Le correspondant à la protection des données
La loi du 6 août 2004 a profondément réformé et facilité le régime de traitement automatisé des données personnelles. Correspondant désigné, à la protection des données, le CPD réduit les risques liés à leur traitement.
Je m'abonne
Toute entreprise, toute administration, toute association dispose de
fichiers contenant des données personnelles, qu'il s'agisse d'informations sur
les clients, les fournisseurs, les
salariés, les administrés, les adhérents, etc. La loi du 6 août 2004, modifiant
la loi Informatique et Libertés de 1978, a profondément réformé le régime des
traitements automatisés de données personnelles. Pour faciliter la gestion de
ces traitements, la loi a créé le “correspondant à la protection des données”
(CPD) (1). Interlocuteur privilégié de la Commission nationale de
l'informatique et des libertés (Cnil), le CPD est chargé de s'assurer que les
obligations prévues par la loi Informatique et Libertés sont respectées au sein
de l'entité dans laquelle il travaille. Il doit en particulier dresser et
actualiser la liste des traitements automatisés de données personnelles, être
consulté avant la mise en œuvre de nouveaux traitements, gérer les réclamations
des personnes concernées, etc. Il peut également adresser des recommandations
au responsable des traitements. Par ailleurs, la désignation d'un CPD dispense
l'entité de certaines formalités de déclarations préalables prévues par la loi.
Mais profiter de ces avantages suppose le respect de certaines règles, qu'un
décret du 20 octobre 2005 a précisées.
Qui peut être désigné comme CPD ?
Toute personne, physique ou morale, à l'exception du responsable des traitements ou de son représentant légal, peut être désignée comme correspondant. Le CPD peut être extérieur à l'entreprise ou attaché à celle-ci. Dans ce cas, il n'est pas interdit qu'un CPD remplisse des missions pour plusieurs entités distinctes. Cela n'est possible que pour les entreprises en deçà d'un seuil que le décret fixe à cinquante personnes “chargées de la mise en œuvre ou [qui] ont directement accès aux traitements ou catégories de traitements automatisés”. Le critère ne sera pas facile à manier. Au-dessus de ce seuil, l'entreprise ne pourra désigner qu'un CPD qui lui soit “exclusivement attaché”. Toutefois, lorsque le responsable des traitements fait partie d'un groupe de sociétés, d'un groupement d'intérêt économique ou d'un organisme professionnel, le correspondant peut être choisi au sein de ces entités.
Comment désigner le correspondant ?
La désignation d'un correspondant à la protection des données est effectuée par le “responsable” des traitements de données à caractère personnel. Il peut s'agir du directeur du personnel ou du directeur informatique, par exemple. La désignation d'un CPD doit être notifiée à la Cnil par le responsable des traitements, soit par LRAR, soit par remise à la Cnil contre reçu, soit par voie électronique avec accusé de réception. L'instance représentative du personnel compétente doit être informée, préalablement, par LRAR. La notification précise l'identité et les coordonnées du responsable des traitements et du CPD?; les traitements ou catégories de traitements que le CPD supervisera?; la nature des liens juridiques entre le responsable des traitements et le CPD?; les qualifications de ce dernier et les mesures prises par le responsable des traitements pour que le CPD remplisse ses missions. L'accord écrit du CPD doit être annexé à la notification.
Quel est le statut du correspondant ?
Le correspondant exerce sa mission directement auprès du responsable des traitements, et ne reçoit aucune instruction pour l'exercice de sa mission. De plus, il ne doit pas exercer d'activité susceptible de provoquer un conflit d'intérêts avec sa mission. La Cnil peut mettre fin à la mission du CPD lorsqu'elle constate sa défaillance. De son côté, pour mettre fin à la mission du CPD, le responsable des traitements doit au préalable saisir la Cnil pour avis en indiquant les manquements dont le CPD s'est rendu coupable. Une procédure est prévue au cas où le CPD, sans défaillance de sa part, serait démissionnaire ou déchargé de ses fonctions. Désigner un CPD, c'est se doter des moyens de réduire les risques liés aux traitements de données personnelles, au lendemain d'une réforme en profondeur de la loi Informatique et Libertés.
