Professional Documents
Culture Documents
dition 2011
Sommaire
AvAnt-propos Fiche n1 - les 6 bonnes raisons de dsigner un CIL Fiche n2 - les services disposition du CIL Fiche n3 - le profil du correspondant Fiche n4 - le statut du correspondant Fiche n5 - les principales missions du CIL Fiche n6 - les modalits de dsignation du CIL Fiche n7 - le choix du CIL externe Fiche n8 - la prise de fonction du correspondant Fiche n9 - la liste des traitements du CIL ou registre Fiche n10 - le CIL et les formalits pralables Fiche n11 - le bilan de laction du CIL Fiche n12 - linstruction des demandes de droit daccs et de rectification Fiche n13 - lexercice du droit dalerte Fiche n14 - la responsabilit du CIL Fiche n15 - la fin de mission du CIL Fiche n16 - le CIL et les contrles Fiche n17 - le CIL lors de la procdure de sanction Fiche n18 - le CIL et les instances reprsentatives du personnel Fiche n19 - les rseaux de CIL Fiche n20 - le CIL et les conventions de partenariats Fiche n21 - le CIL des organismes de presse crite ou audiovisuelle Fiche n22 - le CIL et les transferts de donnes hors UE Fiche n23 - les CIL ltranger Fiche n24 - le CIL et la reprsentation sur le territoire national AnnExEs tExtEs dE rFrEnCE ModLE dE CoUrrIEr dInForMAtIon dEs rEprsEntAnts dU pErsonnEL ModLE dE LEttrE dE MIssIon rEMIsE pAr LE rEsponsAbLE dEs trAItEMEnts AU CIL Lors dE sA prIsE dE FonCtIons ModLE dE FIChE portEr AU rEgIstrE Ce guide est tlchargeable sur le site Internet de la CNIL : www.cnil.fr page 2 page 3 page 4 page 6 page 9 page 10 page 12 page 14 page 16 page 18 page 22 page 24 page 26 page 29 page 31 page 32 page 35 page 37 page 38 page 40 page 42 page 43 page 44 page 46 page 48 page 49 page 50 page 56 page 57 page 59
Avant-propos
A v A N t- p r o p o s
Madame, Monsieur, Depuis 2005 et la parution du dcret dapplication de la loi Informatique et Liberts, la fonction de Correspondant Informatique et Liberts (CIL) est en plein essor. Le CIL est devenu un acteur incontournable de la protection des donnes dans le paysage professionnel franais. Il est reprsent dans tous les secteurs dactivit et dans tous les types dorganismes. Pour rpondre aux besoins lis laffirmation du rle de correspondant en tant que mtier part entire, la CNIL a toff son offre de services. Cest ainsi quun extranet a t mis en ligne en 2009 afin de proposer de nouveaux outils et moyens dchanger sur la protection des donnes. Diffrents niveaux dexpertise ont par ailleurs t introduits dans les ateliers dinformation organiss par la CNIL. La prsente actualisation et mise jour du guide destin au correspondant participe de cette mme logique qui consiste mettre disposition des CIL des outils adapts leurs besoins en facilitant lexercice de leurs missions au sein des organismes qui les ont dsigns. Cette dmarche de collaboration entre la CNIL, le CIL et les responsables de fichiers porte chaque jour ses fruits. Elle permet de garantir que le dveloppement de linformatique sopre sans danger pour les droits et liberts des usagers, des clients et des salaris. Je vous invite, avec ce nouveau guide, dcouvrir ou approfondir, selon votre niveau de connaissance, le statut et les missions du correspondant ainsi que les modalits pratiques dexercice de cette fonction. Isabelle FALQUE-PIERROTIN Prsidente de la CNIL
4. LExtranet des CIL : un forum, des actualits, des outils dinformation et dauto-valuation
Accessible uniquement aprs saisie dun identifiant et dun mot de passe, le site Extranet apporte aux CIL, de manire personnalise, quatre catgories de services adaptes leurs besoins particuliers. Ils y trouvent ainsi la possibilit : - de se former en accdant des contenus pdagogiques vidos, des fiches pratiques, des foires aux questions relatives lexercice de leur fonction et divers points de la rglementation ; - dchanger avec leurs homologues, dans le cadre dun forum organis par thmatiques ; - de consulter les dernires actualits sur les sujets et secteurs dactivit qui les intressent ; - dvaluer leur niveau de connaissance de la rglementation par le biais de QCM prvus cet effet. Cet Extranet a vocation complter le site Internet de la Commission, www. cnil.fr, sur lequel les CIL trouveront dj un grand nombre dinformations utiles lexercice de leurs missions. Notamment, dans les rubriques Dossiers et En savoir plus : - les textes fondateurs de la rglementation Informatique et Liberts (directive europenne, loi, dcret dapplication, etc.) ; - les diffrentes dlibrations de la CNIL (recommandations, dispenses de dclaration, normes simplifies, autorisations uniques, actes rglementaires uniques) ; - des dossiers, rapports, fiches pratiques, questions/rponses et guides thmatiques (travail, sant, collectivits locales, banque, enseignement, scurit, etc.) ; - des modles de mentions lgales et notes dinformation (prospection commerciale, vidosurveillance, golocalisation, dlivrance dinformations cadastrales, etc.).
F I C h e
N 2
L e s
s e r v I C e s
d I s p o s I t I o N
Le Service des correspondants renforce la visibilit des CIL sur linstruction des dossiers les concernant par le Service des Affaires juridiques. Il assure un suivi des demandes davis/dautorisation pralable manant de leurs organismes et les renseigne ainsi sur ltat davancement des dmarches engages auprs de la CNIL. Il participe en outre linstruction des cas problmatiques qui leur sont relatifs (injonction de procder aux formalits pralables, dcharge du CIL en cas de manquement grave aux devoirs de sa mission, etc.).
d u
C I L
La loi informatique et liberts prvoit que le correspondant est une personne qui bnficie des qualifications requises pour exercer ses missions , sans autre indication. Son dcret dapplication prcise quil peut sagir dune personne physique ou morale, dun employ de lorganisme ou, sous certaines conditions, dune personne extrieure celui-ci.
- un salari dune des entits du groupe de socits auquel appartient lorganisme (sige, holding, filiale) ; - un salari du groupement conomique dont est membre lorganisme ; - une personne mandate cet effet par un organisme professionnel (ex. : syndicat) 2 ; - une personne mandate cet effet par un organisme regroupant des responsables de traitements dun mme secteur dactivit (ex. : tablissements publics de coopration intercommunale, fdrations dassociations) 3. La fonction de CIL peut tre mutualise entre diffrents organismes publics et privs, ds lors que ceux-ci sont lis par des intrts conomiques communs ou appartiennent un mme secteur dactivit. Lavantage principal de la mutualisation est de permettre un lissage des cots associs au bnfice dun CIL prsentant la disponibilit et les comptences ncessaires un bon exercice de la fonction.
