I & L – le correspondant à la protection des données à caractère

Le correspondant à la protection des données à caractère personnel

APPROCHE GENERALE

L’ORIGINE DU CONCEPT

L’Allemagne, pionnière avec la France en matière de protection de la vie privée, connaît depuis longtemps le dispositif du correspondant à la protection des données personnelles.

Ce système permet de porter au cœur des organismes gestionnaires de grands fichiers, le nécessaire équilibre entre le développement des usages nominatifs des données informatisées et le respect de l’intimité binaire.

LA DIRECTIVE 95/46

Ce concept, inconnu en France avant la réforme de 2004, a été introduit lors de la transposition de la directive du 24 octobre 1995 .

L’article 18 de la directive offre aux Etats membres la possibilité de prévoir des dérogations aux obligations de formalités préalables lorsque, notamment, le responsable du traitement désigne « un détaché à la protection des données à caractère personnel ».

LE MECANISME JURIDIQUE

UN MECANISME DEROGATOIRE

Le principe des formalités préalables à la mise en œuvre d’un traitement automatisé de données à caractère personnel constitue la règle.

Ce n’est que dans des cas particuliers que ce principe peut souffrir d’exceptions.

Il en est ainsi de l’institution du correspondant à la protection des données à caractère personnel, dénommé « correspondant PDCP » (acronyme de Protection des données à caractère personnel).

Dans ce cadre, les responsables des traitements peuvent ne pas faire certaines déclarations auprès de la CNIL.

Cette possibilité ne vise toutefois que le système des déclarations, les demandes d’autorisation n’étant pas concernées et, en conséquence, devant être effectuées préalablement à la mise en œuvre.

LE CAS PARTICULIER DU TRANSFERT DE DONNEES PERSONNELLES VERS DES PAYS NON MEMBRES DE L’UNION EUROPEENNE

Même en présence d’un correspondant PDCP, le transfert de données à caractère personnel à destination d’un Etat non membre de Communauté européenne doit être déclaré à la CNIL .

LA DESIGNATION

LES SECTEURS D’ACTIVITE

La fonction de correspondant peut être mise en œuvre tant dans le secteur public que dans le secteur privé.

LES PERSONNES PHYSIQUES

La loi Informatique et libertés ne précise pas si le correspondant est une personne physique ou peut également être une personne morale.

En faveur de la thèse « Correspondant personne physique », on peut arguer que « le correspondant (…) ne peut faire l’objet d’aucune sanction de la part de l’employeur du fait de l’accomplissement de sa mission » .

De même, s’agissant de la dérogation concernant les traitements de données à caractère personnel aux fins de journalisme et d’expression littéraire et artistique, la loi précise que celle-ci est « subordonnée à la désignation par le responsable du traitement d’un correspondant à la protection des données appartenant à un organisme de la presse écrite ou audiovisuelle (…) » .

La directive 95/46 laisse aux Etats membres le choix.

Le considérant 49 énonce en effet que « des exonérations ou simplifications peuvent pareillement être prévues par les Etats membres dès lors qu’une personne désignée par le responsable du traitement des données s’assure que les traitements effectués ne sont pas susceptibles de porter atteinte aux droits et libertés des personnes concernées, que la personne ainsi détachée à la protection des données, employée ou non du responsable du traitement de données, doit être en mesure d’exercer ses fonctions en toute indépendance ».

L’article 18 de la directive offre une possibilité de dérogation aux obligations de notification à l’autorité de contrôle « lorsque le responsable du traitement désigne (…) un détaché à la protection des données à caractère personnel (…) ».

Il semble donc possible de désigner une personne morale pour assurer de manière indépendante la fonction de correspondant .

Une interdiction ne présenterait aucun intérêt par rapport à l’esprit de la loi, puisque le correspondant n’est pas nécessairement un membre du personnel de l’organisme responsable du traitement.

Par ailleurs, il suffirait de désigner une personne physique membre du personnel de la personne morale.

UN EMPLOYE OU UN TIERS

Dans le prolongement de la nature juridique du correspondant, se pose la problématique du lien entre ce dernier et l’organisme.

Le principe est celui de « l’indépendance » du correspondant .

A partir de ce critère, il est possible de retenir que le correspondant peut être un membre ou un tiers à l’organisme.

Dans les deux cas, les parties sont liées par contrat, soit de travail, soit de prestation de services.

