Le correspondant à la protection des données à caractère personnel
APPROCHE GENERALE
L’ORIGINE DU CONCEPT
L’Allemagne, pionnière avec la France en matière de protection de la vie privée, connaît depuis longtemps le dispositif du correspondant à la protection des données personnelles.
Ce système permet de porter au cœur des organismes gestionnaires de grands fichiers, le nécessaire équilibre entre le développement des usages nominatifs des données informatisées et le respect de l’intimité binaire.
LA DIRECTIVE 95/46
Ce concept, inconnu en France avant la réforme de 2004, a été introduit lors de la transposition de la directive du 24 octobre 1995 .
L’article 18 de la directive offre aux Etats membres la possibilité de prévoir des dérogations aux obligations de formalités préalables lorsque, notamment, le responsable du traitement désigne « un détaché à la protection des données à caractère personnel ».
LE MECANISME JURIDIQUE
UN MECANISME DEROGATOIRE
Le principe des formalités préalables à la mise en œuvre d’un traitement automatisé de données à caractère personnel constitue la règle.
Ce n’est que dans des cas particuliers que ce principe peut souffrir d’exceptions.
Il en est ainsi de l’institution du correspondant à la protection des données à caractère personnel, dénommé « correspondant PDCP » (acronyme de Protection des données à caractère personnel).
Dans ce cadre, les responsables des traitements peuvent ne pas faire certaines déclarations auprès de la CNIL.
Cette possibilité ne vise toutefois que le système des déclarations, les demandes d’autorisation n’étant pas concernées et, en conséquence, devant être effectuées préalablement à la mise en œuvre.
LE CAS PARTICULIER DU TRANSFERT DE DONNEES PERSONNELLES VERS DES PAYS NON MEMBRES DE L’UNION EUROPEENNE
Même en présence d’un correspondant PDCP, le transfert de données à caractère personnel à destination d’un Etat non membre de Communauté européenne doit être déclaré à la CNIL .
LA DESIGNATION
LES SECTEURS D’ACTIVITE
La fonction de correspondant peut être mise en œuvre tant dans le secteur public que dans le secteur privé.
LES PERSONNES PHYSIQUES
La loi Informatique et libertés ne précise pas si le correspondant est une personne physique ou peut également être une personne morale.
En faveur de la thèse « Correspondant personne physique », on peut arguer que « le correspondant (…) ne peut faire l’objet d’aucune sanction de la part de l’employeur du fait de l’accomplissement de sa mission » .
De même, s’agissant de la dérogation concernant les traitements de données à caractère personnel aux fins de journalisme et d’expression littéraire et artistique, la loi précise que celle-ci est « subordonnée à la désignation par le responsable du traitement d’un correspondant à la protection des données appartenant à un organisme de la presse écrite ou audiovisuelle (…) » .
La directive 95/46 laisse aux Etats membres le choix.
Le considérant 49 énonce en effet que « des exonérations ou simplifications peuvent pareillement être prévues par les Etats membres dès lors qu’une personne désignée par le responsable du traitement des données s’assure que les traitements effectués ne sont pas susceptibles de porter atteinte aux droits et libertés des personnes concernées, que la personne ainsi détachée à la protection des données, employée ou non du responsable du traitement de données, doit être en mesure d’exercer ses fonctions en toute indépendance ».
L’article 18 de la directive offre une possibilité de dérogation aux obligations de notification à l’autorité de contrôle « lorsque le responsable du traitement désigne (…) un détaché à la protection des données à caractère personnel (…) ».
Il semble donc possible de désigner une personne morale pour assurer de manière indépendante la fonction de correspondant .
Une interdiction ne présenterait aucun intérêt par rapport à l’esprit de la loi, puisque le correspondant n’est pas nécessairement un membre du personnel de l’organisme responsable du traitement.
Par ailleurs, il suffirait de désigner une personne physique membre du personnel de la personne morale.
UN EMPLOYE OU UN TIERS
Dans le prolongement de la nature juridique du correspondant, se pose la problématique du lien entre ce dernier et l’organisme.
Le principe est celui de « l’indépendance » du correspondant .
