Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

5è Assises du CIL : « Délégué à la protection des données à caractère personnel », le bilan européen

juin 2009 par Emmanuelle Lamandé

En ouverture des 5ème Assises du Correspondant Informatique et Libertés, l’heure était au bilan. Au sein de l’Union Européenne, 8 pays sur les 27 ont choisi de se doter, depuis quelques années, d’un « délégué à la protection des données ». Malgré un objectif similaire, chacun d’entre eux suit une ligne de conduite qui lui est propre. Pour l’occasion, l’AFCDP (Association Française des Correspondants à la protection des Données à caractère Personnel), organisatrice de l’événement, avait réuni plusieurs représentants de ces pays afin de faire le point et d’échanger sur la fonction de délégué et son évolution.

De gauche à droite : Gérard Lommel, Me Pascale Gelly, Me Alain Bensoussan, Catherine Leverrier, Patricia Blanc-Gonnet Jonason, Christoph Klug

En préambule, Me Pascale Gelly, Cabinet d’avocats Pascale Gelly, nous a présenté une vue synthétique des diverses approches prises par les différents pays européens pour se doter de la fonction de délégué. Pionnière depuis 1977, l’Allemagne est une référence en la matière, le délégué y est d’ailleurs obligatoire pour la plupart des organisations (les sociétés dont plus de 5 personnes ont accès aux traitements). Suite à la transposition de la directive de 1995, plusieurs pays ont choisi de se doter d’un « délégué à la protection de données » : la France, le Luxembourg, la Suède et les Pays-Bas, puis la Slovaquie, l’Estonie et la Hongrie. Au total, 8 pays sur 27 se sont inscrits dans la démarche au sein de l’Union Européenne. La Suisse a elle aussi choisi de modifier sa loi pour y intégrer la fonction de délégué.

En ce qui concerne l’évolution du nombre de délégués dans les différents pays, le bilan n’est pas éblouissant mais ne reflète pas la réalité, car bon nombre d’entreprises ont des personnes en charge de la protection des DCP, mais ceux-ci ne sont pas des délégués officiels.

Quel est le profil type du délégué européen ?

 C’est un « homme fort et équilibré » (en Suisse, il peut également s’agir d’une équipe), qui doit avoir un certain nombre de compétences et de connaissances. Au Luxembourg et en Hongrie, il doit avoir un diplôme universitaire. Il doit être « digne de confiance » Au Pays-Bas, « fiable » en Allemagne et « intègre » en Slovaquie. Comment peut-on vérifier que le délégué a bel et bien ces qualités ? Pour l’instant, il n’y a pas de certification de la fonction.
 C’est un « homme armé » : le Responsable du Traitement (RT) doit lui fournir les informations nécessaires à l’exercice de la fonction (France et Allemagne). Des moyens humains et matériels doivent lui être mis à disposition. Au Pays-Bas, les délégués peuvent être assistés dans leur mission. En Slovaquie, il a même une réelle autorité.
 C’est un « homme indépendant » : le délégué doit être libre et protégé. Il ne doit pas subir de désagréments ou de pression du fait de sa fonction. La fonction de délégué doit, de plus, être soutenue par l’autorité de contrôle.

Délégué à la protection des données personnelles, une profession à part entière…

Suite à cette présentation, une table ronde réunissant différents acteurs européens a permis de dresser un bilan sur la fonction de Délégué à la protection des données personnelles, quelques années après la mise en œuvre de cette fonction.

Pour Me Alain Bensoussan, Cabinet d’avocats Alain Bensoussan, c’est aujourd’hui « une vraie profession que nous avons devant nous ». Le CIL est arrivé à maturité. Personne ne remet en cause la fonction. Elle apparaît comme une fonction clé de la culture Informatique et Libertés. Le CIL n’est pas un dénonciateur, il est l’ambassadeur de la Loi Informatique et Libertés. Sa compétence devra être de plus en plus grande et aller vers une certification. Il doit à terme évoluer vers un caractère obligatoire. C’est un besoin, non pas pour l’aspect coercitif, mais pour faire comprendre plus rapidement sa nécessité. Il faudra en faire un commissaire et non plus un délégué. Cette profession à part entière devra être encadrée par une réglementation particulière.

En France, Catherine Leverrier est la CIL de Groupama depuis plus de 4 ans. Elle a été nommée à ce poste par le Comité Exécutif du groupe et a été rattachée au Secrétaire Général. Elle a en charge 49 entités différentes, aidée par 53 CRIL (Correspondant Relais Informatique et Libertés).

« Etre CIL est une mission difficile, pas impossible mais beaucoup plus difficile qu’imaginée au départ ». Les missions sont pourtant clairement définies (liste de traitement, respect Informatique et Libertés, conformité dans le traitement, gestion des droits d’accès,…), mais cette fonction est encore peu encadrée en France. On observe une grande disparité dans les entreprises entre les CIL, au niveau des compétences notamment. Un CIL doit, pour elle, avoir des compétences transversales :
 juridiques : connaître les différentes lois,
 techniques : pour comprendre les Systèmes d’Information,
 organisationnelles : il doit mettre en place des outils et des procédures,
 il doit avoir une connaissance parfaite de son entreprise et de son fonctionnement,
 être pédagogue : les gens connaissent mal la fonction, il faut sans cesse leur expliquer les choses,
 savoir être ferme et dire « non »,
 être diplomate et savoir communiquer avec le top management.

… qu’il faudrait encadrer par une certification

Pour Catherine Leverrier, le CIL doit être rattaché au plus haut niveau de l’entreprise afin que la fonction soit reconnue au sein de l’entreprise et qu’il ne dépende d’aucun département (juridique, technique,…). Dans son entreprise, elle a également tenue à ce que sa fonction apparaisse sur l’organigramme de la société.