2 Il peut sagir dun salari de lorganisme professionnel, mais aussi dun professionnel indpendant avec lequel lorganisme aura conclu une convention dfinissant les qualifications exiges et les conditions dexercice des missions (rgles de confidentialit, disponibilit, moyens,...). Cette solution parat notamment adapte pour des organismes professionnels ayant adopt des codes de conduites lis lapplication de la loi informatique et liberts. Le correspondant aurait dans ce cas galement pour mission de veiller lapplication du code de conduite. 3 Attention : chaque organisme, en tant que responsable des traitements dune entit juridique particulire, devra notifier la CNIL la dsignation du correspondant concern par la mutualisation. Pour cette mme raison, le CIL mutualis tiendra autant de registre de traitements quil y aura dorganismes concerns par sa dsignation.
F I C h e
N 3
L e
p r o F I L
d u
C o r r e s p o N d A N t
Cest pourquoi, lorsque plus de 50 personnes sont charges de la mise en uvre des traitements ou y ont directement accs, le choix du correspondant externe est limit. Seul peut tre dsign comme CIL un employ de lorganisme ou :
En informatique, une bonne comprhension du vocabulaire, des mtiers et des diffrents modes de traitement des donnes parait ncessaire. Les connaissances du CIL porteront par exemple sur les systmes de gestion et dexploitation de bases de donnes, les types de logiciels, de fichiers et de modes de stockage des donnes, ainsi que sur les lments dune politique de confidentialit et de scurit des informations (chiffrement des donnes, signature lectronique, biomtrie, ...). Elles doivent lui permettre de suivre le dploiement des projets informatiques et de conseiller utilement le responsable de traitement. Lorsque le CIL ne dispose pas de lensemble des qualifications requises la date de sa dsignation, il devra les acqurir, notamment, en participant aux ateliers du CIL organiss par la CNIL.
F I C h e
N 3
L e
p r o F I L
d u
C o r r e s p o N d A N t
en matire de commerce lectronique, de sant ou de travail) ainsi que les rgles particulires de recueil et de traitement de certaines donnes (par exemple, les donnes couvertes par le secret mdical ou bancaire).
La loi prvoit que le correspondant doit exercer ses missions de faon indpendante. En consquence, il doit disposer dune autonomie daction reconnue par tous et garantie par le respect dun certain nombre de rgles.
10
La fiche n12 de ce guide est ddie la gestion des demandes de droit daccs, de rectification, dopposition et des rclamations.
Le correspondant tablit chaque anne un bilan de ses activits quil prsente au responsable des traitements et quil tient la disposition de la CNIL. Il ne transmet son bilan dactivit la Commission que sur demande expresse de sa part. La fiche n11 du prsent guide est ddie au bilan annuel. Un modle de bilan est mis disposition des CIL sur leur extranet.
11
F I C h e
N 5
L e s
p r I N C I pA L e s
m I s s I o N s
d u
C I L
Dsignation tendue
12
13
F I C h e
N 6
L e s
m o d A L I t s
d e
d s I g N At I o N
Le responsable de traitement doit informer la CNIL du remplacement du correspondant par lettre remise contre signature ou par remise au secrtariat de la Commission contre reu, ou par voie lectronique avec accus de rception. Les circonstances et les motifs qui justifient le remplacement (dmission, dpart la retraite de lancien CIL, mobilit interne) doivent tre indiqus dans le courrier. Le responsable de traitement doit justifier avoir inform le correspondant de sa dcision. Le remplacement ne peut devenir effectif que huit jours aprs la date de rception du courrier dinformation par la CNIL (pour plus de dtails, se reporter la fiche n15 la fin de mission du CIL).
d u
C I L
Au-del des conditions formelles remplir par lorganisme responsable de traitement, le choix de dsigner un CIL extrieur doit saccompagner dune rflexion sur plusieurs autres points.
14
La modification, en mai 2009, du rglement intrieur national (RIN, art. 6.2.2) encadrant dsormais lactivit de CIL exerce par un avocat renforce par ailleurs le rle que cette profession pourra jouer dans les annes venir en matire de protection des donnes caractre personnel. Le RIN prcise ainsi que lavocat correspondant la protection des donnes personnelles doit mettre un terme sa mission sil estime ne pas pouvoir lexercer, aprs avoir pralablement inform et effectu les dmarches ncessaires auprs de la personne responsable des traitements . Cette disposition a pour objet de garantir la compatibilit entre les rgles dontologiques de la profession davocat et les missions du CIL. En outre, la dsignation dun avocat en tant que CIL ne saurait violer lobligation du secret professionnel, ds lors quaucune obligation de dnonciation nest mise la charge du CIL au regard de la loi Informatique et Liberts et de son dcret dapplication : le CIL doit systmatiquement informer le responsable des traitements pralablement toute saisine de la CNIL (art. 49 et 51 du dcret), un avocat mme dsign en tant que CIL doit dans le cadre du mandat qui le lie son client, obtenir son accord pralable avant toute saisine de la CNIL. De mme, cette dsignation nentrane aucune exonration de responsabilit civile ou pnale pour le responsable de traitement. Un avocat dsign en tant que CIL nest susceptible dengager que sa responsabilit professionnelle davocat. Enfin, il est noter que certaines dispositions particulires ont t insres dans le rglement intrieur du Barreau de Paris (RIBP) concernant les avocats parisiens exerant les fonctions de CIL (article P 6.2.0.2).
15
F I C h e
Lavocat peut tenir le rle de CIL avec efficacit. Il prsente les garanties de comptences techniques et dindpendance requises par la loi. En outre, tant charg, de par sa fonction mme, de la protection des liberts publiques et individuelles, son rle est essentiel dans les mcanismes de protection des donnes caractre personnel dfinis par les responsables de traitement.
N 7
L e
C h o I x
d u
C I L
e x t e r N e
faire procder par le CIL un audit des traitements mis en uvre afin quil en ait une connaissance pratique.
Dans les trois mois suivant sa prise de fonction, le correspondant doit dresser la liste des traitements mis en uvre par lorganisme et entrant dans le champ de sa dsignation. La constitution de ce registre est loccasion de procder un tat des lieux sur les traitements en cours, les formalits accomplies auprs de la CNIL et deffectuer dventuelles rgularisations. Pour tre ralise dans les meilleures conditions possibles, la prise de fonction du CIL devra saccompagner dactions de communication destines assurer sa visibilit et asseoir sa lgitimit aux diffrents niveaux de lorganisme.
16
Dans le cadre de la constitution du registre, il est recommand au CIL de procder un audit des diffrents traitements mis en uvre au sein de la structure, afin dobtenir une vue densemble sur leur nombre, leur nature et leurs caractristiques principales. Pour ce faire, il lui appartient de prendre contact avec les responsables des diffrents directions et services composant lorganisme. A loccasion de cet audit, le correspondant est susceptible de dcouvrir des irrgularits entachant dillgalit la mise en uvre de ces derniers. Par exemple, le CIL peut sapercevoir quun traitement mis en uvre au sein de lorganisme na jamais t dclar la CNIL. Dans ce cas, il lui appartiendra de rgulariser la situation : en portant au registre le traitement, si celui-ci relve du rgime de la dclaration normale ou simplifie ; en faisant procder, le cas chant, une demande davis ou une demande dautorisation auprs de la Commission. Cest galement loccasion pour le CIL dtre pdagogue et de rappeler au collgue en charge de la gestion du fichier concern, les principales rgles de la protection des donnes caractre personnel.
