIL font suite des plaintes. Il est donc crucial que le CIL dsamorce les situations conflictuelles les plus en amont : soit loccasion du traitement des demandes des personnes (droit daccs, rectification ou opposition) afin dviter quelles ne se transforment en saisine de la CNIL ; soit lors des changes avec la CNIL concernant linstruction des plaintes qui lui ont t adresses. Dans les deux cas, cest la vigilance du CIL, sa capacit respecter les dlais et la qualit de ses rponses qui permettront dviter une procdure de sanction. - Lors de la phase de mise en demeure La CNIL peut mettre en demeure un responsable de traitement de faire cesser les manquements la loi Informatiques et Liberts sous un dlai pouvant aller de dix jours trois mois. Cette mise en demeure contient notamment la liste des manquements constats. Le CIL a un rle crucial jouer lors de cette ultime phase avant la possible adoption dune sanction par la Commission. Il est ainsi recommand quil participe activement : la dfinition et la mise en place des actions correctives ; la rdaction dun document de rponse la CNIL dtaillant les mesure de mise en conformit adoptes et ralises.
2. Un rle de conseil et daccompagnement lors de la procdure de sanction

Un rapport proposant une sanction (sanction pcuniaire ou injonction) est adress au responsable de traitement mis en cause. Il a alors un mois pour adresser des observations crites. Il a la possibilit daccder au dossier et de se faire assister. Il est, l encore, recommand dassocier le CIL la rdaction du document de rponse compte tenu des connaissances pratiques et thoriques quil a de la loi. Enfin, lors de lexamen du dossier par la Commission runie en formation restreinte, le responsable de traitement a la possibilit de venir prsenter ses observations orales. Il peut se faire accompagner lors de cette phase par un conseil ainsi que, le cas chant, par son CIL. Lintervention du CIL et les lments de contexte quil peut tre en mesure dindiquer la Commission peuvent savrer essentiels pour la dfense de lorganisme mis en cause.
37
Fiche n18 - le CIL et les instances reprsentatives du personnel

Avant lenvoi du formulaire de dsignation du CIL la CNIL, le responsable des traitements doit informer les instances reprsentatives du personnel de sa dcision de nommer un correspondant. Cette information prend la forme dune lettre remise contre signature (article 45 du dcret de 2005).
p e r s o N N e L F I C h e N 1 8 L e C I L e t L e s I N s tA N C e s r e p r s e N tAt I v e s d u
1. Linformation pralable des instances reprsentatives du personnel (Irp)
2. Lincompatibilit entre les fonctions de CIL et de membre dune instance reprsentative du personnel
Le CIL ne peut pas tre galement membre dune instance reprsentative du personnel. En effet, le dcret prvoit expressment que les fonctions ou activits exerces concurremment par le correspondant ne doivent pas tre susceptibles de provoquer un conflit dintrts avec lexercice de sa mission de CIL (article 46). Or, il apparait que le cumul de la fonction de CIL et de membre dune IRP pourrait tre de nature provoquer un conflit dintrt sagissant principalement de lexercice de ses missions concernant les fichiers lis au personnel. Il y a, dans ce cas, un conflit dintrt et le risque dune perte dindpendance : - le CIL serait contraint de choisir entre son mandat social et sa fonction de CIL ; - il pourrait tre amen concilier deux positions potentiellement diffrentes, voire diamtralement opposes. La seule possibilit dchapper ce conflit dintrt est de dsigner le correspondant avec une porte partielle (cf. fiche 4 le statut du CIL) en excluant les traitements de ressources humaines de son champ dintervention.
3. Le CIL peut-il galement exercer ses missions pour les traitements mis en uvre par les instances reprsentatives du personnel ?
La dsignation dun CIL au sein dun organisme de droit priv ne couvre pas par dfaut les traitements mis en uvre par le comit dentreprise, y compris, en cas de dsignation tendue. Nanmoins, le prsident du Comit dentreprise qui se trouve tre galement le reprsentant lgal de lorganisme auquel il appartient peut dcider de dsigner le CIL de lorganisme, ou une autre personne, pour exercer cette fonction pour les traitements du CE. Dans ce cas, il lui appartiendra de notifier cette dsignation la CNIL. Dans la fonction publique, cest le Comit Technique Paritaire (CCTP) - instance de reprsentation et de dialogue qui a pour objectif de donner un avis sur les questions collectives, comme le fait le Comit dentreprise institus au sein des organismes privs. Ce Comit tant dpourvu de la personnalit juridique, il ne peut donc dsigner de CIL distinct du CIL ayant t dsign par lorganisme public auquel il appartient.
38
5. Les Irp peuvent-elles solliciter la CnIL si elles pensent avoir dcel un manquement dans lexercice des missions du CIL ?
Au terme du dcret, seul le responsable des traitements peut alerter la CNIL sur un ventuel manquement du CIL (article 52 du dcret cf. fiche n13 droit dalerte). Les IRP peuvent toutefois informer la CNIL si elles constatent un dysfonctionnement dans lapplication de la loi Informatique et Liberts. Rien ne les empche, par exemple, dadresser un courrier au service des plaintes de la Commission.
Les IRP peuvent consulter et demander une copie du registre du CIL. Cela est permis par le dcret dapplication de la loi Informatique et Liberts qui prcise que toute personne peut accder au registre tenu par le CIL (article 48). En revanche, ils ne peuvent pas consulter le bilan dactivit du CIL qui ne peut tre communiqu quau responsable des traitements et la CNIL (article 49 du dcret). Seul le responsable des traitements peut autoriser la transmission du rapport annuel du correspondant aux IRP qui en auront fait la demande.
39
F I C h e
N 1 8
L e
C I L
e t
L e s
6. Les Irp peuvent elles accder aux documents rdigs par le CIL : le registre et le bilan ?
I N s tA N C e s
r e p r s e N tAt I v e s
Les IRP sont des acteurs part entire dans lorganisme. Il est donc important de prendre en compte leur existence et rpondre ventuellement leurs questions lorsquelles sont en rapport avec les missions du CIL et lapplication de la loi Informatique et Liberts.
d u
4. Quels peuvent tre les rapports entre le CIL et les Instances reprsentatives du personnel (Irp) au sein de lorganisme ?
p e r s o N N e L
Un CIL dsign au sein dun organisme public est galement dsign doffice CIL pour le CCTP de cet organisme. En consquence, il devra inscrire au sein de son registre les traitements mis en uvre par le CCTP.
Fiche n19 - les rseaux de CIL