La fonction de CIL est une fonction à part entière qui nécessite des moyens humains et matériels. Il faut largement communiquer sur la fonction de CIL car elle reste méconnue. Les échanges entre CIL, avec la CNIL, les médias, l’AFCDP, la recherche d’appuis, … autant d’aspects qui restent à développer. C’est une profession dont il faut faire la promotion, une profession encore très jeune qui se définit peu à peu et qu’il faudrait encadrer par une certification.

La Suède s’est intéressée aux problématiques de protection des DCP dès 1973, souligne Patricia Blanc-Gonnet Jonason, Université de Södertörns Högskola (Stockholm). Mais à son entrée dans l’Europe, elle a du s’adapter à la directive européenne de 1995. A l’heure actuelle, 6000 entités suédoises ont nommé un délégué, pour un pays de 9 millions d’habitants, le ratio est plutôt satisfaisant.

Le délégué suédois doit exercer ses fonctions de manière indépendante. Il a l’obligation de consulter l’autorité de contrôle lorsqu’il est incertain sur la loi de protection des DCP. Mais il n’a pas l’obligation de lui remettre un bilan annuel, ce qui lui laisse plus de temps pour la pédagogie.

L’arrivée des acteurs privés marque la nouveauté en Suède

Le délégué suédois est le plus souvent un juriste ou une personne qui a de bonnes connaissances informatiques. Le plus souvent, le délégué est interne à l’entreprise, néanmoins il existe aussi des sociétés qui fournissent des délégués externes. Aujourd’hui, certains acteurs privés proposent également des formations. Pour le moment, ce sont tous des anciens de l’autorité de contrôle suédoise. Qu’en sera-t-il plus tard ?

« De manière générale, le bilan est positif en terme de chiffres. 6000 entreprises ont nommé un délégué, soit une progression d’environ 5% par an. Nous n’avons pas la volonté d’accroître le nombre de délégués. L’an passé, 3300 fichiers de traitement ont été notifiés à l’autorité de contrôle suédoise, contre 70000 à l’autorité française ».

L’arrivée d’acteurs privés sur le marché de la formation marque une véritable nouveauté. Un phénomène à suivre de près… C’est important que l’autorité de contrôle ait le monopole et l’interprétation de la loi. Le développement d’un extranet pourrait également être une idée à développer entre les délégués et l’autorité de contrôle, car certaines informations ont besoin d’être privées.

Une loi simplifiée au Luxembourg depuis 2007

« Au Luxembourg, la loi du 2 août 2002 a introduit l’obligation de déclaration des fichiers et l’option alternative de désigner un délégué par le Responsable du Traitement », souligne Gérard Lommel, Président de la CNPD (Autorité de contrôle Luxembourgeoise). Pendant la première phase, entre 2003 à 2005, l’accent a été mis sur les formalités préalables. La commission nationale s’est attachée à faire connaître les obligations des RT. Pendant la 2ème phase, l’action de la CNPD s’est centrée sur la pratique quotidienne. Depuis 2005, la CNPD s’est focalisée sur la sensibilisation des citoyens, la gestion des plaintes et la guidance des acteurs publics et privés. Pour ce faire, une première campagne de communication et de promotion a été lancée, et les premiers contrôles ont été réalisés sur le terrain.

Dans la première version de la loi, dans un souci absolu de garantir son indépendance, le délégué ne pouvait pas être un salarié de l’entreprise, mais un consultant externe à l’entreprise. La loi du 27 juillet 2007 a permis de simplifier la loi et d’alléger les formalités prescrites. Elle admet aujourd’hui les délégués salariés, sauf en cas d’incompatibilité avec la fonction interne exercée au sein de l’entreprise. Il faut donner aux délégués les moyens et le temps de travailler et lui garantir une totale liberté et indépendance pour exercer sa fonction. L’employeur n’a pas le droit de sanctionner le délégué.

Le délégué a deux visages : tout d’abord, celui de correspondant et d’interlocuteur des plaignants, ensuite celui de conseiller et d’expert dans le domaine de la protection des DCP dans l’entreprise. Il sera amené à avoir un rôle plus important dans l’entreprise.

Le succès au Luxembourg reste limité puisque seuls 40 délégués sont en fonction (70 agréés). Cette fonction apparaît comme un apport qualitatif appréciable et aide au développement d’une culture « privacy » dans l’entreprise. Un niveau de formation universitaire est requis mais pas de certification. A l’heure actuelle, il n’existe pas encore d’association professionnelle.

Une composante à part entière de la stratégie de l’entreprise

Christoph Klug est le Managing Director de la GDD en Allemagne. Il s’agit de l’association allemande pour la protection et la sécurité des données, fondée en 1976. Elle compte aujourd’hui plus de 2000 membres. L’Allemagne est une référence en matière de délégué à la protection des données à caractère personnel, néanmoins ce n’est pas ce qui empêche les scandales en la matière. L’exemple récent de Deutsche Telecom en est la preuve.

Selon lui, il faut que la fonction du délégué à la protection des données se renforce et faire en sorte qu’il gagne encore plus en indépendance et soit protéger contre le renvoi. Ensemble les législateurs et les contrôleurs peuvent contribuer à une meilleure culture en Europe de la protection des données. Les entreprises doivent voir cette fonction comme une composante à part entière de la stratégie de l’entreprise, qui permet entre autres d’améliorer les mécanismes de conformité interne.
« Quelque soit l’intitulé de la fonction, l’important est que quelqu’un fasse le job » conclut-il.


Articles connexes:

Voir les articles précédents

    

Voir les articles suivants