A partir de ce critère, il est possible de retenir que le correspondant peut être un membre ou un tiers à l’organisme.
Dans les deux cas, les parties sont liées par contrat, soit de travail, soit de prestation de services.
Le choix offert par la directive (celle-ci précisant expressément la possibilité d’être employé ou non) est une nécessité afin de respecter la volonté du législateur de simplifier les formalités préalables face à des traitements de données à caractère personnel qui ne présentent pas de risques particuliers dans ce domaine.
Ainsi, un groupe de sociétés ne doit pas être obligé de désigner un correspondant par filiale.
LA DESIGNATION D’UN MEMBRE DE L’ORGANISME
Cette dérogation devra faire l’objet d’une définition de mission.
La mission devra être acceptée formellement par la personne désignée qui doit toujours pouvoir avoir la possibilité de refuser ou de mettre un terme à sa mission.
En pratique, la mission de correspondant peut être envisagée naturellement parmi les membres des directions suivantes :
– direction générale ;
– direction juridique ;
– direction de la déontologie ;
– inspection ou contrôle général.
En termes de poste, le correspondant doit jouir d’une grande indépendance tant intellectuelle que statutaire.
Dans le secteur privé, on ne peut concevoir que la désignation d’un cadre, d’un dirigeant, du président ou du directeur général mandataire social ou salarié, et dans le secteur public, que celle d’un fonctionnaire .
LA DESIGNATION D’UN TIERS
Dans le cadre d’un groupe, une convention entre les deux entités doit définir :
– les modalités de l’intervention du correspondant ;
– les conséquences économiques de cette mise à disposition.
S’agissant de la désignation d’un tiers, sans lien capitalistique, une convention devra régler les aspects techniques, économiques et juridiques de l’exercice de cette mission.
Il semble que toute personne physique ou morale peut être désignée, telle que des prestataires de services, des avocats ou des experts comptables.
L’INFORMATION DE LA DESIGNATION
LA NOTIFICATION
La forme
Pour être opérationnelle, la désignation du correspondant doit être notifiée à la CNIL.
Cette notification, qui a une valeur informationnelle, la CNIL ne disposant pas d’un pouvoir d’agrément, peut se faire par tous moyens.
Toutefois, compte tenu de l’importance de ses effets juridiques, il convient d’y procéder par lettre recommandée avec avis de réception.
En pratique, la notification vaudra pour l’ensemble des déclarations ordinaires et simplifiées.
Toutefois, rien n’interdit à un organisme de limiter la mission à certains traitements sous réserve de déclarer les autres traitements
Le contenu
La notification contient :
– les informations sur la personne désignée (état civil) ;
– la date d’acceptation de la mission ;
– la liste des obligations mises en œuvre de manière associée à la désignation.
Cette liste vise :
– l’information des instances représentatives du personnel ;
– la tenue de la liste des traitements des données à caractère personnel mis en œuvre au sein de l’organisme .
L’INFORMATION DES IRP
La désignation doit être « portée à la connaissance des instances représentatives du personnel » .
Cette information peut se faire :
– par lettre ;
– lors d’un comité.
LA MISSION
LE RESPECT DE LA LOI
Le principe
La fonction de correspondant n’a pas simplement comme objectif d’instaurer une dérogation aux principes de notification des traitements à la CNIL.
Sa finalité première est d’encourager un contrôle interne afin que l’usage des données à caractère personnel soit mis en œuvre de manière citoyenne.
A ce titre, le correspondant a la charge « d’assurer, d’une manière indépendante, le respect des obligations » prévues par la loi Informatique et libertés.
Le bénéfice d’inventaire
Lors de sa prise de fonction, le correspondant devra :
– auditer la situation ;
– mettre en place les procédures éventuelles de régulation ;
– définir des points de contrôle ;
– organiser une communication entre les services et lui-même afin de pouvoir assurer les fonctions qui lui incombent personnellement.
Les modalités
Dans l’exercice de ses fonctions, le correspondant dispose d’une large indépendance pour étudier les traitements opérés notamment en termes d’usage et de sécurité.