La fonction de CIL tend de plus plus simposer comme un nouveau mtier, avec ses problmatiques. Des CIL ont ainsi ressenti le besoin de se regrouper et de constituer des rseaux pour changer sur leurs missions et partager leurs expriences. La CNIL accompagne ces rseaux dans leur dveloppement et intervient ponctuellement, leur demande, sur les travaux quils mnent. Les rseaux structurs existants - LAssociation Franaise des correspondants la protection des Donnes caractre personnel / AFCDP LAFCDP est une association reprsentative des professionnels de la protection des donnes personnelles. Elle a t cre en 2004 et agit pour le dveloppement dune rflexion sur le statut et les missions des CIL, la promotion du mtier de CIL et la dfense des intrts de la profession auprs des pouvoirs publics. LAFCDP regroupe un grand nombre de CIL mais pas uniquement, elle est ouverte tous les professionnels de la protection des donnes personnelles. - Le rseau des CIL de la Scurit Sociale / CIL UCANSS Le rseau des CIL des caisses du rgime gnral de scurit sociale est n dbut 2006. Il sest largi depuis aux caisses des autres rgimes qui en font la demande. Il a pour but de mutualiser les savoirs faire et les expriences. A cet gard, il accompagne les CIL de la scurit sociale dans linterprtation de la loi Informatique et Liberts et alimente la rflexion sur la simplification des formalits pralables. Il est la consquence logique dun partenariat conclu entre lUCANSS et la CNIL en 2006. - Le rseau des CIL de lenseignement suprieur et de la recherche / SUPCIL : Ce rseau, cr en 2007, a pour principal objet de promouvoir la fonction de CIL dans les tablissements denseignement suprieur et de recherche, de raliser des travaux relatifs la protection des donnes et de mutualiser les expriences lors de rencontres rgulires. Le rseau SupCIL est n du partenariat nou entre la CNIL et la Confrence des Prsidents dUniversit (CPU). Il sest depuis largi aux tablissements de la Confrence des Grandes Ecoles (CGE). - Le rseau des CIL des collectivits locales / CLUB CIL APRONET Le CLUB CIL sinscrit dans le cadre plus large des rseaux de lAssociation des Professionnels Internet des collectivits territoriales (APRONET) dont il bnficie du soutien logistique. Depuis 2008, ce rseau contribue dvelopper les changes dexpriences et la mutualisation des connaissances entre ses membres. Il encourage les collectivits territoriales dsigner un CIL. Ses travaux sorganisent principalement autour dun systme de travail collaboratif rserv ses membres.
C I L F I C h e N 1 9 L e s r s e A u x d e
40
41
F I C h e
Vous animez un rseau de CIL dans votre secteur dactivit. Vous souhaitez que la CNIL relaie vos actions et mette en ligne une fiche de prsentation sur lextranet des CIL. Rapprochez vous du Service des Correspondants Informatique et Liberts.
N 1 9
L e s
Ces rseaux disposent dune fiche dtaille dans lextranet des CIL dans la rubrique les rseaux .
r s e A u x
LAssociation pour la Promotion des Avocats Correspondants Informatique et Liberts (APACIL) a t cre en 2009 et a pour objet de promouvoir laccs des avocats la fonction de CIL. Cette association met en place lassistance, linformation et laide ncessaires ses membres pour la formation et lexercice des missions de CIL dans le respect des rgles dontologiques des avocats. Ce rseau doit enfin permettre llaboration dune procdure daudit par le CIL avocat.
d e
C I L
- Le rseau des CIL avocats / APACIL
Fiche n20 - le CIL et les conventions de partenariats

Face la place occupe par les traitements de donnes caractre personnel dans lactivit de tous les types dorganismes (entreprises, collectivits territoriales, associations) et aux risques induits par le non-respect ou la mconnaissance de la loi Informatique et Liberts, la CNIL a mis en place des actions de partenariat avec diffrents relais. Lobjectif poursuivi par la Commission et ses partenaires est daboutir une meilleure prise en compte de la protection des donnes dans le dveloppement des Technologies de lInformation et de la Communication (TIC) et la mise en conformit des traitements. Pour atteindre cette cible, les conventions de partenariat prvoient notamment des actions de promotion de la fonction de correspondant. Ce choix tmoigne du rle majeur dvolu au CIL dans la diffusion de la culture Informatique et Liberts .
pA r t e N A r I At s F I C h e N 2 0 L e C I L e t L e s C o N v e N t I o N s d e
1. Le correspondant Informatique et Liberts au centre des conventions de partenariat
2. Que prvoit une convention de partenariat ?

Chaque convention dfinit les grands axes de la collaboration qui peuvent tre rsums ainsi : - des actions de sensibilisation et de formation ; - des rflexions conjointes portant sur les contenus pdagogiques ; - des actions de communication et de promotion communes. Concrtement, ces conventions permettent la CNIL et aux organismes signataires de mener conjointement des travaux destination des responsables de fichiers et de leurs employs, des personnes concernes par les traitements ainsi que des entits reprsentatives. Ces actions aboutissent galement la cration de rseaux de diffusion de linformation.
3. Comment signer une convention de partenariat avec la CnIL ?

