JurisPedia - Contributions de cet utilisateur [fr]

Sélection des candidats à la radio numérique (fr)

2010-12-30T22:48:57Z

Céline C. : Nouvelle page : {{ébauche (fr)}} France > Droit des médias > Droit de la radiophonie framed| [[Catégorie:Fra...

{{ébauche (fr)}}
[[France]] > [[Droit des médias (fr)|Droit des médias]] > [[Droit de la radiophonie (fr)|Droit de la radiophonie]]
[[Image:fr_flag.png|framed|]]
[[Catégorie:France]][[Catégorie:Droit des médias (fr)|Droit des médias]][[Catégorie:Droit de la radiophonie (fr)]]

= L’introduction de la Radio Numérique Terrestre (RNT) en France =
== La Radio Numérique Terrestre ==
===Qu’est ce que la RNT ? ===
[[Développement de la radio numérique en 2009(fr)|Développement de la radio numérique en 2009]]<ref>[http://fr.jurispedia.org/index.php/D%C3%A9veloppement_de_la_radio_num%C3%A9rique_en_2009_%28fr%29#La_radio_num.C3.A9rique_terrestre_:_qu.E2.80.99est_ce_que_c.E2.80.99est_.3F]</ref>

=== Les catégories de radios ===
Il existe en France 5 catégories de radios privées définies par le CSA<ref> Les 5 catégories de radios définies par le CSA[http://www.csa.fr/infos/pdf/Auto_Radio_1.pdf]</ref>

* Catégorie A : Services associatifs éligibles au fonds de soutien
Relèvent de cette catégorie les services éligibles au fonds de soutien à l'expression radiophonique
(FSER) <ref> Créé par la loi n° 82-652 du 29 juillet 1982, le Fonds de soutien à l’expression radiophonique est alimenté par une taxe parafiscale perçue sur les recettes publicitaires radiodiffusées et télévisuelles.</ref> dont les ressources commerciales provenant de messages diffusés à l'antenne et présentant le caractère de publicité de marque ou de parrainage sont inférieures à 20 % de leur chiffre d'affaires.
Ces radios ont pour vocation d'être des radios de proximité, des radios communautaires, culturelles ou scolaires.

* Catégorie B : Services locaux ou régionaux indépendants et ne diffusant pas de programme national identifié
Par locaux ou régionaux, on entend des services diffusés par des opérateurs locaux ou régionaux et dont la zone de desserte ne couvre pas une population de plus de six millions d'habitants.
Les services locaux ou régionaux indépendants se caractérisent en outre par la présence dans leurs émissions d'un programme d'intérêt local d'une durée quotidienne, hors publicité, d'au moins quatre heures, diffusées entre 6h et 22h.

* Catégorie C : Services locaux ou régionaux diffusant le programme d'un réseau thématique à vocation nationale
Par locaux ou régionaux, on entend des services diffusés par des opérateurs locaux ou régionaux et dont la zone de desserte ne couvre pas une population de plus de six millions d'habitants.

* Catégorie D : Services thématiques à vocation nationale
Cette catégorie comprend tous les services dont la vocation est la diffusion d'un programme thématique sur le territoire national sans décrochages locaux.

* Catégorie E : Services généralistes à vocation nationale
Cette catégorie comprend des services à vocation nationale et généraliste dont les programmes, d'une grande diversité de genres et de contenus, font une large part à l'information : les candidats doivent décrire avec précision les différentes catégories d'émissions.
Ces services peuvent effectuer des décrochages d'une durée totale quotidienne inférieure à une heure destinés à la diffusion d'informations locales.

=== Les avantages de la RNT ===

S’il y avait un réel intérêt à faire évoluer l’offre radiophonique hertzienne française, ce serait pour plusieurs raisons :

* La première raison, majeure, serait l’avantage du consommateur. La RNT permettrait effectivement d’avoir accès à un plus grand choix de radios dans un certain nombre de zones.
* La seconde serait l’intérêt des radios à vocation nationale qui pourraient sensiblement étendre le nombre de villes où elles sont diffusées.
* De plus, la RNT ne pourrait-elle pas à la fois par des postes, des offres et des fonctionnalités nouveaux donner une nouvelle jeunesse à la radio ?

== Le cadre juridique de la RNT ==
Le cadre législatif de la radio numérique est issu de la loi n° 2004-669 du 9 juillet 2004<ref> Loi n°2004-669 du 9 juillet 2004 relative aux communications électroniques et aux services de communication audiovisuelle[http://www.legifrance.gouv.fr/affichTexte.do?cidTexte=JORFTEXT000000439399&fastPos=1&fastReqId=884715444&categorieLien=cid&oldAction=rechTexte]</ref> relative aux communications électroniques et aux services de communication audiovisuelle, qui a défini au sein de la loi n° 86-1067 du 30 septembre 1986 <ref> Loi n°86-1067 du 30 septembre 1986 relative à la liberté de communication[http://www.legifrance.gouv.fr/affichTexte.do?cidTexte=JORFTEXT000000512205&fastPos=1&fastReqId=1597870746&categorieLien=cid&oldAction=rechTexte]</ref> relative à la liberté de communication, des procédures d’autorisation adaptées aux caractéristiques des différentes technologies existantes (par exemple, les modalités de sélection des services sont différentes selon qu’il s’agit de services multiplexés ou non, en simulcast avec un signal analogique ou non).
En raison de la grande variété des technologies de diffusion disponibles sur le marché, le cadre législatif est évolutif afin de ne pas préjuger d’une part de la mise en œuvre des technologies et des bandes de fréquences (« neutralité technologique ») et de permettre d’autre part différents scénarios de mise en œuvre, à savoir l’extension des zones de couvertures des services existants, un enrichissement de l’offre de services par des données associées et des nouveaux programmes et, à long terme, la migration généralisée de l’analogique vers le numérique.
La loi n° 2007-309 du 5 mars 2007<ref>Loi n°2007-309 du 5 mars 2007 relative à la modernisation de la diffusion audiovisuelle et à la télévision du futur [http://www.legifrance.gouv.fr/affichTexte.do?cidTexte=JORFTEXT000000248397&fastPos=1&fastReqId=1216673684&categorieLien=cid&oldAction=rechTexte] </ref> relative à la modernisation de la diffusion audiovisuelle et à la télévision du futur est venue compléter ce cadre en complétant à nouveau la loi de 1986.
=== Les procédures d’attribution de la ressource radioélectrique ===
« Une consultation publique préalable aux procédures d’attribution est organisée par le Conseil supérieur de l’audiovisuel (CSA) afin de constater les ressources en fréquences disponibles, recueillir les attentes des opérateurs et déterminer la méthode d’attribution ». (nouvel article 28-4 de la loi n° 86-1067 du 30 septembre 1986 relative à la liberté de communication)

Cette consultation permet au CSA de procéder à une analyse des ressources radioélectriques disponibles et de recueillir les attentes des éditeurs et des distributeurs de services de radio en matière d’utilisation des ressources radioélectriques et de choix des normes techniques.

A l’issue de cette consultation, dont les conclusions sont rendues publiques, et en fonction des ressources radioélectriques disponibles, le Conseil détermine les modalités d’attribution des fréquences, et indique en particulier si les déclarations de candidatures doivent être présentées par des éditeurs de services ou par des distributeurs de services.

De telles consultations peuvent être relancées, notamment au gré de l’apparition de nouvelles technologies de diffusion ou de la disponibilité de nouvelles bandes de fréquences.
« Dans le cas de technologies de diffusion numérique où une même fréquence n’est pas partagée par plusieurs services, les modalités d’attribution des fréquences sont les mêmes que celles qui s’appliquent actuellement pour les attributions de fréquences terrestres aux radios en mode analogique » (article 29 de la loi de 1986).

« Une nouvelle procédure a été créée pour l’attribution des fréquences lorsqu’une même fréquence est partagée par plusieurs services diffusés par voie hertzienne terrestre en mode numérique. Cette procédure permet d’attribuer la ressource radioélectrique à des éditeurs de services ou à des distributeurs de services, en fonction des conclusions des consultations publiques menées sur la base de l’article 28-4 précité » (nouvel article 29-1).

« Le CSA peut également autoriser le simulcast en mode numérique d’un service analogique sur une même ressource radioélectrique, hors appel aux candidatures » (nouvel article 29-2).

« Le service public dispose, comme en radio analogique terrestre, d’une priorité d’accès à la ressource hertzienne » (article 26).

=== La durée maximale des autorisations pour des éditeurs et distributeurs de services de radio numérique ===
La durée maximale des autorisations pour les éditeurs et distributeurs de services de radio numérique autorisés en vertu de l’article 29-1 est de 10 ans. Ces autorisations peuvent être reconduites par le CSA hors appel aux candidatures, dans la limite de deux fois et chaque fois pour cinq ans, selon le régime préexistant de l’article 28-1 de la loi du 30 septembre 1986.
Par ailleurs, les services déjà autorisés en mode analogique et faisant l’objet d’une autorisation d’émettre en mode numérique à l’occasion des premiers appels à candidatures du CSA en application des dispositions de l’article 29-1 se voient accorder une prolongation de plein droit de leurs autorisations d’émettre en mode analogique de 5 ans.
=== Le dispositif anti-concentration ===
En complément du plafond inscrit au premier alinéa de l’article 41 de la loi de 1986 et fixé à 150 millions et d’habitants s’appliquant aux services de radio en mode analogique, est introduit un second seuil, indépendant du premier, concernant l’audience potentielle des services de radio, quel que soit leur mode de diffusion.
Ainsi, un même opérateur ne pourra détenir plus de 20 % de l’audience potentielle, c’est-à-dire du rapport entre la somme des audiences potentielles (population couverte) des services diffusés par voie hertzienne terrestre qu’il contrôle, et la somme des audiences potentielles de tous les services de radio, publics et privés confondus diffusés par voie hertzienne terrestre, en mode analogique ou numérique (avant dernier alinéa de l’article 41).
=== L’attribution légale des bandes III et L pour la radio numérique ===
La loi n° 2007-309 du 5 mars 2007 relative à la modernisation de la diffusion audiovisuelle et à la télévision du futur a consacré, à l’article 29-1 de la loi du 30 septembre 1986 qu’elle complète, les bandes de fréquences VHF (ou bande III) et L pour la radio numérique, en prévoyant qu’une part significative des fréquences disponibles ou libérées par l’extinction de la télévision analogique dans ces bandes de fréquences est destinée aux services de radio numérique.
== Les consultations publiques ==
=== Première consultation publique du 22 avril 2005 ===
Réuni en assemblée plénière le 22 avril 2005, le CSA a décidé de lancer la consultation publique<ref> Consultation publique du 22 avril 2005[http://www.csa.fr/actualite/decisions/decisions_detail.php?id=25162]</ref> prévue par l’art. 28-4 de la loi du 30 septembre 1986 relative à la liberté de communication. Cette consultation visait à recueillir l’avis des professionnels du secteur sur les différentes hypothèses de déploiement de la radio numérique. Parmi ces avis, 47 contributions ont été reçues par le CSA. Ces contributions comprenaient trois grands axes de réflexion principaux :

* Le cadre technologique de la RNT (bande III et bande L)
* Les modèles économiques et usages de la RNT (notamment sur la nécessité d’enrichir l’offre sans pour autant que l’équilibre du secteur ne soit remis en cause et sur la gratuité du service radio)
* Le déploiement pour la numérisation des services de radio (déploiement sur les réseaux terrestres existants, passage rapide à une diffusion numérique en plein canal en ondes moyennes ou longues, organisation d’appels aux candidatures successifs sur plusieurs agglomérations ou organisation selon deux types d’appels).

En février 2006, le CSA a publié une synthèse de ces réponses<ref> Synthèse des contributions à la consultation publique du 22 avril 2005[http://www.csa.fr/upload/publication/synthese_radio_numerique.pdf ]</ref>.

=== Deuxième consultation publique du 3 octobre 2006 ===
Les résultats de la précédente étude ont conduit le Conseil à ouvrir une nouvelle consultation publique du 3 octobre 2006<ref> Consultation publique en vue du lancement éventuel d'appels aux candidatures du 03 octobre 2006[http://www.csa.fr/actualite/decisions/decisions_detail.php?id=119511]</ref>, qui avait toujours pour objet de recueillir l’avis des acteurs du secteur sur les conditions à réunir pour assurer un succès durable de la radio numérique en France, en particulier dans le domaine de la planification des fréquences en bande III (VHF) et en bande L. La consultation abordait également l’organisation du déploiement des nouveaux services.
Le 9 février 2007, il a publié la synthèse des contributions reçues<ref> Synthèse des contributions à la consultation publique du 03 octobre 2006[http://www.csa.fr/upload/publication/csa_synthese_cp_radio_numerique.pdf]</ref>.

= La procédure d’appel et les dossiers de candidatures =
== Les caractéristiques de l’appel aux candidatures ==
=== Les catégories de services concernées par l’appel ===
* La définition d’un service de radio

Selon l’article 2 de la loi du 30 septembre 1986 modifiée, est considéré comme un service de radio : « tout service de communication au public par voie électronique destiné à être reçu simultanément par l’ensemble du public ou une catégorie de public et dont le programme principal est composé d’une suite ordonnée d’émissions comportant des sons ».

Un service de radio peut, en application des dispositions de l’article 29-1 de la loi du 30 septembre 1986 modifiée, être accompagné de données associées destinées à enrichir ou à compléter le programme principal.

* Les 5 catégories sont concernées

L’appel aux candidatures est ouvert à l’ensemble des catégories de radio. Bien que l’appel soit lancé sur 19 unités urbaines, les candidatures peuvent porter sur une partie de ces zones géographiques. Les modalités de déclarations de candidatures sont précisées dans le texte de l’appel.

* La détermination de la catégorie

La catégorie dans laquelle une candidature est présentée est un élément déterminant. Tout changement de catégorie qui surviendrait après la délivrance de l’autorisation sans l’accord du
Conseil supérieur de l’audiovisuel, pourrait tomber sous le coup des dispositions du premier alinéa de l’article 42-3 de la loi du 30 septembre 1986 modifiée, selon lesquelles l’autorisation peut être retirée, sans mise en demeure préalable, en cas de modification substantielle des données au vu desquelles elle a été délivrée.
Si le service ne remplit plus les critères propres à la catégorie pour laquelle il est autorisé, l’autorisation peut ne pas être reconduite.

* La définition du programme d’intérêt local

Les services des catégories A, B et C doivent diffuser un programme d’intérêt local. Une définition en est donnée à l’article 2 du décret du 9 novembre 1994<ref> Décret n°94-972 du 9 novembre 1994 relatif à l'accès à la publicité locale et au parrainage local des éditeurs de services de radio diffusés par voie hertzienne terrestre[http://www.legifrance.gouv.fr/affichTexte.do?cidTexte=JORFTEXT000000367583&fastPos=3&fastReqId=798574233&categorieLien=cid&oldAction=rechTexte]</ref>relatif à l’accès à la publicité locale et au parrainage local des services de radio autorisés :

« Sont considérés comme programmes d’intérêt local, dès lors qu’ils sont diffusés sur une zone dont la population est inférieure à six millions d’habitants et qu’ils sont réalisés localement par des personnels ou des services locaux directement rémunérés par le titulaire de l’autorisation, les émissions d’information locale, les émissions de services de proximité, les émissions consacrées à l’expression ou à la vie locale, les fictions radiophoniques et les émissions musicales, dont la composition ou l’animation ont un caractère local, et tous les programmes produits et diffusés localement par l’exploitant dans un but éducatif et culturel ».

=== La norme retenue ===

[[Développement de la radio numérique en 2009(fr)|Développement de la radio numérique en 2009]]<ref>[http://fr.jurispedia.org/index.php/D%C3%A9veloppement_de_la_radio_num%C3%A9rique_en_2009_%28fr%29#La_norme_T-DMB]</ref>

== Le déroulement de la procédure ==
=== Les critères pris en considération pour l’attribution des autorisations ===
* Sauvegarde du pluralisme des courants d’expression socioculturels
* Nécessité d’assurer une véritable concurrence et la diversité des opérateurs
* Expérience acquise par le candidat dans les activités de communication
* Financement et perspectives d’exploitation du service
* Des participations, directes ou indirectes, détenues par le candidat dans le capital d’une ou plusieurs régies publicitaires ou dans le capital d’une ou plusieurs entreprises éditrices de publications de presse
* De la contribution à la production de programmes réalisés localement
* De la cohérence des propositions formulées par les candidats en matière de regroupement technique avec d’autres services

=== Le respect par le candidat des autres dispositions de la loi du 30 septembre 1986 modifiée ===

* Obligations déontologiques et dispositions liées à la protection de l’enfance

Le titulaire est responsable du contenu des émissions qu’il programme. Dans le respect des principes constitutionnels de liberté d’expression et de communication ainsi que de l’indépendance éditoriale du titulaire, celui-ci veille au respect des principes déontologiques et des dispositions liées à la protection de l’enfance, inscrits à l’article 15 de la loi du 30 septembre 1986. Le Conseil veille à ce que les programmes de service de radio ne contiennent aucune incitation à la haine ou à la violence pour des raisons de race, de sexe, de mœurs, de religion ou de nationalité.

Le service de radio s’engage à respecter la recommandation du Conseil en date du 10 février 2004, visant à ce que « aucun service de radiodiffusion sonore ne doit diffuser entre 6 heures et 22 heures 30 de programmes susceptibles de heurter la sensibilité des auditeurs de moins de 16 ans ».

* Quotas de chansons françaises

Conformément au 2bis de l’article 28 de la loi du 30 septembre 1986 modifiée, la proportion substantielle d’œuvres musicales d’expression française ou interprétées dans une langue régionale en usage en France, doit atteindre au minimum 40 % de chansons d’expression française, dont la moitié au moins provenant de nouveaux talents ou des nouvelles productions, diffusées entre 6h30 et 22h30, dans la part de ses programmes composée de musique de variétés.

Par dérogation, le Conseil peut autoriser, pour des formats spécifiques, les proportions suivantes :

- soit, pour les radios spécialisées dans la mise en valeur du patrimoine musical, 60 % de titres francophones dont un pourcentage de nouvelle productions pouvant aller jusqu’à 10 % du total, avec au minimum un titre par heure en moyenne ;

- soit, pour les radios spécialisées dans la promotion des jeunes talents, 35 % de titres francophones dont 25 % au moins du total provenant de nouveaux talents.

* Règle de nationalité

L’article 40 de la loi du 30 septembre 1986 limite à 20 % la part du capital d’une société titulaire d’une autorisation, détenue par des personnes morales ou physiques extracommunautaires.

* Dispositions relatives à la concentration des médias

Cf supra « Le dispositif anti-concentration »

= La RNT dans les autres pays européens =
Si beaucoup de pays ont commencé l’expérience de la RNT, aucun n’a encore réussi de façon concluante à l’imposer comme le modèle dominant de la diffusion hertzienne.
== La situation en Espagne ==

L’Espagne utilise le système DAB depuis 1998, et les premières licences ont été accordées en mars 2000. Depuis cette date, le système est pourtant toujours à l’état expérimental. La RNT en Espagne a vu le jour par un décret du 23 juillet 1999.
A l’automne 2010, il apparaît que l’objectif de couverture de territoire initialement porté à 80% est en fait loin d’être assuré. En effet, à cette date, seulement 51% de la population est couverte par la RNT. Même si la plupart des grandes radios nationales émettent en numérique, la vente d’appareil en DAB reste toutefois très limitée. Les radios considèrent que le système DAB est dépassé par le DAB+, utilisé notamment au Royaume-Unis. Si l’Espagne décidait d’adopter la norme DAB+, les équipements numériques en DAB deviendraient alors eux-mêmes obsolètes.
== La situation au Danemark ==

Le Danemark est l’un des pays européens les plus en avance dans la mise en place de la RNT.
En 2010, 90% du territoire est couvert par la RNT, et 33% de la population a accès aux services de la RNT. Depuis son lancement officiel, le succès de la RNT repose surtout sur une forte campagne de promotion de la part de tous les médias pour ce nouveau mode de radiodiffusion. Cette campagne a notamment été renforcée en 2010 par une nouvelle aide de l’Etat de 1,35 millions d’euros.
Concernant l’arrêt de la FM, la décision prise par le gouvernement a été que la FM ne serait pas arrêtée avant au moins 10 ans.
== La situation en Allemagne ==
La RNT couvre actuellement 80% du territoire allemand. La norme initialement choisie était le DAB mais dès début 2010, les 16 Länder se sont mis d’accord pour migrer progressivement vers le DAB+. En Allemagne, le RNT apporte principalement une solution à la saturation de la bande FM dans les grandes villes. Il était prévu que la FM cesse d’exister en Allemagne dès 2010 mais l’absence d’équipement suffisant des foyers a repoussé l’échéance sans qu’une date nouvelle d’arrêt de la FM soit programmée.
= Les controverses =

== Les positions des acteurs concernés par la RNT ==

Par lettre de mission du 27 mai 2010, le Premier ministre a sollicité M. David KESSLER pour établir un rapport<ref> La Radio Numérique Terrestre, note d’étape d’octobre 2010 par M. David KESSLER [Rapport_d_etape_RNT David Kessler octobre 2010 .pdf]</ref>définissant les conditions d’un éventuel lancement de la RNT en France à la suite des difficultés rencontrées lors d’un processus déjà engagé. Dans ce rapport datant d’octobre 2010, M. KESSLER énumère notamment les positions des acteurs concernés par la RNT.

=== Les radios publiques ===

Radio France considère qu’elle est prête à démarrer la RNT. Au niveau de la couverture, Radio France rappelle que sa mission de service public lui fait obligation de couvrir en RNT jusqu’à 95% de la population.
Radio France estime que la norme TDMB, choisie par la France, a un certain nombre de qualités. Elle souligne toutefois que la FM reste une bonne norme. Pour cette raison, selon elle, tout poste numérique devrait pouvoir continuer à recevoir la FM, afin d’assurer une transition entre les technologies.

===Les radios privées nationales ===
Après avoir soutenu le projet de la RNT avec Radio France et notamment encouragé l’adoption de la norme TDMB, le Bureau de la radio, qui regroupe RTL, Lagardère, Nextradio et NRJ, a dorénavant fait connaître ses réserves. Ces radios nationales privées estiment en effet que la RNT soulève des problèmes économiques importants. Ces radios sont opposées à l’arrêt de la FM et ne souhaitent pas consacrer la totalité ou plus de la majorité de leur résultat à développer la RNT, alors que celle-ci ne permettra pas d’améliorer leur profitabilité, mais au contraire la dégradera.

Dans l’hypothèse où la RNT ne serait pas abandonnée, les radios privées nationales demandent 18 à 24 mois de moratoire, notamment afin de bénéficier de la reprise économique et seraient plutôt favorable à un déploiement très rapide.

=== Les radios régionales et multi-villes ===

Les radios indépendantes souhaitent que la RNT, pour être lancée, soit supérieure ou égale à la FM.
Parmi les radios multi-villes et régionales, l’une d’entre elles, SKYROCK se distingue par ses prises de position contre la RNT et en faveur d’un modèle de radio IP. Il faut souligner que l’adhésion la plus forte à la RNT relève de radios aujourd’hui présentes en réseau multi-villes mais bloquées dans leur développement par la saturation de la FM. Elles y voient sans aucun doute une possibilité d’extension de leur réseau dont la vocation est de toucher les principales villes du territoire.

===Les radios associatives ===

Les radios associatives, regroupées dans les fédérations CNRA et SNRL, sont partisanes de la RNT. En effet, elles estiment que la RNT permet d’offrir un avenir au modèle de la « radio associative » dans la continuité de l’analogique. Si la diffusion n’était plus qu’en mode IP, la question du financement par l’Etat des radios associatives pourrait se poser différemment, notamment dans la répartition de l’aide.
Malgré cet engouement pour la RNT de la part des radios associatives, notons qu’elles émettent toutefois quelques réserves. Elles sont notamment ouvertes à un changement de norme (DAB+). De plus, elles s’interrogent sur le modèle économique de la RNT. Pour finir, rappelons qu’elles sont, comme les autres radios, hostiles à l’arrêt immédiat de la FM.
=== Les diffuseurs ===

Les diffuseurs (TDF, VDL, TOWERCAST) sont, par principe, intéressés au développement de la RNT, puisqu’il s’agit pour eux d’un relais de croissance. Leur motivation au démarrage rapide de la radio numérique est cependant d’importance variable.

=== Les fabricants ===

Tout comme les diffuseurs, les organisations de fabricants d’électronique (SIMAVELEC, SECIMAVI) sont aussi intéressées au lancement de la RNT, l’une étant cependant nettement plus volontaire et optimiste que l’autre.

Le constructeur automobile RENAULT se dit prêt pour la RNT. Etant soumis à l’obligation juridique d’équiper à partir de 2013 les voitures de récepteurs, le constructeur automobile s’est engagé à installer un système multimédia avec un tuner TDMB et DAB, dès la fin 2012.

=== La Confédération Française pour la Promotion Sociale des Aveugles et Amblyopes (CFPSAA) ===
L’association pour la promotion sociale des aveugles et des malvoyants CFPSAA souhaite attirer l’attention sur le fait que, plus que les autres médias, la radio est indispensable à la vie des aveugles et des malvoyants, qui sont actuellement 1,7 millions en France. L’association souhaite que les fabricants de récepteurs de RNT développent un système dit de « vocalisation » qui leur garantisse un usage aisé.

==La RNT est-elle déjà dépassée ? ==
La RNT fait face à de nombreuses critiques, bien souvent économiques. M. David KESSLER, chargé de rédiger une note récapitulative sur la situation actuelle de la RNT en France en a souligné quelques unes dans son dernier rapport d’octobre 2010.
* La première critique concernant la RNT porte sur son coût pour les radios.
* Les opposants ou les critiques de la RNT soulignent ensuite que la FM a déjà apporté une explosion de l’offre.
* La plupart des radios estiment qu’un annonceur n’est pas prêt à payer davantage un auditeur numérique par rapport à un auditeur analogique.
* L’analogique permet une flexibilité du confort d’écoute, sans perte totale du son. Le numérique ne permettrait pas cette flexibilité.
* La dernière des grandes critiques concerne le renouvellement du parc de récepteurs radio. Le lancement de la RNT serait donc confronté à une double difficulté que n’a pas connue la TNT : le parc à renouveler est beaucoup plus vaste, et le renouvellement est peu dynamique, à cause précisément du suréquipement des auditeurs et de la longue durée de vie des transistors.

Trois professionnels, Marc TESSIER, ancien PDG de France Télévisions, Pierre BELLANGER, président fondateur de Skyrock, et Sylvain ANICHINI (ex-Radio France), consultant, spécialiste des technologies proposent, dans une tribune de septembre 2010<ref> Tribune accordée au magazine hebdomadaire Le Point [http://www.lepoint2.com/sons/pdf/radio-numerique.pdf]</ref>, d’en finir avec la RNT.
Selon eux, la meilleure distribution de la radio en France devrait combiner la bande FM, la radio sur IP et l'offre satellitaire européenne en cours d'élaboration qui permettrait de couvrir les zones géographiques mal desservies.

== La radio IP ==

Les opposants à la RNT sont partisans de la numérisation de la radio via la voie IP. Ils soulignent que la numérisation est d’ores et déjà engagée fortement pour la plupart des radios qui multiplient leurs programmes sur internet.

== Les contraintes de la RNT ==

L’on peut dénombrer principalement 3 grandes contraintes à la mise en place de la RNT.
Dans un premier temps, le marché de la publicité radio a connu plusieurs années de baisse. La crise économique a accentué cette baisse, si bien que de 2006 à 2009, le marché publicitaire radio est passé de 848 millions d’euros à 710 millions, soit une baisse de 138 millions.
Ensuite, il faut souligner que les radios commerciales, en particulier nationales, sont particulièrement sensibles à toute dépense supplémentaire qu’il faudrait engager, sans perspective d’un retour sur investissement.
Enfin, le dernier inconvénient que les grandes radios soulignent est celui de la concurrence. En effet, les radios existantes craignent toutes l’arrivée de nouveaux entrants, qui viendraient émietter davantage un marché publicitaire radio qui n’est pas structurellement dynamique.

==Les conditions de la bonne mise en œuvre de la RNT ==
Pour que la mise en place de la RNT soit une réussite, M. David KESSLER souligne dans sa note d’étape 4 conditions qui lui paraissent essentielles.
La RNT doit savoir conquérir son public autant du point de vue du renouvellement de son parc récepteur, de sa qualité sonore ou de sa campagne.
Il faut baisser son coût.
La RNT ne démarrera pas sans une incitation financière publique.
La RNT pourrait, techniquement, être lancée avec deux normes, TDMB et DAB+. Il y aurait, en effet, un intérêt à une évolution vers le DAB+ pour des raisons de coûts et de coordination européenne.

= Voir aussi =
= Liens externes =
= Références =
= Notes =
<references />

Projet:IREDIC/Articles à créer

2010-11-08T11:29:39Z

Céline C. : /* Droit des télécommunications */

Votre participation peut prendre plusieurs formes :
* Vous pouvez proposer un sujet qui devra être validé par le responsable du projet ;
* Vous pouvez aussi choisir l'un des sujets ci-dessous qui vous sont proposés ;
* Vous pouvez aussi prendre en charge un sous-thème déjà rédigé pour l'actualiser.
En tout état de cause, il importe de noter votre travail dans votre page ''Contributions'' afin que votre travail puisse être individualisé et validé.
Les sujets proposés sont classés sous les thémas suivants :

=[[Thema:Droit des médias en France|Droit des médias en général]]=

==Droit de la télévision==

==Droit de la radiophonie==

* L'[[antenne réceptrice de radiodiffusion (fr)|antenne réceptrice de radiodiffusion]]

==Droit de la presse==

* [[Délit de presse et moteur de recherches sur internet (fr)|Délits de presse et moteur de recherches sur internet]]

==Droit du cinéma==

==Droit de l’informatique et de l'internet==

==Droit des télécommunications==

* La [[sélection et la présélection de ligne (fr)|sélection et la présélection de ligne]]
* L'[[étendue du droit des radiocommunications (fr)|étendue du droit des radiocommunications]]
* La [[régulation verticale des réseaux de télécommunications (fr)|régulation verticale des réseaux de télécommunications]]
* L'[[installation des réseaux fibrés dans les copropriétés (fr)|installation des réseaux fibrés dans les copropriétés]]
* Le [[dégroupage de la boucle locale (fr)|dégroupage de la boucle locale]]
* La [[vente en gros d'abonnement (fr)|vente en gros d'abonnement (VGA)]]

==Droit d'auteur==

==Droit de la publicité==

Correspondant informatique et libertés dans les entreprises (fr)

2010-11-07T23:18:58Z

Céline C. : /* Le Correspondant Informatique et libertés (CIL) */

{{ébauche (fr)}}
[[France]] > [[Droit des médias (fr)|Droit des médias]] > [[Droit de l'informatique et de l'internet (fr)|Droit de l'informatique et de l'internet]]
[[Image:fr_flag.png|framed|]]
[[Catégorie:France]][[Catégorie:Droit des médias (fr)|Droit des médias]][[Catégorie:Droit de l'informatique et de l'internet (fr)]]

La loi du 6 août 2004 relative à la protection des personnes physiques à l'égard des traitements de données à caractère personnel, prévoit la possibilité pour un organisme public ou privé de nommer un « Correspondant à la protection des données à caractère personnel », couramment appelé « Correspondant Informatique et Libertés » (CIL). Le CIL représente, dans le paysage de la protection des données personnelles, un personnage-clé. En effet, désigner un correspondant permet certes de disposer d’un allègement des formalités administratives mais c’est surtout un moyen de s’assurer que l’informatique de l’organisation se développera sans danger pour les droits des usagers, des clients ou des salariés. C’est également une façon d’éviter de nombreux risques pour l’application du droit en vigueur.

= Historique juridique des données à caractère personnel =
== La Déclaration Universelle des Droits de l’Homme (1948) <ref>[http://www.un.org/fr/documents/udhr/ ''Déclaration Universelle des Droits de l’Homme''] sur le site de l'[[Organisation des Nations Unies (int)|Organisation des Nations Unies]]</ref> ==

Article 12 -
« Nul ne sera l'objet d'immixtions arbitraires dans sa vie privée, sa famille, son domicile ou sa correspondance, ni d'atteintes à son honneur et à sa réputation. Toute personne a droit à la protection de la loi contre de telles immixtions ou de telles atteintes. »

== La Convention Européenne des Droits de l’Homme et des Libertés fondamentales (1950) <ref> Convention Européenne des Droits de l'Homme et des Libertés fondamentales[http://conventions.coe.int/treaty/fr/Treaties/Html/005.htm ]</ref> ==

Article 8 – Droit au respect de la vie privée et familiale

« 1. Toute personne a droit au respect de sa vie privée et familiale, de son domicile et de sa correspondance.
2. Il ne peut y avoir ingérence d'une autorité publique dans l'exercice de ce droit que pour autant que cette ingérence est prévue par la loi et qu'elle constitue une mesure qui, dans une société démocratique, est nécessaire à la sécurité nationale, à la sûreté publique, au bien-être économique du pays, à la défense de l'ordre et à la prévention des infractions pénales, à la protection de la santé ou de la morale, ou à la protection des droits et libertés d'autrui. »

== La loi du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés <ref> Loi du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés [http://www.legifrance.gouv.fr/affichTexte.do;jsessionid=D7AC7F30557EA37898A73A63885BD865.tpdjo02v_2?cidTexte=JORFTEXT000000886460&dateTexte=20101107]</ref> ==

La loi n°78-17 relative à l'informatique, aux fichiers et aux libertés du 6 janvier 1978 (plus connue sous le nom de « loi Informatique et Libertés de 1978 » est une loi française promulguée à la suite de l'affaire SAFARI, et qui réglemente aujourd'hui notamment la pratique du fichage, manuel ou informatique. Elle institue notamment la Commission Nationale de l’Informatique et des libertés (CNIL) <ref> Site de la Commission Nationale de l'Informatique et des Libertés [http://www.cnil.fr/]</ref>, autorité chargée de veiller à la protection des données personnelles et de la vie privée. Dans ce cadre, la CNIL vérifie que la loi est respectée en contrôlant les applications informatiques, prononce des sanctions, établit des normes et propose au gouvernement des mesures législatives ou réglementaires de nature à adapter la protection des libertés et de la vie privée à l'évolution des techniques.
Article 1 –
« L'informatique doit être au service de chaque citoyen. Son développement doit s'opérer dans le cadre de la coopération internationale. Elle ne doit porter atteinte ni à l'identité humaine, ni aux droits de l'homme, ni à la vie privée, ni aux libertés individuelles ou publiques. »

== La Convention 108 du Conseil de l’Europe (25 janvier 1981) <ref> Convention 108 du Conseil de l'Europe [http://conventions.coe.int/treaty/fr/Treaties/html/108.htm]</ref> ==

Article 1er – Objet et but
« Le but de la présente Convention est de garantir, sur le territoire de chaque Partie, à toute personne physique, quelles que soient sa nationalité ou sa résidence, le respect de ses droits et de ses libertés fondamentales, et notamment de son droit à la vie privée, à l'égard du traitement automatisé des données à caractère personnel la concernant («protection des données»). »

== La Directive 95/46/CE du Parlement européen et du Conseil (24 octobre 1995) ==

C’est la [[directive (eu)|directive]]<ref>[[CELEX:31995L0046|''Directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données'']], [[Journal officiel (eu)|Journal officiel]] n° L 281 du 23/11/1995 p. 0031 - 0050</ref> relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données.
La directive 95/46/CE constitue le texte de référence, au niveau européen, en matière de protection des données à caractère personnel. Elle met en place un cadre réglementaire visant à établir un équilibre entre un niveau élevé de protection de la vie privée des personnes et la libre circulation des données à caractère personnel au sein de l'[[Union européenne]] (UE). Pour ce faire, la directive fixe des limites strictes à la collecte et à l'utilisation des données à caractère personnel, et demande la création, dans chaque [[État membre (eu)|État membre]], d'un organisme national indépendant chargé de la protection de ces données.