17
F I C h e
N 8
L A
p r I s e
d e
F o N C t I o N
d u
C o r r e s p o N d A N t
3. Loccasion de faire un tat des lieux et de procder aux rgularisations qui simposent
2. La constitution du registre
Le CIL dispose dun dlai de trois mois compter de sa dsignation (sa prise de fonction) pour constituer son registre. Ce dlai ne peut faire lobjet daucune prorogation. Le responsable des traitements doit fournir au CIL tous les lments ncessaires lui permettant de rdiger la liste des traitements mis en uvre (article 47). De son cot, le CIL nouvellement dsign peut faire un audit des traitements mis en uvre par son organisme afin de garantir la fiabilit et lexhaustivit de son registre. Il peut galement demander la CNIL de lui fournir la liste des formalits pralables dj effectues par son organisme. Cette demande seffectue en application de larticle 31 de la loi Informatique et Liberts. La liste communique comporte lindication de toutes les dclarations, demandes davis et demandes dautorisations effectues auprs de la CNIL. Elle permettra au CIL de vrifier si tous les traitements mis en uvre au sein de son organisme ont bien fait lobjet des formalits pralables exiges. En principe, le registre contient uniquement les traitements mis en uvre par lorganisme partir de cette date. Toutefois, dans un souci dexhaustivit, le CIL peut inscrire au registre les traitements qui sont antrieurs sa dsignation et qui ont t dclars auprs de la CNIL (dans cette hypothse, il peut le faire tout moment, y compris aprs le dlai de trois mois). La tenue du registre est obligatoire et constitue une des missions principales du correspondant. Le cas particulier du CIL mutualis Lorsquun CIL a t dsign par plusieurs entits, il devra rdiger un registre par organisme. Exemple : si un correspondant a t dsign par cinq organismes, il lui incombera alors de rdiger et de tenir jour cinq registres distincts et propres chaque organisme.
18
19
F I C h e
N 9
L A
L I s t e
d e s
t r A I t e m e N t s
d u
C I L
o u
r e g I s t r e
A cet gard, afin de faciliter laccs au registre au sein de son organisme, il peut tre intressant de le mettre en ligne sur lintranet. Cela peut tre loccasion pour le CIL dobtenir un espace ddi la protection des donnes sur lintranet, dans lequel il pourra diffuser des informations en lien avec la loi Informatique et Liberts afin de sensibiliser ses collaborateurs et collgues. Il est souligner que certains organismes ont fait le choix de publier leur registre sur leur site internet.
6 Une modification substantielle dun traitement est une modification portant sur lun des lments recenss dans larticle 48 du dcret, savoir : le nom du responsable des traitements, la finalit du traitement, le service charg de sa mise uvre, la personne auprs duquel sexerce le droit daccs, les catgories de donnes traites, les catgories de personnes concernes, les destinataires, les dures de conservation.
20
F I C h e
Au terme de larticle 48 du dcret, toute personne en faisant expressment la demande peut consulter le registre et en obtenir une copie. Cela peut tre, par exemple, un salari de lorganisme, un organisme concurrent, un client, etc. Le correspondant doit toujours rpondre favorablement une demande daccs et de copie du registre.
N 9
L A
5. Laccs au registre
L I s t e
d e s
t r A I t e m e N t s
d u
C I L
o u
r e g I s t r e
21
F I C h e
N 9
L A
L I s t e
d e s
t r A I t e m e N t s
d u
C I L
o u
Il est conseill au correspondant mutualis denvoyer un exemplaire de son registre lorganisme qui la dsign ou dorganiser un accs distant (diffusion sur lintranet ou un site internet). En effet, le CIL mutualis se trouve dans la plupart des cas, gographiquement loign de lorganisme qui la dsign. Pour les demandes daccs au registre faites dans les locaux de lorganisme, il convient dy rpondre dans les dlais les plus brefs et la transmission de la demande au CIL serait susceptible de la retarder.
r e g I s t r e
2. Lextension possible de sa comptence aux traitements relevant des rgimes de la demande dautorisation ou davis pralable
- Des traitements restant soumis examen et dcision pralables de la CNIL Quelle que soit la porte accorde la dsignation dun correspondant, elle na pas pour effet dexonrer lorganisme des formalits qui lui incombent sagissant des traitements soumis aux rgimes de la demande dautorisation ou davis. En effet, compte tenu des risques pour les droits, les liberts et la vie prive que sont susceptibles de comporter de tels traitements, un examen et une dcision pralables de la Commission restent ncessaires. Le Service des correspondants renforce la visibilit des CIL sur linstruction des dossiers par le Service des Affaires juridiques. Ils sont ainsi informs de ltat davancement des demandes davis ou dautorisation manant de leurs organismes.
22
Dmarche auprs de la CNIL Demande dautorisation ou demande davis sur un projet dacte rglementaire Engagement de conformit une autorisation ou un acte rglementaire unique 7
Procdure suivre En renseignant un formulaire en ligne sur le site de la CNIL : Vos responsabilits / Dclarer un fichier / Autres formulaires (ou Toutes les procdures compltes) En renseignant un formulaire en ligne sur le site de la CNIL : Vos responsabilits / Dclarer un fichier / Dclaration simplifie
Inscription au registre
Oui
Recommand
Oui
Recommand
- Des traitements soumis lanalyse du correspondant Comme on la vu, le responsable des traitements peut, avec laccord du correspondant, lui confier la mission de veiller au respect des obligations lgales pour lintgralit des traitements mis en uvre au sein de lorganisme (dsignation tendue). Dans cette hypothse, les projets de traitements relevant des rgimes de la demande dautorisation ou davis pralable devront systmatiquement tre ports la connaissance du correspondant. De la mme manire que pour les traitements relevant du rgime de la dclaration, le CIL pourra alerter leur responsable des manquements constats et mettre toute recommandation utile pour assurer la conformit du projet la rglementation. Il lui appartiendra en outre de veiller la prennit de cette conformit, une fois le traitement mis en uvre. Le bilan annuel dactivit tabli par le correspondant rendra compte, dune faon concrte, de lextension de sa comptence aux traitements susviss.
7 Voir la liste des autorisations uniques adoptes par la CNIL ladresse URL suivante : http://www.cnil.fr/en-savoir-plus/deliberations/autorisations-uniques . Voir la liste des actes rglementaires uniques pris aprs avis de la CNIL ladresse URL suivante : http://www.cnil.fr/ en-savoir-plus/deliberations/actes-reglementaires-uniques
23
F I C h e
Au stade de la mise en uvre du traitement, il appartient son responsable de veiller au respect des termes de lacte rglementaire ou de lautorisation accorde par la CNIL, cest--dire aux limites quil sest ou qui lui ont t fixes. Ainsi, sil souhaite que le traitement volue dans un sens non prvu par lacte rglementaire ou lautorisation initiale, il devra imprativement adresser un courrier la CNIL, lui signalant le contenu et les contours de cette volution. La Commission jugera alors de la ncessit ou non de statuer une nouvelle fois sur la conformit du traitement la rglementation Informatique et Liberts.
N 1 0
L e
C I L
e t
L e s
F o r m A L I t s
p r A L A b L e s
1. de quoi sagit-il ?