Les correspondants Informatique et Liberts qui souhaiteraient mettre en place une convention, peuvent sadresser directement au Service des Correspondant Informatique et Liberts (SCIL). Des entretiens prparatoires seront alors organiss afin dtablir la faisabilit du projet et de convenir, le cas chant, des axes de collaboration. Une fois le principe dun partenariat valid, un projet de convention est rdig en commun. La version dfinitive de ce document est ensuite soumise pour signature au reprsentant lgal du partenaire et au Prsident de la CNIL. Quelques exemples dorganismes ayant sign une convention de partenariat avec la CNIL - la Commission dAccs Aux Documents Administratifs (CADA) ; - lAssemble des chambres franaises de commerce et dindustrie (ACFCI) ; - lUnion des Caisses Nationales de Scurit Sociale (UCANSS) ; - le Conseil National du Barreau (CNB) ; - le Conseil Suprieur du Notariat (CSN) ; - la Confrence des Prsidents dUniversit (CPU) ; - lAgence nationale des services la personne ; - lAssociation des maires de Meurthe-et-Moselle.
42
Fiche n21 - le CIL des organismes de presse crite ou audiovisuelle

A u d I o v I s u e L L e F I C h e N 2 1 L e C I L d e s o r g A N I s m e s d e p r e s s e C r I t e o u
La loi informatique et liberts prvoit un rgime juridique spcifique pour les traitements mis en uvre au titre de lactivit de journaliste. En effet, des drogations sont apportes aux grands principes de la protection des donnes personnelles et aux obligations relatives aux formalits pralables. De mme, les conditions de dsignation dun CIL par un organisme de presse ainsi que ltendue de ses missions font lobjet damnagements particuliers.
1. Les drogations concernant les traitements aux fins de journalisme

- Les drogations apportes aux grands principes de la loi : Le principe de dure limite de conservation des donnes ne sapplique pas. De mme que linterdiction de collecte des donnes sensibles (origines raciales ou ethniques ; opinions politiques, philosophiques, religieuses ; appartenance syndicale ; tat de sant ; vie sexuelle). Est galement leve linterdiction de collecte des donnes relatives aux infractions, condamnations et mesures de sret. Enfin, le responsable des traitements na pas lobligation dinformer les personnes concernes ni de donner suite leurs demandes de droits daccs et de rectification. - Les drogations apportes aux obligations relatives aux formalits pralables Les traitements portant sur des donnes sensibles et sur des donnes relatives aux infractions, condamnations ou mesures de sret, ne sont pas soumis autorisation de la CNIL.
2. Les drogations apportes aux rgles relatives la dsignation et aux missions du CIL
Les organismes de presse crite ou audiovisuelle sont dispenss deffectuer les formalits pralables auprs de la CNIL concernant les traitements aux fins de journalisme ds lors quils ont dsign un correspondant. Le CIL est uniquement dsign en interne. Sa dsignation na pas tre porte la connaissance des instances reprsentatives du personnel. Dans la mesure o le principe du respect des droits daccs et de rectification ne sapplique pas, le correspondant na pas prciser, dans ses fiches de registre relatives aux diffrents traitements mis en uvre au sein de lorganisme, la fonction et les coordonnes de la personne ou du service auprs duquel sexercent ces droits. En outre, le CIL ne met pas disposition son registre et nen dlivre aucune copie. Seule la CNIL peut demander en avoir communication. Enfin, le CIL ne saisit pas la Commission des manquements quil constate dans lexercice de ses missions. Attention Les drogations apportes aux principes Informatique et Liberts ne font pas obstacle lapplication des rgles gnrales et spcifiques applicables la communication crite ou audiovisuelle et relatives aux atteintes la vie prive et la rputation des personnes : droit de rponse des personnes en cause, responsabilit civile et pnale pour diffamation, ... 43
Fiche n22 - le CIL et les transferts de donnes hors UE

Les transferts de donnes hors de lUnion europenne vers des pays ne disposant pas dune lgislation adquate sont soumis une demande dautorisation pralable auprs de la CNIL (article 68 de la loi Informatique et Liberts). La dsignation dun CIL nexempte pas lorganisme de remplir cette formalit. Se pose alors la question du rle du CIL dans ce contexte, quelle peut tre sa plus value ? Un transfert de donnes caractre personnel vers un pays situ en dehors de lUnion Europenne ne peut pas uniquement tre inscrit dans le registre. Il doit tre autoris par la Commission.
h o r s F I C h e N 2 2 L e C I L e t L e s t r A N s F e r t s d e d o N N e s u e
1. Le CIL, un rle de conseil et dintermdiaire

Le CIL doit tre consult pralablement la mise en uvre des nouveaux traitements (art. 49 dcret n2005-1309). Cela lui permet de veiller, en amont, au respect de la loi Informatique et Liberts au sein de lorganisme et de jouer pleinement son rle de conseil auprs du responsable des traitements et des services qui les mettent en uvre. Compte tenu de sa connaissance de la loi Informatique et Liberts et de ses enjeux, le CIL se rvle tre un partenaire essentiel pour garantir la conformit du transfert des donnes la loi Informatique et Liberts. Il pourra notamment aider les services chargs de la mise en uvre du traitement lors de la rdaction du dossier de demande dautorisation dposer auprs de la CNIL. De mme, il sera le plus en mesure dassurer le suivi de linstruction de cette demande dautorisation par les services de la CNIL et de leur fournir tout complment dinformation.
2. Laide la mise en place de bCr

Dans les groupes internationaux au sein desquels des donnes caractre personnel sont rgulirement transfres dune entit une autre, il peut tre intressant de mettre en place des Binding Corporate Rules (galement appeles BCR). Les BCR sont un code de conduite dfinissant la politique globale dune entreprise en matire de transferts de donnes personnelles hors de lUnion europenne. Ces rgles permettent dassurer un niveau de protection adquat aux donnes transfres hors UE et donc de limiter les risques juridiques. Il sagit dun outil destin permettre aux multinationales de mettre en place une politique globale de protection des donnes. Compte tenu de ses comptences en ce domaine, le CIL pourra utilement participer la rdaction des BCR et leur mise en place. Il est souligner que : - la prsence dune personne en charge de la protection des donnes, tel quun CIL, fait partie des prrequis devant figurer dans les BCR ; - les demandes dautorisation relatives des flux effectues par des organismes dots de BCR font lobjet dun traitement prioritaire dans la mesure o le responsable de traitement respecte un code de conduite dj valid par la CNIL.
44
Nature des garanties prises Transfert vers un pays prsentant une protection adquate ou quivalente Transfert vers une socit amricaine adhrente au Safe Harbor Transfert vers un pays non adquat mais encadr par les clauses contractuelles types Recours aux exceptions prvues par larticle 69 de la loi (apprciation restrictive par la CNIL) Adoption de BCR (rgles internes au sein dun mme groupe)
Inscription au registre du CIL 4 4
Demande dautorisation auprs de la CNIL
4 4
45
F I C h e
N 2 2
L e
Un guide ddi aux questions lies aux transferts de donnes vers un pays tiers lUnion europenne est disponible sur le site de la CNIL ainsi quune carte interactive permettant de dterminer le niveau de protection des pays concerns.
C I L
e t
L e s
t r A N s F e r t s
d e
d o N N e s
h o r s
u e
3. rappel des formalits
Fiche n23 - les CIL ltranger