== La loi du 6 août 2004 relative à la protection des personnes physiques à l'égard des traitements de données à caractère personnel ==

La ''loi n° 2004-801 du 6 août 2004''<ref>[[JORF:JUSX0100026L|''Loi n°2004-801 du 6 août 2004 relative à la protection des personnes physiques à l'égard des traitements de données à caractère personnel et modifiant la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés'']] [[Journal officiel (fr)|JORF]] n°182 du 7 août 2004 page 14063 texte n° 2 </ref>, qui transpose dans le droit français les dispositions de la directive 95/46/CE<ref>[[CELEX:31995L0046|''op. cit.'']]</ref>, apporte de nombreuses modifications à la ''loi Informatique et Libertés''<ref>[http://www.legifrance.gouv.fr/affichTexte.do?cidTexte=LEGITEXT000006068624 ''Loi n° 78-17 du 6 Janvier 1978 relative à l'informatique, aux fichiers et aux libertés''], [[Journal officiel (fr)|JORF]] du 7 janvier 1978 page 227</ref>. Elle a été complétée par décrets du 20 octobre 2005 et du 25 mars 2007.
Grâce à la refonte de la loi Informatique et Libertés a été introduit le correspondant à la protection des données à caractère personnel couramment appelé « [[Correspondant informatique et libertés (fr)|Correspondant Informatique et Libertés]] » (CIL).

Article 22 –

« '''I.''' - À l'exception de ceux qui relèvent des dispositions prévues aux articles 25, 26 et 27 ou qui sont visés au deuxième alinéa de l'article 36, les traitements automatisés de données à caractère personnel font l'objet d'une déclaration auprès de la Commission nationale de l'informatique et des libertés. 
'''II.''' - Toutefois, ne sont soumis à aucune des formalités préalables prévues au présent chapitre : 
1° Les traitements ayant pour seul objet la tenue d'un registre qui, en vertu de dispositions législatives ou réglementaires, est destiné exclusivement à l'information du public et est ouvert à la consultation de celui-ci ou de toute personne justifiant d'un intérêt légitime ; 
2° Les traitements mentionnés au 3° du II de l'article 8. 
'''III.''' - Les traitements pour lesquels le responsable a désigné un correspondant à la protection des données à caractère personnel chargé d'assurer, d'une manière indépendante, le respect des obligations prévues dans la présente loi sont dispensés des formalités prévues aux articles 23 et 24, sauf lorsqu'un transfert de données à caractère personnel à destination d'un [[État (int)|État]] non membre de la Communauté européenne est envisagé. 
La désignation du correspondant est notifiée à la [[Commission nationale de l'informatique et des libertés (fr)|Commission nationale de l'informatique et des libertés]]. Elle est portée à la connaissance des instances représentatives du personnel. 
Le correspondant est une personne bénéficiant des qualifications requises pour exercer ses missions. Il tient une liste des traitements effectués immédiatement accessible à toute personne en faisant la demande et ne peut faire l'objet d'aucune sanction de la part de l'employeur du fait de l'accomplissement de ses missions. Il peut saisir la Commission nationale de l'informatique et des libertés des difficultés qu'il rencontre dans l'exercice de ses missions. 
En cas de non-respect des dispositions de la loi, le responsable du traitement est enjoint par la [[Commission nationale de l'informatique et des libertés (fr)|Commission nationale de l'informatique et des libertés]] de procéder aux formalités prévues aux articles 23 et 24. En cas de manquement constaté à ses devoirs, le correspondant est déchargé de ses fonctions sur demande, ou après consultation, de la Commission nationale de l'informatique et des libertés. 
'''IV.''' - Le responsable d'un traitement de données à caractère personnel qui n'est soumis à aucune des formalités prévues au présent chapitre communique à toute personne qui en fait la demande les informations relatives à ce traitement mentionnées aux 2° à 6° du I de l'article 31. »

== Le Décret n° 2005-1309 du 20 octobre 2005 <ref> Décret n° 2005-1309 du 20 octobre 2005 [http://www.legifrance.gouv.fr/affichTexte.do;jsessionid=D7AC7F30557EA37898A73A63885BD865.tpdjo02v_2?cidTexte=JORFTEXT000000241445&dateTexte=20070327]</ref> ==

Le décret n° 2005-1309 du 20 octobre 2005 est le décret d’application de la loi Informatique et Libertés modifiée en 2004.

Article 42 –

« La désignation d'un correspondant à la protection des données à caractère personnel par le responsable de traitements relevant des formalités prévues aux articles 22 à 24 de la loi du 6 janvier 1978 susvisée est notifiée à la Commission nationale de l'informatique et des libertés par lettre recommandée avec demande d'avis de réception ou par remise au secrétariat de la commission contre reçu, ou par voie électronique avec accusé de réception qui peut être adressé par la même voie. »

== Le Décret n° 2007-451 du 25 mars 2007 <ref> Décret n° 2007-451 du 25 mars 2007[http://www.legifrance.gouv.fr/affichTexte.do;jsessionid=D7AC7F30557EA37898A73A63885BD865.tpdjo02v_2?cidTexte=JORFTEXT000000824352&dateTexte=20101107]</ref> ==

Le décret n° 2007-451 modifie le décret n° 2005-1309 du 20 octobre 2005 pris pour l’application de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, modifiée par la loi n° 2004-801 du 6 août 2004.

= Le Correspondant Informatique et Libertés (CIL) =
== Les raisons de la désignation d'un CIL ==
La loi Informatique et Libertés et son décret d’application prévoient, pour les entreprises, les collectivités locales, les administrations ou les associations, la possibilité de nommer un Correspondant Informatique et Libertés.
La désignation d’un CIL, par le responsable des traitements, a plusieurs avantages : elle permet une meilleure application de la loi, une sécurité juridique, un allègement des formalités et une relation privilégiée avec la CNIL.

=== Une meilleure application de la loi ===
La première raison de la désignation d’un CIL au sein d’un organisme est celle de la sécurité juridique. En effet, le CIL permet de garantir la conformité de l’organisme à la loi, notamment la loi « Informatique et Libertés ». Cette désignation permet de mieux assurer les obligations imposées par la loi au responsable des traitements. Cette maîtrise des risques juridiques est d’autant plus importante que certains manquements à la loi du 6 janvier 1978 sont pénalement sanctionnés. Le responsable de traitements est notamment tenu d’assurer le respect des droits des personnes concernées : il doit ainsi leur fournir une information suffisante sur les traitements mis en œuvre. Il doit aussi veiller à ce que les données traitées ne soient utilisées qu’aux seules fins pour lesquelles elles sont collectées.
Enfin, il doit faire respecter la sécurité et la confidentialité de ces informations.
Le temps libéré du fait de la dispense de déclaration peut donc désormais être consacré à l’application pratique de la loi Informatique et Libertés. Le responsable de traitements dispose en la personne du CIL d’un interlocuteur spécialisé à même de le conseiller dans ses choix.

=== Une sécurité informatique ===
Une meilleure application de la loi signifie aussi une source de sécurité informatique renforcée au sein de l’organisme.
Le CIL doit veiller ainsi à ce que toutes les précautions utiles et nécessaires ont été prises pour préserver la sécurité des données. Il doit notamment empêcher que ces données soient altérées, endommagées ou communiquées à des personnes n’ayant aucune raison de les connaître.

=== Un allègement des formalités ===
Comme envisagé un peu plus haut, la désignation d’un CIL est un facteur de simplification des formalités administratives. En principe, les traitements automatisés de données à caractère personnel font l'objet d'une déclaration auprès de la CNIL (art. 23 et 24 de la loi du 6 janvier 1978). La désignation d’un CIL a pour effet d’exonérer les responsables de traitements de l’accomplissement de tout ou partie des formalités préalables leur incombant. L’on peut donc voir en la désignation d’un CIL un allègement considérable des formalités. Ainsi, une fois le CIL désigné, seuls les traitements soumis à autorisation ou avis préalable de la CNIL (traitements comportant des risques manifestes pour les droits des personnes) devront continuer à être déclarés. Les autres traitements devront simplement être référencés dans une liste tenue par le CIL et régulièrement mise à jour par ce dernier.
Notons cependant que la désignation d’un CIL n’emporte pas dispense de demander l’autorisation ou l’avis de la CNIL pour les traitements comportant des transferts de données personnelles hors de l’Union Européenne (art. 22 de la loi du 6 janvier 1978).

=== Une relation privilégiée avec la CNIL ===
Outre le fait que la désignation du CIL doit être notifiée à la CNIL, le correspondant bénéficie surtout d’une relation privilégiée avec cette dernière: il dispose en effet d’un accès personnalisé aux services l’autorité chargée de veiller à la protection des données personnelles et de la vie privée en France.
Le CIL dispose :
*d'une ligne téléphonique et d’une adresse électronique dédiées ;
*d'un extranet proposant des services exclusifs et notamment des forums de discussion et des outils pratiques.
Le CIL devra, par ailleurs, tenir certains documents à la disposition de la CNIL.
Considérant le CIL comme un acteur « relais », la CNIL conduit par ailleurs une vaste opération de communication et de pédagogie auprès des acteurs concernés par la désignation d’un CIL <ref> Les plus grandes entreprises françaises sont invitées à se doter de correspondants, mais aussi les collectivités locales à travers l’Association des maires de France. La CNIL a déjà signé des accords de partenariat avec l’ACFCI (Assemblée des chambres de commerce et d’industrie), la CPU (Conférence des présidents d’université) et l’Union des caisses nationales de Sécurité sociale (UCANSS), afin de conduire des actions de sensibilisation à la protection des données et de favoriser la diffusion de la culture informatique et libertés.</ref>.

== Les missions d'un CIL ==
Dans le cadre de ses fonctions au sein de l’organisme, le CIL doit notamment tenir une liste des traitements et veiller à la bonne application de la loi Informatique et Libertés. Aussi, d’autres missions, de convention expresse, peuvent lui être confiées.
=== Établir et actualiser une liste des traitements ===
Dans les trois mois suivant sa désignation, le CIL doit dresser une liste des traitements automatisés pour lesquels il a été désigné. Cette liste peut être tenue de manière informatisée.
==== Le contenu de la liste ====
La liste précise pour chaque traitement :
*Le nom et l’adresse du responsable du traitement et, le cas échéant, de son représentant ;
*La ou les finalités du traitement ;
*Le ou les services chargés de la mise en œuvre ;
*L’indication de la fonction de la personne ou du service auprès desquels s’exerce le droit d’accès ;
*Une description de la ou les catégories de personnes concernées et des données ou des catégories de données s’y rapportant ;
*Les destinataires ou les catégories de destinataires auxquels les données sont susceptibles d’être communiquées ;
*La durée de conservation des données traitées (art. 48 du décret du 20 octobre 2005).

==== La mise à jour de la liste ====
La liste, une fois constituée, doit être tenue à jour. Les traitements mis en œuvre après la désignation du CIL doivent également y être répertoriés au fur et à mesure. Le responsable des traitements doit aider le CIL dans cette mission en lui communiquant tous les éléments qui lui seraient nécessaires.
==== Tenir cette liste à disposition ====
La liste des traitements dispensés tenue par le CIL doit être accessible à toute personne en faisant la demande. Cette mise à disposition implique un droit de consultation et un droit de communication sans que le demandeur ait à en justifier le motif. Le responsable peut également décider d’effectuer spontanément cette publicité.
=== Veiller à l’application de la loi Informatique et Libertés ===
Le CIL est tenu de veiller à la bonne application de la loi Informatique et Libertés. Pour ce faire, il est tenu à plusieurs missions : des missions de conseil, de médiation ou d’alerte. Enfin, il doit rendre compte de son action à la CNIL.
==== Conseiller et recommander le responsable des traitements ====
Le correspondant est obligatoirement consulté préalablement à la mise en œuvre des traitements. Il tient donc un rôle de conseiller auprès du responsable des traitements. Pour la bonne mise en œuvre de cette relation, le responsable des traitements doit évidemment fournir au CIL tous les éléments lui permettant d’établir et d’actualiser régulièrement sa liste des traitements automatisés.
==== Diffuser « une culture Informatique et Libertés » ====
Le CIL veille également au respect du droit d’accès et d’opposition et à l’information des personnes sur leurs droits. A cette fin, il contribue à l’élaboration et à la bonne diffusion de notes d’information ou d’affiches afin de diffuser une « culture Informatique et Libertés ».
==== Constater les manquements ====
Le CIL informe le responsable des traitements des manquements constatés et le conseille dans la réponse à apporter pour y remédier. Dans certains cas, si le CIL rencontre des difficultés dans l’exercice de ses missions, il lui est possible de saisir la CNIL.
==== Rendre compte de son action à l’aide d’un bilan annuel ====
Le CIL doit établir un bilan annuel de ses activités qu’il présente au responsable des traitements et qu’il tient à disposition de la CNIL.
=== Autres missions ===
D’autres missions, de convention expresse, peuvent être confiées au CIL. Elles peuvent porter notamment sur l’extension de son champ de compétence, l’élaboration d’une politique de protection des données à caractère personnel spécifique ou même la sensibilisation des personnels de l’organisme aux dispositions de la loi sous forme de brochure par exemple.

== La désignation d'un CIL ==
C’est le décret d’application de la loi Informatique et Libertés, paru au journal officiel le 22 octobre 2005, qui précise les conditions de nomination du CIL.
=== Un salarié ou une personne extérieure ===
==== Un CIL interne ====
Le CIL doit, si possible, être un employé du responsable de traitement, car connaissant mieux, a priori, l’activité et le fonctionnement interne de son organisme, il est ainsi à même de veiller en temps réel à la bonne application des règles de protection des personnes et des conditions de mise en œuvre des traitements.

Si le recours à un correspondant externe est une solution qui peut être efficace pour les petites entités, pour de plus grosses structures, l’externalisation risque de ne pas répondre aux besoins de proximité et de disponibilité du CIL. Ainsi, lorsque plus de 50 personnes sont chargées de la mise en œuvre des traitements ou y ont directement accès, le choix du CIL externe est limité. Au-delà d’un certain seuil, seuls peuvent être choisis comme CIL des personnes se trouvant dans l’entourage économique de l’organisme qui le désigne.

Seul peut être désigné comme CIL :
*Un salarié de l’organisme,
*Un salarié d’une des entités du groupe de sociétés auquel appartient l’organisme,
*Un salarié du groupement d’intérêt économique dont est membre l’organisme,
*Une personne mandatée à cet effet par un organisme professionnel,
*Une personne mandatée à cet effet par un organisme regroupant des responsables de traitement d’un même secteur d’activité.

==== Un CIL externe ====
Il est donc aussi possible, sous les conditions indiquées ci-dessus, de désigner un CIL n’appartenant pas à l’organisme. Les possibilités de choix d’un CIL externe ne sont pas les mêmes pour tous les organismes.

Dans les petites structures, il peut être difficile de trouver parmi les salariés des personnes disposant des qualifications et compétences nécessaires pour exercer les fonctions de CIL. L’embauche d’un salarié ou l’affectation d’un salarié à cette tâche n’apparaît alors selon les cas ni possible ni nécessaire.
Ainsi, lorsque moins de 50 personnes sont chargées de la mise en œuvre des traitements ou y ont directement accès, le choix du CIL est libre : le correspondant peut être aussi bien un salarié de l’organisme ou d’une autre entité ou encore un professionnel indépendant.

=== Les compétences du CIL ===
La loi prévoit que le correspondant est une personne bénéficiant des qualifications requises pour exercer ses missions.

Article 22 de la loi du 6 janvier 1978 modifiée le 6 août 2004 :
« Le correspondant est une personne bénéficiant des qualifications requises pour exercer ses missions ».

Aucun agrément n’est prévu et aucune exigence de diplôme n’est fixée. Cependant, le correspondant doit disposer de compétences adaptées et le cas échéant, il doit les acquérir.

==== Les connaissances du CIL ====
Le CIL doit disposer de compétences adaptées à la taille et à l’activité du responsable de traitement. Ces compétences et qualifications doivent porter tant sur la législation relative à la protection des données à caractère personnel que sur l’informatique et les nouvelles technologies, sans oublier le domaine d’activité propre du responsable des traitements.
La connaissance de la loi Informatique et Libertés semble donc être primordiale. De plus, en informatique, une connaissance du vocabulaire et des métiers de l’informatique parait également nécessaire, de même que des différents modes de traitement des données.

==== Les formations du CIL ====
Lorsque le CIL ne dispose pas de l’ensemble des qualifications à la date de sa désignation, il doit les acquérir. Il appartient au responsable de traitement, en accord avec le CIL, de définir les formations nécessaires.
=== L’indépendance du CIL ===
Le correspondant doit exercer ses missions de manière indépendante : il est directement rattaché au responsable des traitements, il est protégé et ne peut exercer certaines fonctions pouvant engendrer des conflits d’intérêts.
==== Le correspondant est directement rattaché au responsable des traitements ====
Comme envisagé plus haut, le CIL et le responsable des traitements entretiennent des relations étroites. A cet égard, le CIL pourra apporter des conseils, des recommandations ou des alertes au responsable lors de la mise en œuvre des traitements ou dans l’instruction des plaintes.
==== Le correspondant est indépendant ====
Le CIL ne reçoit aucune instruction pour l’exercice de ses missions.
==== Le correspondant est protégé ====
Le CIL ne peut faire l’objet de sanctions de l’employeur du fait de l’exercice de ses missions, sauf en cas de manquements graves dûment constatés et qui lui soient directement imputables. La CNIL est gardienne de l’efficacité de cette protection : elle doit être avertie des raisons affectant la décision de fin des fonctions du CIL.
==== Les incompatibilités de fonctions ====
Notamment, le responsable de traitement ne peut être désigné comme CIL. D’autres fonctions pourraient s’avérer incompatibles : les fonctions impliquant une délégation de fait ou de droit des pouvoirs propres au responsable du traitement par exemple.

== Les modalités de désignation d'un CIL ==
=== L’information aux instances représentatives du personnel ===
Préalablement à la notification à la CNIL, le responsable de traitement doit informer les instances représentatives du personnel de sa décision de nomination du CIL. Cette information doit être effectuée par lettre recommandée avec avis de réception.
=== La notification à la CNIL ===
La notification à la CNIL doit contenir :
*Les nom, prénom, profession et coordonnées professionnelles du responsable des traitements, le cas échéant, ceux de son représentant, ainsi que ceux du CIL. Pour les personnes morales, la notification mentionne leur forme, leur dénomination, leur siège social ainsi que l’organe qui les représente légalement ;
*Lorsque le CIL est une personne morale, les mêmes renseignements concernant le préposé que la personne morale a désigné pour exercer les missions de CIL;
*Si la désignation est faite seulement pour certains traitements ou catégories de traitements, l’énumération de ceux-ci ;
*La nature des liens juridiques entre le CIL et la personne, l’autorité publique, le service ou l’organisme auprès duquel il est appelé à exercer ses fonctions ;
*Tout élément relatif aux qualifications ou références professionnelles du CIL et, le cas échéant, de son préposé en rapport avec cette fonction ;
*Les mesures prises par le responsable des traitements en vue de l’accomplissement par le CIL de ses missions en matière de protection des données ;

L’accord écrit de la personne désignée en qualité de CIL est annexé à la notification, qui peut se faire par voie électronique avec accusé de réception.

=== La prise d’effet de la désignation ===
La désignation d’un CIL prend effet un mois après la date de réception de la notification par la CNIL.
=== Modification, remplacement ou fin de fonctions ===
Toute modification substantielle affectant les informations mentionnées dans la désignation notifiée doit être portée à la connaissance de la CNIL par lettre recommandée avec demande d’avis de réception.
Il peut être mis fin aux fonctions du CIL à la demande de la CNIL ou de responsable de traitement ou à l’initiative du CIL lui-même.

==== A l’initiative de la CNIL lorsque le CIL manque aux devoirs de sa mission : ====
Lorsque la CNIL constate, après avoir recueilli ses observations, que le CIL manque aux devoirs de sa mission, elle demande au responsable de traitement de le décharger de ses fonctions.
==== A l’initiative du responsable de traitement lorsque le CIL manque aux devoirs de sa mission : ====
Le responsable de traitement doit alors saisir la CNIL pour avis par lettre recommandée comportant toutes les précisions relatives aux faits dont il est fait grief. Le responsable doit également notifier cette saisine au CIL par lettre recommandée en l’informant qu’il peut adresse ses observations à la CNIL.
La CNIL fait connaître son avis au responsable de traitement dans un délai d’un mois à compter de la réception de la saisine. Ce délai peut être renouvelé une fois sur décision motivée de son président.
==== A l’initiative du CIL démissionnaire : ====
Le responsable de traitement en informe la CNIL par une notification mentionnant en outre le motif de sa démission ou de sa décharge. Cette décision prend effet huit jours après sa date de réception par la CNIL.

== Les pouvoirs de contrôle de la CNIL ==
=== L’injonction de procéder aux formalités ===
Lorsque le responsable de traitement ne respecte pas les obligations mises à sa charge par la loi, le CNIL peut l’enjoindre de procéder aux formalités pour les traitements dispensés. Cette mesure ne met pas pour autant fin aux fonctions du CIL, qui reste saisi de ses autres missions.
=== Décharge du correspondant en cas de manquement grave du CIL ===
Cf ci-dessus « modification, remplacement ou fin des fonctions du CIL ».

== L'AFCDP <ref> Voir le site de l'AFCDP[http://www.afcdp.net/]</ref> ==

L’Association Française des Correspondants à la Protection des Données à Caractère Personnel (AFCDP) a été créée dès 2004, dans le contexte de la modification de la loi Informatique et Libertés qui a officialisé la nouvelle fonction du CIL.
L’association regroupe en mai 2010 plus de six cents professionnels et plus de 340 membres. Aussi, plusieurs groupes de travail participent de l’activité de l’association.
L’AFCDP s’est focalisée sur les objectifs suivants :
*Promouvoir la fonction du CIL et en faire un métier
*Proposer un cadre d’échanges en développant un réseau en France et à l’international
*Concevoir des outils, méthodes et pratiques utiles aux correspondants
*Défendre la fonction, en suivant le cadre juridique de la fonction, en ayant la primeur de l’information, en agissant pour faire valoir la position des professionnels <ref> Pour plus d'informations sur l'AFCDP, voir le guide "l'AFCDP se présente"[http://www.afcdp.net/IMG/pdf/AFCDP_se_presente_2010.pdf]</ref>.

== Actualités ==
Le 23 mars 2010, une proposition de loi <ref> Proposition de loi votée en première lecture au Sénat[http://www.senat.fr/petite-loi-ameli/2009-2010/331.html]</ref> a été votée en première lecture au Sénat. Ce texte, qui modifierait la loi relative à « l’informatique, aux fichiers et aux libertés », propose de rendre obligatoire le Correspondant Informatique et Libertés, prône le renforcement des sanctions de la CNIL et envisage la publication des « failles de sécurité ».
La Commission européenne vient de publier ses axes stratégiques concernant la révision de la Directive 95/46/CE pour la protection des données personnelles. A ce stade, la Commission européenne envisage notamment de rendre obligatoire la désignation du CIL car elle estime cet expert plus apte à mener des évaluations de protection de la vie privée et des données personnelles <ref> Axes stratégiques concernant la révision de la Directive 95/46/CE de la Commission européenne[http://europa.eu/rapid/pressReleasesAction.do?reference=IP/10/1462&format=HTML&aged=0&language=FR&guiLanguage=en]</ref> .
La Commission présentera également, en 2011, des propositions instaurant un nouveau cadre juridique général régissant la protection des données, que le Parlement européen et le Conseil devront ensuite négocier et adopter.

= Comparaison européenne et internationale =
Le correspondant informatique et libertés existe dans d'autres pays comme en [[Allemagne]] ([[Préposé à la Protection des Données (de)|''Datenschutzbeauftragter'']] (préposé à la protection des données) créé dans les années 1970), aux [[Pays-Bas]] ([[Délégué à la protection des données (nl)|''functionaris gegevensbescherming'']] (délégué à la protection des données)), en [[Suède]] ([[Délégué à la protection des données (se)|''personuppgiftsombud'']] (délégué à la protection des données)) ainsi qu’aux [[États-Unis]] ([[responsable en chef de la vie privée (us)|''Chief Privacy Officer'']] (responsable en chef de la vie privée)).

= Voir aussi =
{{moteur (fr)|"Correspondant informatique et libertés" OR CIL AND entreprise -CCI}}

= Liens externes =

* [http://www.cnil.fr/ Site de la Commission Nationale de l'Informatique et des Libertés]
* [http://www.afcdp.net/ Site de l'Association Française des Correspondants aux Données Personnelles]

= Références =
* [http://www.diplomatie.gouv.fr/fr/actions-france_830/droits-homme_1048/60eme-anniversaire-declaration-universelle-droits-homme_18925/colonne-droite_18938/textes-reference_18939/texte-integral-declaration-universelle-droits-homme_63105.html Déclaration Universelle des Droits de l’Homme]
* [http://conventions.coe.int/treaty/fr/Treaties/Html/005.htm Convention Européenne des Droits de l’Homme et des Libertés fondamentales]
* [http://www.legifrance.gouv.fr/affichTexte.do?cidTexte=JORFTEXT000000886460&fastPos=1&fastReqId=165178718&categorieLien=cid&oldAction=rechTexte Loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés]
* [http://conventions.coe.int/treaty/fr/Treaties/html/108.htm Convention 108 du Conseil de l’Europe]
* [http://europa.eu/legislation_summaries/information_society/l14012_fr.htm Directive 95/46/CE du Parlement européen et du Conseil]
* [http://www.legifrance.gouv.fr/affichTexte.do?cidTexte=JORFTEXT000000441676&fastPos=1&fastReqId=650042311&categorieLien=cid&oldAction=rechTexte Loi n° 2004-801 du 6 août 2004 relative à la protection des personnes physiques à l'égard des traitements de données à caractère personnel]
* [http://www.culture.gouv.fr/culture/infos-pratiques/droit-culture/procedure/pdf/2005-1309.pdf Décret n° 2005-1309 du 20 octobre 2005]
* [http://www.legifrance.gouv.fr/affichTexte.do?cidTexte=JORFTEXT000000824352&dateTexte= Décret n° 2007-451 du 25 mars 2007]

= Notes =
<references />

Correspondant informatique et libertés dans les entreprises (fr)

2010-11-07T23:16:56Z

Céline C. :

{{ébauche (fr)}}
[[France]] > [[Droit des médias (fr)|Droit des médias]] > [[Droit de l'informatique et de l'internet (fr)|Droit de l'informatique et de l'internet]]
[[Image:fr_flag.png|framed|]]
[[Catégorie:France]][[Catégorie:Droit des médias (fr)|Droit des médias]][[Catégorie:Droit de l'informatique et de l'internet (fr)]]

La loi du 6 août 2004 relative à la protection des personnes physiques à l'égard des traitements de données à caractère personnel, prévoit la possibilité pour un organisme public ou privé de nommer un « Correspondant à la protection des données à caractère personnel », couramment appelé « Correspondant Informatique et Libertés » (CIL). Le CIL représente, dans le paysage de la protection des données personnelles, un personnage-clé. En effet, désigner un correspondant permet certes de disposer d’un allègement des formalités administratives mais c’est surtout un moyen de s’assurer que l’informatique de l’organisation se développera sans danger pour les droits des usagers, des clients ou des salariés. C’est également une façon d’éviter de nombreux risques pour l’application du droit en vigueur.

= Historique juridique des données à caractère personnel =
== La Déclaration Universelle des Droits de l’Homme (1948) <ref>[http://www.un.org/fr/documents/udhr/ ''Déclaration Universelle des Droits de l’Homme''] sur le site de l'[[Organisation des Nations Unies (int)|Organisation des Nations Unies]]</ref> ==

Article 12 -
« Nul ne sera l'objet d'immixtions arbitraires dans sa vie privée, sa famille, son domicile ou sa correspondance, ni d'atteintes à son honneur et à sa réputation. Toute personne a droit à la protection de la loi contre de telles immixtions ou de telles atteintes. »

== La Convention Européenne des Droits de l’Homme et des Libertés fondamentales (1950) <ref> Convention Européenne des Droits de l'Homme et des Libertés fondamentales[http://conventions.coe.int/treaty/fr/Treaties/Html/005.htm ]</ref> ==

Article 8 – Droit au respect de la vie privée et familiale

« 1. Toute personne a droit au respect de sa vie privée et familiale, de son domicile et de sa correspondance.
2. Il ne peut y avoir ingérence d'une autorité publique dans l'exercice de ce droit que pour autant que cette ingérence est prévue par la loi et qu'elle constitue une mesure qui, dans une société démocratique, est nécessaire à la sécurité nationale, à la sûreté publique, au bien-être économique du pays, à la défense de l'ordre et à la prévention des infractions pénales, à la protection de la santé ou de la morale, ou à la protection des droits et libertés d'autrui. »

== La loi du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés <ref> Loi du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés [http://www.legifrance.gouv.fr/affichTexte.do;jsessionid=D7AC7F30557EA37898A73A63885BD865.tpdjo02v_2?cidTexte=JORFTEXT000000886460&dateTexte=20101107]</ref> ==

La loi n°78-17 relative à l'informatique, aux fichiers et aux libertés du 6 janvier 1978 (plus connue sous le nom de « loi Informatique et Libertés de 1978 » est une loi française promulguée à la suite de l'affaire SAFARI, et qui réglemente aujourd'hui notamment la pratique du fichage, manuel ou informatique. Elle institue notamment la Commission Nationale de l’Informatique et des libertés (CNIL) <ref> Site de la Commission Nationale de l'Informatique et des Libertés [http://www.cnil.fr/]</ref>, autorité chargée de veiller à la protection des données personnelles et de la vie privée. Dans ce cadre, la CNIL vérifie que la loi est respectée en contrôlant les applications informatiques, prononce des sanctions, établit des normes et propose au gouvernement des mesures législatives ou réglementaires de nature à adapter la protection des libertés et de la vie privée à l'évolution des techniques.
Article 1 –
« L'informatique doit être au service de chaque citoyen. Son développement doit s'opérer dans le cadre de la coopération internationale. Elle ne doit porter atteinte ni à l'identité humaine, ni aux droits de l'homme, ni à la vie privée, ni aux libertés individuelles ou publiques. »

== La Convention 108 du Conseil de l’Europe (25 janvier 1981) <ref> Convention 108 du Conseil de l'Europe [http://conventions.coe.int/treaty/fr/Treaties/html/108.htm]</ref> ==

Article 1er – Objet et but
« Le but de la présente Convention est de garantir, sur le territoire de chaque Partie, à toute personne physique, quelles que soient sa nationalité ou sa résidence, le respect de ses droits et de ses libertés fondamentales, et notamment de son droit à la vie privée, à l'égard du traitement automatisé des données à caractère personnel la concernant («protection des données»). »

== La Directive 95/46/CE du Parlement européen et du Conseil (24 octobre 1995) ==

C’est la [[directive (eu)|directive]]<ref>[[CELEX:31995L0046|''Directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données'']], [[Journal officiel (eu)|Journal officiel]] n° L 281 du 23/11/1995 p. 0031 - 0050</ref> relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données.
La directive 95/46/CE constitue le texte de référence, au niveau européen, en matière de protection des données à caractère personnel. Elle met en place un cadre réglementaire visant à établir un équilibre entre un niveau élevé de protection de la vie privée des personnes et la libre circulation des données à caractère personnel au sein de l'[[Union européenne]] (UE). Pour ce faire, la directive fixe des limites strictes à la collecte et à l'utilisation des données à caractère personnel, et demande la création, dans chaque [[État membre (eu)|État membre]], d'un organisme national indépendant chargé de la protection de ces données.

== La loi du 6 août 2004 relative à la protection des personnes physiques à l'égard des traitements de données à caractère personnel ==

La ''loi n° 2004-801 du 6 août 2004''<ref>[[JORF:JUSX0100026L|''Loi n°2004-801 du 6 août 2004 relative à la protection des personnes physiques à l'égard des traitements de données à caractère personnel et modifiant la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés'']] [[Journal officiel (fr)|JORF]] n°182 du 7 août 2004 page 14063 texte n° 2 </ref>, qui transpose dans le droit français les dispositions de la directive 95/46/CE<ref>[[CELEX:31995L0046|''op. cit.'']]</ref>, apporte de nombreuses modifications à la ''loi Informatique et Libertés''<ref>[http://www.legifrance.gouv.fr/affichTexte.do?cidTexte=LEGITEXT000006068624 ''Loi n° 78-17 du 6 Janvier 1978 relative à l'informatique, aux fichiers et aux libertés''], [[Journal officiel (fr)|JORF]] du 7 janvier 1978 page 227</ref>. Elle a été complétée par décrets du 20 octobre 2005 et du 25 mars 2007.
Grâce à la refonte de la loi Informatique et Libertés a été introduit le correspondant à la protection des données à caractère personnel couramment appelé « [[Correspondant informatique et libertés (fr)|Correspondant Informatique et Libertés]] » (CIL).

Article 22 –

« '''I.''' - À l'exception de ceux qui relèvent des dispositions prévues aux articles 25, 26 et 27 ou qui sont visés au deuxième alinéa de l'article 36, les traitements automatisés de données à caractère personnel font l'objet d'une déclaration auprès de la Commission nationale de l'informatique et des libertés. 
'''II.''' - Toutefois, ne sont soumis à aucune des formalités préalables prévues au présent chapitre : 
1° Les traitements ayant pour seul objet la tenue d'un registre qui, en vertu de dispositions législatives ou réglementaires, est destiné exclusivement à l'information du public et est ouvert à la consultation de celui-ci ou de toute personne justifiant d'un intérêt légitime ; 
2° Les traitements mentionnés au 3° du II de l'article 8. 
'''III.''' - Les traitements pour lesquels le responsable a désigné un correspondant à la protection des données à caractère personnel chargé d'assurer, d'une manière indépendante, le respect des obligations prévues dans la présente loi sont dispensés des formalités prévues aux articles 23 et 24, sauf lorsqu'un transfert de données à caractère personnel à destination d'un [[État (int)|État]] non membre de la Communauté européenne est envisagé. 
La désignation du correspondant est notifiée à la [[Commission nationale de l'informatique et des libertés (fr)|Commission nationale de l'informatique et des libertés]]. Elle est portée à la connaissance des instances représentatives du personnel. 
Le correspondant est une personne bénéficiant des qualifications requises pour exercer ses missions. Il tient une liste des traitements effectués immédiatement accessible à toute personne en faisant la demande et ne peut faire l'objet d'aucune sanction de la part de l'employeur du fait de l'accomplissement de ses missions. Il peut saisir la Commission nationale de l'informatique et des libertés des difficultés qu'il rencontre dans l'exercice de ses missions. 
En cas de non-respect des dispositions de la loi, le responsable du traitement est enjoint par la [[Commission nationale de l'informatique et des libertés (fr)|Commission nationale de l'informatique et des libertés]] de procéder aux formalités prévues aux articles 23 et 24. En cas de manquement constaté à ses devoirs, le correspondant est déchargé de ses fonctions sur demande, ou après consultation, de la Commission nationale de l'informatique et des libertés. 
'''IV.''' - Le responsable d'un traitement de données à caractère personnel qui n'est soumis à aucune des formalités prévues au présent chapitre communique à toute personne qui en fait la demande les informations relatives à ce traitement mentionnées aux 2° à 6° du I de l'article 31. »

== Le Décret n° 2005-1309 du 20 octobre 2005 <ref> Décret n° 2005-1309 du 20 octobre 2005 [http://www.legifrance.gouv.fr/affichTexte.do;jsessionid=D7AC7F30557EA37898A73A63885BD865.tpdjo02v_2?cidTexte=JORFTEXT000000241445&dateTexte=20070327]</ref> ==

Le décret n° 2005-1309 du 20 octobre 2005 est le décret d’application de la loi Informatique et Libertés modifiée en 2004.

Article 42 –

« La désignation d'un correspondant à la protection des données à caractère personnel par le responsable de traitements relevant des formalités prévues aux articles 22 à 24 de la loi du 6 janvier 1978 susvisée est notifiée à la Commission nationale de l'informatique et des libertés par lettre recommandée avec demande d'avis de réception ou par remise au secrétariat de la commission contre reçu, ou par voie électronique avec accusé de réception qui peut être adressé par la même voie. »

== Le Décret n° 2007-451 du 25 mars 2007 <ref> Décret n° 2007-451 du 25 mars 2007[http://www.legifrance.gouv.fr/affichTexte.do;jsessionid=D7AC7F30557EA37898A73A63885BD865.tpdjo02v_2?cidTexte=JORFTEXT000000824352&dateTexte=20101107]</ref> ==

Le décret n° 2007-451 modifie le décret n° 2005-1309 du 20 octobre 2005 pris pour l’application de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, modifiée par la loi n° 2004-801 du 6 août 2004.

= Le Correspondant Informatique et libertés (CIL) =
== Les raisons de la désignation d'un CIL ==
La loi Informatique et Libertés et son décret d’application prévoient, pour les entreprises, les collectivités locales, les administrations ou les associations, la possibilité de nommer un Correspondant Informatique et Libertés.
La désignation d’un CIL, par le responsable des traitements, a plusieurs avantages : elle permet une meilleure application de la loi, une sécurité juridique, un allègement des formalités et une relation privilégiée avec la CNIL.