3. Quel contenu ?
Les textes ne prcisent ni le contenu, ni la nature des informations y faire figurer. Le CIL peut donc y inscrire les lments quil jugera utiles et pertinents. Limportant tant dtre relativement exhaustif. A titre dexemple, il est conseill dy faire figurer les informations suivantes : - la liste des traitements arrte la date du bilan ; - les procdures internes mises en place durant lanne en cours ; - les plaquettes de communication interne ; - un code de bonne conduite ; - une charte informatique ; - un exemple de fiche de contrle ; - etc. Un modle de bilan est mis disposition sur lextranet des CIL.
24
6. La communication du bilan
Le correspondant doit prsenter le bilan quil a constitu au responsable des traitements. Cette prsentation peut seffectuer par lenvoi dun exemplaire du bilan au responsable des traitements, mais il est recommand, lorsque cest possible, dorganiser une prsentation formelle loccasion, par exemple, dune runion. Il sagit dun moment privilgi entre le CIL et le responsable des traitements. Cest loccasion pour le CIL de communiquer sur ses actions et le niveau de conformit de lorganisme. Le bilan nobit pas la mme rgle de communication que le registre puisque larticle 49 du dcret circonscrit sa transmission au responsable des traitements et la CNIL si celle-ci en fait la demande expresse. En dehors de ces deux cas, toute transmission du bilan doit se faire avec laccord pralable du responsable des traitements. Si le CIL a obtenu son accord, il peut tout fait prsenter son bilan en interne lensemble du personnel. Cest dailleurs une trs bonne initiative puisque cela permettra de rendre visible son activit et son rle au sein de lorganisme. Cela peut galement tre un moyen pour mettre en avant ses collaborateurs directs et diffrents relais en interne au sein des directions et services. Quid dune demande des Instances Reprsentatives du Personnel (IRP) ? Dans lhypothse o ce sont les IRP qui lui demandent expressment de leur communiquer son ou ses bilans, le correspondant devra obtenir laccord de son responsable des traitements qui nest pas tenu de donner suite.
25
F I C h e
N 1 1
L e
b I L A N
d e
L A C t I o N
Exemple : si un correspondant a t dsign par cinq organismes, il lui incombera alors de rdiger cinq bilans annuels distincts.
d u
Lorsquun CIL a t dsign par plusieurs entits, il devra rdiger un bilan dactivit par organisme.
C I L
2. Quelles informations peut obtenir une personne exerant son droit daccs ?
Le demandeur peut obtenir une copie des donnes le concernant. Il doit galement tre inform, sous une forme comprhensible : - du fait que des donnes caractre personnel le concernant font ou non lobjet dun traitement ; - des catgories de donnes traites ; - des finalits du ou des traitement(s) de ces donnes ; - de lorigine et des destinataires ou catgories de destinataires des donnes, et le cas chant, des informations relatives leurs transferts destination dun Etat non membre de la Communaut europenne. De plus, le titulaire du droit daccs pourra connatre le raisonnement appliqu ses donnes dans le cadre de processus aboutissant une dcision le concernant (Ex : tablissement de profils, scoring, segmentation, etc.)
26
FIChe
N12
LINstruCtIoN
des
demANdes
de
droIt
dACCs
et
de
reCtIFICAtIoN
Les demandes dexercice du droit daccs peuvent tre formules auprs du CIL soit : - par crit, le demandeur adresse un courrier sign accompagn de la copie dun titre didentit ; - sur place, en justifiant de son identit.
4. Quel est le rle du CIL ? Quelles sont ses obligations en cas de demande daccs et de rectification ?
En pratique, le CIL reoit les demandes et les rclamations des personnes concernant les traitements recenss dans le registre. Dans le cas dune dsignation tendue , ce rle stend aux traitements ayant fait lobjet dune demande dautorisation ou davis auprs de la CNIL (art. 49 du dcret du 20 octobre 2005). Le CIL doit en premier lieu sassurer de lidentit du demandeur par la prsentation dun titre didentit ou de la copie de ce titre dans le cas dune demande faite par crit. Il doit galement rpondre la demande dans un dlai de 2 mois compter de sa rception (art. 92 du dcret). Si la demande est imprcise, il peut tre demand des complments dinformation au demandeur avant lexpiration de ce dlai qui sera alors suspendu et ne recommencera courir qu compter de la rception des complments. Enfin, le CIL devra fournir une rponse complte, rdige en langage clair et lisible. Le droit daccs au dossier mdical : Sa communication doit tre faite dans un dlai allant de 48h 8 jours au plus tard. Ce dlai est port 2 mois si les informations datent de plus de 5 ans. La communication peut se faire directement au demandeur ou par lintermdiaire dun mdecin de son choix (art. L.1111-7 du code de la sant publique). Attention, un mineur peut sopposer ce que son dossier mdical soit transmis au titulaire de lautorit parentale.
27
F I C h e
N 1 2
L I N s t r u C t I o N
d e s
d e m A N d e s
d e
d r o I t
d A C C s
e t
d e
r e C t I F I C At I o N
La dcision de ne pas donner une suite favorable une demande de droit daccs ou de rectification doit tre motive et doit mentionner la voie et le dlai de recours pour la contester (art. 94 du dcret) La demande est manifestement abusive. Une demande est qualifie dabusive en raison de son nombre, son caractre rptitif ou systmatique ; par exemple : une personne ayant exerc son droit daccs auprs dun organisme et obtenu une rponse satisfaisante qui solliciterait tous les mois, ou plus, le mme organisme sur les mmes traitements. ATTENTION En labsence de rponse ou en cas de rponse incomplte de lorganisme le demandeur peut saisir le service des plaintes de la CNIL. A la suite de cette plainte, la CNIL interroge le CIL afin dobtenir une explication sur la rponse apporte au demandeur ou son absence de rponse. Le CIL dispose alors dun dlai dun mois pour rpondre la demande de droit daccs dans les plus brefs dlais. Lorganisme encourt des sanctions pnales (contraventions de cinquime classe) en cas de non respect du droit daccs et de rectification (art. R.625-11 et R.625-12 du code pnal)
28
F I C h e
N 1 2
L I N s t r u C t I o N
d e s
d e m A N d e s
d e
d r o I t
d A C C s
e t
d e
r e C t I F I C At I o N
- lorsque la demande de rectification nest pas lgitime ou fonde (par exemple : demande de changement de sa date de naissance ou de son prnom sans justificatif).
1. de quoi sagit-il ?
29
La CNIL va solliciter les observations des deux parties (CIL et responsable des traitements). Selon les cas, la CNIL peut : - tenter de rsoudre lamiable le conflit entre le responsable des traitements et le CIL rle dintermdiaire entre le CIL et le responsable des traitements ; - demander au responsable des traitements de dcharger son CIL sil savre que celui-ci a manqu ses missions (article 52 du dcret) ; - enjoindre le responsable des traitements de procder aux formalits pralables ncessaires (article 55 du dcret) ; - effectuer un contrle sur pices ou sur place au sein de lorganisme ; - engager une procdure de sanction lencontre de lorganisme.
