Chloé Torres et Hélène Legras (CIL Groupe AREVA) font le point sur la fonction de CIL dans l’entreprise dans un dossier spécial publié aux Cahiers de droit de l’entreprise (LexisNexis).
Pour être en conformité avec la réglementation Informatique et libertés, deux voies s’ouvrent aux entreprises : soit continuer à déclarer leurs traitements de données à caractère personnel auprès de la Cnil, soit s’en dispenser depuis 2004, pour les déclarations dites normales, en désignant un correspondant Informatique et libertés (communément appelé « CIL »).
La désignation d’un CIL est facultative en France. Les entreprises quelle que soit leur forme sociale, peuvent continuer à réaliser les formalités préalables auprès de la Cnil pour les traitements automatisés de données à caractère personnel qu’elles mettent en oeuvre. Les entreprises sont donc amenées à se poser la question de l’intérêt de désigner un CIL, puis des modalités de déploiement de sa mission.
Au sein des multinationales, les CIL rencontrent des problématiques particulières, notamment du fait des transferts de données à caractère personnel vers des filiales établies hors de l’Union européenne. La mission d’un CIL groupe est particulière dans la mesure où il est l’interlocuteur unique de plusieurs filiales auxquelles il n’est pas rattaché.
Les contrôles de la Cnil, instaurés dès 1978, ont été renforcés et encadrés lors de la réforme de 2004. Il est probable que la tendance s’intensifie. Ces possibilités d’actions font désormais partie de l’activité normale de la Cnil qui a réalisé 458 opérations de contrôle sur place en 2012. Les contrôles sont, par ailleurs, une priorité pour la Commission comme en témoigne le programme ambitieux des contrôles adopté par la Commission, le 19 mars 2013.
La proposition de règlement général sur la protection des données intervient afin de créer un cadre juridique harmonisé pour l’ensemble des pays de l’Union européenne. Parmi les points clés de la proposition figure l’obligation, sous certaines conditions tenant à la taille de l’entreprise ou aux traitements mis en oeuvre, de désigner un « délégué à la protection des données », CIL génération 2.
Chloé Torres et Hélène Legras, « Les aspects pratiques de la fonction de CIL dans l’entreprise » (Dossier spécial) Cahiers de droit de l’entreprise n° 6, LexisNexis, Novembre 2013.