=== Une meilleure application de la loi ===
La première raison de la désignation d’un CIL au sein d’un organisme est celle de la sécurité juridique. En effet, le CIL permet de garantir la conformité de l’organisme à la loi, notamment la loi « Informatique et Libertés ». Cette désignation permet de mieux assurer les obligations imposées par la loi au responsable des traitements. Cette maîtrise des risques juridiques est d’autant plus importante que certains manquements à la loi du 6 janvier 1978 sont pénalement sanctionnés. Le responsable de traitements est notamment tenu d’assurer le respect des droits des personnes concernées : il doit ainsi leur fournir une information suffisante sur les traitements mis en œuvre. Il doit aussi veiller à ce que les données traitées ne soient utilisées qu’aux seules fins pour lesquelles elles sont collectées.
Enfin, il doit faire respecter la sécurité et la confidentialité de ces informations.
Le temps libéré du fait de la dispense de déclaration peut donc désormais être consacré à l’application pratique de la loi Informatique et Libertés. Le responsable de traitements dispose en la personne du CIL d’un interlocuteur spécialisé à même de le conseiller dans ses choix.

=== Une sécurité informatique ===
Une meilleure application de la loi signifie aussi une source de sécurité informatique renforcée au sein de l’organisme.
Le CIL doit veiller ainsi à ce que toutes les précautions utiles et nécessaires ont été prises pour préserver la sécurité des données. Il doit notamment empêcher que ces données soient altérées, endommagées ou communiquées à des personnes n’ayant aucune raison de les connaître.

=== Un allègement des formalités ===
Comme envisagé un peu plus haut, la désignation d’un CIL est un facteur de simplification des formalités administratives. En principe, les traitements automatisés de données à caractère personnel font l'objet d'une déclaration auprès de la CNIL (art. 23 et 24 de la loi du 6 janvier 1978). La désignation d’un CIL a pour effet d’exonérer les responsables de traitements de l’accomplissement de tout ou partie des formalités préalables leur incombant. L’on peut donc voir en la désignation d’un CIL un allègement considérable des formalités. Ainsi, une fois le CIL désigné, seuls les traitements soumis à autorisation ou avis préalable de la CNIL (traitements comportant des risques manifestes pour les droits des personnes) devront continuer à être déclarés. Les autres traitements devront simplement être référencés dans une liste tenue par le CIL et régulièrement mise à jour par ce dernier.
Notons cependant que la désignation d’un CIL n’emporte pas dispense de demander l’autorisation ou l’avis de la CNIL pour les traitements comportant des transferts de données personnelles hors de l’Union Européenne (art. 22 de la loi du 6 janvier 1978).

=== Une relation privilégiée avec la CNIL ===
Outre le fait que la désignation du CIL doit être notifiée à la CNIL, le correspondant bénéficie surtout d’une relation privilégiée avec cette dernière: il dispose en effet d’un accès personnalisé aux services l’autorité chargée de veiller à la protection des données personnelles et de la vie privée en France.
Le CIL dispose :
*d'une ligne téléphonique et d’une adresse électronique dédiées ;
*d'un extranet proposant des services exclusifs et notamment des forums de discussion et des outils pratiques.
Le CIL devra, par ailleurs, tenir certains documents à la disposition de la CNIL.
Considérant le CIL comme un acteur « relais », la CNIL conduit par ailleurs une vaste opération de communication et de pédagogie auprès des acteurs concernés par la désignation d’un CIL <ref> Les plus grandes entreprises françaises sont invitées à se doter de correspondants, mais aussi les collectivités locales à travers l’Association des maires de France. La CNIL a déjà signé des accords de partenariat avec l’ACFCI (Assemblée des chambres de commerce et d’industrie), la CPU (Conférence des présidents d’université) et l’Union des caisses nationales de Sécurité sociale (UCANSS), afin de conduire des actions de sensibilisation à la protection des données et de favoriser la diffusion de la culture informatique et libertés.</ref>.

== Les missions d'un CIL ==
Dans le cadre de ses fonctions au sein de l’organisme, le CIL doit notamment tenir une liste des traitements et veiller à la bonne application de la loi Informatique et Libertés. Aussi, d’autres missions, de convention expresse, peuvent lui être confiées.
=== Établir et actualiser une liste des traitements ===
Dans les trois mois suivant sa désignation, le CIL doit dresser une liste des traitements automatisés pour lesquels il a été désigné. Cette liste peut être tenue de manière informatisée.
==== Le contenu de la liste ====
La liste précise pour chaque traitement :
*Le nom et l’adresse du responsable du traitement et, le cas échéant, de son représentant ;
*La ou les finalités du traitement ;
*Le ou les services chargés de la mise en œuvre ;
*L’indication de la fonction de la personne ou du service auprès desquels s’exerce le droit d’accès ;
*Une description de la ou les catégories de personnes concernées et des données ou des catégories de données s’y rapportant ;
*Les destinataires ou les catégories de destinataires auxquels les données sont susceptibles d’être communiquées ;
*La durée de conservation des données traitées (art. 48 du décret du 20 octobre 2005).

==== La mise à jour de la liste ====
La liste, une fois constituée, doit être tenue à jour. Les traitements mis en œuvre après la désignation du CIL doivent également y être répertoriés au fur et à mesure. Le responsable des traitements doit aider le CIL dans cette mission en lui communiquant tous les éléments qui lui seraient nécessaires.
==== Tenir cette liste à disposition ====
La liste des traitements dispensés tenue par le CIL doit être accessible à toute personne en faisant la demande. Cette mise à disposition implique un droit de consultation et un droit de communication sans que le demandeur ait à en justifier le motif. Le responsable peut également décider d’effectuer spontanément cette publicité.
=== Veiller à l’application de la loi Informatique et Libertés ===
Le CIL est tenu de veiller à la bonne application de la loi Informatique et Libertés. Pour ce faire, il est tenu à plusieurs missions : des missions de conseil, de médiation ou d’alerte. Enfin, il doit rendre compte de son action à la CNIL.
==== Conseiller et recommander le responsable des traitements ====
Le correspondant est obligatoirement consulté préalablement à la mise en œuvre des traitements. Il tient donc un rôle de conseiller auprès du responsable des traitements. Pour la bonne mise en œuvre de cette relation, le responsable des traitements doit évidemment fournir au CIL tous les éléments lui permettant d’établir et d’actualiser régulièrement sa liste des traitements automatisés.
==== Diffuser « une culture Informatique et Libertés » ====
Le CIL veille également au respect du droit d’accès et d’opposition et à l’information des personnes sur leurs droits. A cette fin, il contribue à l’élaboration et à la bonne diffusion de notes d’information ou d’affiches afin de diffuser une « culture Informatique et Libertés ».
==== Constater les manquements ====
Le CIL informe le responsable des traitements des manquements constatés et le conseille dans la réponse à apporter pour y remédier. Dans certains cas, si le CIL rencontre des difficultés dans l’exercice de ses missions, il lui est possible de saisir la CNIL.
==== Rendre compte de son action à l’aide d’un bilan annuel ====
Le CIL doit établir un bilan annuel de ses activités qu’il présente au responsable des traitements et qu’il tient à disposition de la CNIL.
=== Autres missions ===
D’autres missions, de convention expresse, peuvent être confiées au CIL. Elles peuvent porter notamment sur l’extension de son champ de compétence, l’élaboration d’une politique de protection des données à caractère personnel spécifique ou même la sensibilisation des personnels de l’organisme aux dispositions de la loi sous forme de brochure par exemple.

== La désignation d'un CIL ==
C’est le décret d’application de la loi Informatique et Libertés, paru au journal officiel le 22 octobre 2005, qui précise les conditions de nomination du CIL.
=== Un salarié ou une personne extérieure ===
==== Un CIL interne ====
Le CIL doit, si possible, être un employé du responsable de traitement, car connaissant mieux, a priori, l’activité et le fonctionnement interne de son organisme, il est ainsi à même de veiller en temps réel à la bonne application des règles de protection des personnes et des conditions de mise en œuvre des traitements.

Si le recours à un correspondant externe est une solution qui peut être efficace pour les petites entités, pour de plus grosses structures, l’externalisation risque de ne pas répondre aux besoins de proximité et de disponibilité du CIL. Ainsi, lorsque plus de 50 personnes sont chargées de la mise en œuvre des traitements ou y ont directement accès, le choix du CIL externe est limité. Au-delà d’un certain seuil, seuls peuvent être choisis comme CIL des personnes se trouvant dans l’entourage économique de l’organisme qui le désigne.

Seul peut être désigné comme CIL :
*Un salarié de l’organisme,
*Un salarié d’une des entités du groupe de sociétés auquel appartient l’organisme,
*Un salarié du groupement d’intérêt économique dont est membre l’organisme,
*Une personne mandatée à cet effet par un organisme professionnel,
*Une personne mandatée à cet effet par un organisme regroupant des responsables de traitement d’un même secteur d’activité.

==== Un CIL externe ====
Il est donc aussi possible, sous les conditions indiquées ci-dessus, de désigner un CIL n’appartenant pas à l’organisme. Les possibilités de choix d’un CIL externe ne sont pas les mêmes pour tous les organismes.

Dans les petites structures, il peut être difficile de trouver parmi les salariés des personnes disposant des qualifications et compétences nécessaires pour exercer les fonctions de CIL. L’embauche d’un salarié ou l’affectation d’un salarié à cette tâche n’apparaît alors selon les cas ni possible ni nécessaire.
Ainsi, lorsque moins de 50 personnes sont chargées de la mise en œuvre des traitements ou y ont directement accès, le choix du CIL est libre : le correspondant peut être aussi bien un salarié de l’organisme ou d’une autre entité ou encore un professionnel indépendant.

=== Les compétences du CIL ===
La loi prévoit que le correspondant est une personne bénéficiant des qualifications requises pour exercer ses missions.

Article 22 de la loi du 6 janvier 1978 modifiée le 6 août 2004 :
« Le correspondant est une personne bénéficiant des qualifications requises pour exercer ses missions ».

Aucun agrément n’est prévu et aucune exigence de diplôme n’est fixée. Cependant, le correspondant doit disposer de compétences adaptées et le cas échéant, il doit les acquérir.

==== Les connaissances du CIL ====
Le CIL doit disposer de compétences adaptées à la taille et à l’activité du responsable de traitement. Ces compétences et qualifications doivent porter tant sur la législation relative à la protection des données à caractère personnel que sur l’informatique et les nouvelles technologies, sans oublier le domaine d’activité propre du responsable des traitements.
La connaissance de la loi Informatique et Libertés semble donc être primordiale. De plus, en informatique, une connaissance du vocabulaire et des métiers de l’informatique parait également nécessaire, de même que des différents modes de traitement des données.

==== Les formations du CIL ====
Lorsque le CIL ne dispose pas de l’ensemble des qualifications à la date de sa désignation, il doit les acquérir. Il appartient au responsable de traitement, en accord avec le CIL, de définir les formations nécessaires.
=== L’indépendance du CIL ===
Le correspondant doit exercer ses missions de manière indépendante : il est directement rattaché au responsable des traitements, il est protégé et ne peut exercer certaines fonctions pouvant engendrer des conflits d’intérêts.
==== Le correspondant est directement rattaché au responsable des traitements ====
Comme envisagé plus haut, le CIL et le responsable des traitements entretiennent des relations étroites. A cet égard, le CIL pourra apporter des conseils, des recommandations ou des alertes au responsable lors de la mise en œuvre des traitements ou dans l’instruction des plaintes.
==== Le correspondant est indépendant ====
Le CIL ne reçoit aucune instruction pour l’exercice de ses missions.
==== Le correspondant est protégé ====
Le CIL ne peut faire l’objet de sanctions de l’employeur du fait de l’exercice de ses missions, sauf en cas de manquements graves dûment constatés et qui lui soient directement imputables. La CNIL est gardienne de l’efficacité de cette protection : elle doit être avertie des raisons affectant la décision de fin des fonctions du CIL.
==== Les incompatibilités de fonctions ====
Notamment, le responsable de traitement ne peut être désigné comme CIL. D’autres fonctions pourraient s’avérer incompatibles : les fonctions impliquant une délégation de fait ou de droit des pouvoirs propres au responsable du traitement par exemple.

== Les modalités de désignation d'un CIL ==
=== L’information aux instances représentatives du personnel ===
Préalablement à la notification à la CNIL, le responsable de traitement doit informer les instances représentatives du personnel de sa décision de nomination du CIL. Cette information doit être effectuée par lettre recommandée avec avis de réception.
=== La notification à la CNIL ===
La notification à la CNIL doit contenir :
*Les nom, prénom, profession et coordonnées professionnelles du responsable des traitements, le cas échéant, ceux de son représentant, ainsi que ceux du CIL. Pour les personnes morales, la notification mentionne leur forme, leur dénomination, leur siège social ainsi que l’organe qui les représente légalement ;
*Lorsque le CIL est une personne morale, les mêmes renseignements concernant le préposé que la personne morale a désigné pour exercer les missions de CIL;
*Si la désignation est faite seulement pour certains traitements ou catégories de traitements, l’énumération de ceux-ci ;
*La nature des liens juridiques entre le CIL et la personne, l’autorité publique, le service ou l’organisme auprès duquel il est appelé à exercer ses fonctions ;
*Tout élément relatif aux qualifications ou références professionnelles du CIL et, le cas échéant, de son préposé en rapport avec cette fonction ;
*Les mesures prises par le responsable des traitements en vue de l’accomplissement par le CIL de ses missions en matière de protection des données ;

L’accord écrit de la personne désignée en qualité de CIL est annexé à la notification, qui peut se faire par voie électronique avec accusé de réception.

=== La prise d’effet de la désignation ===
La désignation d’un CIL prend effet un mois après la date de réception de la notification par la CNIL.
=== Modification, remplacement ou fin de fonctions ===
Toute modification substantielle affectant les informations mentionnées dans la désignation notifiée doit être portée à la connaissance de la CNIL par lettre recommandée avec demande d’avis de réception.
Il peut être mis fin aux fonctions du CIL à la demande de la CNIL ou de responsable de traitement ou à l’initiative du CIL lui-même.

==== A l’initiative de la CNIL lorsque le CIL manque aux devoirs de sa mission : ====
Lorsque la CNIL constate, après avoir recueilli ses observations, que le CIL manque aux devoirs de sa mission, elle demande au responsable de traitement de le décharger de ses fonctions.
==== A l’initiative du responsable de traitement lorsque le CIL manque aux devoirs de sa mission : ====
Le responsable de traitement doit alors saisir la CNIL pour avis par lettre recommandée comportant toutes les précisions relatives aux faits dont il est fait grief. Le responsable doit également notifier cette saisine au CIL par lettre recommandée en l’informant qu’il peut adresse ses observations à la CNIL.
La CNIL fait connaître son avis au responsable de traitement dans un délai d’un mois à compter de la réception de la saisine. Ce délai peut être renouvelé une fois sur décision motivée de son président.
==== A l’initiative du CIL démissionnaire : ====
Le responsable de traitement en informe la CNIL par une notification mentionnant en outre le motif de sa démission ou de sa décharge. Cette décision prend effet huit jours après sa date de réception par la CNIL.

== Les pouvoirs de contrôle de la CNIL ==
=== L’injonction de procéder aux formalités ===
Lorsque le responsable de traitement ne respecte pas les obligations mises à sa charge par la loi, le CNIL peut l’enjoindre de procéder aux formalités pour les traitements dispensés. Cette mesure ne met pas pour autant fin aux fonctions du CIL, qui reste saisi de ses autres missions.
=== Décharge du correspondant en cas de manquement grave du CIL ===
Cf ci-dessus « modification, remplacement ou fin des fonctions du CIL ».

== L'AFCDP <ref> Voir le site de l'AFCDP[http://www.afcdp.net/]</ref> ==

L’Association Française des Correspondants à la Protection des Données à Caractère Personnel (AFCDP) a été créée dès 2004, dans le contexte de la modification de la loi Informatique et Libertés qui a officialisé la nouvelle fonction du CIL.
L’association regroupe en mai 2010 plus de six cents professionnels et plus de 340 membres. Aussi, plusieurs groupes de travail participent de l’activité de l’association.
L’AFCDP s’est focalisée sur les objectifs suivants :
*Promouvoir la fonction du CIL et en faire un métier
*Proposer un cadre d’échanges en développant un réseau en France et à l’international
*Concevoir des outils, méthodes et pratiques utiles aux correspondants
*Défendre la fonction, en suivant le cadre juridique de la fonction, en ayant la primeur de l’information, en agissant pour faire valoir la position des professionnels <ref> Pour plus d'informations sur l'AFCDP, voir le guide "l'AFCDP se présente"[http://www.afcdp.net/IMG/pdf/AFCDP_se_presente_2010.pdf]</ref>.

== Actualités ==
Le 23 mars 2010, une proposition de loi <ref> Proposition de loi votée en première lecture au Sénat[http://www.senat.fr/petite-loi-ameli/2009-2010/331.html]</ref> a été votée en première lecture au Sénat. Ce texte, qui modifierait la loi relative à « l’informatique, aux fichiers et aux libertés », propose de rendre obligatoire le Correspondant Informatique et Libertés, prône le renforcement des sanctions de la CNIL et envisage la publication des « failles de sécurité ».
La Commission européenne vient de publier ses axes stratégiques concernant la révision de la Directive 95/46/CE pour la protection des données personnelles. A ce stade, la Commission européenne envisage notamment de rendre obligatoire la désignation du CIL car elle estime cet expert plus apte à mener des évaluations de protection de la vie privée et des données personnelles <ref> Axes stratégiques concernant la révision de la Directive 95/46/CE de la Commission européenne[http://europa.eu/rapid/pressReleasesAction.do?reference=IP/10/1462&format=HTML&aged=0&language=FR&guiLanguage=en]</ref> .
La Commission présentera également, en 2011, des propositions instaurant un nouveau cadre juridique général régissant la protection des données, que le Parlement européen et le Conseil devront ensuite négocier et adopter.

= Comparaison européenne et internationale =
Le correspondant informatique et libertés existe dans d'autres pays comme en [[Allemagne]] ([[Préposé à la Protection des Données (de)|''Datenschutzbeauftragter'']] (préposé à la protection des données) créé dans les années 1970), aux [[Pays-Bas]] ([[Délégué à la protection des données (nl)|''functionaris gegevensbescherming'']] (délégué à la protection des données)), en [[Suède]] ([[Délégué à la protection des données (se)|''personuppgiftsombud'']] (délégué à la protection des données)) ainsi qu’aux [[États-Unis]] ([[responsable en chef de la vie privée (us)|''Chief Privacy Officer'']] (responsable en chef de la vie privée)).

= Voir aussi =
{{moteur (fr)|"Correspondant informatique et libertés" OR CIL AND entreprise -CCI}}

= Liens externes =

* [http://www.cnil.fr/ Site de la Commission Nationale de l'Informatique et des Libertés]
* [http://www.afcdp.net/ Site de l'Association Française des Correspondants aux Données Personnelles]

= Références =
* [http://www.diplomatie.gouv.fr/fr/actions-france_830/droits-homme_1048/60eme-anniversaire-declaration-universelle-droits-homme_18925/colonne-droite_18938/textes-reference_18939/texte-integral-declaration-universelle-droits-homme_63105.html Déclaration Universelle des Droits de l’Homme]
* [http://conventions.coe.int/treaty/fr/Treaties/Html/005.htm Convention Européenne des Droits de l’Homme et des Libertés fondamentales]
* [http://www.legifrance.gouv.fr/affichTexte.do?cidTexte=JORFTEXT000000886460&fastPos=1&fastReqId=165178718&categorieLien=cid&oldAction=rechTexte Loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés]
* [http://conventions.coe.int/treaty/fr/Treaties/html/108.htm Convention 108 du Conseil de l’Europe]
* [http://europa.eu/legislation_summaries/information_society/l14012_fr.htm Directive 95/46/CE du Parlement européen et du Conseil]
* [http://www.legifrance.gouv.fr/affichTexte.do?cidTexte=JORFTEXT000000441676&fastPos=1&fastReqId=650042311&categorieLien=cid&oldAction=rechTexte Loi n° 2004-801 du 6 août 2004 relative à la protection des personnes physiques à l'égard des traitements de données à caractère personnel]
* [http://www.culture.gouv.fr/culture/infos-pratiques/droit-culture/procedure/pdf/2005-1309.pdf Décret n° 2005-1309 du 20 octobre 2005]
* [http://www.legifrance.gouv.fr/affichTexte.do?cidTexte=JORFTEXT000000824352&dateTexte= Décret n° 2007-451 du 25 mars 2007]

= Notes =
<references />

Correspondant informatique et libertés dans les entreprises (fr)

2010-11-07T22:44:26Z

Céline C. : /* Liens externes */

{{ébauche (fr)}}
[[France]] > [[Droit des médias (fr)|Droit des médias]] > [[Droit de l'informatique et de l'internet (fr)|Droit de l'informatique et de l'internet]]
[[Image:fr_flag.png|framed|]]
[[Catégorie:France]][[Catégorie:Droit des médias (fr)|Droit des médias]][[Catégorie:Droit de l'informatique et de l'internet (fr)]]

= Historique juridique des données à caractère personnel =
== La Déclaration Universelle des Droits de l’Homme (1948) <ref>[http://www.un.org/fr/documents/udhr/ ''Déclaration Universelle des Droits de l’Homme''] sur le site de l'[[Organisation des Nations Unies (int)|Organisation des Nations Unies]]</ref> ==

Article 12 -
« Nul ne sera l'objet d'immixtions arbitraires dans sa vie privée, sa famille, son domicile ou sa correspondance, ni d'atteintes à son honneur et à sa réputation. Toute personne a droit à la protection de la loi contre de telles immixtions ou de telles atteintes. »

== La Convention Européenne des Droits de l’Homme et des Libertés fondamentales (1950) <ref> Convention Européenne des Droits de l'Homme et des Libertés fondamentales[http://conventions.coe.int/treaty/fr/Treaties/Html/005.htm ]</ref> ==

Article 8 – Droit au respect de la vie privée et familiale

« 1. Toute personne a droit au respect de sa vie privée et familiale, de son domicile et de sa correspondance.
2. Il ne peut y avoir ingérence d'une autorité publique dans l'exercice de ce droit que pour autant que cette ingérence est prévue par la loi et qu'elle constitue une mesure qui, dans une société démocratique, est nécessaire à la sécurité nationale, à la sûreté publique, au bien-être économique du pays, à la défense de l'ordre et à la prévention des infractions pénales, à la protection de la santé ou de la morale, ou à la protection des droits et libertés d'autrui. »

== La loi du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés <ref> Loi du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés [http://www.legifrance.gouv.fr/affichTexte.do;jsessionid=D7AC7F30557EA37898A73A63885BD865.tpdjo02v_2?cidTexte=JORFTEXT000000886460&dateTexte=20101107]</ref> ==

La loi n°78-17 relative à l'informatique, aux fichiers et aux libertés du 6 janvier 1978 (plus connue sous le nom de « loi Informatique et Libertés de 1978 » est une loi française promulguée à la suite de l'affaire SAFARI, et qui réglemente aujourd'hui notamment la pratique du fichage, manuel ou informatique. Elle institue notamment la Commission Nationale de l’Informatique et des libertés (CNIL) <ref> Site de la Commission Nationale de l'Informatique et des Libertés [http://www.cnil.fr/]</ref>, autorité chargée de veiller à la protection des données personnelles et de la vie privée. Dans ce cadre, la CNIL vérifie que la loi est respectée en contrôlant les applications informatiques, prononce des sanctions, établit des normes et propose au gouvernement des mesures législatives ou réglementaires de nature à adapter la protection des libertés et de la vie privée à l'évolution des techniques.
Article 1 –
« L'informatique doit être au service de chaque citoyen. Son développement doit s'opérer dans le cadre de la coopération internationale. Elle ne doit porter atteinte ni à l'identité humaine, ni aux droits de l'homme, ni à la vie privée, ni aux libertés individuelles ou publiques. »

== La Convention 108 du Conseil de l’Europe (25 janvier 1981) <ref> Convention 108 du Conseil de l'Europe [http://conventions.coe.int/treaty/fr/Treaties/html/108.htm]</ref> ==

Article 1er – Objet et but
« Le but de la présente Convention est de garantir, sur le territoire de chaque Partie, à toute personne physique, quelles que soient sa nationalité ou sa résidence, le respect de ses droits et de ses libertés fondamentales, et notamment de son droit à la vie privée, à l'égard du traitement automatisé des données à caractère personnel la concernant («protection des données»). »

== La Directive 95/46/CE du Parlement européen et du Conseil (24 octobre 1995) ==

C’est la [[directive (eu)|directive]]<ref>[[CELEX:31995L0046|''Directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données'']], [[Journal officiel (eu)|Journal officiel]] n° L 281 du 23/11/1995 p. 0031 - 0050</ref> relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données.
La directive 95/46/CE constitue le texte de référence, au niveau européen, en matière de protection des données à caractère personnel. Elle met en place un cadre réglementaire visant à établir un équilibre entre un niveau élevé de protection de la vie privée des personnes et la libre circulation des données à caractère personnel au sein de l'[[Union européenne]] (UE). Pour ce faire, la directive fixe des limites strictes à la collecte et à l'utilisation des données à caractère personnel, et demande la création, dans chaque [[État membre (eu)|État membre]], d'un organisme national indépendant chargé de la protection de ces données.

== La loi du 6 août 2004 relative à la protection des personnes physiques à l'égard des traitements de données à caractère personnel ==

La ''loi n° 2004-801 du 6 août 2004''<ref>[[JORF:JUSX0100026L|''Loi n°2004-801 du 6 août 2004 relative à la protection des personnes physiques à l'égard des traitements de données à caractère personnel et modifiant la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés'']] [[Journal officiel (fr)|JORF]] n°182 du 7 août 2004 page 14063 texte n° 2 </ref>, qui transpose dans le droit français les dispositions de la directive 95/46/CE<ref>[[CELEX:31995L0046|''op. cit.'']]</ref>, apporte de nombreuses modifications à la ''loi Informatique et Libertés''<ref>[http://www.legifrance.gouv.fr/affichTexte.do?cidTexte=LEGITEXT000006068624 ''Loi n° 78-17 du 6 Janvier 1978 relative à l'informatique, aux fichiers et aux libertés''], [[Journal officiel (fr)|JORF]] du 7 janvier 1978 page 227</ref>. Elle a été complétée par décrets du 20 octobre 2005 et du 25 mars 2007.
Grâce à la refonte de la loi Informatique et Libertés a été introduit le correspondant à la protection des données à caractère personnel couramment appelé « [[Correspondant informatique et libertés (fr)|Correspondant Informatique et Libertés]] » (CIL).

Article 22 –

« '''I.''' - À l'exception de ceux qui relèvent des dispositions prévues aux articles 25, 26 et 27 ou qui sont visés au deuxième alinéa de l'article 36, les traitements automatisés de données à caractère personnel font l'objet d'une déclaration auprès de la Commission nationale de l'informatique et des libertés. 
'''II.''' - Toutefois, ne sont soumis à aucune des formalités préalables prévues au présent chapitre : 
1° Les traitements ayant pour seul objet la tenue d'un registre qui, en vertu de dispositions législatives ou réglementaires, est destiné exclusivement à l'information du public et est ouvert à la consultation de celui-ci ou de toute personne justifiant d'un intérêt légitime ; 
2° Les traitements mentionnés au 3° du II de l'article 8. 
'''III.''' - Les traitements pour lesquels le responsable a désigné un correspondant à la protection des données à caractère personnel chargé d'assurer, d'une manière indépendante, le respect des obligations prévues dans la présente loi sont dispensés des formalités prévues aux articles 23 et 24, sauf lorsqu'un transfert de données à caractère personnel à destination d'un [[État (int)|État]] non membre de la Communauté européenne est envisagé. 
La désignation du correspondant est notifiée à la [[Commission nationale de l'informatique et des libertés (fr)|Commission nationale de l'informatique et des libertés]]. Elle est portée à la connaissance des instances représentatives du personnel. 
Le correspondant est une personne bénéficiant des qualifications requises pour exercer ses missions. Il tient une liste des traitements effectués immédiatement accessible à toute personne en faisant la demande et ne peut faire l'objet d'aucune sanction de la part de l'employeur du fait de l'accomplissement de ses missions. Il peut saisir la Commission nationale de l'informatique et des libertés des difficultés qu'il rencontre dans l'exercice de ses missions. 
En cas de non-respect des dispositions de la loi, le responsable du traitement est enjoint par la [[Commission nationale de l'informatique et des libertés (fr)|Commission nationale de l'informatique et des libertés]] de procéder aux formalités prévues aux articles 23 et 24. En cas de manquement constaté à ses devoirs, le correspondant est déchargé de ses fonctions sur demande, ou après consultation, de la Commission nationale de l'informatique et des libertés. 
'''IV.''' - Le responsable d'un traitement de données à caractère personnel qui n'est soumis à aucune des formalités prévues au présent chapitre communique à toute personne qui en fait la demande les informations relatives à ce traitement mentionnées aux 2° à 6° du I de l'article 31. »

== Le Décret n° 2005-1309 du 20 octobre 2005 <ref> Décret n° 2005-1309 du 20 octobre 2005 [http://www.legifrance.gouv.fr/affichTexte.do;jsessionid=D7AC7F30557EA37898A73A63885BD865.tpdjo02v_2?cidTexte=JORFTEXT000000241445&dateTexte=20070327]</ref> ==

Le décret n° 2005-1309 du 20 octobre 2005 est le décret d’application de la loi Informatique et Libertés modifiée en 2004.

Article 42 –

« La désignation d'un correspondant à la protection des données à caractère personnel par le responsable de traitements relevant des formalités prévues aux articles 22 à 24 de la loi du 6 janvier 1978 susvisée est notifiée à la Commission nationale de l'informatique et des libertés par lettre recommandée avec demande d'avis de réception ou par remise au secrétariat de la commission contre reçu, ou par voie électronique avec accusé de réception qui peut être adressé par la même voie. »

== Le Décret n° 2007-451 du 25 mars 2007 <ref> Décret n° 2007-451 du 25 mars 2007[http://www.legifrance.gouv.fr/affichTexte.do;jsessionid=D7AC7F30557EA37898A73A63885BD865.tpdjo02v_2?cidTexte=JORFTEXT000000824352&dateTexte=20101107]</ref> ==

Le décret n° 2007-451 modifie le décret n° 2005-1309 du 20 octobre 2005 pris pour l’application de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, modifiée par la loi n° 2004-801 du 6 août 2004.

= Le Correspondant Informatique et libertés (CIL) =
== Les raisons de la désignation d'un CIL ==
La loi Informatique et Libertés et son décret d’application prévoient, pour les entreprises, les collectivités locales, les administrations ou les associations, la possibilité de nommer un Correspondant Informatique et Libertés.
La désignation d’un CIL, par le responsable des traitements, a plusieurs avantages : elle permet une meilleure application de la loi, une sécurité juridique, un allègement des formalités et une relation privilégiée avec la CNIL.

=== Une meilleure application de la loi ===
La première raison de la désignation d’un CIL au sein d’un organisme est celle de la sécurité juridique. En effet, le CIL permet de garantir la conformité de l’organisme à la loi, notamment la loi « Informatique et Libertés ». Cette désignation permet de mieux assurer les obligations imposées par la loi au responsable des traitements. Cette maîtrise des risques juridiques est d’autant plus importante que certains manquements à la loi du 6 janvier 1978 sont pénalement sanctionnés. Le responsable de traitements est notamment tenu d’assurer le respect des droits des personnes concernées : il doit ainsi leur fournir une information suffisante sur les traitements mis en œuvre. Il doit aussi veiller à ce que les données traitées ne soient utilisées qu’aux seules fins pour lesquelles elles sont collectées.
Enfin, il doit faire respecter la sécurité et la confidentialité de ces informations.
Le temps libéré du fait de la dispense de déclaration peut donc désormais être consacré à l’application pratique de la loi Informatique et Libertés. Le responsable de traitements dispose en la personne du CIL d’un interlocuteur spécialisé à même de le conseiller dans ses choix.

=== Une sécurité informatique ===
Une meilleure application de la loi signifie aussi une source de sécurité informatique renforcée au sein de l’organisme.
Le CIL doit veiller ainsi à ce que toutes les précautions utiles et nécessaires ont été prises pour préserver la sécurité des données. Il doit notamment empêcher que ces données soient altérées, endommagées ou communiquées à des personnes n’ayant aucune raison de les connaître.

=== Un allègement des formalités ===
Comme envisagé un peu plus haut, la désignation d’un CIL est un facteur de simplification des formalités administratives. En principe, les traitements automatisés de données à caractère personnel font l'objet d'une déclaration auprès de la CNIL (art. 23 et 24 de la loi du 6 janvier 1978). La désignation d’un CIL a pour effet d’exonérer les responsables de traitements de l’accomplissement de tout ou partie des formalités préalables leur incombant. L’on peut donc voir en la désignation d’un CIL un allègement considérable des formalités. Ainsi, une fois le CIL désigné, seuls les traitements soumis à autorisation ou avis préalable de la CNIL (traitements comportant des risques manifestes pour les droits des personnes) devront continuer à être déclarés. Les autres traitements devront simplement être référencés dans une liste tenue par le CIL et régulièrement mise à jour par ce dernier.
Notons cependant que la désignation d’un CIL n’emporte pas dispense de demander l’autorisation ou l’avis de la CNIL pour les traitements comportant des transferts de données personnelles hors de l’Union Européenne (art. 22 de la loi du 6 janvier 1978).

=== Une relation privilégiée avec la CNIL ===
Outre le fait que la désignation du CIL doit être notifiée à la CNIL, le correspondant bénéficie surtout d’une relation privilégiée avec cette dernière: il dispose en effet d’un accès personnalisé aux services l’autorité chargée de veiller à la protection des données personnelles et de la vie privée en France.
Le CIL dispose :
*d'une ligne téléphonique et d’une adresse électronique dédiées ;
*d'un extranet proposant des services exclusifs et notamment des forums de discussion et des outils pratiques.
Le CIL devra, par ailleurs, tenir certains documents à la disposition de la CNIL.
Considérant le CIL comme un acteur « relais », la CNIL conduit par ailleurs une vaste opération de communication et de pédagogie auprès des acteurs concernés par la désignation d’un CIL <ref> Les plus grandes entreprises françaises sont invitées à se doter de correspondants, mais aussi les collectivités locales à travers l’Association des maires de France. La CNIL a déjà signé des accords de partenariat avec l’ACFCI (Assemblée des chambres de commerce et d’industrie), la CPU (Conférence des présidents d’université) et l’Union des caisses nationales de Sécurité sociale (UCANSS), afin de conduire des actions de sensibilisation à la protection des données et de favoriser la diffusion de la culture informatique et libertés.</ref>.

== Les missions d'un CIL ==
Dans le cadre de ses fonctions au sein de l’organisme, le CIL doit notamment tenir une liste des traitements et veiller à la bonne application de la loi Informatique et Libertés. Aussi, d’autres missions, de convention expresse, peuvent lui être confiées.
=== Établir et actualiser une liste des traitements ===
Dans les trois mois suivant sa désignation, le CIL doit dresser une liste des traitements automatisés pour lesquels il a été désigné. Cette liste peut être tenue de manière informatisée.
==== Le contenu de la liste ====
La liste précise pour chaque traitement :
*Le nom et l’adresse du responsable du traitement et, le cas échéant, de son représentant ;
*La ou les finalités du traitement ;
*Le ou les services chargés de la mise en œuvre ;
*L’indication de la fonction de la personne ou du service auprès desquels s’exerce le droit d’accès ;
*Une description de la ou les catégories de personnes concernées et des données ou des catégories de données s’y rapportant ;
*Les destinataires ou les catégories de destinataires auxquels les données sont susceptibles d’être communiquées ;
*La durée de conservation des données traitées (art. 48 du décret du 20 octobre 2005).