Cette indépendance résulte :
– de son statut ;
– de sa formation ;
– de ses pouvoirs.
Pour garantir cette indépendance, tout en gardant à l’esprit que cette mission s’inscrit dans le respect des personnes, et des directions des organismes privés ou publics, il est conseillé d’établir un code de bonne conduite définissant :
– les modalités d’informations sur la création et la mise à jour des traitements ;
– les procédures à suivre pour vérifier la conformité à la loi Informatique et libertés ;
– les règles de concertation entre le correspondant et la direction générale ;
– l’organisation d’un comité de pilotage.
LA LISTE DES TRAITEMENTS
Le principe
Le correspondant doit établir la liste exhaustive des traitements de données à caractère personnel mis en oeuvre au sein de l’organisme qui l’a désigné.
La loi ne donne aucune précision sur les caractéristiques de cette liste.
En revanche, la directive 95/46 précise que le registre contient les éléments visés à l’article 21, paragraphe 2, à savoir :
– le nom et l’adresse du responsable du traitement ;
– la ou les formalités du traitement ;
– une description de la ou des catégories de données s’y rapportant ;
– les destinataires ou des catégories de destinataires auxquels les données sont susceptibles d’être communiquées ;
– les transferts de données envisagés à destination de pays tiers .
Cet article concerne les informations qui doivent figurer sur le registre que tient l’organisme de contrôle.
Dans ce cadre, la référence aux transferts de données vers un pays tiers est inutile puisque les traitements opérant de tels transferts sont exclus du bénéfice de la dérogation, même en présence d’un correspondant désigné.
La mise à jour
La maintenance de la liste pour les opérations de création, de modification ou de suppression est faite à l’initiative du correspondant après information des services concernés.
LA DUREE DE LA MISSION
La mission confiée au correspondant peut être à durée déterminée ou indéterminée.
LA FIN DE LA MISSION
La mission peut prendre fin :
– par l’arrivée du terme ;
– la défaillance du correspondant.
L’arrivée du terme
Au terme de la mission, soit le responsable des traitements désigne un nouveau correspondant et met en œuvre la procédure de notification et d’information (notification à la CNIL et information des IRP), soit procède aux déclarations.
La révocation du correspondant
En cas « de manquement constaté à ses devoirs, le correspondant est déchargé de ses fonctions sur demande, ou après consultation, de la CNIL ».
LA DECISION DU CONSEIL CONSTITUTIONNEL DU 29 JUILLET 2004 SUR L’ARTICLE 22 DE LA LOI DU 6 JANVIER 1978
LA SAISINE
Les requérants soutenaient que « ce correspondant ne bénéficie pas, à la lettre, des garanties d’indépendance indispensables » et que par la suite « en prévoyant, au titre d’une simplification toujours souhaitable, un amoindrissement des mécanismes de contrôle, le législateur a privé de garantie légale le droit à la vie privée et à la liberté individuelle ».
LA DECISION
Le Conseil Constitutionnel a validé l’institution du correspondant à la protection des données à caractère personnel aux motifs que :
– d’une part, la désignation d’un correspondant ne dispense que des formalités de déclaration à la constitution d’un traitement de données, à condition qu’il n’y ait pas transfert de données personnelles à destination d’un Etat non membre de la Communauté européenne. Cette dispense de déclaration ne soustrait donc pas aux autres obligations dont le non-respect demeure passible de sanctions ;
– d’autre part, la fonction de correspondant est entourée d’un ensemble de précautions concernant sa qualification, son rôle et son indépendance .
LA PROTECTION DU CORRESPONDANT A LA PROTECTION DES DONNEES PERSONNELLES
L’INDEPENDANCE
Agissant en toute indépendance dans le cadre de sa fonction, le correspondant ne « peut faire l’objet d’aucune sanction de la part de l’employeur du fait de l’accomplissement de ses missions » .
LA PROTECTION
En cas de difficultés, le correspondant peut « saisir la CNIL des difficultés qu’il rencontre dans l’exercice de ses missions » .
Cette saisine peut se faire par tous moyens.
