Protéger les données personnelles, accompagner l'innovation, préserver les libertés individuelles

Contenu

Le CIL à l’heure du projet de règlement européen

05 avril 2012

Le projet de règlement européen diffusé par la Commission européenne le 25 janvier 2012 fait du correspondant informatique et libertés un acteur central de la conformité des organismes. La CNIL dresse un premier portrait synthétique de ce que pourraient être le statut et les missions des futurs délégués à la protection des données (DPD). Même si tout peut encore changer, de grandes tendances apparaissent.

Le tableau ci-dessous reprend de manière synthétique les éléments du projet de règlement européen concernant le statut et les missions des délégués à la protection des données. Ces orientations doivent encore être validées par le Parlement européen et le Conseil de l’Union européenne. De nombreuses modifications sont donc susceptibles d’être apportées au projet initial.

Eléments de la fonction du CIL

Détails des modalités d’organisation de la fonction

Désignation

La désignation est obligatoire pour les :

  • autorités ou organismes publics;
  • entreprises ayant 250 employés ou plus ;
  • organismes dont les activités de base « consistent en des traitements qui, du fait de leur nature, de leur portée et/ou de leurs finalités, exigent un suivi régulier et systématique des personnes concernées ».

Désignation pour au moins 2 ans. Le mandat du délégué à la protection des données est reconductible.

La fonction de DPD peut être mutualisée au sein d’un groupe de sociétés ou d’organismes publics

Le DPD peut être un salarié ou un prestataire externe.

Notification à l’autorité obligatoire et publicité de la désignation et de l’identité du DPD

Statut

Rattachement direct au responsable de traitement

Ne reçoit aucune instruction dans l’exercice de ses missions

Incompatibilité avec d’autres fonctions : le responsable de traitement ou sous-traitant doit s’assurer qu’il n’y a pas de conflit d’intérêts avec les autres fonctions

Missions et pouvoirs

Est le point de contact de l’autorité et la consulte, si nécessaire, sur les questions liées aux traitements

Contrôle la documentation, la notification et la communication relatives aux violations de données à caractère personnel

Veille au respect des règles définies dans le cadre des règles internes (Binding Corporate Rules – BCR)

Vérifie qu'il a été répondu aux demandes de l’autorité de contrôle et coopère avec elle

Vérifie que le responsable de traitement ou le sous-traitant a réalisé l’analyse d’impact et que les demandes d'autorisation ou de consultation ont été effectuées

Veille au respect des exigences relatives à : la prise en compte de la protection des données dès la conception ou par défaut - la sécurité des données - l’information des personnes et l’exercice de leurs droits

Contrôle la mise en place des règles internes définies par le responsable de traitement ou le sous-traitant concernant la protection des données, incluant : la répartition des responsabilités, la formation des personnels et les audits relatifs au respect de ces règles.

Informe et conseille le responsable de traitement ou le sous-traitant sur les obligations qui lui incombent et conserve une trace documentaire de cette activité et des réponses

Tient un registre/documentation relatif aux traitements de données à caractère personnel mis en œuvre

Compétences et qualification

Le responsable de traitement ou le prestataire désigne le délégué à la protection des données (DPD) en fonction de qualités professionnelles et en particulier, de ses connaissances en matière de protection des données et de ses capacités à accomplir les missions dévolues au DPD => le niveau de compétence doit s’accorder avec la nature (importance, sensibilité…) des traitements

Moyens

Le responsable de traitement ou le sous-traitant aide le DPD à exercer ses missions et fournissent le personnel, les locaux, les équipements et toutes autres ressources nécessaires à l'exécution des missions et obligations

Le responsable de traitement ou le sous-traitant veille à ce que le délégué à la protection des données soit associé d'une manière appropriée et en temps utile à toutes les questions relatives à la protection des données à caractère personnel

Fin de mission

Par décision du responsable de traitement uniquement si le CIL ne remplit plus les conditions nécessaires à l’exercice de ses missions

Sanctions

En l’absence de désignation ou si le responsable de traitement ou le sous-traitant n’assure pas les conditions permettant de remplir les dispositions relatives au DPD, intentionnellement ou par négligence => possible sanction par l’autorité de protection des données (CNIL).
L’amende pouvant aller jusqu’à 1 000 000 d’euros ou 2% du chiffre d’affaires.

Chargement en cours...