==== La mise à jour de la liste ====
La liste, une fois constituée, doit être tenue à jour. Les traitements mis en œuvre après la désignation du CIL doivent également y être répertoriés au fur et à mesure. Le responsable des traitements doit aider le CIL dans cette mission en lui communiquant tous les éléments qui lui seraient nécessaires.
==== Tenir cette liste à disposition ====
La liste des traitements dispensés tenue par le CIL doit être accessible à toute personne en faisant la demande. Cette mise à disposition implique un droit de consultation et un droit de communication sans que le demandeur ait à en justifier le motif. Le responsable peut également décider d’effectuer spontanément cette publicité.
=== Veiller à l’application de la loi Informatique et Libertés ===
Le CIL est tenu de veiller à la bonne application de la loi Informatique et Libertés. Pour ce faire, il est tenu à plusieurs missions : des missions de conseil, de médiation ou d’alerte. Enfin, il doit rendre compte de son action à la CNIL.
==== Conseiller et recommander le responsable des traitements ====
Le correspondant est obligatoirement consulté préalablement à la mise en œuvre des traitements. Il tient donc un rôle de conseiller auprès du responsable des traitements. Pour la bonne mise en œuvre de cette relation, le responsable des traitements doit évidemment fournir au CIL tous les éléments lui permettant d’établir et d’actualiser régulièrement sa liste des traitements automatisés.
==== Diffuser « une culture Informatique et Libertés » ====
Le CIL veille également au respect du droit d’accès et d’opposition et à l’information des personnes sur leurs droits. A cette fin, il contribue à l’élaboration et à la bonne diffusion de notes d’information ou d’affiches afin de diffuser une « culture Informatique et Libertés ».
==== Constater les manquements ====
Le CIL informe le responsable des traitements des manquements constatés et le conseille dans la réponse à apporter pour y remédier. Dans certains cas, si le CIL rencontre des difficultés dans l’exercice de ses missions, il lui est possible de saisir la CNIL.
==== Rendre compte de son action à l’aide d’un bilan annuel ====
Le CIL doit établir un bilan annuel de ses activités qu’il présente au responsable des traitements et qu’il tient à disposition de la CNIL.
=== Autres missions ===
D’autres missions, de convention expresse, peuvent être confiées au CIL. Elles peuvent porter notamment sur l’extension de son champ de compétence, l’élaboration d’une politique de protection des données à caractère personnel spécifique ou même la sensibilisation des personnels de l’organisme aux dispositions de la loi sous forme de brochure par exemple.

== La désignation d'un CIL ==
C’est le décret d’application de la loi Informatique et Libertés, paru au journal officiel le 22 octobre 2005, qui précise les conditions de nomination du CIL.
=== Un salarié ou une personne extérieure ===
==== Un CIL interne ====
Le CIL doit, si possible, être un employé du responsable de traitement, car connaissant mieux, a priori, l’activité et le fonctionnement interne de son organisme, il est ainsi à même de veiller en temps réel à la bonne application des règles de protection des personnes et des conditions de mise en œuvre des traitements.

Si le recours à un correspondant externe est une solution qui peut être efficace pour les petites entités, pour de plus grosses structures, l’externalisation risque de ne pas répondre aux besoins de proximité et de disponibilité du CIL. Ainsi, lorsque plus de 50 personnes sont chargées de la mise en œuvre des traitements ou y ont directement accès, le choix du CIL externe est limité. Au-delà d’un certain seuil, seuls peuvent être choisis comme CIL des personnes se trouvant dans l’entourage économique de l’organisme qui le désigne.

Seul peut être désigné comme CIL :
*Un salarié de l’organisme,
*Un salarié d’une des entités du groupe de sociétés auquel appartient l’organisme,
*Un salarié du groupement d’intérêt économique dont est membre l’organisme,
*Une personne mandatée à cet effet par un organisme professionnel,
*Une personne mandatée à cet effet par un organisme regroupant des responsables de traitement d’un même secteur d’activité.

==== Un CIL externe ====
Il est donc aussi possible, sous les conditions indiquées ci-dessus, de désigner un CIL n’appartenant pas à l’organisme. Les possibilités de choix d’un CIL externe ne sont pas les mêmes pour tous les organismes.

Dans les petites structures, il peut être difficile de trouver parmi les salariés des personnes disposant des qualifications et compétences nécessaires pour exercer les fonctions de CIL. L’embauche d’un salarié ou l’affectation d’un salarié à cette tâche n’apparaît alors selon les cas ni possible ni nécessaire.
Ainsi, lorsque moins de 50 personnes sont chargées de la mise en œuvre des traitements ou y ont directement accès, le choix du CIL est libre : le correspondant peut être aussi bien un salarié de l’organisme ou d’une autre entité ou encore un professionnel indépendant.

=== Les compétences du CIL ===
La loi prévoit que le correspondant est une personne bénéficiant des qualifications requises pour exercer ses missions.

Article 22 de la loi du 6 janvier 1978 modifiée le 6 août 2004 :
« Le correspondant est une personne bénéficiant des qualifications requises pour exercer ses missions ».

Aucun agrément n’est prévu et aucune exigence de diplôme n’est fixée. Cependant, le correspondant doit disposer de compétences adaptées et le cas échéant, il doit les acquérir.

==== Les connaissances du CIL ====
Le CIL doit disposer de compétences adaptées à la taille et à l’activité du responsable de traitement. Ces compétences et qualifications doivent porter tant sur la législation relative à la protection des données à caractère personnel que sur l’informatique et les nouvelles technologies, sans oublier le domaine d’activité propre du responsable des traitements.
La connaissance de la loi Informatique et Libertés semble donc être primordiale. De plus, en informatique, une connaissance du vocabulaire et des métiers de l’informatique parait également nécessaire, de même que des différents modes de traitement des données.

==== Les formations du CIL ====
Lorsque le CIL ne dispose pas de l’ensemble des qualifications à la date de sa désignation, il doit les acquérir. Il appartient au responsable de traitement, en accord avec le CIL, de définir les formations nécessaires.
=== L’indépendance du CIL ===
Le correspondant doit exercer ses missions de manière indépendante : il est directement rattaché au responsable des traitements, il est protégé et ne peut exercer certaines fonctions pouvant engendrer des conflits d’intérêts.
==== Le correspondant est directement rattaché au responsable des traitements ====
Comme envisagé plus haut, le CIL et le responsable des traitements entretiennent des relations étroites. A cet égard, le CIL pourra apporter des conseils, des recommandations ou des alertes au responsable lors de la mise en œuvre des traitements ou dans l’instruction des plaintes.
==== Le correspondant est indépendant ====
Le CIL ne reçoit aucune instruction pour l’exercice de ses missions.
==== Le correspondant est protégé ====
Le CIL ne peut faire l’objet de sanctions de l’employeur du fait de l’exercice de ses missions, sauf en cas de manquements graves dûment constatés et qui lui soient directement imputables. La CNIL est gardienne de l’efficacité de cette protection : elle doit être avertie des raisons affectant la décision de fin des fonctions du CIL.
==== Les incompatibilités de fonctions ====
Notamment, le responsable de traitement ne peut être désigné comme CIL. D’autres fonctions pourraient s’avérer incompatibles : les fonctions impliquant une délégation de fait ou de droit des pouvoirs propres au responsable du traitement par exemple.

== Les modalités de désignation d'un CIL ==
=== L’information aux instances représentatives du personnel ===
Préalablement à la notification à la CNIL, le responsable de traitement doit informer les instances représentatives du personnel de sa décision de nomination du CIL. Cette information doit être effectuée par lettre recommandée avec avis de réception.
=== La notification à la CNIL ===
La notification à la CNIL doit contenir :
*Les nom, prénom, profession et coordonnées professionnelles du responsable des traitements, le cas échéant, ceux de son représentant, ainsi que ceux du CIL. Pour les personnes morales, la notification mentionne leur forme, leur dénomination, leur siège social ainsi que l’organe qui les représente légalement ;
*Lorsque le CIL est une personne morale, les mêmes renseignements concernant le préposé que la personne morale a désigné pour exercer les missions de CIL;
*Si la désignation est faite seulement pour certains traitements ou catégories de traitements, l’énumération de ceux-ci ;
*La nature des liens juridiques entre le CIL et la personne, l’autorité publique, le service ou l’organisme auprès duquel il est appelé à exercer ses fonctions ;
*Tout élément relatif aux qualifications ou références professionnelles du CIL et, le cas échéant, de son préposé en rapport avec cette fonction ;
*Les mesures prises par le responsable des traitements en vue de l’accomplissement par le CIL de ses missions en matière de protection des données ;

L’accord écrit de la personne désignée en qualité de CIL est annexé à la notification, qui peut se faire par voie électronique avec accusé de réception.

=== La prise d’effet de la désignation ===
La désignation d’un CIL prend effet un mois après la date de réception de la notification par la CNIL.
=== Modification, remplacement ou fin de fonctions ===
Toute modification substantielle affectant les informations mentionnées dans la désignation notifiée doit être portée à la connaissance de la CNIL par lettre recommandée avec demande d’avis de réception.
Il peut être mis fin aux fonctions du CIL à la demande de la CNIL ou de responsable de traitement ou à l’initiative du CIL lui-même.

==== A l’initiative de la CNIL lorsque le CIL manque aux devoirs de sa mission : ====
Lorsque la CNIL constate, après avoir recueilli ses observations, que le CIL manque aux devoirs de sa mission, elle demande au responsable de traitement de le décharger de ses fonctions.
==== A l’initiative du responsable de traitement lorsque le CIL manque aux devoirs de sa mission : ====
Le responsable de traitement doit alors saisir la CNIL pour avis par lettre recommandée comportant toutes les précisions relatives aux faits dont il est fait grief. Le responsable doit également notifier cette saisine au CIL par lettre recommandée en l’informant qu’il peut adresse ses observations à la CNIL.
La CNIL fait connaître son avis au responsable de traitement dans un délai d’un mois à compter de la réception de la saisine. Ce délai peut être renouvelé une fois sur décision motivée de son président.
==== A l’initiative du CIL démissionnaire : ====
Le responsable de traitement en informe la CNIL par une notification mentionnant en outre le motif de sa démission ou de sa décharge. Cette décision prend effet huit jours après sa date de réception par la CNIL.

== Les pouvoirs de contrôle de la CNIL ==
=== L’injonction de procéder aux formalités ===
Lorsque le responsable de traitement ne respecte pas les obligations mises à sa charge par la loi, le CNIL peut l’enjoindre de procéder aux formalités pour les traitements dispensés. Cette mesure ne met pas pour autant fin aux fonctions du CIL, qui reste saisi de ses autres missions.
=== Décharge du correspondant en cas de manquement grave du CIL ===
Cf ci-dessus « modification, remplacement ou fin des fonctions du CIL ».

== L'AFCDP <ref> Voir le site de l'AFCDP[http://www.afcdp.net/]</ref> ==

L’Association Française des Correspondants à la Protection des Données à Caractère Personnel (AFCDP) a été créée dès 2004, dans le contexte de la modification de la loi Informatique et Libertés qui a officialisé la nouvelle fonction du CIL.
L’association regroupe en mai 2010 plus de six cents professionnels et plus de 340 membres. Aussi, plusieurs groupes de travail participent de l’activité de l’association.
L’AFCDP s’est focalisée sur les objectifs suivants :
*Promouvoir la fonction du CIL et en faire un métier
*Proposer un cadre d’échanges en développant un réseau en France et à l’international
*Concevoir des outils, méthodes et pratiques utiles aux correspondants
*Défendre la fonction, en suivant le cadre juridique de la fonction, en ayant la primeur de l’information, en agissant pour faire valoir la position des professionnels <ref> Pour plus d'informations sur l'AFCDP, voir le guide "l'AFCDP se présente"[http://www.afcdp.net/IMG/pdf/AFCDP_se_presente_2010.pdf]</ref>.

== Actualités ==
Le 23 mars 2010, une proposition de loi <ref> Proposition de loi votée en première lecture au Sénat[http://www.senat.fr/petite-loi-ameli/2009-2010/331.html]</ref> a été votée en première lecture au Sénat. Ce texte, qui modifierait la loi relative à « l’informatique, aux fichiers et aux libertés », propose de rendre obligatoire le Correspondant Informatique et Libertés, prône le renforcement des sanctions de la CNIL et envisage la publication des « failles de sécurité ».
La Commission européenne vient de publier ses axes stratégiques concernant la révision de la Directive 95/46/CE pour la protection des données personnelles. A ce stade, la Commission européenne envisage notamment de rendre obligatoire la désignation du CIL car elle estime cet expert plus apte à mener des évaluations de protection de la vie privée et des données personnelles <ref> Axes stratégiques concernant la révision de la Directive 95/46/CE de la Commission européenne[http://europa.eu/rapid/pressReleasesAction.do?reference=IP/10/1462&format=HTML&aged=0&language=FR&guiLanguage=en]</ref> .
La Commission présentera également, en 2011, des propositions instaurant un nouveau cadre juridique général régissant la protection des données, que le Parlement européen et le Conseil devront ensuite négocier et adopter.

= Comparaison européenne et internationale =
Le correspondant informatique et libertés existe dans d'autres pays comme en [[Allemagne]] ([[Préposé à la Protection des Données (de)|''Datenschutzbeauftragter'']] (préposé à la protection des données) créé dans les années 1970), aux [[Pays-Bas]] ([[Délégué à la protection des données (nl)|''functionaris gegevensbescherming'']] (délégué à la protection des données)), en [[Suède]] ([[Délégué à la protection des données (se)|''personuppgiftsombud'']] (délégué à la protection des données)) ainsi qu’aux [[États-Unis]] ([[responsable en chef de la vie privée (us)|''Chief Privacy Officer'']] (responsable en chef de la vie privée)).

= Voir aussi =
{{moteur (fr)|"Correspondant informatique et libertés" OR CIL AND entreprise -CCI}}

= Liens externes =

* [http://www.cnil.fr/ Site de la Commission Nationale de l'Informatique et des Libertés]
* [http://www.afcdp.net/ Site de l'Association Française des Correspondants aux Données Personnelles]

= Références =
* [http://www.diplomatie.gouv.fr/fr/actions-france_830/droits-homme_1048/60eme-anniversaire-declaration-universelle-droits-homme_18925/colonne-droite_18938/textes-reference_18939/texte-integral-declaration-universelle-droits-homme_63105.html Déclaration Universelle des Droits de l’Homme]
* [http://conventions.coe.int/treaty/fr/Treaties/Html/005.htm Convention Européenne des Droits de l’Homme et des Libertés fondamentales]
* [http://www.legifrance.gouv.fr/affichTexte.do?cidTexte=JORFTEXT000000886460&fastPos=1&fastReqId=165178718&categorieLien=cid&oldAction=rechTexte Loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés]
* [http://conventions.coe.int/treaty/fr/Treaties/html/108.htm Convention 108 du Conseil de l’Europe]
* [http://europa.eu/legislation_summaries/information_society/l14012_fr.htm Directive 95/46/CE du Parlement européen et du Conseil]
* [http://www.legifrance.gouv.fr/affichTexte.do?cidTexte=JORFTEXT000000441676&fastPos=1&fastReqId=650042311&categorieLien=cid&oldAction=rechTexte Loi n° 2004-801 du 6 août 2004 relative à la protection des personnes physiques à l'égard des traitements de données à caractère personnel]
* [http://www.culture.gouv.fr/culture/infos-pratiques/droit-culture/procedure/pdf/2005-1309.pdf Décret n° 2005-1309 du 20 octobre 2005]
* [http://www.legifrance.gouv.fr/affichTexte.do?cidTexte=JORFTEXT000000824352&dateTexte= Décret n° 2007-451 du 25 mars 2007]

= Notes =
<references />

Correspondant informatique et libertés dans les entreprises (fr)

2010-11-07T22:39:14Z

Céline C. : /* Références */

{{ébauche (fr)}}
[[France]] > [[Droit des médias (fr)|Droit des médias]] > [[Droit de l'informatique et de l'internet (fr)|Droit de l'informatique et de l'internet]]
[[Image:fr_flag.png|framed|]]
[[Catégorie:France]][[Catégorie:Droit des médias (fr)|Droit des médias]][[Catégorie:Droit de l'informatique et de l'internet (fr)]]

= Historique juridique des données à caractère personnel =
== La Déclaration Universelle des Droits de l’Homme (1948) <ref>[http://www.un.org/fr/documents/udhr/ ''Déclaration Universelle des Droits de l’Homme''] sur le site de l'[[Organisation des Nations Unies (int)|Organisation des Nations Unies]]</ref> ==

Article 12 -
« Nul ne sera l'objet d'immixtions arbitraires dans sa vie privée, sa famille, son domicile ou sa correspondance, ni d'atteintes à son honneur et à sa réputation. Toute personne a droit à la protection de la loi contre de telles immixtions ou de telles atteintes. »

== La Convention Européenne des Droits de l’Homme et des Libertés fondamentales (1950) <ref> Convention Européenne des Droits de l'Homme et des Libertés fondamentales[http://conventions.coe.int/treaty/fr/Treaties/Html/005.htm ]</ref> ==

Article 8 – Droit au respect de la vie privée et familiale

« 1. Toute personne a droit au respect de sa vie privée et familiale, de son domicile et de sa correspondance.
2. Il ne peut y avoir ingérence d'une autorité publique dans l'exercice de ce droit que pour autant que cette ingérence est prévue par la loi et qu'elle constitue une mesure qui, dans une société démocratique, est nécessaire à la sécurité nationale, à la sûreté publique, au bien-être économique du pays, à la défense de l'ordre et à la prévention des infractions pénales, à la protection de la santé ou de la morale, ou à la protection des droits et libertés d'autrui. »

== La loi du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés <ref> Loi du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés [http://www.legifrance.gouv.fr/affichTexte.do;jsessionid=D7AC7F30557EA37898A73A63885BD865.tpdjo02v_2?cidTexte=JORFTEXT000000886460&dateTexte=20101107]</ref> ==

La loi n°78-17 relative à l'informatique, aux fichiers et aux libertés du 6 janvier 1978 (plus connue sous le nom de « loi Informatique et Libertés de 1978 » est une loi française promulguée à la suite de l'affaire SAFARI, et qui réglemente aujourd'hui notamment la pratique du fichage, manuel ou informatique. Elle institue notamment la Commission Nationale de l’Informatique et des libertés (CNIL) <ref> Site de la Commission Nationale de l'Informatique et des Libertés [http://www.cnil.fr/]</ref>, autorité chargée de veiller à la protection des données personnelles et de la vie privée. Dans ce cadre, la CNIL vérifie que la loi est respectée en contrôlant les applications informatiques, prononce des sanctions, établit des normes et propose au gouvernement des mesures législatives ou réglementaires de nature à adapter la protection des libertés et de la vie privée à l'évolution des techniques.
Article 1 –
« L'informatique doit être au service de chaque citoyen. Son développement doit s'opérer dans le cadre de la coopération internationale. Elle ne doit porter atteinte ni à l'identité humaine, ni aux droits de l'homme, ni à la vie privée, ni aux libertés individuelles ou publiques. »

== La Convention 108 du Conseil de l’Europe (25 janvier 1981) <ref> Convention 108 du Conseil de l'Europe [http://conventions.coe.int/treaty/fr/Treaties/html/108.htm]</ref> ==

Article 1er – Objet et but
« Le but de la présente Convention est de garantir, sur le territoire de chaque Partie, à toute personne physique, quelles que soient sa nationalité ou sa résidence, le respect de ses droits et de ses libertés fondamentales, et notamment de son droit à la vie privée, à l'égard du traitement automatisé des données à caractère personnel la concernant («protection des données»). »

== La Directive 95/46/CE du Parlement européen et du Conseil (24 octobre 1995) ==

C’est la [[directive (eu)|directive]]<ref>[[CELEX:31995L0046|''Directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données'']], [[Journal officiel (eu)|Journal officiel]] n° L 281 du 23/11/1995 p. 0031 - 0050</ref> relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données.
La directive 95/46/CE constitue le texte de référence, au niveau européen, en matière de protection des données à caractère personnel. Elle met en place un cadre réglementaire visant à établir un équilibre entre un niveau élevé de protection de la vie privée des personnes et la libre circulation des données à caractère personnel au sein de l'[[Union européenne]] (UE). Pour ce faire, la directive fixe des limites strictes à la collecte et à l'utilisation des données à caractère personnel, et demande la création, dans chaque [[État membre (eu)|État membre]], d'un organisme national indépendant chargé de la protection de ces données.

== La loi du 6 août 2004 relative à la protection des personnes physiques à l'égard des traitements de données à caractère personnel ==

La ''loi n° 2004-801 du 6 août 2004''<ref>[[JORF:JUSX0100026L|''Loi n°2004-801 du 6 août 2004 relative à la protection des personnes physiques à l'égard des traitements de données à caractère personnel et modifiant la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés'']] [[Journal officiel (fr)|JORF]] n°182 du 7 août 2004 page 14063 texte n° 2 </ref>, qui transpose dans le droit français les dispositions de la directive 95/46/CE<ref>[[CELEX:31995L0046|''op. cit.'']]</ref>, apporte de nombreuses modifications à la ''loi Informatique et Libertés''<ref>[http://www.legifrance.gouv.fr/affichTexte.do?cidTexte=LEGITEXT000006068624 ''Loi n° 78-17 du 6 Janvier 1978 relative à l'informatique, aux fichiers et aux libertés''], [[Journal officiel (fr)|JORF]] du 7 janvier 1978 page 227</ref>. Elle a été complétée par décrets du 20 octobre 2005 et du 25 mars 2007.
Grâce à la refonte de la loi Informatique et Libertés a été introduit le correspondant à la protection des données à caractère personnel couramment appelé « [[Correspondant informatique et libertés (fr)|Correspondant Informatique et Libertés]] » (CIL).

Article 22 –

« '''I.''' - À l'exception de ceux qui relèvent des dispositions prévues aux articles 25, 26 et 27 ou qui sont visés au deuxième alinéa de l'article 36, les traitements automatisés de données à caractère personnel font l'objet d'une déclaration auprès de la Commission nationale de l'informatique et des libertés. 
'''II.''' - Toutefois, ne sont soumis à aucune des formalités préalables prévues au présent chapitre : 
1° Les traitements ayant pour seul objet la tenue d'un registre qui, en vertu de dispositions législatives ou réglementaires, est destiné exclusivement à l'information du public et est ouvert à la consultation de celui-ci ou de toute personne justifiant d'un intérêt légitime ; 
2° Les traitements mentionnés au 3° du II de l'article 8. 
'''III.''' - Les traitements pour lesquels le responsable a désigné un correspondant à la protection des données à caractère personnel chargé d'assurer, d'une manière indépendante, le respect des obligations prévues dans la présente loi sont dispensés des formalités prévues aux articles 23 et 24, sauf lorsqu'un transfert de données à caractère personnel à destination d'un [[État (int)|État]] non membre de la Communauté européenne est envisagé. 
La désignation du correspondant est notifiée à la [[Commission nationale de l'informatique et des libertés (fr)|Commission nationale de l'informatique et des libertés]]. Elle est portée à la connaissance des instances représentatives du personnel. 
Le correspondant est une personne bénéficiant des qualifications requises pour exercer ses missions. Il tient une liste des traitements effectués immédiatement accessible à toute personne en faisant la demande et ne peut faire l'objet d'aucune sanction de la part de l'employeur du fait de l'accomplissement de ses missions. Il peut saisir la Commission nationale de l'informatique et des libertés des difficultés qu'il rencontre dans l'exercice de ses missions. 
En cas de non-respect des dispositions de la loi, le responsable du traitement est enjoint par la [[Commission nationale de l'informatique et des libertés (fr)|Commission nationale de l'informatique et des libertés]] de procéder aux formalités prévues aux articles 23 et 24. En cas de manquement constaté à ses devoirs, le correspondant est déchargé de ses fonctions sur demande, ou après consultation, de la Commission nationale de l'informatique et des libertés. 
'''IV.''' - Le responsable d'un traitement de données à caractère personnel qui n'est soumis à aucune des formalités prévues au présent chapitre communique à toute personne qui en fait la demande les informations relatives à ce traitement mentionnées aux 2° à 6° du I de l'article 31. »

== Le Décret n° 2005-1309 du 20 octobre 2005 <ref> Décret n° 2005-1309 du 20 octobre 2005 [http://www.legifrance.gouv.fr/affichTexte.do;jsessionid=D7AC7F30557EA37898A73A63885BD865.tpdjo02v_2?cidTexte=JORFTEXT000000241445&dateTexte=20070327]</ref> ==

Le décret n° 2005-1309 du 20 octobre 2005 est le décret d’application de la loi Informatique et Libertés modifiée en 2004.

Article 42 –

« La désignation d'un correspondant à la protection des données à caractère personnel par le responsable de traitements relevant des formalités prévues aux articles 22 à 24 de la loi du 6 janvier 1978 susvisée est notifiée à la Commission nationale de l'informatique et des libertés par lettre recommandée avec demande d'avis de réception ou par remise au secrétariat de la commission contre reçu, ou par voie électronique avec accusé de réception qui peut être adressé par la même voie. »

== Le Décret n° 2007-451 du 25 mars 2007 <ref> Décret n° 2007-451 du 25 mars 2007[http://www.legifrance.gouv.fr/affichTexte.do;jsessionid=D7AC7F30557EA37898A73A63885BD865.tpdjo02v_2?cidTexte=JORFTEXT000000824352&dateTexte=20101107]</ref> ==

Le décret n° 2007-451 modifie le décret n° 2005-1309 du 20 octobre 2005 pris pour l’application de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, modifiée par la loi n° 2004-801 du 6 août 2004.

= Le Correspondant Informatique et libertés (CIL) =
== Les raisons de la désignation d'un CIL ==
La loi Informatique et Libertés et son décret d’application prévoient, pour les entreprises, les collectivités locales, les administrations ou les associations, la possibilité de nommer un Correspondant Informatique et Libertés.
La désignation d’un CIL, par le responsable des traitements, a plusieurs avantages : elle permet une meilleure application de la loi, une sécurité juridique, un allègement des formalités et une relation privilégiée avec la CNIL.

=== Une meilleure application de la loi ===
La première raison de la désignation d’un CIL au sein d’un organisme est celle de la sécurité juridique. En effet, le CIL permet de garantir la conformité de l’organisme à la loi, notamment la loi « Informatique et Libertés ». Cette désignation permet de mieux assurer les obligations imposées par la loi au responsable des traitements. Cette maîtrise des risques juridiques est d’autant plus importante que certains manquements à la loi du 6 janvier 1978 sont pénalement sanctionnés. Le responsable de traitements est notamment tenu d’assurer le respect des droits des personnes concernées : il doit ainsi leur fournir une information suffisante sur les traitements mis en œuvre. Il doit aussi veiller à ce que les données traitées ne soient utilisées qu’aux seules fins pour lesquelles elles sont collectées.
Enfin, il doit faire respecter la sécurité et la confidentialité de ces informations.
Le temps libéré du fait de la dispense de déclaration peut donc désormais être consacré à l’application pratique de la loi Informatique et Libertés. Le responsable de traitements dispose en la personne du CIL d’un interlocuteur spécialisé à même de le conseiller dans ses choix.

=== Une sécurité informatique ===
Une meilleure application de la loi signifie aussi une source de sécurité informatique renforcée au sein de l’organisme.
Le CIL doit veiller ainsi à ce que toutes les précautions utiles et nécessaires ont été prises pour préserver la sécurité des données. Il doit notamment empêcher que ces données soient altérées, endommagées ou communiquées à des personnes n’ayant aucune raison de les connaître.

=== Un allègement des formalités ===
Comme envisagé un peu plus haut, la désignation d’un CIL est un facteur de simplification des formalités administratives. En principe, les traitements automatisés de données à caractère personnel font l'objet d'une déclaration auprès de la CNIL (art. 23 et 24 de la loi du 6 janvier 1978). La désignation d’un CIL a pour effet d’exonérer les responsables de traitements de l’accomplissement de tout ou partie des formalités préalables leur incombant. L’on peut donc voir en la désignation d’un CIL un allègement considérable des formalités. Ainsi, une fois le CIL désigné, seuls les traitements soumis à autorisation ou avis préalable de la CNIL (traitements comportant des risques manifestes pour les droits des personnes) devront continuer à être déclarés. Les autres traitements devront simplement être référencés dans une liste tenue par le CIL et régulièrement mise à jour par ce dernier.
Notons cependant que la désignation d’un CIL n’emporte pas dispense de demander l’autorisation ou l’avis de la CNIL pour les traitements comportant des transferts de données personnelles hors de l’Union Européenne (art. 22 de la loi du 6 janvier 1978).

=== Une relation privilégiée avec la CNIL ===
Outre le fait que la désignation du CIL doit être notifiée à la CNIL, le correspondant bénéficie surtout d’une relation privilégiée avec cette dernière: il dispose en effet d’un accès personnalisé aux services l’autorité chargée de veiller à la protection des données personnelles et de la vie privée en France.
Le CIL dispose :
*d'une ligne téléphonique et d’une adresse électronique dédiées ;
*d'un extranet proposant des services exclusifs et notamment des forums de discussion et des outils pratiques.
Le CIL devra, par ailleurs, tenir certains documents à la disposition de la CNIL.
Considérant le CIL comme un acteur « relais », la CNIL conduit par ailleurs une vaste opération de communication et de pédagogie auprès des acteurs concernés par la désignation d’un CIL <ref> Les plus grandes entreprises françaises sont invitées à se doter de correspondants, mais aussi les collectivités locales à travers l’Association des maires de France. La CNIL a déjà signé des accords de partenariat avec l’ACFCI (Assemblée des chambres de commerce et d’industrie), la CPU (Conférence des présidents d’université) et l’Union des caisses nationales de Sécurité sociale (UCANSS), afin de conduire des actions de sensibilisation à la protection des données et de favoriser la diffusion de la culture informatique et libertés.</ref>.

== Les missions d'un CIL ==
Dans le cadre de ses fonctions au sein de l’organisme, le CIL doit notamment tenir une liste des traitements et veiller à la bonne application de la loi Informatique et Libertés. Aussi, d’autres missions, de convention expresse, peuvent lui être confiées.
=== Établir et actualiser une liste des traitements ===
Dans les trois mois suivant sa désignation, le CIL doit dresser une liste des traitements automatisés pour lesquels il a été désigné. Cette liste peut être tenue de manière informatisée.
==== Le contenu de la liste ====
La liste précise pour chaque traitement :
*Le nom et l’adresse du responsable du traitement et, le cas échéant, de son représentant ;
*La ou les finalités du traitement ;
*Le ou les services chargés de la mise en œuvre ;
*L’indication de la fonction de la personne ou du service auprès desquels s’exerce le droit d’accès ;
*Une description de la ou les catégories de personnes concernées et des données ou des catégories de données s’y rapportant ;
*Les destinataires ou les catégories de destinataires auxquels les données sont susceptibles d’être communiquées ;
*La durée de conservation des données traitées (art. 48 du décret du 20 octobre 2005).

==== La mise à jour de la liste ====
La liste, une fois constituée, doit être tenue à jour. Les traitements mis en œuvre après la désignation du CIL doivent également y être répertoriés au fur et à mesure. Le responsable des traitements doit aider le CIL dans cette mission en lui communiquant tous les éléments qui lui seraient nécessaires.
==== Tenir cette liste à disposition ====
La liste des traitements dispensés tenue par le CIL doit être accessible à toute personne en faisant la demande. Cette mise à disposition implique un droit de consultation et un droit de communication sans que le demandeur ait à en justifier le motif. Le responsable peut également décider d’effectuer spontanément cette publicité.
=== Veiller à l’application de la loi Informatique et Libertés ===
Le CIL est tenu de veiller à la bonne application de la loi Informatique et Libertés. Pour ce faire, il est tenu à plusieurs missions : des missions de conseil, de médiation ou d’alerte. Enfin, il doit rendre compte de son action à la CNIL.
==== Conseiller et recommander le responsable des traitements ====
Le correspondant est obligatoirement consulté préalablement à la mise en œuvre des traitements. Il tient donc un rôle de conseiller auprès du responsable des traitements. Pour la bonne mise en œuvre de cette relation, le responsable des traitements doit évidemment fournir au CIL tous les éléments lui permettant d’établir et d’actualiser régulièrement sa liste des traitements automatisés.
==== Diffuser « une culture Informatique et Libertés » ====
Le CIL veille également au respect du droit d’accès et d’opposition et à l’information des personnes sur leurs droits. A cette fin, il contribue à l’élaboration et à la bonne diffusion de notes d’information ou d’affiches afin de diffuser une « culture Informatique et Libertés ».
==== Constater les manquements ====
Le CIL informe le responsable des traitements des manquements constatés et le conseille dans la réponse à apporter pour y remédier. Dans certains cas, si le CIL rencontre des difficultés dans l’exercice de ses missions, il lui est possible de saisir la CNIL.
==== Rendre compte de son action à l’aide d’un bilan annuel ====
Le CIL doit établir un bilan annuel de ses activités qu’il présente au responsable des traitements et qu’il tient à disposition de la CNIL.
=== Autres missions ===
D’autres missions, de convention expresse, peuvent être confiées au CIL. Elles peuvent porter notamment sur l’extension de son champ de compétence, l’élaboration d’une politique de protection des données à caractère personnel spécifique ou même la sensibilisation des personnels de l’organisme aux dispositions de la loi sous forme de brochure par exemple.

== La désignation d'un CIL ==
C’est le décret d’application de la loi Informatique et Libertés, paru au journal officiel le 22 octobre 2005, qui précise les conditions de nomination du CIL.
=== Un salarié ou une personne extérieure ===
==== Un CIL interne ====
Le CIL doit, si possible, être un employé du responsable de traitement, car connaissant mieux, a priori, l’activité et le fonctionnement interne de son organisme, il est ainsi à même de veiller en temps réel à la bonne application des règles de protection des personnes et des conditions de mise en œuvre des traitements.

Si le recours à un correspondant externe est une solution qui peut être efficace pour les petites entités, pour de plus grosses structures, l’externalisation risque de ne pas répondre aux besoins de proximité et de disponibilité du CIL. Ainsi, lorsque plus de 50 personnes sont chargées de la mise en œuvre des traitements ou y ont directement accès, le choix du CIL externe est limité. Au-delà d’un certain seuil, seuls peuvent être choisis comme CIL des personnes se trouvant dans l’entourage économique de l’organisme qui le désigne.

Seul peut être désigné comme CIL :
*Un salarié de l’organisme,
*Un salarié d’une des entités du groupe de sociétés auquel appartient l’organisme,
*Un salarié du groupement d’intérêt économique dont est membre l’organisme,
*Une personne mandatée à cet effet par un organisme professionnel,
*Une personne mandatée à cet effet par un organisme regroupant des responsables de traitement d’un même secteur d’activité.

==== Un CIL externe ====
Il est donc aussi possible, sous les conditions indiquées ci-dessus, de désigner un CIL n’appartenant pas à l’organisme. Les possibilités de choix d’un CIL externe ne sont pas les mêmes pour tous les organismes.

Dans les petites structures, il peut être difficile de trouver parmi les salariés des personnes disposant des qualifications et compétences nécessaires pour exercer les fonctions de CIL. L’embauche d’un salarié ou l’affectation d’un salarié à cette tâche n’apparaît alors selon les cas ni possible ni nécessaire.
Ainsi, lorsque moins de 50 personnes sont chargées de la mise en œuvre des traitements ou y ont directement accès, le choix du CIL est libre : le correspondant peut être aussi bien un salarié de l’organisme ou d’une autre entité ou encore un professionnel indépendant.

=== Les compétences du CIL ===
La loi prévoit que le correspondant est une personne bénéficiant des qualifications requises pour exercer ses missions.

Article 22 de la loi du 6 janvier 1978 modifiée le 6 août 2004 :
« Le correspondant est une personne bénéficiant des qualifications requises pour exercer ses missions ».

Aucun agrément n’est prévu et aucune exigence de diplôme n’est fixée. Cependant, le correspondant doit disposer de compétences adaptées et le cas échéant, il doit les acquérir.

==== Les connaissances du CIL ====
Le CIL doit disposer de compétences adaptées à la taille et à l’activité du responsable de traitement. Ces compétences et qualifications doivent porter tant sur la législation relative à la protection des données à caractère personnel que sur l’informatique et les nouvelles technologies, sans oublier le domaine d’activité propre du responsable des traitements.
La connaissance de la loi Informatique et Libertés semble donc être primordiale. De plus, en informatique, une connaissance du vocabulaire et des métiers de l’informatique parait également nécessaire, de même que des différents modes de traitement des données.