30
F I C h e
N 1 3
L e x e r C I C e
d u
d r o I t
d A L e r t e
31
32
Le responsable des traitements doit en outre informer le correspondant dans les mmes formes, en lui indiquant quil peut adresser ses observations la Commission. A compter de la date de rception du courrier de saisine, la CNIL dispose dun dlai dun mois, renouvelable une fois sur dcision motive de son prsident, pour entendre les arguments du CIL et rendre son avis. La dcharge du CIL linitiative de la CNIL Lorsquelle constate quun correspondant a manqu aux devoirs de sa mission, la CNIL peut galement tre linitiative de sa dcharge. Avant de procder une demande en ce sens auprs du responsable des traitements, elle doit adresser au CIL une lettre recommande avec accus de rception, linvitant lui fournir ses observations sur les griefs dont elle fait tat. Dans ces deux hypothses, si la procdure dbouche sur la dcharge du correspondant, le responsable des traitements aura le choix de dsigner ou non un nouveau CIL.
33
F I C h e
N 1 5
L A
F I N
d e
m I s s I o N
Lorsque le responsable des traitements constate que son correspondant a manqu aux devoirs de sa mission (ex. : non tenue du registre des traitements alors quil disposait la fois du temps, des moyens et des informations ncessaires pour y procder), il peut dcider de le dcharger de ses fonctions pour faute. Il doit alors saisir la CNIL pour avis, par lettre recommande avec accus de rception, mentionnant les manquements graves quil impute au CIL.
d u
C I L
De mme, il ny a plus lieu de tenir un registre pour lavenir puisqu compter de la date de fin de mission du CIL, lorganisme cesse de bnficier de lexonration des formalits de dclaration pralable auprs de la CNIL. Compte tenu de lintrt administratif que peut prsenter le registre tabli par le CIL, notamment en cas de contentieux, il est recommand au responsable des traitements de procder son archivage dans les conditions prvues par les rgles de prescription lgales applicables (cinq ans en matire civile).
34
F I C h e
N 1 5
L A
F I N
d e
m I s s I o N
Dans cette hypothse, lorganisme doit dclarer auprs de la CNIL, dans le dlai dun mois, lensemble des traitements ports au registre par le CIL et relevant des rgimes de la dclaration normale et simplifie.
d u
La fonction de CIL ntant pas obligatoire, le responsable des traitements est parfaitement libre de dcider de ne pas dsigner un nouveau correspondant.
C I L
Charg de veiller au respect des obligations prvues par la loi Informatique et Liberts, le CIL est amen jouer un rle prpondrant dans le cadre des missions de contrle mises en uvre par des agents habilits de la CNIL.
10 Notamment lorsque les agents de la CNIL souhaitent obtenir en amont des informations sur larchitecture informatique mise en place ou ont besoin que certains personnels soient mis leur disposition.
35
Aprs le contrle, conformment sa mission gnrale de veiller au respect des obligations prvues par la loi Informatique et Liberts, le CIL devra : - sassurer de la transmission la CNIL, dans les dlais impartis, des ventuels complments dinformation demands par celle-ci ; - veiller la bonne prise en compte des observations adresses par la Commission. Enfin, il pourra rendre compte, dans son bilan annuel, des consquences du contrle, des suites qui y ont t donnes par la Commission et, le cas chant, des mesures correctives adoptes.
36
F I C h e
N 1 6
L e
C I L
e t
L e s
C o N t r L e s
Le CIL a vocation accompagner le responsable de traitement dans toutes les phases de mise en conformit des fichiers la loi Informatique et Liberts. Dans ce contexte, il est naturel quil intervienne dans le cadre dune procdure de sanction et quil soit associ aux actions entreprises pour remdier aux manquements constats par la CNIL.
37
2. Lincompatibilit entre les fonctions de CIL et de membre dune instance reprsentative du personnel
Le CIL ne peut pas tre galement membre dune instance reprsentative du personnel. En effet, le dcret prvoit expressment que les fonctions ou activits exerces concurremment par le correspondant ne doivent pas tre susceptibles de provoquer un conflit dintrts avec lexercice de sa mission de CIL (article 46). Or, il apparait que le cumul de la fonction de CIL et de membre dune IRP pourrait tre de nature provoquer un conflit dintrt sagissant principalement de lexercice de ses missions concernant les fichiers lis au personnel. Il y a, dans ce cas, un conflit dintrt et le risque dune perte dindpendance : - le CIL serait contraint de choisir entre son mandat social et sa fonction de CIL ; - il pourrait tre amen concilier deux positions potentiellement diffrentes, voire diamtralement opposes. La seule possibilit dchapper ce conflit dintrt est de dsigner le correspondant avec une porte partielle (cf. fiche 4 le statut du CIL) en excluant les traitements de ressources humaines de son champ dintervention.
3. Le CIL peut-il galement exercer ses missions pour les traitements mis en uvre par les instances reprsentatives du personnel ?
La dsignation dun CIL au sein dun organisme de droit priv ne couvre pas par dfaut les traitements mis en uvre par le comit dentreprise, y compris, en cas de dsignation tendue. Nanmoins, le prsident du Comit dentreprise qui se trouve tre galement le reprsentant lgal de lorganisme auquel il appartient peut dcider de dsigner le CIL de lorganisme, ou une autre personne, pour exercer cette fonction pour les traitements du CE. Dans ce cas, il lui appartiendra de notifier cette dsignation la CNIL. Dans la fonction publique, cest le Comit Technique Paritaire (CCTP) - instance de reprsentation et de dialogue qui a pour objectif de donner un avis sur les questions collectives, comme le fait le Comit dentreprise institus au sein des organismes privs. Ce Comit tant dpourvu de la personnalit juridique, il ne peut donc dsigner de CIL distinct du CIL ayant t dsign par lorganisme public auquel il appartient.
38
5. Les Irp peuvent-elles solliciter la CnIL si elles pensent avoir dcel un manquement dans lexercice des missions du CIL ?
Au terme du dcret, seul le responsable des traitements peut alerter la CNIL sur un ventuel manquement du CIL (article 52 du dcret cf. fiche n13 droit dalerte). Les IRP peuvent toutefois informer la CNIL si elles constatent un dysfonctionnement dans lapplication de la loi Informatique et Liberts. Rien ne les empche, par exemple, dadresser un courrier au service des plaintes de la Commission.
Les IRP peuvent consulter et demander une copie du registre du CIL. Cela est permis par le dcret dapplication de la loi Informatique et Liberts qui prcise que toute personne peut accder au registre tenu par le CIL (article 48). En revanche, ils ne peuvent pas consulter le bilan dactivit du CIL qui ne peut tre communiqu quau responsable des traitements et la CNIL (article 49 du dcret). Seul le responsable des traitements peut autoriser la transmission du rapport annuel du correspondant aux IRP qui en auront fait la demande.