LES RELATIONS AVEC LA CNIL
Il y tout lieu d’envisager que, dans le prolongement des expériences allemandes, suédoises, et néerlandaises, la CNIL créera un réseau de correspondants.
Ce réseau sera un lieu privilégié d’information, de formation, et de protection des correspondants.
Un tel mécanisme permettra d’établir au fur et à mesure des cas rencontrés :
– les meilleures pratiques à mettre en place ;
– un code de bonne conduite organisant les relations entre le correspondant et le responsable du traitement, les employés et les membres de la CNIL.
LA DEFAILLANCE DU CORRESPONDANT A LA PROTECTION DES DONNEES PERSONNELLES
LE PRINCIPE
En cas de négligence ou de manquement du correspondant à ses obligations, le responsable du traitement peut mettre fin à sa mission.
La CNIL pourra alors enjoindre au responsable des traitements de procéder aux déclarations.
L’ASSURANCE
Les activités du correspondant n’entrent pas directement dans le périmètre des assurances de l’entreprise.
Une assurance complémentaire devrait permettre une meilleure couverture des risques.
LA SUPPLEANCE
Il est possible de prévoir la désignation d’un suppléant afin d’organiser une continuité de la fonction en cas de congés, d’absence pour maladie etc…
Cette suppléance s’effectuerait selon les mêmes modalités que la désignation du correspondant .
LES EXPERIENCES ETRANGERES
LE CADRE GENERAL
L’article 18 de la directive 95/46 offre la possibilité aux Etats membres de dispenser de l’obligation de déclaration à l’autorité en charge de la protection des données les responsables de traitements ayant désigné un correspondant à la protection des données à caractère personnel.
L’étude des législations d’un certains nombre d’Etats membres fait apparaître que le dispositif du correspondant aux données à caractère personnel est appréhendé de manière différente d’un pays à l’autre.
LE CORRESPONDANT A LA PROTECTION DES DONNEES PERSONNELLES EN DROIT ALLEMAND
Les cas de désignation obligatoire d’un correspondant à la protection des données personnelles
La loi allemande sur la protection des données personnelles prévoit la désignation obligatoire d’un correspondant par les organismes, privés ou publics, qui mettent en œuvre certains types de traitements de données.
Mais le texte ne leur impose pas de notifier le nom de leur correspondant à l’autorité de contrôle.
Dans le secteur privé, le responsable de traitement doit désigner un correspondant à la protection des données personnelles dès lors que :
– il emploie au moins quatre personnes pour le traitement automatisé de données ;
– il emploie au moins vingt personnes pour le traitement non automatisé de données ;
– il met en œuvre un traitement relevant de la procédure d’autorisation ;
– il s’agit d’une société de marketing direct.
Dans le secteur public, les organismes publics d’Etat doivent désigner un détaché à la protection des données personnelles lorsque :
– ils mettent en œuvre un traitement automatisé de données, quel que soit le nombre de personnes employées à cet effet ;
– ils emploient au moins vingt personnes pour le traitement non automatisé de données.
Le statut du correspondant
Le correspondant doit avoir les qualités et les capacités nécessaires à l’exercice de ses fonctions et doit pouvoir exercer sa mission en toute indépendance.
Il doit être placé directement sous l’autorité du directeur.
Il ne doit recevoir aucune instruction de la part du responsable du traitement.
Il doit être doté des moyens humains et matériels nécessaires.
Il ne doit subir aucune discrimination.
Ce peut être une personne étrangère à l’entreprise ou à l’organisme public, à condition alors qu’il vienne d’un autre organisme public.
Il ne peut être révoqué que pour des motifs sérieux.
S’il exerce sa mission dans une entreprise privée, il peut être révoqué à la demande de l’autorité de contrôle.
Il est soumis au secret professionnel.
Les fonctions du correspondant à la protection des données personnelles
Il doit :
– superviser les traitements de données mis en oeuvre dans l’organisme pour lequel il travaille ;
– diffuser en interne des informations sur la loi relative à la protection des données ;
– prendre contact avec l’autorité de contrôle en cas de doute ou de problème sur un dossier.