==== Les formations du CIL ====
Lorsque le CIL ne dispose pas de l’ensemble des qualifications à la date de sa désignation, il doit les acquérir. Il appartient au responsable de traitement, en accord avec le CIL, de définir les formations nécessaires.
=== L’indépendance du CIL ===
Le correspondant doit exercer ses missions de manière indépendante : il est directement rattaché au responsable des traitements, il est protégé et ne peut exercer certaines fonctions pouvant engendrer des conflits d’intérêts.
==== Le correspondant est directement rattaché au responsable des traitements ====
Comme envisagé plus haut, le CIL et le responsable des traitements entretiennent des relations étroites. A cet égard, le CIL pourra apporter des conseils, des recommandations ou des alertes au responsable lors de la mise en œuvre des traitements ou dans l’instruction des plaintes.
==== Le correspondant est indépendant ====
Le CIL ne reçoit aucune instruction pour l’exercice de ses missions.
==== Le correspondant est protégé ====
Le CIL ne peut faire l’objet de sanctions de l’employeur du fait de l’exercice de ses missions, sauf en cas de manquements graves dûment constatés et qui lui soient directement imputables. La CNIL est gardienne de l’efficacité de cette protection : elle doit être avertie des raisons affectant la décision de fin des fonctions du CIL.
==== Les incompatibilités de fonctions ====
Notamment, le responsable de traitement ne peut être désigné comme CIL. D’autres fonctions pourraient s’avérer incompatibles : les fonctions impliquant une délégation de fait ou de droit des pouvoirs propres au responsable du traitement par exemple.

== Les modalités de désignation d'un CIL ==
=== L’information aux instances représentatives du personnel ===
Préalablement à la notification à la CNIL, le responsable de traitement doit informer les instances représentatives du personnel de sa décision de nomination du CIL. Cette information doit être effectuée par lettre recommandée avec avis de réception.
=== La notification à la CNIL ===
La notification à la CNIL doit contenir :
*Les nom, prénom, profession et coordonnées professionnelles du responsable des traitements, le cas échéant, ceux de son représentant, ainsi que ceux du CIL. Pour les personnes morales, la notification mentionne leur forme, leur dénomination, leur siège social ainsi que l’organe qui les représente légalement ;
*Lorsque le CIL est une personne morale, les mêmes renseignements concernant le préposé que la personne morale a désigné pour exercer les missions de CIL;
*Si la désignation est faite seulement pour certains traitements ou catégories de traitements, l’énumération de ceux-ci ;
*La nature des liens juridiques entre le CIL et la personne, l’autorité publique, le service ou l’organisme auprès duquel il est appelé à exercer ses fonctions ;
*Tout élément relatif aux qualifications ou références professionnelles du CIL et, le cas échéant, de son préposé en rapport avec cette fonction ;
*Les mesures prises par le responsable des traitements en vue de l’accomplissement par le CIL de ses missions en matière de protection des données ;

L’accord écrit de la personne désignée en qualité de CIL est annexé à la notification, qui peut se faire par voie électronique avec accusé de réception.

=== La prise d’effet de la désignation ===
La désignation d’un CIL prend effet un mois après la date de réception de la notification par la CNIL.
=== Modification, remplacement ou fin de fonctions ===
Toute modification substantielle affectant les informations mentionnées dans la désignation notifiée doit être portée à la connaissance de la CNIL par lettre recommandée avec demande d’avis de réception.
Il peut être mis fin aux fonctions du CIL à la demande de la CNIL ou de responsable de traitement ou à l’initiative du CIL lui-même.

==== A l’initiative de la CNIL lorsque le CIL manque aux devoirs de sa mission : ====
Lorsque la CNIL constate, après avoir recueilli ses observations, que le CIL manque aux devoirs de sa mission, elle demande au responsable de traitement de le décharger de ses fonctions.
==== A l’initiative du responsable de traitement lorsque le CIL manque aux devoirs de sa mission : ====
Le responsable de traitement doit alors saisir la CNIL pour avis par lettre recommandée comportant toutes les précisions relatives aux faits dont il est fait grief. Le responsable doit également notifier cette saisine au CIL par lettre recommandée en l’informant qu’il peut adresse ses observations à la CNIL.
La CNIL fait connaître son avis au responsable de traitement dans un délai d’un mois à compter de la réception de la saisine. Ce délai peut être renouvelé une fois sur décision motivée de son président.
==== A l’initiative du CIL démissionnaire : ====
Le responsable de traitement en informe la CNIL par une notification mentionnant en outre le motif de sa démission ou de sa décharge. Cette décision prend effet huit jours après sa date de réception par la CNIL.

== Les pouvoirs de contrôle de la CNIL ==
=== L’injonction de procéder aux formalités ===
Lorsque le responsable de traitement ne respecte pas les obligations mises à sa charge par la loi, le CNIL peut l’enjoindre de procéder aux formalités pour les traitements dispensés. Cette mesure ne met pas pour autant fin aux fonctions du CIL, qui reste saisi de ses autres missions.
=== Décharge du correspondant en cas de manquement grave du CIL ===
Cf ci-dessus « modification, remplacement ou fin des fonctions du CIL ».

== L'AFCDP <ref> Voir le site de l'AFCDP[http://www.afcdp.net/]</ref> ==

L’Association Française des Correspondants à la Protection des Données à Caractère Personnel (AFCDP) a été créée dès 2004, dans le contexte de la modification de la loi Informatique et Libertés qui a officialisé la nouvelle fonction du CIL.
L’association regroupe en mai 2010 plus de six cents professionnels et plus de 340 membres. Aussi, plusieurs groupes de travail participent de l’activité de l’association.
L’AFCDP s’est focalisée sur les objectifs suivants :
*Promouvoir la fonction du CIL et en faire un métier
*Proposer un cadre d’échanges en développant un réseau en France et à l’international
*Concevoir des outils, méthodes et pratiques utiles aux correspondants
*Défendre la fonction, en suivant le cadre juridique de la fonction, en ayant la primeur de l’information, en agissant pour faire valoir la position des professionnels <ref> Pour plus d'informations sur l'AFCDP, voir le guide "l'AFCDP se présente"[http://www.afcdp.net/IMG/pdf/AFCDP_se_presente_2010.pdf]</ref>.

== Actualités ==
Le 23 mars 2010, une proposition de loi <ref> Proposition de loi votée en première lecture au Sénat[http://www.senat.fr/petite-loi-ameli/2009-2010/331.html]</ref> a été votée en première lecture au Sénat. Ce texte, qui modifierait la loi relative à « l’informatique, aux fichiers et aux libertés », propose de rendre obligatoire le Correspondant Informatique et Libertés, prône le renforcement des sanctions de la CNIL et envisage la publication des « failles de sécurité ».
La Commission européenne vient de publier ses axes stratégiques concernant la révision de la Directive 95/46/CE pour la protection des données personnelles. A ce stade, la Commission européenne envisage notamment de rendre obligatoire la désignation du CIL car elle estime cet expert plus apte à mener des évaluations de protection de la vie privée et des données personnelles <ref> Axes stratégiques concernant la révision de la Directive 95/46/CE de la Commission européenne[http://europa.eu/rapid/pressReleasesAction.do?reference=IP/10/1462&format=HTML&aged=0&language=FR&guiLanguage=en]</ref> .
La Commission présentera également, en 2011, des propositions instaurant un nouveau cadre juridique général régissant la protection des données, que le Parlement européen et le Conseil devront ensuite négocier et adopter.

= Comparaison européenne et internationale =
Le correspondant informatique et libertés existe dans d'autres pays comme en [[Allemagne]] ([[Préposé à la Protection des Données (de)|''Datenschutzbeauftragter'']] (préposé à la protection des données) créé dans les années 1970), aux [[Pays-Bas]] ([[Délégué à la protection des données (nl)|''functionaris gegevensbescherming'']] (délégué à la protection des données)), en [[Suède]] ([[Délégué à la protection des données (se)|''personuppgiftsombud'']] (délégué à la protection des données)) ainsi qu’aux [[États-Unis]] ([[responsable en chef de la vie privée (us)|''Chief Privacy Officer'']] (responsable en chef de la vie privée)).

= Voir aussi =
{{moteur (fr)|"Correspondant informatique et libertés" OR CIL AND entreprise -CCI}}

= Liens externes =
= Références =
* [http://www.diplomatie.gouv.fr/fr/actions-france_830/droits-homme_1048/60eme-anniversaire-declaration-universelle-droits-homme_18925/colonne-droite_18938/textes-reference_18939/texte-integral-declaration-universelle-droits-homme_63105.html Déclaration Universelle des Droits de l’Homme]
* [http://conventions.coe.int/treaty/fr/Treaties/Html/005.htm Convention Européenne des Droits de l’Homme et des Libertés fondamentales]
* [http://www.legifrance.gouv.fr/affichTexte.do?cidTexte=JORFTEXT000000886460&fastPos=1&fastReqId=165178718&categorieLien=cid&oldAction=rechTexte Loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés]
* [http://conventions.coe.int/treaty/fr/Treaties/html/108.htm Convention 108 du Conseil de l’Europe]
* [http://europa.eu/legislation_summaries/information_society/l14012_fr.htm Directive 95/46/CE du Parlement européen et du Conseil]
* [http://www.legifrance.gouv.fr/affichTexte.do?cidTexte=JORFTEXT000000441676&fastPos=1&fastReqId=650042311&categorieLien=cid&oldAction=rechTexte Loi n° 2004-801 du 6 août 2004 relative à la protection des personnes physiques à l'égard des traitements de données à caractère personnel]
* [http://www.culture.gouv.fr/culture/infos-pratiques/droit-culture/procedure/pdf/2005-1309.pdf Décret n° 2005-1309 du 20 octobre 2005]
* [http://www.legifrance.gouv.fr/affichTexte.do?cidTexte=JORFTEXT000000824352&dateTexte= Décret n° 2007-451 du 25 mars 2007]

= Notes =
<references />

Correspondant informatique et libertés dans les entreprises (fr)

2010-11-07T22:21:11Z

Céline C. : /* Actualités */

{{ébauche (fr)}}
[[France]] > [[Droit des médias (fr)|Droit des médias]] > [[Droit de l'informatique et de l'internet (fr)|Droit de l'informatique et de l'internet]]
[[Image:fr_flag.png|framed|]]
[[Catégorie:France]][[Catégorie:Droit des médias (fr)|Droit des médias]][[Catégorie:Droit de l'informatique et de l'internet (fr)]]

= Historique juridique des données à caractère personnel =
== La Déclaration Universelle des Droits de l’Homme (1948) <ref>[http://www.un.org/fr/documents/udhr/ ''Déclaration Universelle des Droits de l’Homme''] sur le site de l'[[Organisation des Nations Unies (int)|Organisation des Nations Unies]]</ref> ==

Article 12 -
« Nul ne sera l'objet d'immixtions arbitraires dans sa vie privée, sa famille, son domicile ou sa correspondance, ni d'atteintes à son honneur et à sa réputation. Toute personne a droit à la protection de la loi contre de telles immixtions ou de telles atteintes. »

== La Convention Européenne des Droits de l’Homme et des Libertés fondamentales (1950) <ref> Convention Européenne des Droits de l'Homme et des Libertés fondamentales[http://conventions.coe.int/treaty/fr/Treaties/Html/005.htm ]</ref> ==

Article 8 – Droit au respect de la vie privée et familiale

« 1. Toute personne a droit au respect de sa vie privée et familiale, de son domicile et de sa correspondance.
2. Il ne peut y avoir ingérence d'une autorité publique dans l'exercice de ce droit que pour autant que cette ingérence est prévue par la loi et qu'elle constitue une mesure qui, dans une société démocratique, est nécessaire à la sécurité nationale, à la sûreté publique, au bien-être économique du pays, à la défense de l'ordre et à la prévention des infractions pénales, à la protection de la santé ou de la morale, ou à la protection des droits et libertés d'autrui. »

== La loi du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés <ref> Loi du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés [http://www.legifrance.gouv.fr/affichTexte.do;jsessionid=D7AC7F30557EA37898A73A63885BD865.tpdjo02v_2?cidTexte=JORFTEXT000000886460&dateTexte=20101107]</ref> ==

La loi n°78-17 relative à l'informatique, aux fichiers et aux libertés du 6 janvier 1978 (plus connue sous le nom de « loi Informatique et Libertés de 1978 » est une loi française promulguée à la suite de l'affaire SAFARI, et qui réglemente aujourd'hui notamment la pratique du fichage, manuel ou informatique. Elle institue notamment la Commission Nationale de l’Informatique et des libertés (CNIL) <ref> Site de la Commission Nationale de l'Informatique et des Libertés [http://www.cnil.fr/]</ref>, autorité chargée de veiller à la protection des données personnelles et de la vie privée. Dans ce cadre, la CNIL vérifie que la loi est respectée en contrôlant les applications informatiques, prononce des sanctions, établit des normes et propose au gouvernement des mesures législatives ou réglementaires de nature à adapter la protection des libertés et de la vie privée à l'évolution des techniques.
Article 1 –
« L'informatique doit être au service de chaque citoyen. Son développement doit s'opérer dans le cadre de la coopération internationale. Elle ne doit porter atteinte ni à l'identité humaine, ni aux droits de l'homme, ni à la vie privée, ni aux libertés individuelles ou publiques. »

== La Convention 108 du Conseil de l’Europe (25 janvier 1981) <ref> Convention 108 du Conseil de l'Europe [http://conventions.coe.int/treaty/fr/Treaties/html/108.htm]</ref> ==

Article 1er – Objet et but
« Le but de la présente Convention est de garantir, sur le territoire de chaque Partie, à toute personne physique, quelles que soient sa nationalité ou sa résidence, le respect de ses droits et de ses libertés fondamentales, et notamment de son droit à la vie privée, à l'égard du traitement automatisé des données à caractère personnel la concernant («protection des données»). »

== La Directive 95/46/CE du Parlement européen et du Conseil (24 octobre 1995) ==

C’est la [[directive (eu)|directive]]<ref>[[CELEX:31995L0046|''Directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données'']], [[Journal officiel (eu)|Journal officiel]] n° L 281 du 23/11/1995 p. 0031 - 0050</ref> relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données.
La directive 95/46/CE constitue le texte de référence, au niveau européen, en matière de protection des données à caractère personnel. Elle met en place un cadre réglementaire visant à établir un équilibre entre un niveau élevé de protection de la vie privée des personnes et la libre circulation des données à caractère personnel au sein de l'[[Union européenne]] (UE). Pour ce faire, la directive fixe des limites strictes à la collecte et à l'utilisation des données à caractère personnel, et demande la création, dans chaque [[État membre (eu)|État membre]], d'un organisme national indépendant chargé de la protection de ces données.

== La loi du 6 août 2004 relative à la protection des personnes physiques à l'égard des traitements de données à caractère personnel ==

La ''loi n° 2004-801 du 6 août 2004''<ref>[[JORF:JUSX0100026L|''Loi n°2004-801 du 6 août 2004 relative à la protection des personnes physiques à l'égard des traitements de données à caractère personnel et modifiant la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés'']] [[Journal officiel (fr)|JORF]] n°182 du 7 août 2004 page 14063 texte n° 2 </ref>, qui transpose dans le droit français les dispositions de la directive 95/46/CE<ref>[[CELEX:31995L0046|''op. cit.'']]</ref>, apporte de nombreuses modifications à la ''loi Informatique et Libertés''<ref>[http://www.legifrance.gouv.fr/affichTexte.do?cidTexte=LEGITEXT000006068624 ''Loi n° 78-17 du 6 Janvier 1978 relative à l'informatique, aux fichiers et aux libertés''], [[Journal officiel (fr)|JORF]] du 7 janvier 1978 page 227</ref>. Elle a été complétée par décrets du 20 octobre 2005 et du 25 mars 2007.
Grâce à la refonte de la loi Informatique et Libertés a été introduit le correspondant à la protection des données à caractère personnel couramment appelé « [[Correspondant informatique et libertés (fr)|Correspondant Informatique et Libertés]] » (CIL).

Article 22 –

« '''I.''' - À l'exception de ceux qui relèvent des dispositions prévues aux articles 25, 26 et 27 ou qui sont visés au deuxième alinéa de l'article 36, les traitements automatisés de données à caractère personnel font l'objet d'une déclaration auprès de la Commission nationale de l'informatique et des libertés. 
'''II.''' - Toutefois, ne sont soumis à aucune des formalités préalables prévues au présent chapitre : 
1° Les traitements ayant pour seul objet la tenue d'un registre qui, en vertu de dispositions législatives ou réglementaires, est destiné exclusivement à l'information du public et est ouvert à la consultation de celui-ci ou de toute personne justifiant d'un intérêt légitime ; 
2° Les traitements mentionnés au 3° du II de l'article 8. 
'''III.''' - Les traitements pour lesquels le responsable a désigné un correspondant à la protection des données à caractère personnel chargé d'assurer, d'une manière indépendante, le respect des obligations prévues dans la présente loi sont dispensés des formalités prévues aux articles 23 et 24, sauf lorsqu'un transfert de données à caractère personnel à destination d'un [[État (int)|État]] non membre de la Communauté européenne est envisagé. 
La désignation du correspondant est notifiée à la [[Commission nationale de l'informatique et des libertés (fr)|Commission nationale de l'informatique et des libertés]]. Elle est portée à la connaissance des instances représentatives du personnel. 
Le correspondant est une personne bénéficiant des qualifications requises pour exercer ses missions. Il tient une liste des traitements effectués immédiatement accessible à toute personne en faisant la demande et ne peut faire l'objet d'aucune sanction de la part de l'employeur du fait de l'accomplissement de ses missions. Il peut saisir la Commission nationale de l'informatique et des libertés des difficultés qu'il rencontre dans l'exercice de ses missions. 
En cas de non-respect des dispositions de la loi, le responsable du traitement est enjoint par la [[Commission nationale de l'informatique et des libertés (fr)|Commission nationale de l'informatique et des libertés]] de procéder aux formalités prévues aux articles 23 et 24. En cas de manquement constaté à ses devoirs, le correspondant est déchargé de ses fonctions sur demande, ou après consultation, de la Commission nationale de l'informatique et des libertés. 
'''IV.''' - Le responsable d'un traitement de données à caractère personnel qui n'est soumis à aucune des formalités prévues au présent chapitre communique à toute personne qui en fait la demande les informations relatives à ce traitement mentionnées aux 2° à 6° du I de l'article 31. »

== Le Décret n° 2005-1309 du 20 octobre 2005 <ref> Décret n° 2005-1309 du 20 octobre 2005 [http://www.legifrance.gouv.fr/affichTexte.do;jsessionid=D7AC7F30557EA37898A73A63885BD865.tpdjo02v_2?cidTexte=JORFTEXT000000241445&dateTexte=20070327]</ref> ==

Le décret n° 2005-1309 du 20 octobre 2005 est le décret d’application de la loi Informatique et Libertés modifiée en 2004.

Article 42 –

« La désignation d'un correspondant à la protection des données à caractère personnel par le responsable de traitements relevant des formalités prévues aux articles 22 à 24 de la loi du 6 janvier 1978 susvisée est notifiée à la Commission nationale de l'informatique et des libertés par lettre recommandée avec demande d'avis de réception ou par remise au secrétariat de la commission contre reçu, ou par voie électronique avec accusé de réception qui peut être adressé par la même voie. »

== Le Décret n° 2007-451 du 25 mars 2007 <ref> Décret n° 2007-451 du 25 mars 2007[http://www.legifrance.gouv.fr/affichTexte.do;jsessionid=D7AC7F30557EA37898A73A63885BD865.tpdjo02v_2?cidTexte=JORFTEXT000000824352&dateTexte=20101107]</ref> ==

Le décret n° 2007-451 modifie le décret n° 2005-1309 du 20 octobre 2005 pris pour l’application de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, modifiée par la loi n° 2004-801 du 6 août 2004.

= Le Correspondant Informatique et libertés (CIL) =
== Les raisons de la désignation d'un CIL ==
La loi Informatique et Libertés et son décret d’application prévoient, pour les entreprises, les collectivités locales, les administrations ou les associations, la possibilité de nommer un Correspondant Informatique et Libertés.
La désignation d’un CIL, par le responsable des traitements, a plusieurs avantages : elle permet une meilleure application de la loi, une sécurité juridique, un allègement des formalités et une relation privilégiée avec la CNIL.

=== Une meilleure application de la loi ===
La première raison de la désignation d’un CIL au sein d’un organisme est celle de la sécurité juridique. En effet, le CIL permet de garantir la conformité de l’organisme à la loi, notamment la loi « Informatique et Libertés ». Cette désignation permet de mieux assurer les obligations imposées par la loi au responsable des traitements. Cette maîtrise des risques juridiques est d’autant plus importante que certains manquements à la loi du 6 janvier 1978 sont pénalement sanctionnés. Le responsable de traitements est notamment tenu d’assurer le respect des droits des personnes concernées : il doit ainsi leur fournir une information suffisante sur les traitements mis en œuvre. Il doit aussi veiller à ce que les données traitées ne soient utilisées qu’aux seules fins pour lesquelles elles sont collectées.
Enfin, il doit faire respecter la sécurité et la confidentialité de ces informations.
Le temps libéré du fait de la dispense de déclaration peut donc désormais être consacré à l’application pratique de la loi Informatique et Libertés. Le responsable de traitements dispose en la personne du CIL d’un interlocuteur spécialisé à même de le conseiller dans ses choix.

=== Une sécurité informatique ===
Une meilleure application de la loi signifie aussi une source de sécurité informatique renforcée au sein de l’organisme.
Le CIL doit veiller ainsi à ce que toutes les précautions utiles et nécessaires ont été prises pour préserver la sécurité des données. Il doit notamment empêcher que ces données soient altérées, endommagées ou communiquées à des personnes n’ayant aucune raison de les connaître.

=== Un allègement des formalités ===
Comme envisagé un peu plus haut, la désignation d’un CIL est un facteur de simplification des formalités administratives. En principe, les traitements automatisés de données à caractère personnel font l'objet d'une déclaration auprès de la CNIL (art. 23 et 24 de la loi du 6 janvier 1978). La désignation d’un CIL a pour effet d’exonérer les responsables de traitements de l’accomplissement de tout ou partie des formalités préalables leur incombant. L’on peut donc voir en la désignation d’un CIL un allègement considérable des formalités. Ainsi, une fois le CIL désigné, seuls les traitements soumis à autorisation ou avis préalable de la CNIL (traitements comportant des risques manifestes pour les droits des personnes) devront continuer à être déclarés. Les autres traitements devront simplement être référencés dans une liste tenue par le CIL et régulièrement mise à jour par ce dernier.
Notons cependant que la désignation d’un CIL n’emporte pas dispense de demander l’autorisation ou l’avis de la CNIL pour les traitements comportant des transferts de données personnelles hors de l’Union Européenne (art. 22 de la loi du 6 janvier 1978).

=== Une relation privilégiée avec la CNIL ===
Outre le fait que la désignation du CIL doit être notifiée à la CNIL, le correspondant bénéficie surtout d’une relation privilégiée avec cette dernière: il dispose en effet d’un accès personnalisé aux services l’autorité chargée de veiller à la protection des données personnelles et de la vie privée en France.
Le CIL dispose :
*d'une ligne téléphonique et d’une adresse électronique dédiées ;
*d'un extranet proposant des services exclusifs et notamment des forums de discussion et des outils pratiques.
Le CIL devra, par ailleurs, tenir certains documents à la disposition de la CNIL.
Considérant le CIL comme un acteur « relais », la CNIL conduit par ailleurs une vaste opération de communication et de pédagogie auprès des acteurs concernés par la désignation d’un CIL <ref> Les plus grandes entreprises françaises sont invitées à se doter de correspondants, mais aussi les collectivités locales à travers l’Association des maires de France. La CNIL a déjà signé des accords de partenariat avec l’ACFCI (Assemblée des chambres de commerce et d’industrie), la CPU (Conférence des présidents d’université) et l’Union des caisses nationales de Sécurité sociale (UCANSS), afin de conduire des actions de sensibilisation à la protection des données et de favoriser la diffusion de la culture informatique et libertés.</ref>.

== Les missions d'un CIL ==
Dans le cadre de ses fonctions au sein de l’organisme, le CIL doit notamment tenir une liste des traitements et veiller à la bonne application de la loi Informatique et Libertés. Aussi, d’autres missions, de convention expresse, peuvent lui être confiées.
=== Établir et actualiser une liste des traitements ===
Dans les trois mois suivant sa désignation, le CIL doit dresser une liste des traitements automatisés pour lesquels il a été désigné. Cette liste peut être tenue de manière informatisée.
==== Le contenu de la liste ====
La liste précise pour chaque traitement :
*Le nom et l’adresse du responsable du traitement et, le cas échéant, de son représentant ;
*La ou les finalités du traitement ;
*Le ou les services chargés de la mise en œuvre ;
*L’indication de la fonction de la personne ou du service auprès desquels s’exerce le droit d’accès ;
*Une description de la ou les catégories de personnes concernées et des données ou des catégories de données s’y rapportant ;
*Les destinataires ou les catégories de destinataires auxquels les données sont susceptibles d’être communiquées ;
*La durée de conservation des données traitées (art. 48 du décret du 20 octobre 2005).

==== La mise à jour de la liste ====
La liste, une fois constituée, doit être tenue à jour. Les traitements mis en œuvre après la désignation du CIL doivent également y être répertoriés au fur et à mesure. Le responsable des traitements doit aider le CIL dans cette mission en lui communiquant tous les éléments qui lui seraient nécessaires.
==== Tenir cette liste à disposition ====
La liste des traitements dispensés tenue par le CIL doit être accessible à toute personne en faisant la demande. Cette mise à disposition implique un droit de consultation et un droit de communication sans que le demandeur ait à en justifier le motif. Le responsable peut également décider d’effectuer spontanément cette publicité.
=== Veiller à l’application de la loi Informatique et Libertés ===
Le CIL est tenu de veiller à la bonne application de la loi Informatique et Libertés. Pour ce faire, il est tenu à plusieurs missions : des missions de conseil, de médiation ou d’alerte. Enfin, il doit rendre compte de son action à la CNIL.
==== Conseiller et recommander le responsable des traitements ====
Le correspondant est obligatoirement consulté préalablement à la mise en œuvre des traitements. Il tient donc un rôle de conseiller auprès du responsable des traitements. Pour la bonne mise en œuvre de cette relation, le responsable des traitements doit évidemment fournir au CIL tous les éléments lui permettant d’établir et d’actualiser régulièrement sa liste des traitements automatisés.
==== Diffuser « une culture Informatique et Libertés » ====
Le CIL veille également au respect du droit d’accès et d’opposition et à l’information des personnes sur leurs droits. A cette fin, il contribue à l’élaboration et à la bonne diffusion de notes d’information ou d’affiches afin de diffuser une « culture Informatique et Libertés ».
==== Constater les manquements ====
Le CIL informe le responsable des traitements des manquements constatés et le conseille dans la réponse à apporter pour y remédier. Dans certains cas, si le CIL rencontre des difficultés dans l’exercice de ses missions, il lui est possible de saisir la CNIL.
==== Rendre compte de son action à l’aide d’un bilan annuel ====
Le CIL doit établir un bilan annuel de ses activités qu’il présente au responsable des traitements et qu’il tient à disposition de la CNIL.
=== Autres missions ===
D’autres missions, de convention expresse, peuvent être confiées au CIL. Elles peuvent porter notamment sur l’extension de son champ de compétence, l’élaboration d’une politique de protection des données à caractère personnel spécifique ou même la sensibilisation des personnels de l’organisme aux dispositions de la loi sous forme de brochure par exemple.

== La désignation d'un CIL ==
C’est le décret d’application de la loi Informatique et Libertés, paru au journal officiel le 22 octobre 2005, qui précise les conditions de nomination du CIL.
=== Un salarié ou une personne extérieure ===
==== Un CIL interne ====
Le CIL doit, si possible, être un employé du responsable de traitement, car connaissant mieux, a priori, l’activité et le fonctionnement interne de son organisme, il est ainsi à même de veiller en temps réel à la bonne application des règles de protection des personnes et des conditions de mise en œuvre des traitements.

Si le recours à un correspondant externe est une solution qui peut être efficace pour les petites entités, pour de plus grosses structures, l’externalisation risque de ne pas répondre aux besoins de proximité et de disponibilité du CIL. Ainsi, lorsque plus de 50 personnes sont chargées de la mise en œuvre des traitements ou y ont directement accès, le choix du CIL externe est limité. Au-delà d’un certain seuil, seuls peuvent être choisis comme CIL des personnes se trouvant dans l’entourage économique de l’organisme qui le désigne.

Seul peut être désigné comme CIL :
*Un salarié de l’organisme,
*Un salarié d’une des entités du groupe de sociétés auquel appartient l’organisme,
*Un salarié du groupement d’intérêt économique dont est membre l’organisme,
*Une personne mandatée à cet effet par un organisme professionnel,
*Une personne mandatée à cet effet par un organisme regroupant des responsables de traitement d’un même secteur d’activité.

==== Un CIL externe ====
Il est donc aussi possible, sous les conditions indiquées ci-dessus, de désigner un CIL n’appartenant pas à l’organisme. Les possibilités de choix d’un CIL externe ne sont pas les mêmes pour tous les organismes.

Dans les petites structures, il peut être difficile de trouver parmi les salariés des personnes disposant des qualifications et compétences nécessaires pour exercer les fonctions de CIL. L’embauche d’un salarié ou l’affectation d’un salarié à cette tâche n’apparaît alors selon les cas ni possible ni nécessaire.
Ainsi, lorsque moins de 50 personnes sont chargées de la mise en œuvre des traitements ou y ont directement accès, le choix du CIL est libre : le correspondant peut être aussi bien un salarié de l’organisme ou d’une autre entité ou encore un professionnel indépendant.

=== Les compétences du CIL ===
La loi prévoit que le correspondant est une personne bénéficiant des qualifications requises pour exercer ses missions.

Article 22 de la loi du 6 janvier 1978 modifiée le 6 août 2004 :
« Le correspondant est une personne bénéficiant des qualifications requises pour exercer ses missions ».

Aucun agrément n’est prévu et aucune exigence de diplôme n’est fixée. Cependant, le correspondant doit disposer de compétences adaptées et le cas échéant, il doit les acquérir.

==== Les connaissances du CIL ====
Le CIL doit disposer de compétences adaptées à la taille et à l’activité du responsable de traitement. Ces compétences et qualifications doivent porter tant sur la législation relative à la protection des données à caractère personnel que sur l’informatique et les nouvelles technologies, sans oublier le domaine d’activité propre du responsable des traitements.
La connaissance de la loi Informatique et Libertés semble donc être primordiale. De plus, en informatique, une connaissance du vocabulaire et des métiers de l’informatique parait également nécessaire, de même que des différents modes de traitement des données.

==== Les formations du CIL ====
Lorsque le CIL ne dispose pas de l’ensemble des qualifications à la date de sa désignation, il doit les acquérir. Il appartient au responsable de traitement, en accord avec le CIL, de définir les formations nécessaires.
=== L’indépendance du CIL ===
Le correspondant doit exercer ses missions de manière indépendante : il est directement rattaché au responsable des traitements, il est protégé et ne peut exercer certaines fonctions pouvant engendrer des conflits d’intérêts.
==== Le correspondant est directement rattaché au responsable des traitements ====
Comme envisagé plus haut, le CIL et le responsable des traitements entretiennent des relations étroites. A cet égard, le CIL pourra apporter des conseils, des recommandations ou des alertes au responsable lors de la mise en œuvre des traitements ou dans l’instruction des plaintes.
==== Le correspondant est indépendant ====
Le CIL ne reçoit aucune instruction pour l’exercice de ses missions.
==== Le correspondant est protégé ====
Le CIL ne peut faire l’objet de sanctions de l’employeur du fait de l’exercice de ses missions, sauf en cas de manquements graves dûment constatés et qui lui soient directement imputables. La CNIL est gardienne de l’efficacité de cette protection : elle doit être avertie des raisons affectant la décision de fin des fonctions du CIL.
==== Les incompatibilités de fonctions ====
Notamment, le responsable de traitement ne peut être désigné comme CIL. D’autres fonctions pourraient s’avérer incompatibles : les fonctions impliquant une délégation de fait ou de droit des pouvoirs propres au responsable du traitement par exemple.

== Les modalités de désignation d'un CIL ==
=== L’information aux instances représentatives du personnel ===
Préalablement à la notification à la CNIL, le responsable de traitement doit informer les instances représentatives du personnel de sa décision de nomination du CIL. Cette information doit être effectuée par lettre recommandée avec avis de réception.
=== La notification à la CNIL ===
La notification à la CNIL doit contenir :
*Les nom, prénom, profession et coordonnées professionnelles du responsable des traitements, le cas échéant, ceux de son représentant, ainsi que ceux du CIL. Pour les personnes morales, la notification mentionne leur forme, leur dénomination, leur siège social ainsi que l’organe qui les représente légalement ;
*Lorsque le CIL est une personne morale, les mêmes renseignements concernant le préposé que la personne morale a désigné pour exercer les missions de CIL;
*Si la désignation est faite seulement pour certains traitements ou catégories de traitements, l’énumération de ceux-ci ;
*La nature des liens juridiques entre le CIL et la personne, l’autorité publique, le service ou l’organisme auprès duquel il est appelé à exercer ses fonctions ;
*Tout élément relatif aux qualifications ou références professionnelles du CIL et, le cas échéant, de son préposé en rapport avec cette fonction ;
*Les mesures prises par le responsable des traitements en vue de l’accomplissement par le CIL de ses missions en matière de protection des données ;

L’accord écrit de la personne désignée en qualité de CIL est annexé à la notification, qui peut se faire par voie électronique avec accusé de réception.

=== La prise d’effet de la désignation ===
La désignation d’un CIL prend effet un mois après la date de réception de la notification par la CNIL.
=== Modification, remplacement ou fin de fonctions ===
Toute modification substantielle affectant les informations mentionnées dans la désignation notifiée doit être portée à la connaissance de la CNIL par lettre recommandée avec demande d’avis de réception.
Il peut être mis fin aux fonctions du CIL à la demande de la CNIL ou de responsable de traitement ou à l’initiative du CIL lui-même.

==== A l’initiative de la CNIL lorsque le CIL manque aux devoirs de sa mission : ====
Lorsque la CNIL constate, après avoir recueilli ses observations, que le CIL manque aux devoirs de sa mission, elle demande au responsable de traitement de le décharger de ses fonctions.
==== A l’initiative du responsable de traitement lorsque le CIL manque aux devoirs de sa mission : ====
Le responsable de traitement doit alors saisir la CNIL pour avis par lettre recommandée comportant toutes les précisions relatives aux faits dont il est fait grief. Le responsable doit également notifier cette saisine au CIL par lettre recommandée en l’informant qu’il peut adresse ses observations à la CNIL.
La CNIL fait connaître son avis au responsable de traitement dans un délai d’un mois à compter de la réception de la saisine. Ce délai peut être renouvelé une fois sur décision motivée de son président.
==== A l’initiative du CIL démissionnaire : ====
Le responsable de traitement en informe la CNIL par une notification mentionnant en outre le motif de sa démission ou de sa décharge. Cette décision prend effet huit jours après sa date de réception par la CNIL.

== Les pouvoirs de contrôle de la CNIL ==
=== L’injonction de procéder aux formalités ===
Lorsque le responsable de traitement ne respecte pas les obligations mises à sa charge par la loi, le CNIL peut l’enjoindre de procéder aux formalités pour les traitements dispensés. Cette mesure ne met pas pour autant fin aux fonctions du CIL, qui reste saisi de ses autres missions.
=== Décharge du correspondant en cas de manquement grave du CIL ===
Cf ci-dessus « modification, remplacement ou fin des fonctions du CIL ».

== L'AFCDP <ref> Voir le site de l'AFCDP[http://www.afcdp.net/]</ref> ==

L’Association Française des Correspondants à la Protection des Données à Caractère Personnel (AFCDP) a été créée dès 2004, dans le contexte de la modification de la loi Informatique et Libertés qui a officialisé la nouvelle fonction du CIL.
L’association regroupe en mai 2010 plus de six cents professionnels et plus de 340 membres. Aussi, plusieurs groupes de travail participent de l’activité de l’association.
L’AFCDP s’est focalisée sur les objectifs suivants :
*Promouvoir la fonction du CIL et en faire un métier
*Proposer un cadre d’échanges en développant un réseau en France et à l’international
*Concevoir des outils, méthodes et pratiques utiles aux correspondants
*Défendre la fonction, en suivant le cadre juridique de la fonction, en ayant la primeur de l’information, en agissant pour faire valoir la position des professionnels <ref> Pour plus d'informations sur l'AFCDP, voir le guide "l'AFCDP se présente"[http://www.afcdp.net/IMG/pdf/AFCDP_se_presente_2010.pdf]</ref>.