Le choix offert par la directive (celle-ci précisant expressément la possibilité d’être employé ou non) est une nécessité afin de respecter la volonté du législateur de simplifier les formalités préalables face à des traitements de données à caractère personnel qui ne présentent pas de risques particuliers dans ce domaine.

Ainsi, un groupe de sociétés ne doit pas être obligé de désigner un correspondant par filiale.

LA DESIGNATION D’UN MEMBRE DE L’ORGANISME

Cette dérogation devra faire l’objet d’une définition de mission.

La mission devra être acceptée formellement par la personne désignée qui doit toujours pouvoir avoir la possibilité de refuser ou de mettre un terme à sa mission.

En pratique, la mission de correspondant peut être envisagée naturellement parmi les membres des directions suivantes :

– direction générale ;
– direction juridique ;
– direction de la déontologie ;
– inspection ou contrôle général.

En termes de poste, le correspondant doit jouir d’une grande indépendance tant intellectuelle que statutaire.

Dans le secteur privé, on ne peut concevoir que la désignation d’un cadre, d’un dirigeant, du président ou du directeur général mandataire social ou salarié, et dans le secteur public, que celle d’un fonctionnaire .

LA DESIGNATION D’UN TIERS

Dans le cadre d’un groupe, une convention entre les deux entités doit définir :

– les modalités de l’intervention du correspondant ;
– les conséquences économiques de cette mise à disposition.

S’agissant de la désignation d’un tiers, sans lien capitalistique, une convention devra régler les aspects techniques, économiques et juridiques de l’exercice de cette mission.

Il semble que toute personne physique ou morale peut être désignée, telle que des prestataires de services, des avocats ou des experts comptables.

L’INFORMATION DE LA DESIGNATION

LA NOTIFICATION

      La forme

Pour être opérationnelle, la désignation du correspondant doit être notifiée à la CNIL.

Cette notification, qui a une valeur informationnelle, la CNIL ne disposant pas d’un pouvoir d’agrément, peut se faire par tous moyens.

Toutefois, compte tenu de l’importance de ses effets juridiques, il convient d’y procéder par lettre recommandée avec avis de réception.

En pratique, la notification vaudra pour l’ensemble des déclarations ordinaires et simplifiées.

Toutefois, rien n’interdit à un organisme de limiter la mission à certains traitements sous réserve de déclarer les autres traitements

      Le contenu

La notification contient :

– les informations sur la personne désignée (état civil) ;
– la date d’acceptation de la mission ;
– la liste des obligations mises en œuvre de manière associée à la désignation.

Cette liste vise :

– l’information des instances représentatives du personnel ;
– la tenue de la liste des traitements des données à caractère personnel mis en œuvre au sein de l’organisme .

L’INFORMATION DES IRP

La désignation doit être « portée à la connaissance des instances représentatives du personnel » .

Cette information peut se faire :

– par lettre ;
– lors d’un comité.

LA MISSION

LE RESPECT DE LA LOI

      Le principe

La fonction de correspondant n’a pas simplement comme objectif d’instaurer une dérogation aux principes de notification des traitements à la CNIL.

Sa finalité première est d’encourager un contrôle interne afin que l’usage des données à caractère personnel soit mis en œuvre de manière citoyenne.

A ce titre, le correspondant a la charge « d’assurer, d’une manière indépendante, le respect des obligations » prévues par la loi Informatique et libertés.

      Le bénéfice d’inventaire

Lors de sa prise de fonction, le correspondant devra :

– auditer la situation ;
– mettre en place les procédures éventuelles de régulation ;
– définir des points de contrôle ;
– organiser une communication entre les services et lui-même afin de pouvoir assurer les fonctions qui lui incombent personnellement.

      Les modalités

Dans l’exercice de ses fonctions, le correspondant dispose d’une large indépendance pour étudier les traitements opérés notamment en termes d’usage et de sécurité.

Cette indépendance résulte :

– de son statut ;
– de sa formation ;
– de ses pouvoirs.

Pour garantir cette indépendance, tout en gardant à l’esprit que cette mission s’inscrit dans le respect des personnes, et des directions des organismes privés ou publics, il est conseillé d’établir un code de bonne conduite définissant :

– les modalités d’informations sur la création et la mise à jour des traitements ;
– les procédures à suivre pour vérifier la conformité à la loi Informatique et libertés ;
– les règles de concertation entre le correspondant et la direction générale ;
– l’organisation d’un comité de pilotage.