Cest en Allemagne, dans le Land de Hessen, que le premier CIL a t dsign dans le cadre dune loi sur la protection des donnes promulgue en 1970. Cette dmarche sest ensuite tendue aux diffrents lands allemands pour enfin tre reprise au niveau europen par la directive de 1995 sur la protection des donnes. A loccasion de la transposition de cette directive, une dizaine de pays de lUnion europenne a dcid dintroduire dans leur lgislation le correspondant la protection des donnes. Cette possibilit ouverte par la directive a permis ces pays de mettre disposition des organismes publics et privs un nouvel outil de mise en conformit de leurs traitements. Il est noter que diffrents modles de correspondants se ctoient au sein de lUnion. En effet, certains pays ont choisi de le rendre obligatoire alors que dautres, la majorit, le proposent de manire facultative. De mme, les champs de comptences et les pouvoirs des correspondants peuvent varier dun pays lautre. Nanmoins, dans lensemble, les correspondants ont tous des obligations assez similaires. Ils doivent ainsi : - tre saisis avant la mise en uvre des traitements afin dexercer leur devoir de conseil ; - tenir un registre des traitements mis en uvre au sein de lorganisme ; - rdiger un rapport annuel de leur activit - dtecter les ventuelles infractions la lgislation ; - alerter lautorit de protection des donnes en cas de problme ; - traiter les demandes de droit daccs, rectification et les plaintes des personnes concernes par les traitements que son organisme met en uvre. En synthse, le CIL doit veiller la bonne application de la lgislation relative la protection des donnes et tre un vecteur de diffusion de ses grands principes. Il peut aussi rdiger des codes de conduite, initier des procdures internes, rdiger une charte rglementant lusage de loutil informatique au sein de son organisme, etc.
L t r A N g e r F I C h e N 2 3 L e s C I L
46
Tableau comparatif des diffrents pays o la dsignation dun correspondant la protection des donnes est possible et/ou obligatoire Date dentre Dsignation Dsignation Salari protg en vigueur du Pays obligatoire facultative dispositif 197011 4 4 Allemagne 197712 Chypre Espagne
13
Estonie Grce Hongrie Lettonie Liechtenstein Lituanie Luxembourg Malte Norvge15 Pays-Bas Pologne
16 14
4 4 4 4 4 4 4 4 4 4 4 4 4 4 4 4
2008 2011 1993 2007 2009 2009 2002 2001 2001 2000 1998 2002 1998 2003 2001
Slovaquie Sude Suisse

17
Union Europenne18
11 Cration 12 Gnralisation 13 Seul un responsable de la scurit de linformation a t mis en place. 14 Le Lichtenstein, la Norvge et la Suisse ne font pas partie de lUnion europenne, ces pays disposent nanmoins dune lgislation sur la protection des donnes qui prvoit la dsignation dun dlgu/conseiller/responsable la protection des donnes. 15 (Cf note n11) 16 Seul un administrateur de la scurit de linformation a t mis en place. 17 (Cf note n11) 18 LUnion Europenne dispose elle aussi dune lgislation sur la protection des donnes qui prvoit la dsignation dun dlgu la protection des donnes au sein de ses institutions et organes
47
F I C h e
N 2 3
L e s
1999
C I L
2009
L t r A N g e r
1. Le cumul des fonctions de CIL et de reprsentant sur le territoire franais pour une mme socit
Le dcret dapplication de la loi Informatique et Liberts pose un principe dincompatibilit entre la fonction de CIL et celle de responsable de traitement. Il en rsulte que la personne choisie pour reprsenter lorganisme en France, agissant au nom et pour le compte du responsable de traitement, ne peut paralllement exercer les missions de correspondant.
2. Le cumul des fonctions de CIL et de reprsentant sur le territoire franais pour des socits diffrentes
Le CIL dun organisme, peut tre choisi comme reprsentant tabli sur le territoire franais par un autre organisme que celui qui la dsign en tant que correspondant. Ainsi, par exemple, dans le cadre dun groupe de socit, le CIL de la socit A situe en France pourra tre le reprsentant tabli sur le territoire franais de la socit B situe au Japon et appartenant au mme groupe :
Groupe Z Socit A France Socit B Japon
Monsieur X CIL de la socit A Reprsentant de la Socit B pour les traitements qu elle ralise en France
48
F I C h e
N 2 4
L e
C I L
e t
L A
r e p r s e N tAt I o N
s u r
L e
Le responsable de traitement qui, sans tre tabli sur le territoire franais ou sur celui dun autre tat membre de la Communaut europenne, recourt des moyens de traitement situs sur le territoire franais doit : - respecter, pour les traitements effectus en France, la loi Informatique et Liberts ; - dsigner un reprsentant tabli sur le territoire franais, qui se substitue lui dans laccomplissement des obligations prvues par la loi. Se pose alors la question de larticulation entre la fonction de CIL et celle de reprsentant tabli sur le territoire franais. Deux hypothses doivent tre envisages.
t e r r I t o I r e
N At I o N A L
Fiche n24 - le CIL et la reprsentation sur le territoire national
Annexes
A N N e x e s
n textes de rfrences
n Modle de lettre dinformation des reprsentants du personnel sur la dsignation dun correspondant
n Modle de lettre de mission du correspondant
n Modle de fiche de liste des traitements (registre)
49
Textes de rfrence
r F r e N C e t e x t e s d e
Loi du 6 janvier 1978 modifie le 6 aot 2004 (extraits) Article 22