== Actualités ==
Le 23 mars 2010, une proposition de loi <ref> Proposition de loi votée en première lecture au Sénat[http://www.senat.fr/petite-loi-ameli/2009-2010/331.html]</ref> a été votée en première lecture au Sénat. Ce texte, qui modifierait la loi relative à « l’informatique, aux fichiers et aux libertés », propose de rendre obligatoire le Correspondant Informatique et Libertés, prône le renforcement des sanctions de la CNIL et envisage la publication des « failles de sécurité ».
La Commission européenne vient de publier ses axes stratégiques concernant la révision de la Directive 95/46/CE pour la protection des données personnelles. A ce stade, la Commission européenne envisage notamment de rendre obligatoire la désignation du CIL car elle estime cet expert plus apte à mener des évaluations de protection de la vie privée et des données personnelles <ref> Axes stratégiques concernant la révision de la Directive 95/46/CE de la Commission européenne[http://europa.eu/rapid/pressReleasesAction.do?reference=IP/10/1462&format=HTML&aged=0&language=FR&guiLanguage=en]</ref> .
La Commission présentera également, en 2011, des propositions instaurant un nouveau cadre juridique général régissant la protection des données, que le Parlement européen et le Conseil devront ensuite négocier et adopter.

= Comparaison européenne et internationale =
Le correspondant informatique et libertés existe dans d'autres pays comme en [[Allemagne]] ([[Préposé à la Protection des Données (de)|''Datenschutzbeauftragter'']] (préposé à la protection des données) créé dans les années 1970), aux [[Pays-Bas]] ([[Délégué à la protection des données (nl)|''functionaris gegevensbescherming'']] (délégué à la protection des données)), en [[Suède]] ([[Délégué à la protection des données (se)|''personuppgiftsombud'']] (délégué à la protection des données)) ainsi qu’aux [[États-Unis]] ([[responsable en chef de la vie privée (us)|''Chief Privacy Officer'']] (responsable en chef de la vie privée)).

= Voir aussi =
{{moteur (fr)|"Correspondant informatique et libertés" OR CIL AND entreprise -CCI}}

= Liens externes =
= Références =
= Notes =
<references />

Correspondant informatique et libertés dans les entreprises (fr)

2010-11-07T22:15:31Z

Céline C. : /* L'AFCDP Voir le site de l'AFCDP[http://www.afcdp.net/] */

{{ébauche (fr)}}
[[France]] > [[Droit des médias (fr)|Droit des médias]] > [[Droit de l'informatique et de l'internet (fr)|Droit de l'informatique et de l'internet]]
[[Image:fr_flag.png|framed|]]
[[Catégorie:France]][[Catégorie:Droit des médias (fr)|Droit des médias]][[Catégorie:Droit de l'informatique et de l'internet (fr)]]

= Historique juridique des données à caractère personnel =
== La Déclaration Universelle des Droits de l’Homme (1948) <ref>[http://www.un.org/fr/documents/udhr/ ''Déclaration Universelle des Droits de l’Homme''] sur le site de l'[[Organisation des Nations Unies (int)|Organisation des Nations Unies]]</ref> ==

Article 12 -
« Nul ne sera l'objet d'immixtions arbitraires dans sa vie privée, sa famille, son domicile ou sa correspondance, ni d'atteintes à son honneur et à sa réputation. Toute personne a droit à la protection de la loi contre de telles immixtions ou de telles atteintes. »

== La Convention Européenne des Droits de l’Homme et des Libertés fondamentales (1950) <ref> Convention Européenne des Droits de l'Homme et des Libertés fondamentales[http://conventions.coe.int/treaty/fr/Treaties/Html/005.htm ]</ref> ==

Article 8 – Droit au respect de la vie privée et familiale

« 1. Toute personne a droit au respect de sa vie privée et familiale, de son domicile et de sa correspondance.
2. Il ne peut y avoir ingérence d'une autorité publique dans l'exercice de ce droit que pour autant que cette ingérence est prévue par la loi et qu'elle constitue une mesure qui, dans une société démocratique, est nécessaire à la sécurité nationale, à la sûreté publique, au bien-être économique du pays, à la défense de l'ordre et à la prévention des infractions pénales, à la protection de la santé ou de la morale, ou à la protection des droits et libertés d'autrui. »

== La loi du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés <ref> Loi du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés [http://www.legifrance.gouv.fr/affichTexte.do;jsessionid=D7AC7F30557EA37898A73A63885BD865.tpdjo02v_2?cidTexte=JORFTEXT000000886460&dateTexte=20101107]</ref> ==

La loi n°78-17 relative à l'informatique, aux fichiers et aux libertés du 6 janvier 1978 (plus connue sous le nom de « loi Informatique et Libertés de 1978 » est une loi française promulguée à la suite de l'affaire SAFARI, et qui réglemente aujourd'hui notamment la pratique du fichage, manuel ou informatique. Elle institue notamment la Commission Nationale de l’Informatique et des libertés (CNIL) <ref> Site de la Commission Nationale de l'Informatique et des Libertés [http://www.cnil.fr/]</ref>, autorité chargée de veiller à la protection des données personnelles et de la vie privée. Dans ce cadre, la CNIL vérifie que la loi est respectée en contrôlant les applications informatiques, prononce des sanctions, établit des normes et propose au gouvernement des mesures législatives ou réglementaires de nature à adapter la protection des libertés et de la vie privée à l'évolution des techniques.
Article 1 –
« L'informatique doit être au service de chaque citoyen. Son développement doit s'opérer dans le cadre de la coopération internationale. Elle ne doit porter atteinte ni à l'identité humaine, ni aux droits de l'homme, ni à la vie privée, ni aux libertés individuelles ou publiques. »

== La Convention 108 du Conseil de l’Europe (25 janvier 1981) <ref> Convention 108 du Conseil de l'Europe [http://conventions.coe.int/treaty/fr/Treaties/html/108.htm]</ref> ==

Article 1er – Objet et but
« Le but de la présente Convention est de garantir, sur le territoire de chaque Partie, à toute personne physique, quelles que soient sa nationalité ou sa résidence, le respect de ses droits et de ses libertés fondamentales, et notamment de son droit à la vie privée, à l'égard du traitement automatisé des données à caractère personnel la concernant («protection des données»). »

== La Directive 95/46/CE du Parlement européen et du Conseil (24 octobre 1995) ==

C’est la [[directive (eu)|directive]]<ref>[[CELEX:31995L0046|''Directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données'']], [[Journal officiel (eu)|Journal officiel]] n° L 281 du 23/11/1995 p. 0031 - 0050</ref> relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données.
La directive 95/46/CE constitue le texte de référence, au niveau européen, en matière de protection des données à caractère personnel. Elle met en place un cadre réglementaire visant à établir un équilibre entre un niveau élevé de protection de la vie privée des personnes et la libre circulation des données à caractère personnel au sein de l'[[Union européenne]] (UE). Pour ce faire, la directive fixe des limites strictes à la collecte et à l'utilisation des données à caractère personnel, et demande la création, dans chaque [[État membre (eu)|État membre]], d'un organisme national indépendant chargé de la protection de ces données.

== La loi du 6 août 2004 relative à la protection des personnes physiques à l'égard des traitements de données à caractère personnel ==

La ''loi n° 2004-801 du 6 août 2004''<ref>[[JORF:JUSX0100026L|''Loi n°2004-801 du 6 août 2004 relative à la protection des personnes physiques à l'égard des traitements de données à caractère personnel et modifiant la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés'']] [[Journal officiel (fr)|JORF]] n°182 du 7 août 2004 page 14063 texte n° 2 </ref>, qui transpose dans le droit français les dispositions de la directive 95/46/CE<ref>[[CELEX:31995L0046|''op. cit.'']]</ref>, apporte de nombreuses modifications à la ''loi Informatique et Libertés''<ref>[http://www.legifrance.gouv.fr/affichTexte.do?cidTexte=LEGITEXT000006068624 ''Loi n° 78-17 du 6 Janvier 1978 relative à l'informatique, aux fichiers et aux libertés''], [[Journal officiel (fr)|JORF]] du 7 janvier 1978 page 227</ref>. Elle a été complétée par décrets du 20 octobre 2005 et du 25 mars 2007.
Grâce à la refonte de la loi Informatique et Libertés a été introduit le correspondant à la protection des données à caractère personnel couramment appelé « [[Correspondant informatique et libertés (fr)|Correspondant Informatique et Libertés]] » (CIL).

Article 22 –

« '''I.''' - À l'exception de ceux qui relèvent des dispositions prévues aux articles 25, 26 et 27 ou qui sont visés au deuxième alinéa de l'article 36, les traitements automatisés de données à caractère personnel font l'objet d'une déclaration auprès de la Commission nationale de l'informatique et des libertés. 
'''II.''' - Toutefois, ne sont soumis à aucune des formalités préalables prévues au présent chapitre : 
1° Les traitements ayant pour seul objet la tenue d'un registre qui, en vertu de dispositions législatives ou réglementaires, est destiné exclusivement à l'information du public et est ouvert à la consultation de celui-ci ou de toute personne justifiant d'un intérêt légitime ; 
2° Les traitements mentionnés au 3° du II de l'article 8. 
'''III.''' - Les traitements pour lesquels le responsable a désigné un correspondant à la protection des données à caractère personnel chargé d'assurer, d'une manière indépendante, le respect des obligations prévues dans la présente loi sont dispensés des formalités prévues aux articles 23 et 24, sauf lorsqu'un transfert de données à caractère personnel à destination d'un [[État (int)|État]] non membre de la Communauté européenne est envisagé. 
La désignation du correspondant est notifiée à la [[Commission nationale de l'informatique et des libertés (fr)|Commission nationale de l'informatique et des libertés]]. Elle est portée à la connaissance des instances représentatives du personnel. 
Le correspondant est une personne bénéficiant des qualifications requises pour exercer ses missions. Il tient une liste des traitements effectués immédiatement accessible à toute personne en faisant la demande et ne peut faire l'objet d'aucune sanction de la part de l'employeur du fait de l'accomplissement de ses missions. Il peut saisir la Commission nationale de l'informatique et des libertés des difficultés qu'il rencontre dans l'exercice de ses missions. 
En cas de non-respect des dispositions de la loi, le responsable du traitement est enjoint par la [[Commission nationale de l'informatique et des libertés (fr)|Commission nationale de l'informatique et des libertés]] de procéder aux formalités prévues aux articles 23 et 24. En cas de manquement constaté à ses devoirs, le correspondant est déchargé de ses fonctions sur demande, ou après consultation, de la Commission nationale de l'informatique et des libertés. 
'''IV.''' - Le responsable d'un traitement de données à caractère personnel qui n'est soumis à aucune des formalités prévues au présent chapitre communique à toute personne qui en fait la demande les informations relatives à ce traitement mentionnées aux 2° à 6° du I de l'article 31. »

== Le Décret n° 2005-1309 du 20 octobre 2005 <ref> Décret n° 2005-1309 du 20 octobre 2005 [http://www.legifrance.gouv.fr/affichTexte.do;jsessionid=D7AC7F30557EA37898A73A63885BD865.tpdjo02v_2?cidTexte=JORFTEXT000000241445&dateTexte=20070327]</ref> ==

Le décret n° 2005-1309 du 20 octobre 2005 est le décret d’application de la loi Informatique et Libertés modifiée en 2004.

Article 42 –

« La désignation d'un correspondant à la protection des données à caractère personnel par le responsable de traitements relevant des formalités prévues aux articles 22 à 24 de la loi du 6 janvier 1978 susvisée est notifiée à la Commission nationale de l'informatique et des libertés par lettre recommandée avec demande d'avis de réception ou par remise au secrétariat de la commission contre reçu, ou par voie électronique avec accusé de réception qui peut être adressé par la même voie. »

== Le Décret n° 2007-451 du 25 mars 2007 <ref> Décret n° 2007-451 du 25 mars 2007[http://www.legifrance.gouv.fr/affichTexte.do;jsessionid=D7AC7F30557EA37898A73A63885BD865.tpdjo02v_2?cidTexte=JORFTEXT000000824352&dateTexte=20101107]</ref> ==

Le décret n° 2007-451 modifie le décret n° 2005-1309 du 20 octobre 2005 pris pour l’application de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, modifiée par la loi n° 2004-801 du 6 août 2004.

= Le Correspondant Informatique et libertés (CIL) =
== Les raisons de la désignation d'un CIL ==
La loi Informatique et Libertés et son décret d’application prévoient, pour les entreprises, les collectivités locales, les administrations ou les associations, la possibilité de nommer un Correspondant Informatique et Libertés.
La désignation d’un CIL, par le responsable des traitements, a plusieurs avantages : elle permet une meilleure application de la loi, une sécurité juridique, un allègement des formalités et une relation privilégiée avec la CNIL.

=== Une meilleure application de la loi ===
La première raison de la désignation d’un CIL au sein d’un organisme est celle de la sécurité juridique. En effet, le CIL permet de garantir la conformité de l’organisme à la loi, notamment la loi « Informatique et Libertés ». Cette désignation permet de mieux assurer les obligations imposées par la loi au responsable des traitements. Cette maîtrise des risques juridiques est d’autant plus importante que certains manquements à la loi du 6 janvier 1978 sont pénalement sanctionnés. Le responsable de traitements est notamment tenu d’assurer le respect des droits des personnes concernées : il doit ainsi leur fournir une information suffisante sur les traitements mis en œuvre. Il doit aussi veiller à ce que les données traitées ne soient utilisées qu’aux seules fins pour lesquelles elles sont collectées.
Enfin, il doit faire respecter la sécurité et la confidentialité de ces informations.
Le temps libéré du fait de la dispense de déclaration peut donc désormais être consacré à l’application pratique de la loi Informatique et Libertés. Le responsable de traitements dispose en la personne du CIL d’un interlocuteur spécialisé à même de le conseiller dans ses choix.

=== Une sécurité informatique ===
Une meilleure application de la loi signifie aussi une source de sécurité informatique renforcée au sein de l’organisme.
Le CIL doit veiller ainsi à ce que toutes les précautions utiles et nécessaires ont été prises pour préserver la sécurité des données. Il doit notamment empêcher que ces données soient altérées, endommagées ou communiquées à des personnes n’ayant aucune raison de les connaître.

=== Un allègement des formalités ===
Comme envisagé un peu plus haut, la désignation d’un CIL est un facteur de simplification des formalités administratives. En principe, les traitements automatisés de données à caractère personnel font l'objet d'une déclaration auprès de la CNIL (art. 23 et 24 de la loi du 6 janvier 1978). La désignation d’un CIL a pour effet d’exonérer les responsables de traitements de l’accomplissement de tout ou partie des formalités préalables leur incombant. L’on peut donc voir en la désignation d’un CIL un allègement considérable des formalités. Ainsi, une fois le CIL désigné, seuls les traitements soumis à autorisation ou avis préalable de la CNIL (traitements comportant des risques manifestes pour les droits des personnes) devront continuer à être déclarés. Les autres traitements devront simplement être référencés dans une liste tenue par le CIL et régulièrement mise à jour par ce dernier.
Notons cependant que la désignation d’un CIL n’emporte pas dispense de demander l’autorisation ou l’avis de la CNIL pour les traitements comportant des transferts de données personnelles hors de l’Union Européenne (art. 22 de la loi du 6 janvier 1978).

=== Une relation privilégiée avec la CNIL ===
Outre le fait que la désignation du CIL doit être notifiée à la CNIL, le correspondant bénéficie surtout d’une relation privilégiée avec cette dernière: il dispose en effet d’un accès personnalisé aux services l’autorité chargée de veiller à la protection des données personnelles et de la vie privée en France.
Le CIL dispose :
*d'une ligne téléphonique et d’une adresse électronique dédiées ;
*d'un extranet proposant des services exclusifs et notamment des forums de discussion et des outils pratiques.
Le CIL devra, par ailleurs, tenir certains documents à la disposition de la CNIL.
Considérant le CIL comme un acteur « relais », la CNIL conduit par ailleurs une vaste opération de communication et de pédagogie auprès des acteurs concernés par la désignation d’un CIL <ref> Les plus grandes entreprises françaises sont invitées à se doter de correspondants, mais aussi les collectivités locales à travers l’Association des maires de France. La CNIL a déjà signé des accords de partenariat avec l’ACFCI (Assemblée des chambres de commerce et d’industrie), la CPU (Conférence des présidents d’université) et l’Union des caisses nationales de Sécurité sociale (UCANSS), afin de conduire des actions de sensibilisation à la protection des données et de favoriser la diffusion de la culture informatique et libertés.</ref>.

== Les missions d'un CIL ==
Dans le cadre de ses fonctions au sein de l’organisme, le CIL doit notamment tenir une liste des traitements et veiller à la bonne application de la loi Informatique et Libertés. Aussi, d’autres missions, de convention expresse, peuvent lui être confiées.
=== Établir et actualiser une liste des traitements ===
Dans les trois mois suivant sa désignation, le CIL doit dresser une liste des traitements automatisés pour lesquels il a été désigné. Cette liste peut être tenue de manière informatisée.
==== Le contenu de la liste ====
La liste précise pour chaque traitement :
*Le nom et l’adresse du responsable du traitement et, le cas échéant, de son représentant ;
*La ou les finalités du traitement ;
*Le ou les services chargés de la mise en œuvre ;
*L’indication de la fonction de la personne ou du service auprès desquels s’exerce le droit d’accès ;
*Une description de la ou les catégories de personnes concernées et des données ou des catégories de données s’y rapportant ;
*Les destinataires ou les catégories de destinataires auxquels les données sont susceptibles d’être communiquées ;
*La durée de conservation des données traitées (art. 48 du décret du 20 octobre 2005).

==== La mise à jour de la liste ====
La liste, une fois constituée, doit être tenue à jour. Les traitements mis en œuvre après la désignation du CIL doivent également y être répertoriés au fur et à mesure. Le responsable des traitements doit aider le CIL dans cette mission en lui communiquant tous les éléments qui lui seraient nécessaires.
==== Tenir cette liste à disposition ====
La liste des traitements dispensés tenue par le CIL doit être accessible à toute personne en faisant la demande. Cette mise à disposition implique un droit de consultation et un droit de communication sans que le demandeur ait à en justifier le motif. Le responsable peut également décider d’effectuer spontanément cette publicité.
=== Veiller à l’application de la loi Informatique et Libertés ===
Le CIL est tenu de veiller à la bonne application de la loi Informatique et Libertés. Pour ce faire, il est tenu à plusieurs missions : des missions de conseil, de médiation ou d’alerte. Enfin, il doit rendre compte de son action à la CNIL.
==== Conseiller et recommander le responsable des traitements ====
Le correspondant est obligatoirement consulté préalablement à la mise en œuvre des traitements. Il tient donc un rôle de conseiller auprès du responsable des traitements. Pour la bonne mise en œuvre de cette relation, le responsable des traitements doit évidemment fournir au CIL tous les éléments lui permettant d’établir et d’actualiser régulièrement sa liste des traitements automatisés.
==== Diffuser « une culture Informatique et Libertés » ====
Le CIL veille également au respect du droit d’accès et d’opposition et à l’information des personnes sur leurs droits. A cette fin, il contribue à l’élaboration et à la bonne diffusion de notes d’information ou d’affiches afin de diffuser une « culture Informatique et Libertés ».
==== Constater les manquements ====
Le CIL informe le responsable des traitements des manquements constatés et le conseille dans la réponse à apporter pour y remédier. Dans certains cas, si le CIL rencontre des difficultés dans l’exercice de ses missions, il lui est possible de saisir la CNIL.
==== Rendre compte de son action à l’aide d’un bilan annuel ====
Le CIL doit établir un bilan annuel de ses activités qu’il présente au responsable des traitements et qu’il tient à disposition de la CNIL.
=== Autres missions ===
D’autres missions, de convention expresse, peuvent être confiées au CIL. Elles peuvent porter notamment sur l’extension de son champ de compétence, l’élaboration d’une politique de protection des données à caractère personnel spécifique ou même la sensibilisation des personnels de l’organisme aux dispositions de la loi sous forme de brochure par exemple.

== La désignation d'un CIL ==
C’est le décret d’application de la loi Informatique et Libertés, paru au journal officiel le 22 octobre 2005, qui précise les conditions de nomination du CIL.
=== Un salarié ou une personne extérieure ===
==== Un CIL interne ====
Le CIL doit, si possible, être un employé du responsable de traitement, car connaissant mieux, a priori, l’activité et le fonctionnement interne de son organisme, il est ainsi à même de veiller en temps réel à la bonne application des règles de protection des personnes et des conditions de mise en œuvre des traitements.

Si le recours à un correspondant externe est une solution qui peut être efficace pour les petites entités, pour de plus grosses structures, l’externalisation risque de ne pas répondre aux besoins de proximité et de disponibilité du CIL. Ainsi, lorsque plus de 50 personnes sont chargées de la mise en œuvre des traitements ou y ont directement accès, le choix du CIL externe est limité. Au-delà d’un certain seuil, seuls peuvent être choisis comme CIL des personnes se trouvant dans l’entourage économique de l’organisme qui le désigne.

Seul peut être désigné comme CIL :
*Un salarié de l’organisme,
*Un salarié d’une des entités du groupe de sociétés auquel appartient l’organisme,
*Un salarié du groupement d’intérêt économique dont est membre l’organisme,
*Une personne mandatée à cet effet par un organisme professionnel,
*Une personne mandatée à cet effet par un organisme regroupant des responsables de traitement d’un même secteur d’activité.

==== Un CIL externe ====
Il est donc aussi possible, sous les conditions indiquées ci-dessus, de désigner un CIL n’appartenant pas à l’organisme. Les possibilités de choix d’un CIL externe ne sont pas les mêmes pour tous les organismes.

Dans les petites structures, il peut être difficile de trouver parmi les salariés des personnes disposant des qualifications et compétences nécessaires pour exercer les fonctions de CIL. L’embauche d’un salarié ou l’affectation d’un salarié à cette tâche n’apparaît alors selon les cas ni possible ni nécessaire.
Ainsi, lorsque moins de 50 personnes sont chargées de la mise en œuvre des traitements ou y ont directement accès, le choix du CIL est libre : le correspondant peut être aussi bien un salarié de l’organisme ou d’une autre entité ou encore un professionnel indépendant.

=== Les compétences du CIL ===
La loi prévoit que le correspondant est une personne bénéficiant des qualifications requises pour exercer ses missions.

Article 22 de la loi du 6 janvier 1978 modifiée le 6 août 2004 :
« Le correspondant est une personne bénéficiant des qualifications requises pour exercer ses missions ».

Aucun agrément n’est prévu et aucune exigence de diplôme n’est fixée. Cependant, le correspondant doit disposer de compétences adaptées et le cas échéant, il doit les acquérir.

==== Les connaissances du CIL ====
Le CIL doit disposer de compétences adaptées à la taille et à l’activité du responsable de traitement. Ces compétences et qualifications doivent porter tant sur la législation relative à la protection des données à caractère personnel que sur l’informatique et les nouvelles technologies, sans oublier le domaine d’activité propre du responsable des traitements.
La connaissance de la loi Informatique et Libertés semble donc être primordiale. De plus, en informatique, une connaissance du vocabulaire et des métiers de l’informatique parait également nécessaire, de même que des différents modes de traitement des données.

==== Les formations du CIL ====
Lorsque le CIL ne dispose pas de l’ensemble des qualifications à la date de sa désignation, il doit les acquérir. Il appartient au responsable de traitement, en accord avec le CIL, de définir les formations nécessaires.
=== L’indépendance du CIL ===
Le correspondant doit exercer ses missions de manière indépendante : il est directement rattaché au responsable des traitements, il est protégé et ne peut exercer certaines fonctions pouvant engendrer des conflits d’intérêts.
==== Le correspondant est directement rattaché au responsable des traitements ====
Comme envisagé plus haut, le CIL et le responsable des traitements entretiennent des relations étroites. A cet égard, le CIL pourra apporter des conseils, des recommandations ou des alertes au responsable lors de la mise en œuvre des traitements ou dans l’instruction des plaintes.
==== Le correspondant est indépendant ====
Le CIL ne reçoit aucune instruction pour l’exercice de ses missions.
==== Le correspondant est protégé ====
Le CIL ne peut faire l’objet de sanctions de l’employeur du fait de l’exercice de ses missions, sauf en cas de manquements graves dûment constatés et qui lui soient directement imputables. La CNIL est gardienne de l’efficacité de cette protection : elle doit être avertie des raisons affectant la décision de fin des fonctions du CIL.
==== Les incompatibilités de fonctions ====
Notamment, le responsable de traitement ne peut être désigné comme CIL. D’autres fonctions pourraient s’avérer incompatibles : les fonctions impliquant une délégation de fait ou de droit des pouvoirs propres au responsable du traitement par exemple.

== Les modalités de désignation d'un CIL ==
=== L’information aux instances représentatives du personnel ===
Préalablement à la notification à la CNIL, le responsable de traitement doit informer les instances représentatives du personnel de sa décision de nomination du CIL. Cette information doit être effectuée par lettre recommandée avec avis de réception.
=== La notification à la CNIL ===
La notification à la CNIL doit contenir :
*Les nom, prénom, profession et coordonnées professionnelles du responsable des traitements, le cas échéant, ceux de son représentant, ainsi que ceux du CIL. Pour les personnes morales, la notification mentionne leur forme, leur dénomination, leur siège social ainsi que l’organe qui les représente légalement ;
*Lorsque le CIL est une personne morale, les mêmes renseignements concernant le préposé que la personne morale a désigné pour exercer les missions de CIL;
*Si la désignation est faite seulement pour certains traitements ou catégories de traitements, l’énumération de ceux-ci ;
*La nature des liens juridiques entre le CIL et la personne, l’autorité publique, le service ou l’organisme auprès duquel il est appelé à exercer ses fonctions ;
*Tout élément relatif aux qualifications ou références professionnelles du CIL et, le cas échéant, de son préposé en rapport avec cette fonction ;
*Les mesures prises par le responsable des traitements en vue de l’accomplissement par le CIL de ses missions en matière de protection des données ;

L’accord écrit de la personne désignée en qualité de CIL est annexé à la notification, qui peut se faire par voie électronique avec accusé de réception.

=== La prise d’effet de la désignation ===
La désignation d’un CIL prend effet un mois après la date de réception de la notification par la CNIL.
=== Modification, remplacement ou fin de fonctions ===
Toute modification substantielle affectant les informations mentionnées dans la désignation notifiée doit être portée à la connaissance de la CNIL par lettre recommandée avec demande d’avis de réception.
Il peut être mis fin aux fonctions du CIL à la demande de la CNIL ou de responsable de traitement ou à l’initiative du CIL lui-même.

==== A l’initiative de la CNIL lorsque le CIL manque aux devoirs de sa mission : ====
Lorsque la CNIL constate, après avoir recueilli ses observations, que le CIL manque aux devoirs de sa mission, elle demande au responsable de traitement de le décharger de ses fonctions.
==== A l’initiative du responsable de traitement lorsque le CIL manque aux devoirs de sa mission : ====
Le responsable de traitement doit alors saisir la CNIL pour avis par lettre recommandée comportant toutes les précisions relatives aux faits dont il est fait grief. Le responsable doit également notifier cette saisine au CIL par lettre recommandée en l’informant qu’il peut adresse ses observations à la CNIL.
La CNIL fait connaître son avis au responsable de traitement dans un délai d’un mois à compter de la réception de la saisine. Ce délai peut être renouvelé une fois sur décision motivée de son président.
==== A l’initiative du CIL démissionnaire : ====
Le responsable de traitement en informe la CNIL par une notification mentionnant en outre le motif de sa démission ou de sa décharge. Cette décision prend effet huit jours après sa date de réception par la CNIL.

== Les pouvoirs de contrôle de la CNIL ==
=== L’injonction de procéder aux formalités ===
Lorsque le responsable de traitement ne respecte pas les obligations mises à sa charge par la loi, le CNIL peut l’enjoindre de procéder aux formalités pour les traitements dispensés. Cette mesure ne met pas pour autant fin aux fonctions du CIL, qui reste saisi de ses autres missions.
=== Décharge du correspondant en cas de manquement grave du CIL ===
Cf ci-dessus « modification, remplacement ou fin des fonctions du CIL ».

== L'AFCDP <ref> Voir le site de l'AFCDP[http://www.afcdp.net/]</ref> ==

L’Association Française des Correspondants à la Protection des Données à Caractère Personnel (AFCDP) a été créée dès 2004, dans le contexte de la modification de la loi Informatique et Libertés qui a officialisé la nouvelle fonction du CIL.
L’association regroupe en mai 2010 plus de six cents professionnels et plus de 340 membres. Aussi, plusieurs groupes de travail participent de l’activité de l’association.
L’AFCDP s’est focalisée sur les objectifs suivants :
*Promouvoir la fonction du CIL et en faire un métier
*Proposer un cadre d’échanges en développant un réseau en France et à l’international
*Concevoir des outils, méthodes et pratiques utiles aux correspondants
*Défendre la fonction, en suivant le cadre juridique de la fonction, en ayant la primeur de l’information, en agissant pour faire valoir la position des professionnels <ref> Pour plus d'informations sur l'AFCDP, voir le guide "l'AFCDP se présente"[http://www.afcdp.net/IMG/pdf/AFCDP_se_presente_2010.pdf]</ref>.

== Actualités ==
= Comparaison européenne et internationale =
Le correspondant informatique et libertés existe dans d'autres pays comme en [[Allemagne]] ([[Préposé à la Protection des Données (de)|''Datenschutzbeauftragter'']] (préposé à la protection des données) créé dans les années 1970), aux [[Pays-Bas]] ([[Délégué à la protection des données (nl)|''functionaris gegevensbescherming'']] (délégué à la protection des données)), en [[Suède]] ([[Délégué à la protection des données (se)|''personuppgiftsombud'']] (délégué à la protection des données)) ainsi qu’aux [[États-Unis]] ([[responsable en chef de la vie privée (us)|''Chief Privacy Officer'']] (responsable en chef de la vie privée)).

= Voir aussi =
{{moteur (fr)|"Correspondant informatique et libertés" OR CIL AND entreprise -CCI}}

= Liens externes =
= Références =
= Notes =
<references />

Correspondant informatique et libertés dans les entreprises (fr)

2010-11-07T22:12:58Z

Céline C. : /* L'AFCDP */

{{ébauche (fr)}}
[[France]] > [[Droit des médias (fr)|Droit des médias]] > [[Droit de l'informatique et de l'internet (fr)|Droit de l'informatique et de l'internet]]
[[Image:fr_flag.png|framed|]]
[[Catégorie:France]][[Catégorie:Droit des médias (fr)|Droit des médias]][[Catégorie:Droit de l'informatique et de l'internet (fr)]]

= Historique juridique des données à caractère personnel =
== La Déclaration Universelle des Droits de l’Homme (1948) <ref>[http://www.un.org/fr/documents/udhr/ ''Déclaration Universelle des Droits de l’Homme''] sur le site de l'[[Organisation des Nations Unies (int)|Organisation des Nations Unies]]</ref> ==

Article 12 -
« Nul ne sera l'objet d'immixtions arbitraires dans sa vie privée, sa famille, son domicile ou sa correspondance, ni d'atteintes à son honneur et à sa réputation. Toute personne a droit à la protection de la loi contre de telles immixtions ou de telles atteintes. »

== La Convention Européenne des Droits de l’Homme et des Libertés fondamentales (1950) <ref> Convention Européenne des Droits de l'Homme et des Libertés fondamentales[http://conventions.coe.int/treaty/fr/Treaties/Html/005.htm ]</ref> ==

Article 8 – Droit au respect de la vie privée et familiale

« 1. Toute personne a droit au respect de sa vie privée et familiale, de son domicile et de sa correspondance.
2. Il ne peut y avoir ingérence d'une autorité publique dans l'exercice de ce droit que pour autant que cette ingérence est prévue par la loi et qu'elle constitue une mesure qui, dans une société démocratique, est nécessaire à la sécurité nationale, à la sûreté publique, au bien-être économique du pays, à la défense de l'ordre et à la prévention des infractions pénales, à la protection de la santé ou de la morale, ou à la protection des droits et libertés d'autrui. »

== La loi du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés <ref> Loi du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés [http://www.legifrance.gouv.fr/affichTexte.do;jsessionid=D7AC7F30557EA37898A73A63885BD865.tpdjo02v_2?cidTexte=JORFTEXT000000886460&dateTexte=20101107]</ref> ==

La loi n°78-17 relative à l'informatique, aux fichiers et aux libertés du 6 janvier 1978 (plus connue sous le nom de « loi Informatique et Libertés de 1978 » est une loi française promulguée à la suite de l'affaire SAFARI, et qui réglemente aujourd'hui notamment la pratique du fichage, manuel ou informatique. Elle institue notamment la Commission Nationale de l’Informatique et des libertés (CNIL) <ref> Site de la Commission Nationale de l'Informatique et des Libertés [http://www.cnil.fr/]</ref>, autorité chargée de veiller à la protection des données personnelles et de la vie privée. Dans ce cadre, la CNIL vérifie que la loi est respectée en contrôlant les applications informatiques, prononce des sanctions, établit des normes et propose au gouvernement des mesures législatives ou réglementaires de nature à adapter la protection des libertés et de la vie privée à l'évolution des techniques.
Article 1 –
« L'informatique doit être au service de chaque citoyen. Son développement doit s'opérer dans le cadre de la coopération internationale. Elle ne doit porter atteinte ni à l'identité humaine, ni aux droits de l'homme, ni à la vie privée, ni aux libertés individuelles ou publiques. »

== La Convention 108 du Conseil de l’Europe (25 janvier 1981) <ref> Convention 108 du Conseil de l'Europe [http://conventions.coe.int/treaty/fr/Treaties/html/108.htm]</ref> ==

Article 1er – Objet et but
« Le but de la présente Convention est de garantir, sur le territoire de chaque Partie, à toute personne physique, quelles que soient sa nationalité ou sa résidence, le respect de ses droits et de ses libertés fondamentales, et notamment de son droit à la vie privée, à l'égard du traitement automatisé des données à caractère personnel la concernant («protection des données»). »

== La Directive 95/46/CE du Parlement européen et du Conseil (24 octobre 1995) ==

C’est la [[directive (eu)|directive]]<ref>[[CELEX:31995L0046|''Directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données'']], [[Journal officiel (eu)|Journal officiel]] n° L 281 du 23/11/1995 p. 0031 - 0050</ref> relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données.
La directive 95/46/CE constitue le texte de référence, au niveau européen, en matière de protection des données à caractère personnel. Elle met en place un cadre réglementaire visant à établir un équilibre entre un niveau élevé de protection de la vie privée des personnes et la libre circulation des données à caractère personnel au sein de l'[[Union européenne]] (UE). Pour ce faire, la directive fixe des limites strictes à la collecte et à l'utilisation des données à caractère personnel, et demande la création, dans chaque [[État membre (eu)|État membre]], d'un organisme national indépendant chargé de la protection de ces données.

== La loi du 6 août 2004 relative à la protection des personnes physiques à l'égard des traitements de données à caractère personnel ==

La ''loi n° 2004-801 du 6 août 2004''<ref>[[JORF:JUSX0100026L|''Loi n°2004-801 du 6 août 2004 relative à la protection des personnes physiques à l'égard des traitements de données à caractère personnel et modifiant la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés'']] [[Journal officiel (fr)|JORF]] n°182 du 7 août 2004 page 14063 texte n° 2 </ref>, qui transpose dans le droit français les dispositions de la directive 95/46/CE<ref>[[CELEX:31995L0046|''op. cit.'']]</ref>, apporte de nombreuses modifications à la ''loi Informatique et Libertés''<ref>[http://www.legifrance.gouv.fr/affichTexte.do?cidTexte=LEGITEXT000006068624 ''Loi n° 78-17 du 6 Janvier 1978 relative à l'informatique, aux fichiers et aux libertés''], [[Journal officiel (fr)|JORF]] du 7 janvier 1978 page 227</ref>. Elle a été complétée par décrets du 20 octobre 2005 et du 25 mars 2007.
Grâce à la refonte de la loi Informatique et Libertés a été introduit le correspondant à la protection des données à caractère personnel couramment appelé « [[Correspondant informatique et libertés (fr)|Correspondant Informatique et Libertés]] » (CIL).