LA LISTE DES TRAITEMENTS

      Le principe

Le correspondant doit établir la liste exhaustive des traitements de données à caractère personnel mis en oeuvre au sein de l’organisme qui l’a désigné.

La loi ne donne aucune précision sur les caractéristiques de cette liste.

En revanche, la directive 95/46 précise que le registre contient les éléments visés à l’article 21, paragraphe 2, à savoir :

– le nom et l’adresse du responsable du traitement ;
– la ou les formalités du traitement ;
– une description de la ou des catégories de données s’y rapportant ;
– les destinataires ou des catégories de destinataires auxquels les données sont susceptibles d’être communiquées ;
– les transferts de données envisagés à destination de pays tiers .

Cet article concerne les informations qui doivent figurer sur le registre que tient l’organisme de contrôle.

Dans ce cadre, la référence aux transferts de données vers un pays tiers est inutile puisque les traitements opérant de tels transferts sont exclus du bénéfice de la dérogation, même en présence d’un correspondant désigné.

      La mise à jour

La maintenance de la liste pour les opérations de création, de modification ou de suppression est faite à l’initiative du correspondant après information des services concernés.

LA DUREE DE LA MISSION

La mission confiée au correspondant peut être à durée déterminée ou indéterminée.

LA FIN DE LA MISSION

La mission peut prendre fin :

– par l’arrivée du terme ;
– la défaillance du correspondant.

      L’arrivée du terme

Au terme de la mission, soit le responsable des traitements désigne un nouveau correspondant et met en œuvre la procédure de notification et d’information (notification à la CNIL et information des IRP), soit procède aux déclarations.

      La révocation du correspondant

En cas « de manquement constaté à ses devoirs, le correspondant est déchargé de ses fonctions sur demande, ou après consultation, de la CNIL ».

LA DECISION DU CONSEIL CONSTITUTIONNEL DU 29 JUILLET 2004 SUR L’ARTICLE 22 DE LA LOI DU 6 JANVIER 1978

LA SAISINE

Les requérants soutenaient que « ce correspondant ne bénéficie pas, à la lettre, des garanties d’indépendance indispensables » et que par la suite « en prévoyant, au titre d’une simplification toujours souhaitable, un amoindrissement des mécanismes de contrôle, le législateur a privé de garantie légale le droit à la vie privée et à la liberté individuelle ».

LA DECISION

Le Conseil Constitutionnel a validé l’institution du correspondant à la protection des données à caractère personnel aux motifs que :

– d’une part, la désignation d’un correspondant ne dispense que des formalités de déclaration à la constitution d’un traitement de données, à condition qu’il n’y ait pas transfert de données personnelles à destination d’un Etat non membre de la Communauté européenne. Cette dispense de déclaration ne soustrait donc pas aux autres obligations dont le non-respect demeure passible de sanctions ;

– d’autre part, la fonction de correspondant est entourée d’un ensemble de précautions concernant sa qualification, son rôle et son indépendance .

LA PROTECTION DU CORRESPONDANT A LA PROTECTION DES DONNEES PERSONNELLES

L’INDEPENDANCE

Agissant en toute indépendance dans le cadre de sa fonction, le correspondant ne « peut faire l’objet d’aucune sanction de la part de l’employeur du fait de l’accomplissement de ses missions » .

LA PROTECTION

En cas de difficultés, le correspondant peut « saisir la CNIL des difficultés qu’il rencontre dans l’exercice de ses missions » .

Cette saisine peut se faire par tous moyens.

LES RELATIONS AVEC LA CNIL

Il y tout lieu d’envisager que, dans le prolongement des expériences allemandes, suédoises, et néerlandaises, la CNIL créera un réseau de correspondants.

Ce réseau sera un lieu privilégié d’information, de formation, et de protection des correspondants.

Un tel mécanisme permettra d’établir au fur et à mesure des cas rencontrés :

– les meilleures pratiques à mettre en place ;
– un code de bonne conduite organisant les relations entre le correspondant et le responsable du traitement, les employés et les membres de la CNIL.

LA DEFAILLANCE DU CORRESPONDANT A LA PROTECTION DES DONNEES PERSONNELLES

LE PRINCIPE

En cas de négligence ou de manquement du correspondant à ses obligations, le responsable du traitement peut mettre fin à sa mission.

