CIL

Le projet de loi modifiant la loi de 1978 (article 22)  prévoit, à la suite de l’adoption par le Sénat d’un amendement présenté par M. Alex Türk, rapporteur de la commission des lois, la possibilité pour les entreprises ou collectivités publiques, la possibilité de la désignation d’un « correspondant à la protection des données à caractère personnel » (CPD).

Dans ce contexte, il est intéressant de considérer quelques systèmes existants sur ce sujet dans les autres pays de l’Union Européenne, afin d’en connaître les caractéristiques.

1. Désignation obligatoire ou facultative du CPD

• En Allemagne

L’Allemagne a une grande expérience de ce système, qui préexistait largement à l’adoption de la directive 95/46, laquelle s’est d’ailleurs inspiré de l’expérience allemande sur ce point. La désignation d’un « délégué à la protection des données » y est obligatoire dans différents cas, limitativement énumérés par la loi :

• Dans le secteur privé :

- si le responsable de traitement emploie au moins 5 personnes pour traiter des données personnelles de manière automatisée (ou au moins 20 personnes pour des traitements non-automatisés)

- si le responsable de traitement met en œuvre des traitements soumis à autorisation préalable

- si le responsable de traitement est une société d’un type particulier, visant en particulier les sociétés de marketing direct ou de « credit referencing » (c'est à dire des sociétés fournissant des informations personnelles pour la finalité d’octroi de crédit, entre autres).

• Dans le secteur public fédéral :

- si le responsable de traitement met en œuvre des traitements automatisés, quelque soit le nombre de personnes employées ;

- si le responsable de traitement emploie au moins 20 personnes pour des traitements non-automatisés de données ;

Il est alors possible aux autorités fédérales de nommer un seul délégué pour plusieurs départements ou organismes publics.

• Dans le secteur public au niveau des Länder,

ce sont les lois locales qui régissent la question :

- la majorité des lois de protection des données personnelles des Länder impose la désignation d’un CIL dans chaque autorité locale, quelque soit le nombre de personnes employées ;

- il est loisible aux petites collectivités locales de se regrouper pour désigner un CIL commun.

• En Suède et aux Pays-Bas

La nomination d’un tel délégué est optionnelle. La loi dispose alors expressément que cette nomination ne préjuge en rien des compétences et des pouvoirs détenus par l’autorité de protection des données.

Aux Pays-Bas, par ailleurs, il est possible qu’une organisation professionnelle regroupant plusieurs organisations (ex : syndicat professionnel) désigne un CPD qui soit compétent pour l’ensemble de cette branche. Le succès de ce système aux Pays-Bas a par ailleurs poussé les CPD à créer leur propre syndicat professionnel, qui a établi ses propres standards que les CPD sont tenus d’appliquer dans leurs organisations, et qui est devenu un interlocuteur quotidien de l’autorité de protection des données.

Il ressort de la comparaison des différentes situations existantes que le choix d’un système de désignation optionnelle est préférable à un système obligatoire : hormis l’attrait indéniable que présente cette désignation, qui permet de ne plus avoir à notifier les traitements à l’autorité de protection, les organisations qui choisissent de désigner un CPD le font en règle générale dans un esprit d’ouverture et de sensibilisation aux questions de protection des données personnelles ; cet état d’esprit offre a priori de meilleures garanties de qualité de travail aux CPD que si leur désignation ne résultait que de la volonté de remplir une obligation légale sans conviction quant à sa justification.

2. Statut du CPD

Dans tous les cas, le CPD doit être une personne possédant les qualifications nécessaires à l’exercice de ses fonctions, qu’il doit pouvoir exercer en toute indépendance. Le délégué ne reçoit, dans le cadre de l’exercice de ses fonctions, aucune instruction de la part du responsable de traitement ou de l’organisation qui l’a désigné. Le responsable de traitement doit également accorder au CPD les moyens matériels nécessaires à l’exercice de ses fonctions (en terme de personnel, de ressources, d’équipement, etc.).

La loi allemande prévoit par ailleurs que le CPD doit être rattaché directement au directeur de la société ou de l’organisation ; il ne peut être ni le chef de l’organisation, ni son administrateur système, ni son directeur des ressources humaines. L’objectif est d’éviter les « conflits d’intérêt » sur les projets mis en œuvre par le responsable de traitement.

Dans le secteur privé il est autorisé que le CPD soit une personne extérieure à l’entreprise ; cela n’est admis pour les organisations du secteur public que dans la mesure où la personne travaille dans un autre organisme remplissant une mission de service public.

Le CPD ne peut être révoqué que pour des raisons importantes ; dans le secteur privé cette révocation peut avoir lieu à la demande de l’autorité de protection des données compétente.

La loi néerlandaise consacre également un système de salarié protégé. Elle dispose d’ailleurs que les délégués disposent, pour accomplir leur mission, de compétences équivalentes à celles prévues par les dispositions de loi générale de réglementation de l’administration traitant des pouvoirs des autorités de contrôle administratives et des conditions dans lesquelles ces autorités peuvent exercer ces pouvoirs (ex. : obligation de coopération des personnes approchées par l’autorité ; pouvoir d’enquête ; droit de perquisition, etc.).

Le délégué est soumis au secret professionnel et a l’obligation de considérer comme confidentielle toute information portée à sa connaissance à l’occasion d’une plainte ou de la demande d’une personne concernée, à moins que la personne ne consente au fait de rendre ces informations publiques.