Article 22 –

« '''I.''' - À l'exception de ceux qui relèvent des dispositions prévues aux articles 25, 26 et 27 ou qui sont visés au deuxième alinéa de l'article 36, les traitements automatisés de données à caractère personnel font l'objet d'une déclaration auprès de la Commission nationale de l'informatique et des libertés. 
'''II.''' - Toutefois, ne sont soumis à aucune des formalités préalables prévues au présent chapitre : 
1° Les traitements ayant pour seul objet la tenue d'un registre qui, en vertu de dispositions législatives ou réglementaires, est destiné exclusivement à l'information du public et est ouvert à la consultation de celui-ci ou de toute personne justifiant d'un intérêt légitime ; 
2° Les traitements mentionnés au 3° du II de l'article 8. 
'''III.''' - Les traitements pour lesquels le responsable a désigné un correspondant à la protection des données à caractère personnel chargé d'assurer, d'une manière indépendante, le respect des obligations prévues dans la présente loi sont dispensés des formalités prévues aux articles 23 et 24, sauf lorsqu'un transfert de données à caractère personnel à destination d'un [[État (int)|État]] non membre de la Communauté européenne est envisagé. 
La désignation du correspondant est notifiée à la [[Commission nationale de l'informatique et des libertés (fr)|Commission nationale de l'informatique et des libertés]]. Elle est portée à la connaissance des instances représentatives du personnel. 
Le correspondant est une personne bénéficiant des qualifications requises pour exercer ses missions. Il tient une liste des traitements effectués immédiatement accessible à toute personne en faisant la demande et ne peut faire l'objet d'aucune sanction de la part de l'employeur du fait de l'accomplissement de ses missions. Il peut saisir la Commission nationale de l'informatique et des libertés des difficultés qu'il rencontre dans l'exercice de ses missions. 
En cas de non-respect des dispositions de la loi, le responsable du traitement est enjoint par la [[Commission nationale de l'informatique et des libertés (fr)|Commission nationale de l'informatique et des libertés]] de procéder aux formalités prévues aux articles 23 et 24. En cas de manquement constaté à ses devoirs, le correspondant est déchargé de ses fonctions sur demande, ou après consultation, de la Commission nationale de l'informatique et des libertés. 
'''IV.''' - Le responsable d'un traitement de données à caractère personnel qui n'est soumis à aucune des formalités prévues au présent chapitre communique à toute personne qui en fait la demande les informations relatives à ce traitement mentionnées aux 2° à 6° du I de l'article 31. »

== Le Décret n° 2005-1309 du 20 octobre 2005 <ref> Décret n° 2005-1309 du 20 octobre 2005 [http://www.legifrance.gouv.fr/affichTexte.do;jsessionid=D7AC7F30557EA37898A73A63885BD865.tpdjo02v_2?cidTexte=JORFTEXT000000241445&dateTexte=20070327]</ref> ==

Le décret n° 2005-1309 du 20 octobre 2005 est le décret d’application de la loi Informatique et Libertés modifiée en 2004.

Article 42 –

« La désignation d'un correspondant à la protection des données à caractère personnel par le responsable de traitements relevant des formalités prévues aux articles 22 à 24 de la loi du 6 janvier 1978 susvisée est notifiée à la Commission nationale de l'informatique et des libertés par lettre recommandée avec demande d'avis de réception ou par remise au secrétariat de la commission contre reçu, ou par voie électronique avec accusé de réception qui peut être adressé par la même voie. »

== Le Décret n° 2007-451 du 25 mars 2007 <ref> Décret n° 2007-451 du 25 mars 2007[http://www.legifrance.gouv.fr/affichTexte.do;jsessionid=D7AC7F30557EA37898A73A63885BD865.tpdjo02v_2?cidTexte=JORFTEXT000000824352&dateTexte=20101107]</ref> ==

Le décret n° 2007-451 modifie le décret n° 2005-1309 du 20 octobre 2005 pris pour l’application de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, modifiée par la loi n° 2004-801 du 6 août 2004.

= Le Correspondant Informatique et libertés (CIL) =
== Les raisons de la désignation d'un CIL ==
La loi Informatique et Libertés et son décret d’application prévoient, pour les entreprises, les collectivités locales, les administrations ou les associations, la possibilité de nommer un Correspondant Informatique et Libertés.
La désignation d’un CIL, par le responsable des traitements, a plusieurs avantages : elle permet une meilleure application de la loi, une sécurité juridique, un allègement des formalités et une relation privilégiée avec la CNIL.

=== Une meilleure application de la loi ===
La première raison de la désignation d’un CIL au sein d’un organisme est celle de la sécurité juridique. En effet, le CIL permet de garantir la conformité de l’organisme à la loi, notamment la loi « Informatique et Libertés ». Cette désignation permet de mieux assurer les obligations imposées par la loi au responsable des traitements. Cette maîtrise des risques juridiques est d’autant plus importante que certains manquements à la loi du 6 janvier 1978 sont pénalement sanctionnés. Le responsable de traitements est notamment tenu d’assurer le respect des droits des personnes concernées : il doit ainsi leur fournir une information suffisante sur les traitements mis en œuvre. Il doit aussi veiller à ce que les données traitées ne soient utilisées qu’aux seules fins pour lesquelles elles sont collectées.
Enfin, il doit faire respecter la sécurité et la confidentialité de ces informations.
Le temps libéré du fait de la dispense de déclaration peut donc désormais être consacré à l’application pratique de la loi Informatique et Libertés. Le responsable de traitements dispose en la personne du CIL d’un interlocuteur spécialisé à même de le conseiller dans ses choix.

=== Une sécurité informatique ===
Une meilleure application de la loi signifie aussi une source de sécurité informatique renforcée au sein de l’organisme.
Le CIL doit veiller ainsi à ce que toutes les précautions utiles et nécessaires ont été prises pour préserver la sécurité des données. Il doit notamment empêcher que ces données soient altérées, endommagées ou communiquées à des personnes n’ayant aucune raison de les connaître.

=== Un allègement des formalités ===
Comme envisagé un peu plus haut, la désignation d’un CIL est un facteur de simplification des formalités administratives. En principe, les traitements automatisés de données à caractère personnel font l'objet d'une déclaration auprès de la CNIL (art. 23 et 24 de la loi du 6 janvier 1978). La désignation d’un CIL a pour effet d’exonérer les responsables de traitements de l’accomplissement de tout ou partie des formalités préalables leur incombant. L’on peut donc voir en la désignation d’un CIL un allègement considérable des formalités. Ainsi, une fois le CIL désigné, seuls les traitements soumis à autorisation ou avis préalable de la CNIL (traitements comportant des risques manifestes pour les droits des personnes) devront continuer à être déclarés. Les autres traitements devront simplement être référencés dans une liste tenue par le CIL et régulièrement mise à jour par ce dernier.
Notons cependant que la désignation d’un CIL n’emporte pas dispense de demander l’autorisation ou l’avis de la CNIL pour les traitements comportant des transferts de données personnelles hors de l’Union Européenne (art. 22 de la loi du 6 janvier 1978).

=== Une relation privilégiée avec la CNIL ===
Outre le fait que la désignation du CIL doit être notifiée à la CNIL, le correspondant bénéficie surtout d’une relation privilégiée avec cette dernière: il dispose en effet d’un accès personnalisé aux services l’autorité chargée de veiller à la protection des données personnelles et de la vie privée en France.
Le CIL dispose :
*d'une ligne téléphonique et d’une adresse électronique dédiées ;
*d'un extranet proposant des services exclusifs et notamment des forums de discussion et des outils pratiques.
Le CIL devra, par ailleurs, tenir certains documents à la disposition de la CNIL.
Considérant le CIL comme un acteur « relais », la CNIL conduit par ailleurs une vaste opération de communication et de pédagogie auprès des acteurs concernés par la désignation d’un CIL <ref> Les plus grandes entreprises françaises sont invitées à se doter de correspondants, mais aussi les collectivités locales à travers l’Association des maires de France. La CNIL a déjà signé des accords de partenariat avec l’ACFCI (Assemblée des chambres de commerce et d’industrie), la CPU (Conférence des présidents d’université) et l’Union des caisses nationales de Sécurité sociale (UCANSS), afin de conduire des actions de sensibilisation à la protection des données et de favoriser la diffusion de la culture informatique et libertés.</ref>.

== Les missions d'un CIL ==
Dans le cadre de ses fonctions au sein de l’organisme, le CIL doit notamment tenir une liste des traitements et veiller à la bonne application de la loi Informatique et Libertés. Aussi, d’autres missions, de convention expresse, peuvent lui être confiées.
=== Établir et actualiser une liste des traitements ===
Dans les trois mois suivant sa désignation, le CIL doit dresser une liste des traitements automatisés pour lesquels il a été désigné. Cette liste peut être tenue de manière informatisée.
==== Le contenu de la liste ====
La liste précise pour chaque traitement :
*Le nom et l’adresse du responsable du traitement et, le cas échéant, de son représentant ;
*La ou les finalités du traitement ;
*Le ou les services chargés de la mise en œuvre ;
*L’indication de la fonction de la personne ou du service auprès desquels s’exerce le droit d’accès ;
*Une description de la ou les catégories de personnes concernées et des données ou des catégories de données s’y rapportant ;
*Les destinataires ou les catégories de destinataires auxquels les données sont susceptibles d’être communiquées ;
*La durée de conservation des données traitées (art. 48 du décret du 20 octobre 2005).

==== La mise à jour de la liste ====
La liste, une fois constituée, doit être tenue à jour. Les traitements mis en œuvre après la désignation du CIL doivent également y être répertoriés au fur et à mesure. Le responsable des traitements doit aider le CIL dans cette mission en lui communiquant tous les éléments qui lui seraient nécessaires.
==== Tenir cette liste à disposition ====
La liste des traitements dispensés tenue par le CIL doit être accessible à toute personne en faisant la demande. Cette mise à disposition implique un droit de consultation et un droit de communication sans que le demandeur ait à en justifier le motif. Le responsable peut également décider d’effectuer spontanément cette publicité.
=== Veiller à l’application de la loi Informatique et Libertés ===
Le CIL est tenu de veiller à la bonne application de la loi Informatique et Libertés. Pour ce faire, il est tenu à plusieurs missions : des missions de conseil, de médiation ou d’alerte. Enfin, il doit rendre compte de son action à la CNIL.
==== Conseiller et recommander le responsable des traitements ====
Le correspondant est obligatoirement consulté préalablement à la mise en œuvre des traitements. Il tient donc un rôle de conseiller auprès du responsable des traitements. Pour la bonne mise en œuvre de cette relation, le responsable des traitements doit évidemment fournir au CIL tous les éléments lui permettant d’établir et d’actualiser régulièrement sa liste des traitements automatisés.
==== Diffuser « une culture Informatique et Libertés » ====
Le CIL veille également au respect du droit d’accès et d’opposition et à l’information des personnes sur leurs droits. A cette fin, il contribue à l’élaboration et à la bonne diffusion de notes d’information ou d’affiches afin de diffuser une « culture Informatique et Libertés ».
==== Constater les manquements ====
Le CIL informe le responsable des traitements des manquements constatés et le conseille dans la réponse à apporter pour y remédier. Dans certains cas, si le CIL rencontre des difficultés dans l’exercice de ses missions, il lui est possible de saisir la CNIL.
==== Rendre compte de son action à l’aide d’un bilan annuel ====
Le CIL doit établir un bilan annuel de ses activités qu’il présente au responsable des traitements et qu’il tient à disposition de la CNIL.
=== Autres missions ===
D’autres missions, de convention expresse, peuvent être confiées au CIL. Elles peuvent porter notamment sur l’extension de son champ de compétence, l’élaboration d’une politique de protection des données à caractère personnel spécifique ou même la sensibilisation des personnels de l’organisme aux dispositions de la loi sous forme de brochure par exemple.

== La désignation d'un CIL ==
C’est le décret d’application de la loi Informatique et Libertés, paru au journal officiel le 22 octobre 2005, qui précise les conditions de nomination du CIL.
=== Un salarié ou une personne extérieure ===
==== Un CIL interne ====
Le CIL doit, si possible, être un employé du responsable de traitement, car connaissant mieux, a priori, l’activité et le fonctionnement interne de son organisme, il est ainsi à même de veiller en temps réel à la bonne application des règles de protection des personnes et des conditions de mise en œuvre des traitements.

Si le recours à un correspondant externe est une solution qui peut être efficace pour les petites entités, pour de plus grosses structures, l’externalisation risque de ne pas répondre aux besoins de proximité et de disponibilité du CIL. Ainsi, lorsque plus de 50 personnes sont chargées de la mise en œuvre des traitements ou y ont directement accès, le choix du CIL externe est limité. Au-delà d’un certain seuil, seuls peuvent être choisis comme CIL des personnes se trouvant dans l’entourage économique de l’organisme qui le désigne.

Seul peut être désigné comme CIL :
*Un salarié de l’organisme,
*Un salarié d’une des entités du groupe de sociétés auquel appartient l’organisme,
*Un salarié du groupement d’intérêt économique dont est membre l’organisme,
*Une personne mandatée à cet effet par un organisme professionnel,
*Une personne mandatée à cet effet par un organisme regroupant des responsables de traitement d’un même secteur d’activité.

==== Un CIL externe ====
Il est donc aussi possible, sous les conditions indiquées ci-dessus, de désigner un CIL n’appartenant pas à l’organisme. Les possibilités de choix d’un CIL externe ne sont pas les mêmes pour tous les organismes.

Dans les petites structures, il peut être difficile de trouver parmi les salariés des personnes disposant des qualifications et compétences nécessaires pour exercer les fonctions de CIL. L’embauche d’un salarié ou l’affectation d’un salarié à cette tâche n’apparaît alors selon les cas ni possible ni nécessaire.
Ainsi, lorsque moins de 50 personnes sont chargées de la mise en œuvre des traitements ou y ont directement accès, le choix du CIL est libre : le correspondant peut être aussi bien un salarié de l’organisme ou d’une autre entité ou encore un professionnel indépendant.

=== Les compétences du CIL ===
La loi prévoit que le correspondant est une personne bénéficiant des qualifications requises pour exercer ses missions.

Article 22 de la loi du 6 janvier 1978 modifiée le 6 août 2004 :
« Le correspondant est une personne bénéficiant des qualifications requises pour exercer ses missions ».

Aucun agrément n’est prévu et aucune exigence de diplôme n’est fixée. Cependant, le correspondant doit disposer de compétences adaptées et le cas échéant, il doit les acquérir.

==== Les connaissances du CIL ====
Le CIL doit disposer de compétences adaptées à la taille et à l’activité du responsable de traitement. Ces compétences et qualifications doivent porter tant sur la législation relative à la protection des données à caractère personnel que sur l’informatique et les nouvelles technologies, sans oublier le domaine d’activité propre du responsable des traitements.
La connaissance de la loi Informatique et Libertés semble donc être primordiale. De plus, en informatique, une connaissance du vocabulaire et des métiers de l’informatique parait également nécessaire, de même que des différents modes de traitement des données.

==== Les formations du CIL ====
Lorsque le CIL ne dispose pas de l’ensemble des qualifications à la date de sa désignation, il doit les acquérir. Il appartient au responsable de traitement, en accord avec le CIL, de définir les formations nécessaires.
=== L’indépendance du CIL ===
Le correspondant doit exercer ses missions de manière indépendante : il est directement rattaché au responsable des traitements, il est protégé et ne peut exercer certaines fonctions pouvant engendrer des conflits d’intérêts.
==== Le correspondant est directement rattaché au responsable des traitements ====
Comme envisagé plus haut, le CIL et le responsable des traitements entretiennent des relations étroites. A cet égard, le CIL pourra apporter des conseils, des recommandations ou des alertes au responsable lors de la mise en œuvre des traitements ou dans l’instruction des plaintes.
==== Le correspondant est indépendant ====
Le CIL ne reçoit aucune instruction pour l’exercice de ses missions.
==== Le correspondant est protégé ====
Le CIL ne peut faire l’objet de sanctions de l’employeur du fait de l’exercice de ses missions, sauf en cas de manquements graves dûment constatés et qui lui soient directement imputables. La CNIL est gardienne de l’efficacité de cette protection : elle doit être avertie des raisons affectant la décision de fin des fonctions du CIL.
==== Les incompatibilités de fonctions ====
Notamment, le responsable de traitement ne peut être désigné comme CIL. D’autres fonctions pourraient s’avérer incompatibles : les fonctions impliquant une délégation de fait ou de droit des pouvoirs propres au responsable du traitement par exemple.

== Les modalités de désignation d'un CIL ==
=== L’information aux instances représentatives du personnel ===
Préalablement à la notification à la CNIL, le responsable de traitement doit informer les instances représentatives du personnel de sa décision de nomination du CIL. Cette information doit être effectuée par lettre recommandée avec avis de réception.
=== La notification à la CNIL ===
La notification à la CNIL doit contenir :
*Les nom, prénom, profession et coordonnées professionnelles du responsable des traitements, le cas échéant, ceux de son représentant, ainsi que ceux du CIL. Pour les personnes morales, la notification mentionne leur forme, leur dénomination, leur siège social ainsi que l’organe qui les représente légalement ;
*Lorsque le CIL est une personne morale, les mêmes renseignements concernant le préposé que la personne morale a désigné pour exercer les missions de CIL;
*Si la désignation est faite seulement pour certains traitements ou catégories de traitements, l’énumération de ceux-ci ;
*La nature des liens juridiques entre le CIL et la personne, l’autorité publique, le service ou l’organisme auprès duquel il est appelé à exercer ses fonctions ;
*Tout élément relatif aux qualifications ou références professionnelles du CIL et, le cas échéant, de son préposé en rapport avec cette fonction ;
*Les mesures prises par le responsable des traitements en vue de l’accomplissement par le CIL de ses missions en matière de protection des données ;

L’accord écrit de la personne désignée en qualité de CIL est annexé à la notification, qui peut se faire par voie électronique avec accusé de réception.

=== La prise d’effet de la désignation ===
La désignation d’un CIL prend effet un mois après la date de réception de la notification par la CNIL.
=== Modification, remplacement ou fin de fonctions ===
Toute modification substantielle affectant les informations mentionnées dans la désignation notifiée doit être portée à la connaissance de la CNIL par lettre recommandée avec demande d’avis de réception.
Il peut être mis fin aux fonctions du CIL à la demande de la CNIL ou de responsable de traitement ou à l’initiative du CIL lui-même.

==== A l’initiative de la CNIL lorsque le CIL manque aux devoirs de sa mission : ====
Lorsque la CNIL constate, après avoir recueilli ses observations, que le CIL manque aux devoirs de sa mission, elle demande au responsable de traitement de le décharger de ses fonctions.
==== A l’initiative du responsable de traitement lorsque le CIL manque aux devoirs de sa mission : ====
Le responsable de traitement doit alors saisir la CNIL pour avis par lettre recommandée comportant toutes les précisions relatives aux faits dont il est fait grief. Le responsable doit également notifier cette saisine au CIL par lettre recommandée en l’informant qu’il peut adresse ses observations à la CNIL.
La CNIL fait connaître son avis au responsable de traitement dans un délai d’un mois à compter de la réception de la saisine. Ce délai peut être renouvelé une fois sur décision motivée de son président.
==== A l’initiative du CIL démissionnaire : ====
Le responsable de traitement en informe la CNIL par une notification mentionnant en outre le motif de sa démission ou de sa décharge. Cette décision prend effet huit jours après sa date de réception par la CNIL.

== Les pouvoirs de contrôle de la CNIL ==
=== L’injonction de procéder aux formalités ===
Lorsque le responsable de traitement ne respecte pas les obligations mises à sa charge par la loi, le CNIL peut l’enjoindre de procéder aux formalités pour les traitements dispensés. Cette mesure ne met pas pour autant fin aux fonctions du CIL, qui reste saisi de ses autres missions.
=== Décharge du correspondant en cas de manquement grave du CIL ===
Cf ci-dessus « modification, remplacement ou fin des fonctions du CIL ».

== L'AFCDP <ref> Voir le site de l'AFCDP[http://www.afcdp.net/]</ref> ==

L’Association Française des Correspondants à la Protection des Données à Caractère Personnel (AFCDP) a été créée dès 2004, dans le contexte de la modification de la loi Informatique et Libertés qui a officialisé la nouvelle fonction du CIL.
L’association regroupe en mai 2010 plus de six cents professionnels et plus de 340 membres. Aussi, plusieurs groupes de travail participent de l’activité de l’association.
L’AFCDP s’est focalisée sur les objectifs suivants :
*Promouvoir la fonction du CIL et en faire un métier
*Proposer un cadre d’échanges en développant un réseau en France et à l’international
*Concevoir des outils, méthodes et pratiques utiles aux correspondants
*Défendre la fonction, en suivant le cadre juridique de la fonction, en ayant la primeur de l’information, en agissant pour faire valoir la position des professionnels.

== Actualités ==
= Comparaison européenne et internationale =
Le correspondant informatique et libertés existe dans d'autres pays comme en [[Allemagne]] ([[Préposé à la Protection des Données (de)|''Datenschutzbeauftragter'']] (préposé à la protection des données) créé dans les années 1970), aux [[Pays-Bas]] ([[Délégué à la protection des données (nl)|''functionaris gegevensbescherming'']] (délégué à la protection des données)), en [[Suède]] ([[Délégué à la protection des données (se)|''personuppgiftsombud'']] (délégué à la protection des données)) ainsi qu’aux [[États-Unis]] ([[responsable en chef de la vie privée (us)|''Chief Privacy Officer'']] (responsable en chef de la vie privée)).

= Voir aussi =
{{moteur (fr)|"Correspondant informatique et libertés" OR CIL AND entreprise -CCI}}

= Liens externes =
= Références =
= Notes =
<references />

Correspondant informatique et libertés dans les entreprises (fr)

2010-11-07T22:09:12Z

Céline C. : /* Les pouvoirs de contrôle de la CNIL */

{{ébauche (fr)}}
[[France]] > [[Droit des médias (fr)|Droit des médias]] > [[Droit de l'informatique et de l'internet (fr)|Droit de l'informatique et de l'internet]]
[[Image:fr_flag.png|framed|]]
[[Catégorie:France]][[Catégorie:Droit des médias (fr)|Droit des médias]][[Catégorie:Droit de l'informatique et de l'internet (fr)]]

= Historique juridique des données à caractère personnel =
== La Déclaration Universelle des Droits de l’Homme (1948) <ref>[http://www.un.org/fr/documents/udhr/ ''Déclaration Universelle des Droits de l’Homme''] sur le site de l'[[Organisation des Nations Unies (int)|Organisation des Nations Unies]]</ref> ==

Article 12 -
« Nul ne sera l'objet d'immixtions arbitraires dans sa vie privée, sa famille, son domicile ou sa correspondance, ni d'atteintes à son honneur et à sa réputation. Toute personne a droit à la protection de la loi contre de telles immixtions ou de telles atteintes. »

== La Convention Européenne des Droits de l’Homme et des Libertés fondamentales (1950) <ref> Convention Européenne des Droits de l'Homme et des Libertés fondamentales[http://conventions.coe.int/treaty/fr/Treaties/Html/005.htm ]</ref> ==

Article 8 – Droit au respect de la vie privée et familiale

« 1. Toute personne a droit au respect de sa vie privée et familiale, de son domicile et de sa correspondance.
2. Il ne peut y avoir ingérence d'une autorité publique dans l'exercice de ce droit que pour autant que cette ingérence est prévue par la loi et qu'elle constitue une mesure qui, dans une société démocratique, est nécessaire à la sécurité nationale, à la sûreté publique, au bien-être économique du pays, à la défense de l'ordre et à la prévention des infractions pénales, à la protection de la santé ou de la morale, ou à la protection des droits et libertés d'autrui. »

== La loi du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés <ref> Loi du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés [http://www.legifrance.gouv.fr/affichTexte.do;jsessionid=D7AC7F30557EA37898A73A63885BD865.tpdjo02v_2?cidTexte=JORFTEXT000000886460&dateTexte=20101107]</ref> ==

La loi n°78-17 relative à l'informatique, aux fichiers et aux libertés du 6 janvier 1978 (plus connue sous le nom de « loi Informatique et Libertés de 1978 » est une loi française promulguée à la suite de l'affaire SAFARI, et qui réglemente aujourd'hui notamment la pratique du fichage, manuel ou informatique. Elle institue notamment la Commission Nationale de l’Informatique et des libertés (CNIL) <ref> Site de la Commission Nationale de l'Informatique et des Libertés [http://www.cnil.fr/]</ref>, autorité chargée de veiller à la protection des données personnelles et de la vie privée. Dans ce cadre, la CNIL vérifie que la loi est respectée en contrôlant les applications informatiques, prononce des sanctions, établit des normes et propose au gouvernement des mesures législatives ou réglementaires de nature à adapter la protection des libertés et de la vie privée à l'évolution des techniques.
Article 1 –
« L'informatique doit être au service de chaque citoyen. Son développement doit s'opérer dans le cadre de la coopération internationale. Elle ne doit porter atteinte ni à l'identité humaine, ni aux droits de l'homme, ni à la vie privée, ni aux libertés individuelles ou publiques. »

== La Convention 108 du Conseil de l’Europe (25 janvier 1981) <ref> Convention 108 du Conseil de l'Europe [http://conventions.coe.int/treaty/fr/Treaties/html/108.htm]</ref> ==

Article 1er – Objet et but
« Le but de la présente Convention est de garantir, sur le territoire de chaque Partie, à toute personne physique, quelles que soient sa nationalité ou sa résidence, le respect de ses droits et de ses libertés fondamentales, et notamment de son droit à la vie privée, à l'égard du traitement automatisé des données à caractère personnel la concernant («protection des données»). »

== La Directive 95/46/CE du Parlement européen et du Conseil (24 octobre 1995) ==

C’est la [[directive (eu)|directive]]<ref>[[CELEX:31995L0046|''Directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données'']], [[Journal officiel (eu)|Journal officiel]] n° L 281 du 23/11/1995 p. 0031 - 0050</ref> relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données.
La directive 95/46/CE constitue le texte de référence, au niveau européen, en matière de protection des données à caractère personnel. Elle met en place un cadre réglementaire visant à établir un équilibre entre un niveau élevé de protection de la vie privée des personnes et la libre circulation des données à caractère personnel au sein de l'[[Union européenne]] (UE). Pour ce faire, la directive fixe des limites strictes à la collecte et à l'utilisation des données à caractère personnel, et demande la création, dans chaque [[État membre (eu)|État membre]], d'un organisme national indépendant chargé de la protection de ces données.

== La loi du 6 août 2004 relative à la protection des personnes physiques à l'égard des traitements de données à caractère personnel ==

La ''loi n° 2004-801 du 6 août 2004''<ref>[[JORF:JUSX0100026L|''Loi n°2004-801 du 6 août 2004 relative à la protection des personnes physiques à l'égard des traitements de données à caractère personnel et modifiant la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés'']] [[Journal officiel (fr)|JORF]] n°182 du 7 août 2004 page 14063 texte n° 2 </ref>, qui transpose dans le droit français les dispositions de la directive 95/46/CE<ref>[[CELEX:31995L0046|''op. cit.'']]</ref>, apporte de nombreuses modifications à la ''loi Informatique et Libertés''<ref>[http://www.legifrance.gouv.fr/affichTexte.do?cidTexte=LEGITEXT000006068624 ''Loi n° 78-17 du 6 Janvier 1978 relative à l'informatique, aux fichiers et aux libertés''], [[Journal officiel (fr)|JORF]] du 7 janvier 1978 page 227</ref>. Elle a été complétée par décrets du 20 octobre 2005 et du 25 mars 2007.
Grâce à la refonte de la loi Informatique et Libertés a été introduit le correspondant à la protection des données à caractère personnel couramment appelé « [[Correspondant informatique et libertés (fr)|Correspondant Informatique et Libertés]] » (CIL).

Article 22 –

« '''I.''' - À l'exception de ceux qui relèvent des dispositions prévues aux articles 25, 26 et 27 ou qui sont visés au deuxième alinéa de l'article 36, les traitements automatisés de données à caractère personnel font l'objet d'une déclaration auprès de la Commission nationale de l'informatique et des libertés. 
'''II.''' - Toutefois, ne sont soumis à aucune des formalités préalables prévues au présent chapitre : 
1° Les traitements ayant pour seul objet la tenue d'un registre qui, en vertu de dispositions législatives ou réglementaires, est destiné exclusivement à l'information du public et est ouvert à la consultation de celui-ci ou de toute personne justifiant d'un intérêt légitime ; 
2° Les traitements mentionnés au 3° du II de l'article 8. 
'''III.''' - Les traitements pour lesquels le responsable a désigné un correspondant à la protection des données à caractère personnel chargé d'assurer, d'une manière indépendante, le respect des obligations prévues dans la présente loi sont dispensés des formalités prévues aux articles 23 et 24, sauf lorsqu'un transfert de données à caractère personnel à destination d'un [[État (int)|État]] non membre de la Communauté européenne est envisagé. 
La désignation du correspondant est notifiée à la [[Commission nationale de l'informatique et des libertés (fr)|Commission nationale de l'informatique et des libertés]]. Elle est portée à la connaissance des instances représentatives du personnel. 
Le correspondant est une personne bénéficiant des qualifications requises pour exercer ses missions. Il tient une liste des traitements effectués immédiatement accessible à toute personne en faisant la demande et ne peut faire l'objet d'aucune sanction de la part de l'employeur du fait de l'accomplissement de ses missions. Il peut saisir la Commission nationale de l'informatique et des libertés des difficultés qu'il rencontre dans l'exercice de ses missions. 
En cas de non-respect des dispositions de la loi, le responsable du traitement est enjoint par la [[Commission nationale de l'informatique et des libertés (fr)|Commission nationale de l'informatique et des libertés]] de procéder aux formalités prévues aux articles 23 et 24. En cas de manquement constaté à ses devoirs, le correspondant est déchargé de ses fonctions sur demande, ou après consultation, de la Commission nationale de l'informatique et des libertés. 
'''IV.''' - Le responsable d'un traitement de données à caractère personnel qui n'est soumis à aucune des formalités prévues au présent chapitre communique à toute personne qui en fait la demande les informations relatives à ce traitement mentionnées aux 2° à 6° du I de l'article 31. »

== Le Décret n° 2005-1309 du 20 octobre 2005 <ref> Décret n° 2005-1309 du 20 octobre 2005 [http://www.legifrance.gouv.fr/affichTexte.do;jsessionid=D7AC7F30557EA37898A73A63885BD865.tpdjo02v_2?cidTexte=JORFTEXT000000241445&dateTexte=20070327]</ref> ==

Le décret n° 2005-1309 du 20 octobre 2005 est le décret d’application de la loi Informatique et Libertés modifiée en 2004.

Article 42 –

« La désignation d'un correspondant à la protection des données à caractère personnel par le responsable de traitements relevant des formalités prévues aux articles 22 à 24 de la loi du 6 janvier 1978 susvisée est notifiée à la Commission nationale de l'informatique et des libertés par lettre recommandée avec demande d'avis de réception ou par remise au secrétariat de la commission contre reçu, ou par voie électronique avec accusé de réception qui peut être adressé par la même voie. »

== Le Décret n° 2007-451 du 25 mars 2007 <ref> Décret n° 2007-451 du 25 mars 2007[http://www.legifrance.gouv.fr/affichTexte.do;jsessionid=D7AC7F30557EA37898A73A63885BD865.tpdjo02v_2?cidTexte=JORFTEXT000000824352&dateTexte=20101107]</ref> ==

Le décret n° 2007-451 modifie le décret n° 2005-1309 du 20 octobre 2005 pris pour l’application de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, modifiée par la loi n° 2004-801 du 6 août 2004.

= Le Correspondant Informatique et libertés (CIL) =
== Les raisons de la désignation d'un CIL ==
La loi Informatique et Libertés et son décret d’application prévoient, pour les entreprises, les collectivités locales, les administrations ou les associations, la possibilité de nommer un Correspondant Informatique et Libertés.
La désignation d’un CIL, par le responsable des traitements, a plusieurs avantages : elle permet une meilleure application de la loi, une sécurité juridique, un allègement des formalités et une relation privilégiée avec la CNIL.

=== Une meilleure application de la loi ===
La première raison de la désignation d’un CIL au sein d’un organisme est celle de la sécurité juridique. En effet, le CIL permet de garantir la conformité de l’organisme à la loi, notamment la loi « Informatique et Libertés ». Cette désignation permet de mieux assurer les obligations imposées par la loi au responsable des traitements. Cette maîtrise des risques juridiques est d’autant plus importante que certains manquements à la loi du 6 janvier 1978 sont pénalement sanctionnés. Le responsable de traitements est notamment tenu d’assurer le respect des droits des personnes concernées : il doit ainsi leur fournir une information suffisante sur les traitements mis en œuvre. Il doit aussi veiller à ce que les données traitées ne soient utilisées qu’aux seules fins pour lesquelles elles sont collectées.
Enfin, il doit faire respecter la sécurité et la confidentialité de ces informations.
Le temps libéré du fait de la dispense de déclaration peut donc désormais être consacré à l’application pratique de la loi Informatique et Libertés. Le responsable de traitements dispose en la personne du CIL d’un interlocuteur spécialisé à même de le conseiller dans ses choix.

=== Une sécurité informatique ===
Une meilleure application de la loi signifie aussi une source de sécurité informatique renforcée au sein de l’organisme.
Le CIL doit veiller ainsi à ce que toutes les précautions utiles et nécessaires ont été prises pour préserver la sécurité des données. Il doit notamment empêcher que ces données soient altérées, endommagées ou communiquées à des personnes n’ayant aucune raison de les connaître.

=== Un allègement des formalités ===
Comme envisagé un peu plus haut, la désignation d’un CIL est un facteur de simplification des formalités administratives. En principe, les traitements automatisés de données à caractère personnel font l'objet d'une déclaration auprès de la CNIL (art. 23 et 24 de la loi du 6 janvier 1978). La désignation d’un CIL a pour effet d’exonérer les responsables de traitements de l’accomplissement de tout ou partie des formalités préalables leur incombant. L’on peut donc voir en la désignation d’un CIL un allègement considérable des formalités. Ainsi, une fois le CIL désigné, seuls les traitements soumis à autorisation ou avis préalable de la CNIL (traitements comportant des risques manifestes pour les droits des personnes) devront continuer à être déclarés. Les autres traitements devront simplement être référencés dans une liste tenue par le CIL et régulièrement mise à jour par ce dernier.
Notons cependant que la désignation d’un CIL n’emporte pas dispense de demander l’autorisation ou l’avis de la CNIL pour les traitements comportant des transferts de données personnelles hors de l’Union Européenne (art. 22 de la loi du 6 janvier 1978).

=== Une relation privilégiée avec la CNIL ===
Outre le fait que la désignation du CIL doit être notifiée à la CNIL, le correspondant bénéficie surtout d’une relation privilégiée avec cette dernière: il dispose en effet d’un accès personnalisé aux services l’autorité chargée de veiller à la protection des données personnelles et de la vie privée en France.
Le CIL dispose :
*d'une ligne téléphonique et d’une adresse électronique dédiées ;
*d'un extranet proposant des services exclusifs et notamment des forums de discussion et des outils pratiques.
Le CIL devra, par ailleurs, tenir certains documents à la disposition de la CNIL.
Considérant le CIL comme un acteur « relais », la CNIL conduit par ailleurs une vaste opération de communication et de pédagogie auprès des acteurs concernés par la désignation d’un CIL <ref> Les plus grandes entreprises françaises sont invitées à se doter de correspondants, mais aussi les collectivités locales à travers l’Association des maires de France. La CNIL a déjà signé des accords de partenariat avec l’ACFCI (Assemblée des chambres de commerce et d’industrie), la CPU (Conférence des présidents d’université) et l’Union des caisses nationales de Sécurité sociale (UCANSS), afin de conduire des actions de sensibilisation à la protection des données et de favoriser la diffusion de la culture informatique et libertés.</ref>.

== Les missions d'un CIL ==
Dans le cadre de ses fonctions au sein de l’organisme, le CIL doit notamment tenir une liste des traitements et veiller à la bonne application de la loi Informatique et Libertés. Aussi, d’autres missions, de convention expresse, peuvent lui être confiées.
=== Établir et actualiser une liste des traitements ===
Dans les trois mois suivant sa désignation, le CIL doit dresser une liste des traitements automatisés pour lesquels il a été désigné. Cette liste peut être tenue de manière informatisée.
==== Le contenu de la liste ====
La liste précise pour chaque traitement :
*Le nom et l’adresse du responsable du traitement et, le cas échéant, de son représentant ;
*La ou les finalités du traitement ;
*Le ou les services chargés de la mise en œuvre ;
*L’indication de la fonction de la personne ou du service auprès desquels s’exerce le droit d’accès ;
*Une description de la ou les catégories de personnes concernées et des données ou des catégories de données s’y rapportant ;
*Les destinataires ou les catégories de destinataires auxquels les données sont susceptibles d’être communiquées ;
*La durée de conservation des données traitées (art. 48 du décret du 20 octobre 2005).