I. - A lexception de ceux qui relvent des dispositions prvues aux articles 25, 26 et 27 ou qui sont viss au deuxime alina de larticle 36, les traitements automatiss de donnes caractre personnel font lobjet dune dclaration auprs de la Commission nationale de linformatique et des liberts. II. - Toutefois, ne sont soumis aucune des formalits pralables prvues au prsent chapitre : 1 Les traitements ayant pour seul objet la tenue dun registre qui, en vertu de dispositions lgislatives ou rglementaires, est destin exclusivement linformation du public et est ouvert la consultation de celui-ci ou de toute personne justifiant dun intrt lgitime ; 2 Les traitements mentionns au 3 du II de larticle 8. III. - Les traitements pour lesquels le responsable a dsign un correspondant la protection des donnes caractre personnel charg dassurer, dune manire indpendante, le respect des obligations prvues dans la prsente loi sont dispenss des formalits prvues aux articles 23 et 24, sauf lorsquun transfert de donnes caractre personnel destination dun tat non membre de la Communaut europenne est envisag. La dsignation du correspondant est notifie la Commission nationale de linformatique et des liberts. Elle est porte la connaissance des instances reprsentatives du personnel. Le correspondant est une personne bnficiant des qualifications requises pour exercer ses missions. Il tient une liste des traitements effectus immdiatement accessible toute personne en faisant la demande et ne peut faire lobjet daucune sanction de la part de lemployeur du fait de laccomplissement de ses missions. Il peut saisir la Commission nationale de linformatique et des liberts des difficults quil rencontre dans lexercice de ses missions. En cas de non-respect des dispositions de la loi, le responsable du traitement est enjoint par la Commission nationale de linformatique et des liberts de procder aux formalits prvues aux articles 23 et 24. En cas de manquement constat ses devoirs, le correspondant est dcharg de ses fonctions sur demande, ou aprs consultation, de la Commission nationale de linformatique et des liberts. IV. - Le responsable dun traitement de donnes caractre personnel qui nest soumis aucune des formalits prvues au prsent chapitre communique toute personne qui en fait la demande les informations relatives ce traitement mentionnes aux 2 6 du I de larticle 31.
50
Article 43
La notification prvue larticle 42 du prsent dcret mentionne : 1 Les nom, prnom, profession et coordonnes professionnelles du responsable des traitements, le cas chant, ceux de son reprsentant, ainsi que ceux du correspondant la protection des donnes caractre personnel. Pour les personnes morales, la notification mentionne leur forme, leur dnomination, leur sige social ainsi que lorgane qui les reprsente lgalement ; 2 Lorsque le correspondant la protection des donnes caractre personnel est une personne morale, les mmes renseignements concernant le prpos que la personne morale a dsign pour exercer les missions de correspondant ; 3 Si la dsignation est faite seulement pour certains traitements ou catgories de traitements, lnumration de ceux-ci ; 4 La nature des liens juridiques entre le correspondant et la personne, lautorit publique, le service ou lorganisme auprs duquel il est appel exercer ses fonctions ; 5 Tout lment relatif aux qualifications ou rfrences professionnelles du correspondant et, le cas chant, de son prpos en rapport avec cette fonction ; 6 Les mesures prises par le responsable des traitements en vue de laccomplissement par le correspondant de ses missions en matire de protection des donnes. Laccord crit de la personne dsigne en qualit de correspondant est annex la notification. La dsignation dun correspondant la protection des donnes caractre personnel prend effet un mois aprs la date de rception de la notification par la Commission nationale de linformatique et des liberts. Toute modification substantielle affectant les informations mentionnes aux 1 6 est porte la connaissance de la Commission nationale de linformatique et des liberts, dans les formes dfinies larticle 42.
51
t e x t e s
La dsignation dun correspondant la protection des donnes caractre personnel par le responsable de traitements relevant des formalits prvues aux articles 22 24 de la loi du 6 janvier 1978 susvise est notifie la Commission nationale de linformatique et des liberts par lettre remise contre signature ou par remise au secrtariat de la commission contre reu, ou par voie lectronique avec accus de rception qui peut tre adress par la mme voie.
d e
r F r e N C e
Dcret du 20 octobre 2005 (extraits) Article 42
a) Lorsque le responsable des traitements est une socit qui contrle ou qui est contrle au sens de larticle L. 233-3 du code de commerce, le correspondant peut tre dsign parmi les personnes au service de la socit qui contrle, ou de lune des socits contrles par cette dernire ; b) Lorsque le responsable des traitements est membre dun groupement dintrt conomique au sens du titre V du livre deuxime du code de commerce, le correspondant peut tre dsign parmi les personnes au service dudit groupement ; c) Lorsque le responsable des traitements fait partie dun organisme professionnel ou dun organisme regroupant des responsables de traitements dun mme secteur dactivits, il peut dsigner un correspondant mandat cette fin par cet organisme.
Article 45
La dsignation dun correspondant la protection des donnes caractre personnel est, pralablement sa notification la Commission nationale de linformatique et des liberts, porte la connaissance de linstance reprsentative du personnel comptente par le responsable des traitements, par lettre remise contre signature.
Article 46
Le correspondant la protection des donnes caractre personnel exerce sa mission directement auprs du responsable des traitements. Le correspondant ne reoit aucune instruction pour lexercice de sa mission. Le responsable des traitements ou son reprsentant lgal ne peut tre dsign comme correspondant. Les fonctions ou activits exerces concurremment par le correspondant ne doivent pas tre susceptibles de provoquer un conflit dintrts avec lexercice de sa mission.
Article 47
Le responsable des traitements fournit au correspondant tous les lments lui permettant dtablir et dactualiser rgulirement une liste des traitements automatiss mis en uvre au sein de ltablissement, du service ou de lorganisme au sein duquel il a t dsign et qui, dfaut de dsignation dun correspondant, relveraient des formalits de dclaration prvues par les articles 22 24 de la loi du 6 janvier 1978 susvise.
52
t e x t e s
Par drogation au premier alina :