• Existence d’un registre central des CPD 

Contrairement au choix du législateur allemand, qui n’a pas imposé aux responsables de traitement l’obligation de notifier le nom du CPD qu’ils ont désignés aux autorités de protection des données personnelles (et où par conséquent il est, de l’aveu des autorités allemandes, difficile de savoir si les responsables de traitement ont bien respecté leur obligation de désignation ou pas), le législateur néerlandais a imposé cette obligation d’information des autorités après désignation d’un CPD. Le CPD ne peut d’ailleurs prendre ses fonctions qu’une fois que le responsable de traitement l’a enregistré auprès de l’autorité de protection des données, qui tient à jour une liste des délégués à la protection des données, publiée sur son site Web.
 

3. Obligations et fonctions du CPD

Dans les trois systèmes étudiés, les CPD ont des obligations et des fonctions similaires :

• diffusion en interne des informations relatives à la loi de protection des données et actions de pédagogie ;
•  supervision interne des traitements mis en œuvre ;
•  tenue d’un registre des traitements mis en œuvre dans l’organisation ; le niveau de détail de ce registre peut être défini par la loi elle-même ;
• détection des problèmes potentiels au sein de l’organisation ;
• traitement des plaintes internes à l’organisation ;
• devoir de prendre contact avec l’autorité de protection des données en cas de problème identifié ou de doute sur un dossier ;
• rédaction d’un rapport annuel (aux Pays-Bas, ce rapport n’est pas systématiquement communiqué à l’autorité de protection des données mais doit être tenu à sa disposition ; des contrôles inopinés auraient été réalisés sur ce point) ; 
• éventuellement rédaction de règlements, de standards et de codes de conduite internes à l’entreprise, relatifs aux traitements de données personnelles.

4. Relations avec les autorités de protection des données

Les CPD exercent par nature une profession proche de celle des autorités de protection des données, avec lesquelles ils entretiennent une relation privilégiée : les autorités allemande, suédoise et néerlandaise considèrent ainsi que les CPD constituent, pour eux, un relais extrêmement efficace de leur action. Un CPD véritablement indépendant et actif est, d’un avis commun, un atout considérable pour les autorités dont les moyens limités (en termes de personnel et de moyens financiers) ne permettraient pas un contrôle aussi étendu.
A l’usage, il apparaît que les liens entre CPD et autorités sont plus ou moins resserrés selon les pays et l’organisation générale du système ; or de la qualité de ces liens dépend manifestement la qualité du travail des CPD (et donc leur utilité et leur efficacité).
Ainsi, en Allemagne, l’animation d’un tel réseau paraît très difficile aux autorités, et ce pour différentes raisons. D’une part, aucune liste exhaustive n’existe qui donne les noms de tous les CPD désignés : toute prise de contact devient de ce fait très difficile. D’autre part la conséquence du caractère obligatoire de la désignation d’un CPD est que cette contrainte est ressentie comme une contrainte bureaucratique par les organisations : elle en est mal comprise et par conséquent, souvent mal mise en œuvre ; les CPD ne sont parfois même pas désignés. Enfin, la structure excessivement complexe des autorités de protection des données en Allemagne (distinction secteurs public/privé ; fédéral/Länder) constitue une autre barrière à la constitution d’un réseau resserré.
 
En Suède et aux Pays-Bas, le système rencontre spontanément un franc succès. Toutefois, au vu de leur expérience, les autorités de protection suédoise et néerlandaise insistent fortement sur la nécessaire évaluation préalable des besoins à mettre en place au sein des autorités avant qu’un tel réseau de CPD ne soit mis en place, car l’autorité est entièrement responsable de son animation. A ce titre, l’on peut mentionner les initiatives suivantes :

• organisation par l’autorité de journées de rencontre, de séminaires et de conférences au bénéfice exclusif des CPD ; plus généralement, l’autorité doit mettre en place un système de formation continue pour ceux-ci (en Allemagne, il existe un système de cours optionnels) ;
•  suivi des personnes désignées : quand l’autorité néerlandaise est informée d’une nouvelle désignation, elle appelle la personne au bout de quelque temps pour juger de la qualité du travail effectué (en posant des questions sur la société, son fonctionnement, les traitements mis en œuvre, etc.) ;
• une partie du site Web de l’autorité, en mode d’accès restreint, est réservé aux CPD ; le système offre toutes sortes d’informations mais également des groupes de discussion ;
• une newsletter électronique et un journal d’information spécifique sont envoyés très régulièrement aux CPD pour les tenir au courant des évolutions législatives en la matière et des décisions de l’autorité ;
• création au sein de l’autorité d’une « hotline » et d’un centre d’appels téléphonique dédiés aux CPD ;
• une personne est spécialement désignée au sein de l’autorité pour être la personne de contact pour les CPD ; cette personne est employée à plein temps à cette activité.

D’un avis général, la gestion et l’animation d’un tel réseau est une activité assez lourde pour l’autorité ; ceci serait toutefois la « rançon du succès » : les CPD sont des personnes généralement motivées qui veulent être en mesure d’exercer leurs fonctions de manière satisfaisante ; les autorités de protection des données sont, dans leur esprit, des « partenaires quotidiens » qu’ils doivent pouvoir contacter en toutes circonstances. Ces liens seraient aussi une garantie de l’indépendance des CPD : si ceux-ci se sentent soutenus dans leur action par les autorités, ils se sentent mieux armés pour défendre des positions parfois impopulaires auprès de la direction de leur organisation.