39
F I C h e
N 1 8
L e
C I L
e t
L e s
6. Les Irp peuvent elles accder aux documents rdigs par le CIL : le registre et le bilan ?
I N s tA N C e s
r e p r s e N tAt I v e s
Les IRP sont des acteurs part entire dans lorganisme. Il est donc important de prendre en compte leur existence et rpondre ventuellement leurs questions lorsquelles sont en rapport avec les missions du CIL et lapplication de la loi Informatique et Liberts.
d u
4. Quels peuvent tre les rapports entre le CIL et les Instances reprsentatives du personnel (Irp) au sein de lorganisme ?
p e r s o N N e L
Un CIL dsign au sein dun organisme public est galement dsign doffice CIL pour le CCTP de cet organisme. En consquence, il devra inscrire au sein de son registre les traitements mis en uvre par le CCTP.
40
41
F I C h e
Vous animez un rseau de CIL dans votre secteur dactivit. Vous souhaitez que la CNIL relaie vos actions et mette en ligne une fiche de prsentation sur lextranet des CIL. Rapprochez vous du Service des Correspondants Informatique et Liberts.
N 1 9
L e s
Ces rseaux disposent dune fiche dtaille dans lextranet des CIL dans la rubrique les rseaux .
r s e A u x
LAssociation pour la Promotion des Avocats Correspondants Informatique et Liberts (APACIL) a t cre en 2009 et a pour objet de promouvoir laccs des avocats la fonction de CIL. Cette association met en place lassistance, linformation et laide ncessaires ses membres pour la formation et lexercice des missions de CIL dans le respect des rgles dontologiques des avocats. Ce rseau doit enfin permettre llaboration dune procdure daudit par le CIL avocat.
d e
C I L
42
La loi informatique et liberts prvoit un rgime juridique spcifique pour les traitements mis en uvre au titre de lactivit de journaliste. En effet, des drogations sont apportes aux grands principes de la protection des donnes personnelles et aux obligations relatives aux formalits pralables. De mme, les conditions de dsignation dun CIL par un organisme de presse ainsi que ltendue de ses missions font lobjet damnagements particuliers.
2. Les drogations apportes aux rgles relatives la dsignation et aux missions du CIL
Les organismes de presse crite ou audiovisuelle sont dispenss deffectuer les formalits pralables auprs de la CNIL concernant les traitements aux fins de journalisme ds lors quils ont dsign un correspondant. Le CIL est uniquement dsign en interne. Sa dsignation na pas tre porte la connaissance des instances reprsentatives du personnel. Dans la mesure o le principe du respect des droits daccs et de rectification ne sapplique pas, le correspondant na pas prciser, dans ses fiches de registre relatives aux diffrents traitements mis en uvre au sein de lorganisme, la fonction et les coordonnes de la personne ou du service auprs duquel sexercent ces droits. En outre, le CIL ne met pas disposition son registre et nen dlivre aucune copie. Seule la CNIL peut demander en avoir communication. Enfin, le CIL ne saisit pas la Commission des manquements quil constate dans lexercice de ses missions. Attention Les drogations apportes aux principes Informatique et Liberts ne font pas obstacle lapplication des rgles gnrales et spcifiques applicables la communication crite ou audiovisuelle et relatives aux atteintes la vie prive et la rputation des personnes : droit de rponse des personnes en cause, responsabilit civile et pnale pour diffamation, ... 43
44
Nature des garanties prises Transfert vers un pays prsentant une protection adquate ou quivalente Transfert vers une socit amricaine adhrente au Safe Harbor Transfert vers un pays non adquat mais encadr par les clauses contractuelles types Recours aux exceptions prvues par larticle 69 de la loi (apprciation restrictive par la CNIL) Adoption de BCR (rgles internes au sein dun mme groupe)
4 4
45
F I C h e
N 2 2
L e
Un guide ddi aux questions lies aux transferts de donnes vers un pays tiers lUnion europenne est disponible sur le site de la CNIL ainsi quune carte interactive permettant de dterminer le niveau de protection des pays concerns.
C I L
e t
L e s
t r A N s F e r t s
d e
d o N N e s
h o r s
u e
46
Tableau comparatif des diffrents pays o la dsignation dun correspondant la protection des donnes est possible et/ou obligatoire Date dentre Dsignation Dsignation Salari protg en vigueur du Pays obligatoire facultative dispositif 197011 4 4 Allemagne 197712 Chypre Espagne
13
Estonie Grce Hongrie Lettonie Liechtenstein Lituanie Luxembourg Malte Norvge15 Pays-Bas Pologne
16 14
4 4 4 4 4 4 4 4 4 4 4 4 4 4 4 4
2008 2011 1993 2007 2009 2009 2002 2001 2001 2000 1998 2002 1998 2003 2001
Union Europenne18
11 Cration 12 Gnralisation 13 Seul un responsable de la scurit de linformation a t mis en place. 14 Le Lichtenstein, la Norvge et la Suisse ne font pas partie de lUnion europenne, ces pays disposent nanmoins dune lgislation sur la protection des donnes qui prvoit la dsignation dun dlgu/conseiller/responsable la protection des donnes. 15 (Cf note n11) 16 Seul un administrateur de la scurit de linformation a t mis en place. 17 (Cf note n11) 18 LUnion Europenne dispose elle aussi dune lgislation sur la protection des donnes qui prvoit la dsignation dun dlgu la protection des donnes au sein de ses institutions et organes
47
F I C h e
N 2 3
L e s
1999
C I L
2009
L t r A N g e r
1. Le cumul des fonctions de CIL et de reprsentant sur le territoire franais pour une mme socit
Le dcret dapplication de la loi Informatique et Liberts pose un principe dincompatibilit entre la fonction de CIL et celle de responsable de traitement. Il en rsulte que la personne choisie pour reprsenter lorganisme en France, agissant au nom et pour le compte du responsable de traitement, ne peut paralllement exercer les missions de correspondant.
2. Le cumul des fonctions de CIL et de reprsentant sur le territoire franais pour des socits diffrentes
Le CIL dun organisme, peut tre choisi comme reprsentant tabli sur le territoire franais par un autre organisme que celui qui la dsign en tant que correspondant. Ainsi, par exemple, dans le cadre dun groupe de socit, le CIL de la socit A situe en France pourra tre le reprsentant tabli sur le territoire franais de la socit B situe au Japon et appartenant au mme groupe :
Groupe Z Socit A France Socit B Japon
Monsieur X CIL de la socit A Reprsentant de la Socit B pour les traitements qu elle ralise en France
48
F I C h e
N 2 4
L e
C I L
e t
L A
r e p r s e N tAt I o N
s u r
L e
Le responsable de traitement qui, sans tre tabli sur le territoire franais ou sur celui dun autre tat membre de la Communaut europenne, recourt des moyens de traitement situs sur le territoire franais doit : - respecter, pour les traitements effectus en France, la loi Informatique et Liberts ; - dsigner un reprsentant tabli sur le territoire franais, qui se substitue lui dans laccomplissement des obligations prvues par la loi. Se pose alors la question de larticulation entre la fonction de CIL et celle de reprsentant tabli sur le territoire franais. Deux hypothses doivent tre envisages.