d e
Lorsque plus de cinquante personnes sont charges de la mise en uvre ou ont directement accs aux traitements ou catgories de traitements automatiss pour lesquels le responsable entend dsigner un correspondant la protection des donnes caractre personnel, seul peut tre dsign un correspondant exclusivement attach au service de la personne, de lautorit publique ou de lorganisme, ou appartenant au service, qui met en uvre ces traitements.
r F r e N C e
Article 44
Dans les trois mois de sa dsignation, le correspondant la protection des donnes caractre personnel dresse la liste mentionne larticle 47. La liste prcise, pour chacun des traitements automatiss : 1 Les nom et adresse du responsable du traitement et, le cas chant, de son reprsentant ; 2 La ou les finalits de traitement ; 3 Le ou les services chargs de le mettre en oeuvre ; 4 La fonction de la personne ou le service auprs duquel sexerce le droit daccs et de rectification ainsi que leurs coordonnes ; 5 Une description des catgories de donnes traites, ainsi que les catgories de personnes concernes par le traitement ; 6 Les destinataires ou catgories de destinataires habilits recevoir communication des donnes ; 7 La dure de conservation des donnes traites. La liste est actualise en cas de modification substantielle des traitements en cause. Elle comporte la date et lobjet de ces mises jour au cours des trois dernires annes. Le correspondant tient la liste la disposition de toute personne qui en fait la demande. Une copie de la liste est dlivre lintress sa demande. Le responsable des traitements peut subordonner la dlivrance de cette copie au paiement dune somme qui ne peut excder le cot de la reproduction. Lorsque la liste ne recense pas la totalit des traitements mis en oeuvre par le responsable, elle mentionne que dautres traitements relevant du mme responsable figurent sur la liste nationale mise la disposition du public en application de larticle 31 de la loi du 6 janvier 1978 susvise.
Article 49
Le correspondant veille au respect des obligations prvues par la loi du 6 janvier 1978 susvise pour les traitements au titre desquels il a t dsign. A cette fin, il peut faire toute recommandation au responsable des traitements. Il est consult, pralablement leur mise en uvre, sur lensemble des nouveaux traitements appels figurer sur la liste prvue par larticle 47. Il reoit les demandes et les rclamations des personnes intresses relatives aux traitements figurant sur la liste prvue par larticle 47. Lorsquelles ne relvent pas de sa responsabilit, il les transmet au responsable des traitements et en avise les intresss. Il informe le responsable des traitements des manquements constats avant toute saisine de la Commission nationale de linformatique et des liberts. Il tablit un bilan annuel de ses activits quil prsente au responsable des traitements et quil tient la disposition de la commission. 53
t e x t e s
d e
r F r e N C e
Article 48
Le responsable des traitements peut, avec laccord du correspondant la protection des donnes caractre personnel, lui confier les missions mentionnes larticle 49 pour la totalit des traitements qui dpendent du responsable. Dans ce cas, la notification prvue larticle 43 en fait mention.
Article 51
La Commission nationale de linformatique et des liberts peut tre saisie tout moment par le correspondant la protection des donnes caractre personnel ou le responsable des traitements de toute difficult rencontre loccasion de lexercice des missions du correspondant. Lauteur de la saisine doit justifier quil en a pralablement inform, selon le cas, le correspondant ou le responsable des traitements. La Commission nationale de linformatique et des liberts peut tout moment solliciter les observations du correspondant la protection des donnes ou celles du responsable des traitements.
Article 52
Lorsque la Commission nationale de linformatique et des liberts constate, aprs avoir recueilli ses observations, que le correspondant manque aux devoirs de sa mission, elle demande au responsable des traitements de le dcharger de ses fonctions en application du III de larticle 22 de la loi du 6 janvier 1978 susvise.
Article 53
Hors le cas prvu larticle 52, lorsquil envisage de mettre fin aux fonctions du correspondant pour un motif tenant un manquement aux devoirs de sa mission, le responsable des traitements saisit la Commission nationale de linformatique et des liberts pour avis par lettre remise contre signature, comportant toutes prcisions relatives aux faits dont il est fait grief. Le responsable des traitements notifie cette saisine au correspondant dans les mmes formes en linformant quil peut adresser ses observations la Commission nationale de linformatique et des liberts. La Commission nationale de linformatique et des liberts fait connatre son avis au responsable des traitements dans un dlai dun mois compter de la rception de sa saisine. Ce dlai peut tre renouvel une fois sur dcision motive de son prsident. Aucune dcision mettant fin aux fonctions du correspondant ne peut intervenir avant lexpiration du dlai prvu lalina prcdent.
Article 54
Lorsque le correspondant est dmissionnaire ou dcharg de ses fonctions, le responsable des traitements en informe la Commission nationale de linformatique et des liberts dans les formes prvues larticle 42. La notification de cette dcision mentionne en outre le motif de la dmission ou de la dcharge. Il y est annex, en lieu et place de laccord prvu au huitime alina
54
t e x t e s
d e
r F r e N C e
Article 50
Cette dcision prend effet huit jours aprs sa date de rception par la Commission nationale de linformatique et des liberts. Hormis le cas du remplacement du correspondant, le responsable des traitements est alors tenu de procder, dans le dlai dun mois, aux formalits prvues aux articles 23 et 24 de la loi du 6 janvier 1978 susvise pour lensemble des traitements qui sen taient trouvs dispenss du fait de la dsignation laquelle il est mis fin.
Lorsque le responsable des traitements ne respecte pas ses obligations lgales relatives au correspondant, la Commission nationale de linformatique et des liberts lenjoint par lettre remise contre signature de procder aux formalits prvues aux articles 23 et 24 de la loi du 6 janvier 1978 susvise. Cette lettre mentionne les traitements concerns par linjonction ainsi que le dlai dans lequel le responsable des traitements doit sy conformer.
55
t e x t e s
Article 55
d e
r F r e N C e
de larticle 43, le justificatif de la notification de la dcision au correspondant.
Modle de courrier dinformation des reprsentants du personnel