La CNIL pourra alors enjoindre au responsable des traitements de procéder aux déclarations.

L’ASSURANCE

Les activités du correspondant n’entrent pas directement dans le périmètre des assurances de l’entreprise.

Une assurance complémentaire devrait permettre une meilleure couverture des risques.

LA SUPPLEANCE

Il est possible de prévoir la désignation d’un suppléant afin d’organiser une continuité de la fonction en cas de congés, d’absence pour maladie etc…

Cette suppléance s’effectuerait selon les mêmes modalités que la désignation du correspondant .

LES EXPERIENCES ETRANGERES

LE CADRE GENERAL

L’article 18 de la directive 95/46 offre la possibilité aux Etats membres de dispenser de l’obligation de déclaration à l’autorité en charge de la protection des données les responsables de traitements ayant désigné un correspondant à la protection des données à caractère personnel.

L’étude des législations d’un certains nombre d’Etats membres fait apparaître que le dispositif du correspondant aux données à caractère personnel est appréhendé de manière différente d’un pays à l’autre.

LE CORRESPONDANT A LA PROTECTION DES DONNEES PERSONNELLES EN DROIT ALLEMAND

      Les cas de désignation obligatoire d’un correspondant à la protection des données personnelles

La loi allemande sur la protection des données personnelles prévoit la désignation obligatoire d’un correspondant par les organismes, privés ou publics, qui mettent en œuvre certains types de traitements de données.

Mais le texte ne leur impose pas de notifier le nom de leur correspondant à l’autorité de contrôle.

Dans le secteur privé, le responsable de traitement doit désigner un correspondant à la protection des données personnelles dès lors que :

– il emploie au moins quatre personnes pour le traitement automatisé de données ;
– il emploie au moins vingt personnes pour le traitement non automatisé de données ;
– il met en œuvre un traitement relevant de la procédure d’autorisation ;
– il s’agit d’une société de marketing direct.

Dans le secteur public, les organismes publics d’Etat doivent désigner un détaché à la protection des données personnelles lorsque :

– ils mettent en œuvre un traitement automatisé de données, quel que soit le nombre de personnes employées à cet effet ;
– ils emploient au moins vingt personnes pour le traitement non automatisé de données.

      Le statut du correspondant

Le correspondant doit avoir les qualités et les capacités nécessaires à l’exercice de ses fonctions et doit pouvoir exercer sa mission en toute indépendance.

Il doit être placé directement sous l’autorité du directeur.

Il ne doit recevoir aucune instruction de la part du responsable du traitement.

Il doit être doté des moyens humains et matériels nécessaires.

Il ne doit subir aucune discrimination.

Ce peut être une personne étrangère à l’entreprise ou à l’organisme public, à condition alors qu’il vienne d’un autre organisme public.

Il ne peut être révoqué que pour des motifs sérieux.

S’il exerce sa mission dans une entreprise privée, il peut être révoqué à la demande de l’autorité de contrôle.

Il est soumis au secret professionnel.

      Les fonctions du correspondant à la protection des données personnelles

Il doit :

– superviser les traitements de données mis en oeuvre dans l’organisme pour lequel il travaille ;
– diffuser en interne des informations sur la loi relative à la protection des données ;
– prendre contact avec l’autorité de contrôle en cas de doute ou de problème sur un dossier.

LE CORRESPONDANT A LA PROTECTION DES DONNEES PERSONNELLES EN DROIT NEERLANDAIS

Il existe cinq différences notables avec le système mis en place en Allemagne :

– la désignation d’un correspondant à la protection des données personnelles est optionnelle ;
– le responsable du traitement doit enregistrer son correspondant auprès de l’autorité de contrôle qui tient à jour une liste des correspondants ;
– le correspondant a le statut de salarié protégé ;
– il doit rédiger un rapport annuel ;
– il peut rédiger des codes de conduite en matière de protection des données personnelles internes à l’organisme pour lequel il travaille.

LE CORESPONDANT A LA PROTECITON DES DONNEES PERSONNELLES EN DROIT SUEDOIS

En Suède, il existe également des différences avec le système allemand :

– la désignation d’un correspondant à la protection des données personnelles est optionnelle ;
– le responsable du traitement doit notifier la désignation et le nom du correspondant à l’autorité de contrôle.