t e r r I t o I r e
N At I o N A L
Annexes
A N N e x e s
n textes de rfrences
n Modle de lettre dinformation des reprsentants du personnel sur la dsignation dun correspondant
49
Textes de rfrence
r F r e N C e t e x t e s d e
50
Article 43
La notification prvue larticle 42 du prsent dcret mentionne : 1 Les nom, prnom, profession et coordonnes professionnelles du responsable des traitements, le cas chant, ceux de son reprsentant, ainsi que ceux du correspondant la protection des donnes caractre personnel. Pour les personnes morales, la notification mentionne leur forme, leur dnomination, leur sige social ainsi que lorgane qui les reprsente lgalement ; 2 Lorsque le correspondant la protection des donnes caractre personnel est une personne morale, les mmes renseignements concernant le prpos que la personne morale a dsign pour exercer les missions de correspondant ; 3 Si la dsignation est faite seulement pour certains traitements ou catgories de traitements, lnumration de ceux-ci ; 4 La nature des liens juridiques entre le correspondant et la personne, lautorit publique, le service ou lorganisme auprs duquel il est appel exercer ses fonctions ; 5 Tout lment relatif aux qualifications ou rfrences professionnelles du correspondant et, le cas chant, de son prpos en rapport avec cette fonction ; 6 Les mesures prises par le responsable des traitements en vue de laccomplissement par le correspondant de ses missions en matire de protection des donnes. Laccord crit de la personne dsigne en qualit de correspondant est annex la notification. La dsignation dun correspondant la protection des donnes caractre personnel prend effet un mois aprs la date de rception de la notification par la Commission nationale de linformatique et des liberts. Toute modification substantielle affectant les informations mentionnes aux 1 6 est porte la connaissance de la Commission nationale de linformatique et des liberts, dans les formes dfinies larticle 42.
51
t e x t e s
La dsignation dun correspondant la protection des donnes caractre personnel par le responsable de traitements relevant des formalits prvues aux articles 22 24 de la loi du 6 janvier 1978 susvise est notifie la Commission nationale de linformatique et des liberts par lettre remise contre signature ou par remise au secrtariat de la commission contre reu, ou par voie lectronique avec accus de rception qui peut tre adress par la mme voie.
d e
r F r e N C e
a) Lorsque le responsable des traitements est une socit qui contrle ou qui est contrle au sens de larticle L. 233-3 du code de commerce, le correspondant peut tre dsign parmi les personnes au service de la socit qui contrle, ou de lune des socits contrles par cette dernire ; b) Lorsque le responsable des traitements est membre dun groupement dintrt conomique au sens du titre V du livre deuxime du code de commerce, le correspondant peut tre dsign parmi les personnes au service dudit groupement ; c) Lorsque le responsable des traitements fait partie dun organisme professionnel ou dun organisme regroupant des responsables de traitements dun mme secteur dactivits, il peut dsigner un correspondant mandat cette fin par cet organisme.
Article 45
La dsignation dun correspondant la protection des donnes caractre personnel est, pralablement sa notification la Commission nationale de linformatique et des liberts, porte la connaissance de linstance reprsentative du personnel comptente par le responsable des traitements, par lettre remise contre signature.
Article 46
Le correspondant la protection des donnes caractre personnel exerce sa mission directement auprs du responsable des traitements. Le correspondant ne reoit aucune instruction pour lexercice de sa mission. Le responsable des traitements ou son reprsentant lgal ne peut tre dsign comme correspondant. Les fonctions ou activits exerces concurremment par le correspondant ne doivent pas tre susceptibles de provoquer un conflit dintrts avec lexercice de sa mission.
Article 47
Le responsable des traitements fournit au correspondant tous les lments lui permettant dtablir et dactualiser rgulirement une liste des traitements automatiss mis en uvre au sein de ltablissement, du service ou de lorganisme au sein duquel il a t dsign et qui, dfaut de dsignation dun correspondant, relveraient des formalits de dclaration prvues par les articles 22 24 de la loi du 6 janvier 1978 susvise.
52
t e x t e s
d e
Lorsque plus de cinquante personnes sont charges de la mise en uvre ou ont directement accs aux traitements ou catgories de traitements automatiss pour lesquels le responsable entend dsigner un correspondant la protection des donnes caractre personnel, seul peut tre dsign un correspondant exclusivement attach au service de la personne, de lautorit publique ou de lorganisme, ou appartenant au service, qui met en uvre ces traitements.
r F r e N C e
Article 44
Dans les trois mois de sa dsignation, le correspondant la protection des donnes caractre personnel dresse la liste mentionne larticle 47. La liste prcise, pour chacun des traitements automatiss : 1 Les nom et adresse du responsable du traitement et, le cas chant, de son reprsentant ; 2 La ou les finalits de traitement ; 3 Le ou les services chargs de le mettre en oeuvre ; 4 La fonction de la personne ou le service auprs duquel sexerce le droit daccs et de rectification ainsi que leurs coordonnes ; 5 Une description des catgories de donnes traites, ainsi que les catgories de personnes concernes par le traitement ; 6 Les destinataires ou catgories de destinataires habilits recevoir communication des donnes ; 7 La dure de conservation des donnes traites. La liste est actualise en cas de modification substantielle des traitements en cause. Elle comporte la date et lobjet de ces mises jour au cours des trois dernires annes. Le correspondant tient la liste la disposition de toute personne qui en fait la demande. Une copie de la liste est dlivre lintress sa demande. Le responsable des traitements peut subordonner la dlivrance de cette copie au paiement dune somme qui ne peut excder le cot de la reproduction. Lorsque la liste ne recense pas la totalit des traitements mis en oeuvre par le responsable, elle mentionne que dautres traitements relevant du mme responsable figurent sur la liste nationale mise la disposition du public en application de larticle 31 de la loi du 6 janvier 1978 susvise.
Article 49
Le correspondant veille au respect des obligations prvues par la loi du 6 janvier 1978 susvise pour les traitements au titre desquels il a t dsign. A cette fin, il peut faire toute recommandation au responsable des traitements. Il est consult, pralablement leur mise en uvre, sur lensemble des nouveaux traitements appels figurer sur la liste prvue par larticle 47. Il reoit les demandes et les rclamations des personnes intresses relatives aux traitements figurant sur la liste prvue par larticle 47. Lorsquelles ne relvent pas de sa responsabilit, il les transmet au responsable des traitements et en avise les intresss. Il informe le responsable des traitements des manquements constats avant toute saisine de la Commission nationale de linformatique et des liberts. Il tablit un bilan annuel de ses activits quil prsente au responsable des traitements et quil tient la disposition de la commission. 53
t e x t e s
d e
r F r e N C e
Article 48
Le responsable des traitements peut, avec laccord du correspondant la protection des donnes caractre personnel, lui confier les missions mentionnes larticle 49 pour la totalit des traitements qui dpendent du responsable. Dans ce cas, la notification prvue larticle 43 en fait mention.
Article 51
La Commission nationale de linformatique et des liberts peut tre saisie tout moment par le correspondant la protection des donnes caractre personnel ou le responsable des traitements de toute difficult rencontre loccasion de lexercice des missions du correspondant. Lauteur de la saisine doit justifier quil en a pralablement inform, selon le cas, le correspondant ou le responsable des traitements. La Commission nationale de linformatique et des liberts peut tout moment solliciter les observations du correspondant la protection des donnes ou celles du responsable des traitements.