LE CORRESPONDANT A LA PROTECTION DES DONNEES PERSONNELLES EN DROIT NEERLANDAIS
Il existe cinq différences notables avec le système mis en place en Allemagne :
– la désignation d’un correspondant à la protection des données personnelles est optionnelle ;
– le responsable du traitement doit enregistrer son correspondant auprès de l’autorité de contrôle qui tient à jour une liste des correspondants ;
– le correspondant a le statut de salarié protégé ;
– il doit rédiger un rapport annuel ;
– il peut rédiger des codes de conduite en matière de protection des données personnelles internes à l’organisme pour lequel il travaille.
LE CORESPONDANT A LA PROTECITON DES DONNEES PERSONNELLES EN DROIT SUEDOIS
En Suède, il existe également des différences avec le système allemand :
– la désignation d’un correspondant à la protection des données personnelles est optionnelle ;
– le responsable du traitement doit notifier la désignation et le nom du correspondant à l’autorité de contrôle.
TABLEAU SYNTHETISANT LE REGIME APPLICABLE AU DETACHE A LA PROTECTION DES DONNEES PERSONNELLES EN FRANCE, EN ALLEMAGNE, AUX PAYS-BAS ET EN SUEDE
| Règles relatives au détaché à la protection des données personnelles |
FRANCE | ALLEMAGNE | PAYS-BAS | SUEDE |
| Désignation |
– Notifiée à – portée à la connaissance des IRP. |
– Obligatoire en – par écrit ; – dans un délai d’un mois à compter du début de |
Le délégué ne peut prendre ses fonctions qu’après que le responsable a procédé à son enregistrement auprès de l’autorité de contrôle. |
Le représentant ne peut prendre ses fonctions qu’après que le responsable a notifié sa désignation et son nom à l’autorité de contrôle. |
| Etendue de la désignation |
Lorsque la Il est possible de nommer une personne externe à |
|||
| Qualités | Le correspondant est une personne bénéficiant des qualifications requises pour exercer ses missions |
Le détaché doit posséder les qualités et les capacités nécessaires pour pouvoir remplir ses fonctions |
Le délégué est une personne physique disposant de connaissances adéquates au regard des tâches à accomplir et pouvant être considérée comme digne de confiance |
|
| Statut |
Il doit pouvoir
Il ne peut faire l’objet d’aucune sanction de la |
Il doit être
Il ne doit
Il ne doit subir aucune discrimination du fait de |
Il ne doit recevoir aucune instruction de la part du Il ne doit subir aucune discrimination du fait de |
Il doit pouvoir exercer sa mission en toute indépendance |
| Révocation | En cas de manquement constaté à ses devoirs, il est déchargé de ses fonctions sur demande, ou après consultation, de la CNIL |
Il peut être révoqué
S’il exerce sa mission dans une entreprise privée, |
||
| Secret Professionnel | Il est tenu au secret sur l’identité des personnes concernées ainsi que sur les circonstances permettant de tirer des conclusions sur ces personnes, à moins qu’il n’ait été délivré de cette obligation par la personne elle-même |
Il a l’obligation de considérer comme confidentielle toute information portée à sa connaissance à l’occasion d’une plainte ou de la demande d’une personne concernée, à moins que la personne ne consente au fait de rendre ces informations publiques |
||
| Missions |
Il est chargé
Il tient une liste des traitements mis en œuvre |
Il
Il diffuse en
Il est l’interlocuteur des personnes concernées |
Il reçoit les déclarations de l’organisme |
Il surveille la
Il tient une
Il prend contact avec l’autorité de contrôle en |
| Moyens | Il peut saisir la CNIL des difficultés qu’il rencontre dans l’exercice de ses missions |
Il
Il
Il peut saisir l’autorité de contrôle en cas de |
Il
Il peut rédiger des codes de bonne conduite en matière |
|
| Obligation de rendre compte |
Il doit rédiger un rapport annuel. |
Les textes utiles
Directive 95/46/CE du 24 octobre 1995 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données.
Loi n° 78-17 du 6 Janvier 1978 relative à l’informatique, aux fichiers et aux libertés.