Madame, Monsieur, En application de larticle 22 de la loi n 78-17 du 06 janvier 1978 modifie par la loi du 06 aot 2004 relative linformatique, aux fichiers et aux liberts, je vous informe que jai dsign pour exercer les fonctions de correspondant la protection des donnes caractre personnel : Nom : .............................................................................................................................. Prnom : ......................................................................................................................... Fonction/profession : ....................................................................................................... Service/organisme : ......................................................................................................... Adresse professionnelle (si diffrente de celle du responsable des traitements) : ......................................................................................................................................... Tlphone : ..................................................................................................................... Adresse lectronique : ..................................................................................................... Cette dsignation va faire lobjet (ou a fait lobjet) dune notification auprs de la Commission Nationale de lInformatique et des Liberts (CNIL). Elle prend effet un mois compter de la rception de la notification par la CNIL. Elle emporte dispense de laccomplissement des formalits relatives aux traitements relevant dun rgime de simple dclaration. Ne sont donc pas concerns par la dispense les traitements relevant dun rgime dautorisation ou de demande davis, notamment ceux impliquant le transfert de donnes caractre personnel destination dun Etat non membre de la Communaut europenne. Le correspondant tiendra une liste des traitements dispenss, consultable sur place. La liste (ou registre) pourra galement tre communique toute personne en faisant la demande. Cette liste ne concerne que les traitements dispenss de dclaration auprs de la CNIL du fait de sa dsignation. Les traitements soumis autorisation ou avis pralable de la CNIL continueront tre recenss sur le fichier des fichiers tenu par la CNIL et consultable sur demande auprs de la CNIL. Le correspondant aura un rle de conseil, de recommandation et dalerte, sil constate des manquements. Pour ce faire, il devra tre consult pralablement leur mise en uvre et tre inform des projets de traitements. Le correspondant sera charg du droit daccs, de rectification et dopposition. Pour toute contestation, rclamation, Je vous prcise galement que le correspondant recevra galement les rclamations et requtes des personnes concernes par les traitements. Il sera notamment charg du droit daccs, de rectification et dopposition. Des moyens spcifiques seront mis disposition du correspondant (ou les mesures suivantes sont adoptes) : - ....... - ....... Je vous prie, Madame, Monsieur, dagrer lexpression de mes salutations distingues. Signature du responsable des traitements
p e r s o N N e L m o d L e d e C o u r r I e r d I N F o r m At I o N d e s r e p r s e N tA N t s d u
Date
56
Date Madame, Monsieur, Il a t procd votre dsignation en tant que Correspondant informatique et liberts de [Nom du ou des organismes concerns]. Cette dsignation, effectue en application de larticle 22 de la loi n 78-17 du 06 janvier 1978 modifie par la loi du 06 aot 2004 relative linformatique, aux fichiers et aux liberts, est effective depuis le [date laquelle la dsignation est effective]19. En application de larticle 46 du dcret n2005-1309 du 20 octobre 2005, vous tes directement rattach [la Direction ou nom du DG, PDG, Maire ] et ne recevez aucune instruction pour lexercice de vos missions de CIL. Les instances reprsentatives ont t pralablement informes de la cration de cette fonction par un courrier avec accus de rception adress le [date]. Conformment ce qui a t indiqu la CNIL, votre dsignation est tendue, ce qui signifie que vous exercez vos missions pour tous les traitements mis en uvre par [Nom du ou des organismes responsables des traitements], quel que soit le rgime des formalits applicable. Il vous appartiendra ainsi de veiller de manire indpendante au respect de la loi informatique et liberts au sein [Nom du ou des organismes responsables des traitements]. Au titre de vos fonctions, vous devrez : A tablir, actualiser et communiquer aux personnes en faisant la demande, la liste des traitements (ou registre) faisant lobjet dune dispense de dclaration du fait de votre dsignation ; A procder aux formalits pralables concernant les traitements soumis autorisation ou avis pralable de la CNIL ; A accompagner la mise en uvre des traitements de donnes caractre personnel et cette occasion formuler les conseils et les recommandations ncessaires au respect de la loi informatique et liberts ; A recevoir les demandes et les rclamations adresses par les personnes concernes par les traitements, et selon leur nature de les instruire ou de les transmettre aux services comptents ; A informer et sensibiliser le personnel aux enjeux de la protection des donnes ; A alerter le responsable des traitements sur lexistence de manquements la loi informatique et liberts ;
19 La dsignation prend effet un mois compter de la rception de la notification par la CNIL.
57
m o d L e d e L e t t r e d e m I s s I o N r e m I s e pA r L e r e s p o N s A b L e d e s t r A I t e m e N t s A u C I L L o r s d e s A p r I s e d e F o N C t I o N s
Modle de lettre de mission remise par le responsable des traitements au CIL lors de sa prise de fonctions
Pour vous permettre de mener bien ces diffrentes missions, la Direction sengage : A prendre les mesures organisationnelles suivantes : dsignation de relais dans les services mettant en uvre des traitements ou ayant accs aux donnes ; [ complter en fonction de la situation exemples : cration dun service ddi, mise en place dun circuit dinformation ] ; A vous proposer des formations relatives la protection des donnes ; A vous permettre de mener des actions de communication interne auprs du personnel, par le biais de communiqus [autres exemples : de lintranet, de brochures, de stages ] ; A vous permettre de mener des actions de communications externe par le biais de communiqus [autres exemples : du site internet, de brochures, de participation des colloques ] ; A mettre votre disposition les moyens humains et matriels suivants : affectation de personnels ; [ complter en fonction de la situation exemples : dotation dun budget spcifique, allgement de la charge de travail lie aux autres fonctions du CIL] ; A Je relve galement quen application des articles 47 et 49 du dcret du 20 octobre 2005 prcit : tous les lments vous permettant dtablir et dactualiser la liste des traitements (le registre) doivent tre mis votre disposition ; vous devez tre consult pralablement la mise en uvre de tout nouveau traitement. Une copie de cette lettre de mission sera adresse lensemble du personnel. Je vous prie, Madame, Monsieur, dagrer lexpression de mes salutations distingues. Signature [PDG, DG, Maire ]
58
m o d L e d e L e t t r e d e m I s s I o N r e m I s e pA r L e r e s p o N s A b L e d e s t r A I t e m e N t s A u C I L L o r s d e s A p r I s e d e F o N C t I o N s
A rdiger et remettre au responsable des traitements un bilan annuel des actions menes pour au titre de vos fonctions de CIL.
Modle de fiche porter au registre

