Le 20 octobre 2005, paraissait le décret d’application de la loi Informatique et libertés autorisant la désignation d’un Correspondant Informatique et Libertés (Cil). Deux ans après, se pose tout particulièrement la question du contrôle a posteriori de la Cnil, qui a vu ses pouvoirs étendus dans ce domaine par la loi du 6 août 2004. Lors de son contrôle, la Commission vérifiera que le Cil a bien rempli les missions qui lui ont été confiées par la loi. Parmi ces missions, deux retiendront toute son attention : la tenue de la liste des traitements et l’établissement du bilan annuel.
Dresser la liste des traitements constitue la plus lourde tâche du Cil. En effet, l’article 48 du décret dispose qu’il doit préciser pour chacun des traitements : le nom et l’adresse du responsable du traitement, la finalité, le service chargé de sa mise en œuvre, la description des catégories de données traitées, les catégories de personnes concernées, les destinataires des données et la durée de conservation des données. La liste doit, en outre, être actualisée.
L’établissement du bilan annuel est imposé par l’article 49 du décret d’application. Il doit permettre de rendre compte des activités du Cil, notamment des mesures prises pour appliquer et permettre la diffusion de la loi Informatique et libertés au sein de l’organisme. En cas de manquements du correspondant, la Cnil, outre ses pouvoirs de sanctions en cas d’infractions, pourra prononcer une injonction de procéder aux formalités préalables à l’encontre du responsable des traitements et lui ordonner la décharge du Cil.
Les organismes qui ont désigné un correspondant bénéficient d’un régime de dérogation puisqu’ils ne sont plus tenus de déclarer auprès de la Cnil les traitements soumis au régime de la déclaration.
Il ne fait aucun doute que la Commission sera particulièrement attentive à l’accomplissement des missions du Cil dans le respect des dispositions législatives et réglementaires. Aussi, les organismes qui auraient désigné un correspondant dans le but d’alléger le poids de leurs formalités préalables sans avoir l’intention de mettre en œuvre une véritable politique Informatique et libertés, s’exposent à des sanctions.
Dès lors, ceux-ci devront se mobiliser et, le cas échéant, se faire aider par un spécialiste de l’audit Informatique et libertés afin de s’en préserver.