Article 52
Lorsque la Commission nationale de linformatique et des liberts constate, aprs avoir recueilli ses observations, que le correspondant manque aux devoirs de sa mission, elle demande au responsable des traitements de le dcharger de ses fonctions en application du III de larticle 22 de la loi du 6 janvier 1978 susvise.
Article 53
Hors le cas prvu larticle 52, lorsquil envisage de mettre fin aux fonctions du correspondant pour un motif tenant un manquement aux devoirs de sa mission, le responsable des traitements saisit la Commission nationale de linformatique et des liberts pour avis par lettre remise contre signature, comportant toutes prcisions relatives aux faits dont il est fait grief. Le responsable des traitements notifie cette saisine au correspondant dans les mmes formes en linformant quil peut adresser ses observations la Commission nationale de linformatique et des liberts. La Commission nationale de linformatique et des liberts fait connatre son avis au responsable des traitements dans un dlai dun mois compter de la rception de sa saisine. Ce dlai peut tre renouvel une fois sur dcision motive de son prsident. Aucune dcision mettant fin aux fonctions du correspondant ne peut intervenir avant lexpiration du dlai prvu lalina prcdent.
Article 54
Lorsque le correspondant est dmissionnaire ou dcharg de ses fonctions, le responsable des traitements en informe la Commission nationale de linformatique et des liberts dans les formes prvues larticle 42. La notification de cette dcision mentionne en outre le motif de la dmission ou de la dcharge. Il y est annex, en lieu et place de laccord prvu au huitime alina
54
t e x t e s
d e
r F r e N C e
Article 50
Cette dcision prend effet huit jours aprs sa date de rception par la Commission nationale de linformatique et des liberts. Hormis le cas du remplacement du correspondant, le responsable des traitements est alors tenu de procder, dans le dlai dun mois, aux formalits prvues aux articles 23 et 24 de la loi du 6 janvier 1978 susvise pour lensemble des traitements qui sen taient trouvs dispenss du fait de la dsignation laquelle il est mis fin.
Lorsque le responsable des traitements ne respecte pas ses obligations lgales relatives au correspondant, la Commission nationale de linformatique et des liberts lenjoint par lettre remise contre signature de procder aux formalits prvues aux articles 23 et 24 de la loi du 6 janvier 1978 susvise. Cette lettre mentionne les traitements concerns par linjonction ainsi que le dlai dans lequel le responsable des traitements doit sy conformer.
55
t e x t e s
Article 55
d e
r F r e N C e
Date
56
Date Madame, Monsieur, Il a t procd votre dsignation en tant que Correspondant informatique et liberts de [Nom du ou des organismes concerns]. Cette dsignation, effectue en application de larticle 22 de la loi n 78-17 du 06 janvier 1978 modifie par la loi du 06 aot 2004 relative linformatique, aux fichiers et aux liberts, est effective depuis le [date laquelle la dsignation est effective]19. En application de larticle 46 du dcret n2005-1309 du 20 octobre 2005, vous tes directement rattach [la Direction ou nom du DG, PDG, Maire ] et ne recevez aucune instruction pour lexercice de vos missions de CIL. Les instances reprsentatives ont t pralablement informes de la cration de cette fonction par un courrier avec accus de rception adress le [date]. Conformment ce qui a t indiqu la CNIL, votre dsignation est tendue, ce qui signifie que vous exercez vos missions pour tous les traitements mis en uvre par [Nom du ou des organismes responsables des traitements], quel que soit le rgime des formalits applicable. Il vous appartiendra ainsi de veiller de manire indpendante au respect de la loi informatique et liberts au sein [Nom du ou des organismes responsables des traitements]. Au titre de vos fonctions, vous devrez : A tablir, actualiser et communiquer aux personnes en faisant la demande, la liste des traitements (ou registre) faisant lobjet dune dispense de dclaration du fait de votre dsignation ; A procder aux formalits pralables concernant les traitements soumis autorisation ou avis pralable de la CNIL ; A accompagner la mise en uvre des traitements de donnes caractre personnel et cette occasion formuler les conseils et les recommandations ncessaires au respect de la loi informatique et liberts ; A recevoir les demandes et les rclamations adresses par les personnes concernes par les traitements, et selon leur nature de les instruire ou de les transmettre aux services comptents ; A informer et sensibiliser le personnel aux enjeux de la protection des donnes ; A alerter le responsable des traitements sur lexistence de manquements la loi informatique et liberts ;
57
m o d L e d e L e t t r e d e m I s s I o N r e m I s e pA r L e r e s p o N s A b L e d e s t r A I t e m e N t s A u C I L L o r s d e s A p r I s e d e F o N C t I o N s
Modle de lettre de mission remise par le responsable des traitements au CIL lors de sa prise de fonctions
Pour vous permettre de mener bien ces diffrentes missions, la Direction sengage : A prendre les mesures organisationnelles suivantes : dsignation de relais dans les services mettant en uvre des traitements ou ayant accs aux donnes ; [ complter en fonction de la situation exemples : cration dun service ddi, mise en place dun circuit dinformation ] ; A vous proposer des formations relatives la protection des donnes ; A vous permettre de mener des actions de communication interne auprs du personnel, par le biais de communiqus [autres exemples : de lintranet, de brochures, de stages ] ; A vous permettre de mener des actions de communications externe par le biais de communiqus [autres exemples : du site internet, de brochures, de participation des colloques ] ; A mettre votre disposition les moyens humains et matriels suivants : affectation de personnels ; [ complter en fonction de la situation exemples : dotation dun budget spcifique, allgement de la charge de travail lie aux autres fonctions du CIL] ; A Je relve galement quen application des articles 47 et 49 du dcret du 20 octobre 2005 prcit : tous les lments vous permettant dtablir et dactualiser la liste des traitements (le registre) doivent tre mis votre disposition ; vous devez tre consult pralablement la mise en uvre de tout nouveau traitement. Une copie de cette lettre de mission sera adresse lensemble du personnel. Je vous prie, Madame, Monsieur, dagrer lexpression de mes salutations distingues. Signature [PDG, DG, Maire ]
58
m o d L e d e L e t t r e d e m I s s I o N r e m I s e pA r L e r e s p o N s A b L e d e s t r A I t e m e N t s A u C I L L o r s d e s A p r I s e d e F o N C t I o N s
A rdiger et remettre au responsable des traitements un bilan annuel des actions menes pour au titre de vos fonctions de CIL.
traitement n1
dtail des finalits du traitement service charg de la mise en uvre Fonction de la personne ou du service auprs duquel sexerce le droit daccs
20 Pour information, le dtail des informations relatives aux CIL, tel que leurs coordonnes (numros de tlphone, ladresse e-mail), sont traites dans une autre application ayant notamment pour objet la gestion des usagers en contact avec la CNIL.
59
Les agents habilits de la CNIL pour les stricts besoins de Toutes laccomplissement de leurs missions La CNIL conserve les donnes caractre personnel pendant un an compter de la dcharge du CIL ou de la dmission de ses fonctions.
dure de conservation
60
61
62
63
64
65
66
67
68
69
70
71
72
73
Une permanence de renseignements juridiques par tlphone est assure tous les jours de 10h 12h et de 14h 16h au 01 53 73 22 22
www.cnil.fr
- CS 30223 cedex 02 73 22 22 73 22 00