date de mise en oeuvre : Finalit principale : 20/10/2005 Gestion des Correspondants Informatique et Liberts20 A Instruction des dsignations ; A Actualisation du profil des CIL ; A Edition de la liste des CIL. Service des Correspondants Informatique et Liberts Service des Correspondants Informatique et Liberts Les correspondants Informatique et Liberts (ci-aprs CIL), cest-dire les personnes dsignes dans les conditions prescrites par le titre III du dcret n 2005-1309 du 20 octobre 2005, pris pour application de la loi informatique et liberts, et qui assurent les missions dfinies larticle 22 de la loi prcite.
r e g I s t r e m o d L e d e F I C h e p o r t e r A u
traitement n1
Application de gestion des CIL
dtail des finalits du traitement service charg de la mise en uvre Fonction de la personne ou du service auprs duquel sexerce le droit daccs
Catgories de personnes concernes par le traitement
20 Pour information, le dtail des informations relatives aux CIL, tel que leurs coordonnes (numros de tlphone, ladresse e-mail), sont traites dans une autre application ayant notamment pour objet la gestion des usagers en contact avec la CNIL.
59
Modle de fiche porter au registre

A nom et le prnom ; Donnes didentification A fonction ; A identifiant. A statut du CIL (interne, mutualis, externe) ; A les lments didentification de lorganisme de rattachement ; A porte de la dsignation (tendue, normale, partielle) ; donnes traites Vie professionnelle A indication du nombre de personnes en charge de la mise en uvre de traitements au sein de lorganisme ; A date partir de laquelle la dsignation est effective ; A les dates de cration, de signature, de modification et de fin dinstruction de la dsignation ; A statut de la dsignation (valide, confirme, refuse, fin de mission) ; A comptences professionnelles du correspondant ; A mesures daccompagnement des missions de CIL Catgories de destinataires Catgories de destinataires Donnes concernes
r e g I s t r e m o d L e d e F I C h e p o r t e r A u
Catgories de donnes traites
Dtails des donnes traites
Les agents habilits de la CNIL pour les stricts besoins de Toutes laccomplissement de leurs missions La CNIL conserve les donnes caractre personnel pendant un an compter de la dcharge du CIL ou de la dmission de ses fonctions.
dure de conservation
Mise jour (date Nant et objet):
60
61
62
63
64
65
66
67
68
69
70
71
72
73
Une difficult ? Une hsitation ?

Plus dinformations sur www.cnil.fr,
Une permanence de renseignements juridiques par tlphone est assure tous les jours de 10h 12h et de 14h 16h au 01 53 73 22 22
Vous pouvez adresser toute demande par tlcopie au 01 53 73 22 00
Document Imprim sur papier 100% recycl
www.cnil.fr
8 rue Vivienne 75083 Paris Tl : 01 53 Fax : 01 53
- CS 30223 cedex 02 73 22 22 73 22 00

Le Guide Des Correspondants Informatique Et Libertés (CNIL)

Uploaded by

Document Information

Original Title

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

Le Guide Des Correspondants Informatique Et Libertés (CNIL)

Uploaded by

Copyright:

Available Formats

DU CORRESPONDANT INFORMATIQUE ET LIBERTES

Guide Pratique COrreSPONdaNt

Fiche n1 - les 6 bonnes raisons de dsigner un CIL

1. Un vecteur de scurit juridique

2. Une source de scurit informatique

3. Un facteur de simplification des formalits administratives

4. Un accs personnalis aux services de la CnIL

5. La preuve dun engagement thique et citoyen

6. Un outil de valorisation du patrimoine informationnel

Fiche n2 - les services disposition du CIL

1. Un service ddi laccompagnement et lanimation du rseau des correspondants

2. des ateliers dinformation portant sur des thmatiques diverses :

Guide Pratique COrreSPONdaNt

3. Le suivi de linstruction des dossiers par la CnIL

Fiche n3 - le profil du correspondant

1. Un salari ou une personne extrieure

Guide Pratique COrreSPONdaNt

2. Une personne qualifie

Guide Pratique COrreSPONdaNt

Fiche n4 - le statut du correspondant

1. Le correspondant exerce sa fonction directement auprs du responsable des traitements

2. Le correspondant dispose dune libert organisationnelle et dcisionnelle

3. Le correspondant est labri des conflits dintrt

4. Le correspondant est protg des sanctions de lemployeur

Fiche n5 - les principales missions du CIL

1. tenir la liste des traitements et assurer son accessibilit

2. veiller en toute indpendance au respect de la loi

Guide Pratique COrreSPONdaNt

4. Les autres missions

3. rendre compte de son action

Fiche n6 - les modalits de dsignation du CIL

1. Linformation des reprsentants du personnel

2. La notification de la dsignation la CnIL

3. Les diffrents types de dsignation

4. La prise deffet de la dsignation

5. En cas de modifications relatives la dsignation

Guide Pratique COrreSPONdaNt

6. Linformation de la CnIL en cas de remplacement du correspondant

Fiche n7 - le choix du CIL externe

1. CIL externe personne morale ou personne physique ?

2. Lencadrement des relations entre le CIL externe et le responsable des traitements

Guide Pratique COrreSPONdaNt

3. Les risques de conflit dintrt

4. Le cas du CIL avocat

Fiche n8 - la prise de fonction du correspondant

1. Lorganisation dactions de communication pour tablir la visibilit et la lgitimit du CIL

2. La constitution du registre dans les trois mois suivant sa dsignation4

4 Cf. fiche n 9 la liste des traitements ou le registre .

Guide Pratique COrreSPONdaNt

Fiche n9 - la liste des traitements du CIL ou registre

Guide Pratique COrreSPONdaNt

3. Quels traitements recenser ?

4. La composition dune fiche de registre

Guide Pratique COrreSPONdaNt

6. Que devient le registre en cas de fin de mission du CIL?

Cas particulier du CIL mutualis

Fiche n10 - le CIL et les formalits pralables

1. Le rle de suivi des traitements et de leurs volutions

Guide Pratique COrreSPONdaNt

TRAITEMENTS RELEVANT DES REGIMES DE LAVIS OU DE LAUTORISATION PREALABLE (articles 26 et 27 / 25 et 69 de la loi)

Fiche n11 - le bilan de laction du CIL

2. Quand le CIL doit-il le rdiger ?

4. sous quelle forme ?