ANNEXE

TABLEAU SYNTHETISANT LE REGIME APPLICABLE AU DETACHE A LA PROTECTION DES DONNEES PERSONNELLES EN FRANCE, EN ALLEMAGNE, AUX PAYS-BAS ET EN SUEDE

Règles
relatives au détaché à la protection des données personnelles
FRANCE ALLEMAGNE PAYS-BAS SUEDE
Désignation

– Notifiée à
la CNIL ;

– portée à la connaissance des IRP.

– Obligatoire en
principe ;

– par écrit ;

– dans un délai d’un mois à compter du début de
l’activité de l’organisme

Le délégué
ne peut prendre ses fonctions qu’après que le responsable a procédé
à son enregistrement auprès de l’autorité de contrôle.
Le représentant
ne peut prendre ses fonctions qu’après que le responsable a notifié sa
désignation et son nom à l’autorité de contrôle.
Etendue de
la désignation

Lorsque la
structure d’un organisme public l’exige, la nomination d’un seul et
même détaché pour plusieurs domaines est possible.

Il est possible de nommer une personne externe à
l’entreprise ou à l’organisme public, à condition alors qu’elle
vienne d’un autre organisme public.

Qualités Le
correspondant est une personne bénéficiant des qualifications requises
pour exercer ses missions
Le détaché
doit posséder les qualités et les capacités nécessaires pour pouvoir
remplir ses fonctions
Le délégué
est une personne physique disposant de connaissances adéquates au regard
des tâches à accomplir et pouvant être considérée comme digne de
confiance
Statut

Il doit pouvoir
exercer sa mission en toute indépendance.

Il ne peut faire l’objet d’aucune sanction de la
part de l’employeur du fait de l’accomplissement de ses missions

Il doit être
placé directement sous l’autorité du directeur.

Il ne doit
recevoir aucune instruction dans l’exercice de ses fonctions.

Il ne doit subir aucune discrimination du fait de
l’exercice de ses fonctions.

Il ne doit recevoir aucune instruction de la part du
responsable de traitement.

Il ne doit subir aucune discrimination du fait de
l’exercice de ses fonctions.

Il doit
pouvoir exercer sa mission en toute indépendance
Révocation En cas de
manquement constaté à ses devoirs, il est déchargé de ses fonctions
sur demande, ou après consultation, de la CNIL

Il peut être révoqué
en application de l’article 626 du Code civil allemand.

S’il exerce sa mission dans une entreprise privée,
il peut être révoqué à la demande de l’autorité de contrôle

Secret Professionnel Il est
tenu au secret sur l’identité des personnes concernées ainsi que sur
les circonstances permettant de tirer des conclusions sur ces personnes,
à moins qu’il n’ait été délivré de cette obligation par la
personne elle-même
Il a
l’obligation de considérer comme confidentielle toute information portée
à sa connaissance à l’occasion d’une plainte ou de la demande
d’une personne concernée, à moins que la personne ne consente au fait
de rendre ces informations publiques
Missions

Il est chargé
d’assurer le respect des obligations prévues dans la loi Informatique
et libertés.

Il tient une liste des traitements mis en œuvre
dans l’organisme qu’il rend accessible à toute personne qui en fait
la demande

Il
supervise les traitements de données mis en œuvre dans l’organisme.

Il diffuse en
interne des informations sur la loi relative à la protection des données.

Il est l’interlocuteur des personnes concernées

Il reçoit
les déclarations de l’organisme

Il surveille la
conformité de l’utilisation des traitements de données.

Il tient une
liste des traitements mis en œuvre dans l’organisme qu’il rend
accessible à toute personne qui en fait la demande.

Il prend contact avec l’autorité de contrôle en
cas de doute ou de problème sur un dossier

Moyens Il peut
saisir la CNIL des difficultés qu’il rencontre dans l’exercice de ses
missions

Il
doit être doté des moyens humains et matériels nécessaires.

Il
doit être informé en temps utile des projets de traitements de données.

Il peut saisir l’autorité de contrôle en cas de
doute ou de problème sur un dossier

Il
doit être doté des moyens humains et matériels nécessaires

Il peut rédiger des codes de bonne conduite en matière
de protection des données personnelles internes à l’organisme pour
lequel il travaille

Obligation
de rendre compte
Il doit rédiger
un rapport annuel.

Les textes utiles

Directive 95/46/CE du 24 octobre 1995 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données.

Loi n° 78-17 du 6 Janvier 1978 relative à l’informatique, aux fichiers et aux libertés.