I & L – le correspondant à la protection des données à caractère
Le correspondant à la protection des données à caractère personnel APPROCHE GENERALE L’ORIGINE DU CONCEPT L’Allemagne, pionnière avec la France en matière de protection de la vie privée, connaît depuis longtemps le dispositif du correspondant à la protection des données personnelles. Ce système permet de porter au cœur des organismes gestionnaires de grands fichiers, le nécessaire équilibre entre le développement des usages nominatifs des données informatisées et le respect de l’intimité binaire. LA DIRECTIVE 95/46 Ce concept, inconnu en France avant la réforme de 2004, a été introduit lors de la transposition de la directive du 24 octobre 1995 . L’article 18 de la directive offre aux Etats membres la possibilité de prévoir des dérogations aux obligations de formalités préalables lorsque, notamment, le responsable du traitement désigne « un détaché à la protection des données à caractère personnel ». LE MECANISME JURIDIQUE UN MECANISME DEROGATOIRE Le principe des formalités préalables à la mise en œuvre d’un traitement automatisé de données à caractère personnel constitue la règle. Ce n’est que dans des cas particuliers que ce principe peut souffrir d’exceptions. Il en est ainsi de l’institution du correspondant à la protection des données à caractère personnel, dénommé « correspondant PDCP » (acronyme de Protection des données à caractère personnel). Dans ce cadre, les responsables des traitements peuvent ne pas faire certaines déclarations auprès de la CNIL. Cette possibilité ne vise toutefois que le système des déclarations, les demandes d’autorisation n’étant pas concernées et, en conséquence, devant être effectuées préalablement à la mise en œuvre. LE CAS PARTICULIER DU TRANSFERT DE DONNEES PERSONNELLES VERS DES PAYS NON MEMBRES DE L’UNION EUROPEENNE Même en présence d’un correspondant PDCP, le transfert de données à caractère personnel à destination d’un Etat non membre de Communauté européenne doit être déclaré à la CNIL . LA DESIGNATION LES SECTEURS D’ACTIVITE La fonction de correspondant peut être mise en œuvre tant dans le secteur public que dans le secteur privé. LES PERSONNES PHYSIQUES La loi Informatique et libertés ne précise pas si le correspondant est une personne physique ou peut également être une personne morale. En faveur de la thèse « Correspondant personne physique », on peut arguer que « le correspondant (…) ne peut faire l’objet d’aucune sanction de la part de l’employeur du fait de l’accomplissement de sa mission » . De même, s’agissant de la dérogation concernant les traitements de données à caractère personnel aux fins de journalisme et d’expression littéraire et artistique, la loi précise que celle-ci est « subordonnée à la désignation par le responsable du traitement d’un correspondant à la protection des données appartenant à un organisme de la presse écrite ou audiovisuelle (…) » . La directive 95/46 laisse aux Etats membres le choix. Le considérant 49 énonce en effet que « des exonérations ou simplifications peuvent pareillement être prévues par les Etats membres dès lors qu’une personne désignée par le responsable du traitement des données s’assure que les traitements effectués ne sont pas susceptibles de porter atteinte aux droits et libertés des personnes concernées, que la personne ainsi détachée à la protection des données, employée ou non du responsable du traitement de données, doit être en mesure d’exercer ses fonctions en toute indépendance ». L’article 18 de la directive offre une possibilité de dérogation aux obligations de notification à l’autorité de contrôle « lorsque le responsable du traitement désigne (…) un détaché à la protection des données à caractère personnel (…) ». Il semble donc possible de désigner une personne morale pour assurer de manière indépendante la fonction de correspondant . Une interdiction ne présenterait aucun intérêt par rapport à l’esprit de la loi, puisque le correspondant n’est pas nécessairement un membre du personnel de l’organisme responsable du traitement. Par ailleurs, il suffirait de désigner une personne physique membre du personnel de la personne morale. UN EMPLOYE OU UN TIERS Dans le prolongement de la nature juridique du correspondant, se pose la problématique du lien entre ce dernier et l’organisme. Le principe est celui de « l’indépendance » du correspondant . A partir de ce critère, il est possible de retenir que le correspondant peut être un membre ou un tiers à l’organisme. Dans les deux cas, les parties sont liées par contrat, soit de travail, soit de prestation de services. Le choix offert par la directive (celle-ci précisant expressément la possibilité d’être employé ou non) est une nécessité afin de respecter la volonté du législateur de simplifier les formalités préalables face à des traitements de données à caractère personnel qui ne présentent pas de risques particuliers dans ce domaine. Ainsi, un groupe de sociétés ne doit pas être obligé de désigner un correspondant par filiale. LA DESIGNATION D’UN MEMBRE DE L’ORGANISME Cette dérogation devra faire l’objet d’une définition de mission. La mission devra être acceptée formellement par la personne désignée qui doit toujours pouvoir avoir la possibilité de refuser ou de mettre un terme à sa mission. En pratique, la mission de correspondant peut être envisagée naturellement parmi les membres des directions suivantes : – direction générale ; – direction juridique ; – direction de la déontologie ; – inspection ou contrôle général. En termes de poste, le correspondant doit jouir d’une grande indépendance tant intellectuelle que statutaire. Dans le secteur privé, on ne peut concevoir que la désignation d’un cadre, d’un dirigeant, du président ou du directeur général mandataire social ou salarié, et dans le secteur public, que celle d’un fonctionnaire . LA DESIGNATION D’UN TIERS Dans le cadre d’un groupe, une convention entre les deux entités doit définir : – les modalités de l’intervention du correspondant ; – les conséquences économiques de cette mise à disposition. S’agissant de la désignation d’un tiers, sans lien capitalistique, une convention devra régler les aspects techniques, économiques et juridiques de l’exercice de cette mission. Il semble que toute personne physique ou morale peut être désignée, telle que des prestataires de services, des avocats ou des experts comptables. L’INFORMATION DE LA DESIGNATION LA NOTIFICATION La forme Pour être opérationnelle, la désignation