==== La mise à jour de la liste ====
La liste, une fois constituée, doit être tenue à jour. Les traitements mis en œuvre après la désignation du CIL doivent également y être répertoriés au fur et à mesure. Le responsable des traitements doit aider le CIL dans cette mission en lui communiquant tous les éléments qui lui seraient nécessaires.
==== Tenir cette liste à disposition ====
La liste des traitements dispensés tenue par le CIL doit être accessible à toute personne en faisant la demande. Cette mise à disposition implique un droit de consultation et un droit de communication sans que le demandeur ait à en justifier le motif. Le responsable peut également décider d’effectuer spontanément cette publicité.
=== Veiller à l’application de la loi Informatique et Libertés ===
Le CIL est tenu de veiller à la bonne application de la loi Informatique et Libertés. Pour ce faire, il est tenu à plusieurs missions : des missions de conseil, de médiation ou d’alerte. Enfin, il doit rendre compte de son action à la CNIL.
==== Conseiller et recommander le responsable des traitements ====
Le correspondant est obligatoirement consulté préalablement à la mise en œuvre des traitements. Il tient donc un rôle de conseiller auprès du responsable des traitements. Pour la bonne mise en œuvre de cette relation, le responsable des traitements doit évidemment fournir au CIL tous les éléments lui permettant d’établir et d’actualiser régulièrement sa liste des traitements automatisés.
==== Diffuser « une culture Informatique et Libertés » ====
Le CIL veille également au respect du droit d’accès et d’opposition et à l’information des personnes sur leurs droits. A cette fin, il contribue à l’élaboration et à la bonne diffusion de notes d’information ou d’affiches afin de diffuser une « culture Informatique et Libertés ».
==== Constater les manquements ====
Le CIL informe le responsable des traitements des manquements constatés et le conseille dans la réponse à apporter pour y remédier. Dans certains cas, si le CIL rencontre des difficultés dans l’exercice de ses missions, il lui est possible de saisir la CNIL.
==== Rendre compte de son action à l’aide d’un bilan annuel ====
Le CIL doit établir un bilan annuel de ses activités qu’il présente au responsable des traitements et qu’il tient à disposition de la CNIL.
=== Autres missions ===
D’autres missions, de convention expresse, peuvent être confiées au CIL. Elles peuvent porter notamment sur l’extension de son champ de compétence, l’élaboration d’une politique de protection des données à caractère personnel spécifique ou même la sensibilisation des personnels de l’organisme aux dispositions de la loi sous forme de brochure par exemple.

== La désignation d'un CIL ==
C’est le décret d’application de la loi Informatique et Libertés, paru au journal officiel le 22 octobre 2005, qui précise les conditions de nomination du CIL.
=== Un salarié ou une personne extérieure ===
==== Un CIL interne ====
Le CIL doit, si possible, être un employé du responsable de traitement, car connaissant mieux, a priori, l’activité et le fonctionnement interne de son organisme, il est ainsi à même de veiller en temps réel à la bonne application des règles de protection des personnes et des conditions de mise en œuvre des traitements.

Si le recours à un correspondant externe est une solution qui peut être efficace pour les petites entités, pour de plus grosses structures, l’externalisation risque de ne pas répondre aux besoins de proximité et de disponibilité du CIL. Ainsi, lorsque plus de 50 personnes sont chargées de la mise en œuvre des traitements ou y ont directement accès, le choix du CIL externe est limité. Au-delà d’un certain seuil, seuls peuvent être choisis comme CIL des personnes se trouvant dans l’entourage économique de l’organisme qui le désigne.

Seul peut être désigné comme CIL :
*Un salarié de l’organisme,
*Un salarié d’une des entités du groupe de sociétés auquel appartient l’organisme,
*Un salarié du groupement d’intérêt économique dont est membre l’organisme,
*Une personne mandatée à cet effet par un organisme professionnel,
*Une personne mandatée à cet effet par un organisme regroupant des responsables de traitement d’un même secteur d’activité.

==== Un CIL externe ====
Il est donc aussi possible, sous les conditions indiquées ci-dessus, de désigner un CIL n’appartenant pas à l’organisme. Les possibilités de choix d’un CIL externe ne sont pas les mêmes pour tous les organismes.

Dans les petites structures, il peut être difficile de trouver parmi les salariés des personnes disposant des qualifications et compétences nécessaires pour exercer les fonctions de CIL. L’embauche d’un salarié ou l’affectation d’un salarié à cette tâche n’apparaît alors selon les cas ni possible ni nécessaire.
Ainsi, lorsque moins de 50 personnes sont chargées de la mise en œuvre des traitements ou y ont directement accès, le choix du CIL est libre : le correspondant peut être aussi bien un salarié de l’organisme ou d’une autre entité ou encore un professionnel indépendant.

=== Les compétences du CIL ===
La loi prévoit que le correspondant est une personne bénéficiant des qualifications requises pour exercer ses missions.

Article 22 de la loi du 6 janvier 1978 modifiée le 6 août 2004 :
« Le correspondant est une personne bénéficiant des qualifications requises pour exercer ses missions ».

Aucun agrément n’est prévu et aucune exigence de diplôme n’est fixée. Cependant, le correspondant doit disposer de compétences adaptées et le cas échéant, il doit les acquérir.

==== Les connaissances du CIL ====
Le CIL doit disposer de compétences adaptées à la taille et à l’activité du responsable de traitement. Ces compétences et qualifications doivent porter tant sur la législation relative à la protection des données à caractère personnel que sur l’informatique et les nouvelles technologies, sans oublier le domaine d’activité propre du responsable des traitements.
La connaissance de la loi Informatique et Libertés semble donc être primordiale. De plus, en informatique, une connaissance du vocabulaire et des métiers de l’informatique parait également nécessaire, de même que des différents modes de traitement des données.

==== Les formations du CIL ====
Lorsque le CIL ne dispose pas de l’ensemble des qualifications à la date de sa désignation, il doit les acquérir. Il appartient au responsable de traitement, en accord avec le CIL, de définir les formations nécessaires.
=== L’indépendance du CIL ===
Le correspondant doit exercer ses missions de manière indépendante : il est directement rattaché au responsable des traitements, il est protégé et ne peut exercer certaines fonctions pouvant engendrer des conflits d’intérêts.
==== Le correspondant est directement rattaché au responsable des traitements ====
Comme envisagé plus haut, le CIL et le responsable des traitements entretiennent des relations étroites. A cet égard, le CIL pourra apporter des conseils, des recommandations ou des alertes au responsable lors de la mise en œuvre des traitements ou dans l’instruction des plaintes.
==== Le correspondant est indépendant ====
Le CIL ne reçoit aucune instruction pour l’exercice de ses missions.
==== Le correspondant est protégé ====
Le CIL ne peut faire l’objet de sanctions de l’employeur du fait de l’exercice de ses missions, sauf en cas de manquements graves dûment constatés et qui lui soient directement imputables. La CNIL est gardienne de l’efficacité de cette protection : elle doit être avertie des raisons affectant la décision de fin des fonctions du CIL.
==== Les incompatibilités de fonctions ====
Notamment, le responsable de traitement ne peut être désigné comme CIL. D’autres fonctions pourraient s’avérer incompatibles : les fonctions impliquant une délégation de fait ou de droit des pouvoirs propres au responsable du traitement par exemple.

== Les modalités de désignation d'un CIL ==
=== L’information aux instances représentatives du personnel ===
Préalablement à la notification à la CNIL, le responsable de traitement doit informer les instances représentatives du personnel de sa décision de nomination du CIL. Cette information doit être effectuée par lettre recommandée avec avis de réception.
=== La notification à la CNIL ===
La notification à la CNIL doit contenir :
*Les nom, prénom, profession et coordonnées professionnelles du responsable des traitements, le cas échéant, ceux de son représentant, ainsi que ceux du CIL. Pour les personnes morales, la notification mentionne leur forme, leur dénomination, leur siège social ainsi que l’organe qui les représente légalement ;
*Lorsque le CIL est une personne morale, les mêmes renseignements concernant le préposé que la personne morale a désigné pour exercer les missions de CIL;
*Si la désignation est faite seulement pour certains traitements ou catégories de traitements, l’énumération de ceux-ci ;
*La nature des liens juridiques entre le CIL et la personne, l’autorité publique, le service ou l’organisme auprès duquel il est appelé à exercer ses fonctions ;
*Tout élément relatif aux qualifications ou références professionnelles du CIL et, le cas échéant, de son préposé en rapport avec cette fonction ;
*Les mesures prises par le responsable des traitements en vue de l’accomplissement par le CIL de ses missions en matière de protection des données ;

L’accord écrit de la personne désignée en qualité de CIL est annexé à la notification, qui peut se faire par voie électronique avec accusé de réception.

=== La prise d’effet de la désignation ===
La désignation d’un CIL prend effet un mois après la date de réception de la notification par la CNIL.
=== Modification, remplacement ou fin de fonctions ===
Toute modification substantielle affectant les informations mentionnées dans la désignation notifiée doit être portée à la connaissance de la CNIL par lettre recommandée avec demande d’avis de réception.
Il peut être mis fin aux fonctions du CIL à la demande de la CNIL ou de responsable de traitement ou à l’initiative du CIL lui-même.

==== A l’initiative de la CNIL lorsque le CIL manque aux devoirs de sa mission : ====
Lorsque la CNIL constate, après avoir recueilli ses observations, que le CIL manque aux devoirs de sa mission, elle demande au responsable de traitement de le décharger de ses fonctions.
==== A l’initiative du responsable de traitement lorsque le CIL manque aux devoirs de sa mission : ====
Le responsable de traitement doit alors saisir la CNIL pour avis par lettre recommandée comportant toutes les précisions relatives aux faits dont il est fait grief. Le responsable doit également notifier cette saisine au CIL par lettre recommandée en l’informant qu’il peut adresse ses observations à la CNIL.
La CNIL fait connaître son avis au responsable de traitement dans un délai d’un mois à compter de la réception de la saisine. Ce délai peut être renouvelé une fois sur décision motivée de son président.
==== A l’initiative du CIL démissionnaire : ====
Le responsable de traitement en informe la CNIL par une notification mentionnant en outre le motif de sa démission ou de sa décharge. Cette décision prend effet huit jours après sa date de réception par la CNIL.

== Les pouvoirs de contrôle de la CNIL ==
=== L’injonction de procéder aux formalités ===
Lorsque le responsable de traitement ne respecte pas les obligations mises à sa charge par la loi, le CNIL peut l’enjoindre de procéder aux formalités pour les traitements dispensés. Cette mesure ne met pas pour autant fin aux fonctions du CIL, qui reste saisi de ses autres missions.
=== Décharge du correspondant en cas de manquement grave du CIL ===
Cf ci-dessus « modification, remplacement ou fin des fonctions du CIL ».

== L'AFCDP ==
== Actualités ==
= Comparaison européenne et internationale =
Le correspondant informatique et libertés existe dans d'autres pays comme en [[Allemagne]] ([[Préposé à la Protection des Données (de)|''Datenschutzbeauftragter'']] (préposé à la protection des données) créé dans les années 1970), aux [[Pays-Bas]] ([[Délégué à la protection des données (nl)|''functionaris gegevensbescherming'']] (délégué à la protection des données)), en [[Suède]] ([[Délégué à la protection des données (se)|''personuppgiftsombud'']] (délégué à la protection des données)) ainsi qu’aux [[États-Unis]] ([[responsable en chef de la vie privée (us)|''Chief Privacy Officer'']] (responsable en chef de la vie privée)).

= Voir aussi =
{{moteur (fr)|"Correspondant informatique et libertés" OR CIL AND entreprise -CCI}}

= Liens externes =
= Références =
= Notes =
<references />

Correspondant informatique et libertés dans les entreprises (fr)

2010-11-07T22:07:54Z

Céline C. : /* Les modalités de désignation d'un CIL */

{{ébauche (fr)}}
[[France]] > [[Droit des médias (fr)|Droit des médias]] > [[Droit de l'informatique et de l'internet (fr)|Droit de l'informatique et de l'internet]]
[[Image:fr_flag.png|framed|]]
[[Catégorie:France]][[Catégorie:Droit des médias (fr)|Droit des médias]][[Catégorie:Droit de l'informatique et de l'internet (fr)]]

= Historique juridique des données à caractère personnel =
== La Déclaration Universelle des Droits de l’Homme (1948) <ref>[http://www.un.org/fr/documents/udhr/ ''Déclaration Universelle des Droits de l’Homme''] sur le site de l'[[Organisation des Nations Unies (int)|Organisation des Nations Unies]]</ref> ==

Article 12 -
« Nul ne sera l'objet d'immixtions arbitraires dans sa vie privée, sa famille, son domicile ou sa correspondance, ni d'atteintes à son honneur et à sa réputation. Toute personne a droit à la protection de la loi contre de telles immixtions ou de telles atteintes. »

== La Convention Européenne des Droits de l’Homme et des Libertés fondamentales (1950) <ref> Convention Européenne des Droits de l'Homme et des Libertés fondamentales[http://conventions.coe.int/treaty/fr/Treaties/Html/005.htm ]</ref> ==

Article 8 – Droit au respect de la vie privée et familiale

« 1. Toute personne a droit au respect de sa vie privée et familiale, de son domicile et de sa correspondance.
2. Il ne peut y avoir ingérence d'une autorité publique dans l'exercice de ce droit que pour autant que cette ingérence est prévue par la loi et qu'elle constitue une mesure qui, dans une société démocratique, est nécessaire à la sécurité nationale, à la sûreté publique, au bien-être économique du pays, à la défense de l'ordre et à la prévention des infractions pénales, à la protection de la santé ou de la morale, ou à la protection des droits et libertés d'autrui. »

== La loi du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés <ref> Loi du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés [http://www.legifrance.gouv.fr/affichTexte.do;jsessionid=D7AC7F30557EA37898A73A63885BD865.tpdjo02v_2?cidTexte=JORFTEXT000000886460&dateTexte=20101107]</ref> ==

La loi n°78-17 relative à l'informatique, aux fichiers et aux libertés du 6 janvier 1978 (plus connue sous le nom de « loi Informatique et Libertés de 1978 » est une loi française promulguée à la suite de l'affaire SAFARI, et qui réglemente aujourd'hui notamment la pratique du fichage, manuel ou informatique. Elle institue notamment la Commission Nationale de l’Informatique et des libertés (CNIL) <ref> Site de la Commission Nationale de l'Informatique et des Libertés [http://www.cnil.fr/]</ref>, autorité chargée de veiller à la protection des données personnelles et de la vie privée. Dans ce cadre, la CNIL vérifie que la loi est respectée en contrôlant les applications informatiques, prononce des sanctions, établit des normes et propose au gouvernement des mesures législatives ou réglementaires de nature à adapter la protection des libertés et de la vie privée à l'évolution des techniques.
Article 1 –
« L'informatique doit être au service de chaque citoyen. Son développement doit s'opérer dans le cadre de la coopération internationale. Elle ne doit porter atteinte ni à l'identité humaine, ni aux droits de l'homme, ni à la vie privée, ni aux libertés individuelles ou publiques. »

== La Convention 108 du Conseil de l’Europe (25 janvier 1981) <ref> Convention 108 du Conseil de l'Europe [http://conventions.coe.int/treaty/fr/Treaties/html/108.htm]</ref> ==

Article 1er – Objet et but
« Le but de la présente Convention est de garantir, sur le territoire de chaque Partie, à toute personne physique, quelles que soient sa nationalité ou sa résidence, le respect de ses droits et de ses libertés fondamentales, et notamment de son droit à la vie privée, à l'égard du traitement automatisé des données à caractère personnel la concernant («protection des données»). »

== La Directive 95/46/CE du Parlement européen et du Conseil (24 octobre 1995) ==

C’est la [[directive (eu)|directive]]<ref>[[CELEX:31995L0046|''Directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données'']], [[Journal officiel (eu)|Journal officiel]] n° L 281 du 23/11/1995 p. 0031 - 0050</ref> relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données.
La directive 95/46/CE constitue le texte de référence, au niveau européen, en matière de protection des données à caractère personnel. Elle met en place un cadre réglementaire visant à établir un équilibre entre un niveau élevé de protection de la vie privée des personnes et la libre circulation des données à caractère personnel au sein de l'[[Union européenne]] (UE). Pour ce faire, la directive fixe des limites strictes à la collecte et à l'utilisation des données à caractère personnel, et demande la création, dans chaque [[État membre (eu)|État membre]], d'un organisme national indépendant chargé de la protection de ces données.

== La loi du 6 août 2004 relative à la protection des personnes physiques à l'égard des traitements de données à caractère personnel ==

La ''loi n° 2004-801 du 6 août 2004''<ref>[[JORF:JUSX0100026L|''Loi n°2004-801 du 6 août 2004 relative à la protection des personnes physiques à l'égard des traitements de données à caractère personnel et modifiant la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés'']] [[Journal officiel (fr)|JORF]] n°182 du 7 août 2004 page 14063 texte n° 2 </ref>, qui transpose dans le droit français les dispositions de la directive 95/46/CE<ref>[[CELEX:31995L0046|''op. cit.'']]</ref>, apporte de nombreuses modifications à la ''loi Informatique et Libertés''<ref>[http://www.legifrance.gouv.fr/affichTexte.do?cidTexte=LEGITEXT000006068624 ''Loi n° 78-17 du 6 Janvier 1978 relative à l'informatique, aux fichiers et aux libertés''], [[Journal officiel (fr)|JORF]] du 7 janvier 1978 page 227</ref>. Elle a été complétée par décrets du 20 octobre 2005 et du 25 mars 2007.
Grâce à la refonte de la loi Informatique et Libertés a été introduit le correspondant à la protection des données à caractère personnel couramment appelé « [[Correspondant informatique et libertés (fr)|Correspondant Informatique et Libertés]] » (CIL).

Article 22 –

« '''I.''' - À l'exception de ceux qui relèvent des dispositions prévues aux articles 25, 26 et 27 ou qui sont visés au deuxième alinéa de l'article 36, les traitements automatisés de données à caractère personnel font l'objet d'une déclaration auprès de la Commission nationale de l'informatique et des libertés. 
'''II.''' - Toutefois, ne sont soumis à aucune des formalités préalables prévues au présent chapitre : 
1° Les traitements ayant pour seul objet la tenue d'un registre qui, en vertu de dispositions législatives ou réglementaires, est destiné exclusivement à l'information du public et est ouvert à la consultation de celui-ci ou de toute personne justifiant d'un intérêt légitime ; 
2° Les traitements mentionnés au 3° du II de l'article 8. 
'''III.''' - Les traitements pour lesquels le responsable a désigné un correspondant à la protection des données à caractère personnel chargé d'assurer, d'une manière indépendante, le respect des obligations prévues dans la présente loi sont dispensés des formalités prévues aux articles 23 et 24, sauf lorsqu'un transfert de données à caractère personnel à destination d'un [[État (int)|État]] non membre de la Communauté européenne est envisagé. 
La désignation du correspondant est notifiée à la [[Commission nationale de l'informatique et des libertés (fr)|Commission nationale de l'informatique et des libertés]]. Elle est portée à la connaissance des instances représentatives du personnel. 
Le correspondant est une personne bénéficiant des qualifications requises pour exercer ses missions. Il tient une liste des traitements effectués immédiatement accessible à toute personne en faisant la demande et ne peut faire l'objet d'aucune sanction de la part de l'employeur du fait de l'accomplissement de ses missions. Il peut saisir la Commission nationale de l'informatique et des libertés des difficultés qu'il rencontre dans l'exercice de ses missions. 
En cas de non-respect des dispositions de la loi, le responsable du traitement est enjoint par la [[Commission nationale de l'informatique et des libertés (fr)|Commission nationale de l'informatique et des libertés]] de procéder aux formalités prévues aux articles 23 et 24. En cas de manquement constaté à ses devoirs, le correspondant est déchargé de ses fonctions sur demande, ou après consultation, de la Commission nationale de l'informatique et des libertés. 
'''IV.''' - Le responsable d'un traitement de données à caractère personnel qui n'est soumis à aucune des formalités prévues au présent chapitre communique à toute personne qui en fait la demande les informations relatives à ce traitement mentionnées aux 2° à 6° du I de l'article 31. »

== Le Décret n° 2005-1309 du 20 octobre 2005 <ref> Décret n° 2005-1309 du 20 octobre 2005 [http://www.legifrance.gouv.fr/affichTexte.do;jsessionid=D7AC7F30557EA37898A73A63885BD865.tpdjo02v_2?cidTexte=JORFTEXT000000241445&dateTexte=20070327]</ref> ==

Le décret n° 2005-1309 du 20 octobre 2005 est le décret d’application de la loi Informatique et Libertés modifiée en 2004.

Article 42 –

« La désignation d'un correspondant à la protection des données à caractère personnel par le responsable de traitements relevant des formalités prévues aux articles 22 à 24 de la loi du 6 janvier 1978 susvisée est notifiée à la Commission nationale de l'informatique et des libertés par lettre recommandée avec demande d'avis de réception ou par remise au secrétariat de la commission contre reçu, ou par voie électronique avec accusé de réception qui peut être adressé par la même voie. »

== Le Décret n° 2007-451 du 25 mars 2007 <ref> Décret n° 2007-451 du 25 mars 2007[http://www.legifrance.gouv.fr/affichTexte.do;jsessionid=D7AC7F30557EA37898A73A63885BD865.tpdjo02v_2?cidTexte=JORFTEXT000000824352&dateTexte=20101107]</ref> ==

Le décret n° 2007-451 modifie le décret n° 2005-1309 du 20 octobre 2005 pris pour l’application de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, modifiée par la loi n° 2004-801 du 6 août 2004.

= Le Correspondant Informatique et libertés (CIL) =
== Les raisons de la désignation d'un CIL ==
La loi Informatique et Libertés et son décret d’application prévoient, pour les entreprises, les collectivités locales, les administrations ou les associations, la possibilité de nommer un Correspondant Informatique et Libertés.
La désignation d’un CIL, par le responsable des traitements, a plusieurs avantages : elle permet une meilleure application de la loi, une sécurité juridique, un allègement des formalités et une relation privilégiée avec la CNIL.

=== Une meilleure application de la loi ===
La première raison de la désignation d’un CIL au sein d’un organisme est celle de la sécurité juridique. En effet, le CIL permet de garantir la conformité de l’organisme à la loi, notamment la loi « Informatique et Libertés ». Cette désignation permet de mieux assurer les obligations imposées par la loi au responsable des traitements. Cette maîtrise des risques juridiques est d’autant plus importante que certains manquements à la loi du 6 janvier 1978 sont pénalement sanctionnés. Le responsable de traitements est notamment tenu d’assurer le respect des droits des personnes concernées : il doit ainsi leur fournir une information suffisante sur les traitements mis en œuvre. Il doit aussi veiller à ce que les données traitées ne soient utilisées qu’aux seules fins pour lesquelles elles sont collectées.
Enfin, il doit faire respecter la sécurité et la confidentialité de ces informations.
Le temps libéré du fait de la dispense de déclaration peut donc désormais être consacré à l’application pratique de la loi Informatique et Libertés. Le responsable de traitements dispose en la personne du CIL d’un interlocuteur spécialisé à même de le conseiller dans ses choix.

=== Une sécurité informatique ===
Une meilleure application de la loi signifie aussi une source de sécurité informatique renforcée au sein de l’organisme.
Le CIL doit veiller ainsi à ce que toutes les précautions utiles et nécessaires ont été prises pour préserver la sécurité des données. Il doit notamment empêcher que ces données soient altérées, endommagées ou communiquées à des personnes n’ayant aucune raison de les connaître.

=== Un allègement des formalités ===
Comme envisagé un peu plus haut, la désignation d’un CIL est un facteur de simplification des formalités administratives. En principe, les traitements automatisés de données à caractère personnel font l'objet d'une déclaration auprès de la CNIL (art. 23 et 24 de la loi du 6 janvier 1978). La désignation d’un CIL a pour effet d’exonérer les responsables de traitements de l’accomplissement de tout ou partie des formalités préalables leur incombant. L’on peut donc voir en la désignation d’un CIL un allègement considérable des formalités. Ainsi, une fois le CIL désigné, seuls les traitements soumis à autorisation ou avis préalable de la CNIL (traitements comportant des risques manifestes pour les droits des personnes) devront continuer à être déclarés. Les autres traitements devront simplement être référencés dans une liste tenue par le CIL et régulièrement mise à jour par ce dernier.
Notons cependant que la désignation d’un CIL n’emporte pas dispense de demander l’autorisation ou l’avis de la CNIL pour les traitements comportant des transferts de données personnelles hors de l’Union Européenne (art. 22 de la loi du 6 janvier 1978).

=== Une relation privilégiée avec la CNIL ===
Outre le fait que la désignation du CIL doit être notifiée à la CNIL, le correspondant bénéficie surtout d’une relation privilégiée avec cette dernière: il dispose en effet d’un accès personnalisé aux services l’autorité chargée de veiller à la protection des données personnelles et de la vie privée en France.
Le CIL dispose :
*d'une ligne téléphonique et d’une adresse électronique dédiées ;
*d'un extranet proposant des services exclusifs et notamment des forums de discussion et des outils pratiques.
Le CIL devra, par ailleurs, tenir certains documents à la disposition de la CNIL.
Considérant le CIL comme un acteur « relais », la CNIL conduit par ailleurs une vaste opération de communication et de pédagogie auprès des acteurs concernés par la désignation d’un CIL <ref> Les plus grandes entreprises françaises sont invitées à se doter de correspondants, mais aussi les collectivités locales à travers l’Association des maires de France. La CNIL a déjà signé des accords de partenariat avec l’ACFCI (Assemblée des chambres de commerce et d’industrie), la CPU (Conférence des présidents d’université) et l’Union des caisses nationales de Sécurité sociale (UCANSS), afin de conduire des actions de sensibilisation à la protection des données et de favoriser la diffusion de la culture informatique et libertés.</ref>.

== Les missions d'un CIL ==
Dans le cadre de ses fonctions au sein de l’organisme, le CIL doit notamment tenir une liste des traitements et veiller à la bonne application de la loi Informatique et Libertés. Aussi, d’autres missions, de convention expresse, peuvent lui être confiées.
=== Établir et actualiser une liste des traitements ===
Dans les trois mois suivant sa désignation, le CIL doit dresser une liste des traitements automatisés pour lesquels il a été désigné. Cette liste peut être tenue de manière informatisée.
==== Le contenu de la liste ====
La liste précise pour chaque traitement :
*Le nom et l’adresse du responsable du traitement et, le cas échéant, de son représentant ;
*La ou les finalités du traitement ;
*Le ou les services chargés de la mise en œuvre ;
*L’indication de la fonction de la personne ou du service auprès desquels s’exerce le droit d’accès ;
*Une description de la ou les catégories de personnes concernées et des données ou des catégories de données s’y rapportant ;
*Les destinataires ou les catégories de destinataires auxquels les données sont susceptibles d’être communiquées ;
*La durée de conservation des données traitées (art. 48 du décret du 20 octobre 2005).

==== La mise à jour de la liste ====
La liste, une fois constituée, doit être tenue à jour. Les traitements mis en œuvre après la désignation du CIL doivent également y être répertoriés au fur et à mesure. Le responsable des traitements doit aider le CIL dans cette mission en lui communiquant tous les éléments qui lui seraient nécessaires.
==== Tenir cette liste à disposition ====
La liste des traitements dispensés tenue par le CIL doit être accessible à toute personne en faisant la demande. Cette mise à disposition implique un droit de consultation et un droit de communication sans que le demandeur ait à en justifier le motif. Le responsable peut également décider d’effectuer spontanément cette publicité.
=== Veiller à l’application de la loi Informatique et Libertés ===
Le CIL est tenu de veiller à la bonne application de la loi Informatique et Libertés. Pour ce faire, il est tenu à plusieurs missions : des missions de conseil, de médiation ou d’alerte. Enfin, il doit rendre compte de son action à la CNIL.
==== Conseiller et recommander le responsable des traitements ====
Le correspondant est obligatoirement consulté préalablement à la mise en œuvre des traitements. Il tient donc un rôle de conseiller auprès du responsable des traitements. Pour la bonne mise en œuvre de cette relation, le responsable des traitements doit évidemment fournir au CIL tous les éléments lui permettant d’établir et d’actualiser régulièrement sa liste des traitements automatisés.
==== Diffuser « une culture Informatique et Libertés » ====
Le CIL veille également au respect du droit d’accès et d’opposition et à l’information des personnes sur leurs droits. A cette fin, il contribue à l’élaboration et à la bonne diffusion de notes d’information ou d’affiches afin de diffuser une « culture Informatique et Libertés ».
==== Constater les manquements ====
Le CIL informe le responsable des traitements des manquements constatés et le conseille dans la réponse à apporter pour y remédier. Dans certains cas, si le CIL rencontre des difficultés dans l’exercice de ses missions, il lui est possible de saisir la CNIL.
==== Rendre compte de son action à l’aide d’un bilan annuel ====
Le CIL doit établir un bilan annuel de ses activités qu’il présente au responsable des traitements et qu’il tient à disposition de la CNIL.
=== Autres missions ===
D’autres missions, de convention expresse, peuvent être confiées au CIL. Elles peuvent porter notamment sur l’extension de son champ de compétence, l’élaboration d’une politique de protection des données à caractère personnel spécifique ou même la sensibilisation des personnels de l’organisme aux dispositions de la loi sous forme de brochure par exemple.

== La désignation d'un CIL ==
C’est le décret d’application de la loi Informatique et Libertés, paru au journal officiel le 22 octobre 2005, qui précise les conditions de nomination du CIL.
=== Un salarié ou une personne extérieure ===
==== Un CIL interne ====
Le CIL doit, si possible, être un employé du responsable de traitement, car connaissant mieux, a priori, l’activité et le fonctionnement interne de son organisme, il est ainsi à même de veiller en temps réel à la bonne application des règles de protection des personnes et des conditions de mise en œuvre des traitements.

Si le recours à un correspondant externe est une solution qui peut être efficace pour les petites entités, pour de plus grosses structures, l’externalisation risque de ne pas répondre aux besoins de proximité et de disponibilité du CIL. Ainsi, lorsque plus de 50 personnes sont chargées de la mise en œuvre des traitements ou y ont directement accès, le choix du CIL externe est limité. Au-delà d’un certain seuil, seuls peuvent être choisis comme CIL des personnes se trouvant dans l’entourage économique de l’organisme qui le désigne.

Seul peut être désigné comme CIL :
*Un salarié de l’organisme,
*Un salarié d’une des entités du groupe de sociétés auquel appartient l’organisme,
*Un salarié du groupement d’intérêt économique dont est membre l’organisme,
*Une personne mandatée à cet effet par un organisme professionnel,
*Une personne mandatée à cet effet par un organisme regroupant des responsables de traitement d’un même secteur d’activité.

==== Un CIL externe ====
Il est donc aussi possible, sous les conditions indiquées ci-dessus, de désigner un CIL n’appartenant pas à l’organisme. Les possibilités de choix d’un CIL externe ne sont pas les mêmes pour tous les organismes.

Dans les petites structures, il peut être difficile de trouver parmi les salariés des personnes disposant des qualifications et compétences nécessaires pour exercer les fonctions de CIL. L’embauche d’un salarié ou l’affectation d’un salarié à cette tâche n’apparaît alors selon les cas ni possible ni nécessaire.
Ainsi, lorsque moins de 50 personnes sont chargées de la mise en œuvre des traitements ou y ont directement accès, le choix du CIL est libre : le correspondant peut être aussi bien un salarié de l’organisme ou d’une autre entité ou encore un professionnel indépendant.

=== Les compétences du CIL ===
La loi prévoit que le correspondant est une personne bénéficiant des qualifications requises pour exercer ses missions.

Article 22 de la loi du 6 janvier 1978 modifiée le 6 août 2004 :
« Le correspondant est une personne bénéficiant des qualifications requises pour exercer ses missions ».

Aucun agrément n’est prévu et aucune exigence de diplôme n’est fixée. Cependant, le correspondant doit disposer de compétences adaptées et le cas échéant, il doit les acquérir.

==== Les connaissances du CIL ====
Le CIL doit disposer de compétences adaptées à la taille et à l’activité du responsable de traitement. Ces compétences et qualifications doivent porter tant sur la législation relative à la protection des données à caractère personnel que sur l’informatique et les nouvelles technologies, sans oublier le domaine d’activité propre du responsable des traitements.
La connaissance de la loi Informatique et Libertés semble donc être primordiale. De plus, en informatique, une connaissance du vocabulaire et des métiers de l’informatique parait également nécessaire, de même que des différents modes de traitement des données.

==== Les formations du CIL ====
Lorsque le CIL ne dispose pas de l’ensemble des qualifications à la date de sa désignation, il doit les acquérir. Il appartient au responsable de traitement, en accord avec le CIL, de définir les formations nécessaires.
=== L’indépendance du CIL ===
Le correspondant doit exercer ses missions de manière indépendante : il est directement rattaché au responsable des traitements, il est protégé et ne peut exercer certaines fonctions pouvant engendrer des conflits d’intérêts.
==== Le correspondant est directement rattaché au responsable des traitements ====
Comme envisagé plus haut, le CIL et le responsable des traitements entretiennent des relations étroites. A cet égard, le CIL pourra apporter des conseils, des recommandations ou des alertes au responsable lors de la mise en œuvre des traitements ou dans l’instruction des plaintes.
==== Le correspondant est indépendant ====
Le CIL ne reçoit aucune instruction pour l’exercice de ses missions.
==== Le correspondant est protégé ====
Le CIL ne peut faire l’objet de sanctions de l’employeur du fait de l’exercice de ses missions, sauf en cas de manquements graves dûment constatés et qui lui soient directement imputables. La CNIL est gardienne de l’efficacité de cette protection : elle doit être avertie des raisons affectant la décision de fin des fonctions du CIL.
==== Les incompatibilités de fonctions ====
Notamment, le responsable de traitement ne peut être désigné comme CIL. D’autres fonctions pourraient s’avérer incompatibles : les fonctions impliquant une délégation de fait ou de droit des pouvoirs propres au responsable du traitement par exemple.

== Les modalités de désignation d'un CIL ==
=== L’information aux instances représentatives du personnel ===
Préalablement à la notification à la CNIL, le responsable de traitement doit informer les instances représentatives du personnel de sa décision de nomination du CIL. Cette information doit être effectuée par lettre recommandée avec avis de réception.
=== La notification à la CNIL ===
La notification à la CNIL doit contenir :
*Les nom, prénom, profession et coordonnées professionnelles du responsable des traitements, le cas échéant, ceux de son représentant, ainsi que ceux du CIL. Pour les personnes morales, la notification mentionne leur forme, leur dénomination, leur siège social ainsi que l’organe qui les représente légalement ;
*Lorsque le CIL est une personne morale, les mêmes renseignements concernant le préposé que la personne morale a désigné pour exercer les missions de CIL;
*Si la désignation est faite seulement pour certains traitements ou catégories de traitements, l’énumération de ceux-ci ;
*La nature des liens juridiques entre le CIL et la personne, l’autorité publique, le service ou l’organisme auprès duquel il est appelé à exercer ses fonctions ;
*Tout élément relatif aux qualifications ou références professionnelles du CIL et, le cas échéant, de son préposé en rapport avec cette fonction ;
*Les mesures prises par le responsable des traitements en vue de l’accomplissement par le CIL de ses missions en matière de protection des données ;

L’accord écrit de la personne désignée en qualité de CIL est annexé à la notification, qui peut se faire par voie électronique avec accusé de réception.

=== La prise d’effet de la désignation ===
La désignation d’un CIL prend effet un mois après la date de réception de la notification par la CNIL.
=== Modification, remplacement ou fin de fonctions ===
Toute modification substantielle affectant les informations mentionnées dans la désignation notifiée doit être portée à la connaissance de la CNIL par lettre recommandée avec demande d’avis de réception.
Il peut être mis fin aux fonctions du CIL à la demande de la CNIL ou de responsable de traitement ou à l’initiative du CIL lui-même.

==== A l’initiative de la CNIL lorsque le CIL manque aux devoirs de sa mission : ====
Lorsque la CNIL constate, après avoir recueilli ses observations, que le CIL manque aux devoirs de sa mission, elle demande au responsable de traitement de le décharger de ses fonctions.
==== A l’initiative du responsable de traitement lorsque le CIL manque aux devoirs de sa mission : ====
Le responsable de traitement doit alors saisir la CNIL pour avis par lettre recommandée comportant toutes les précisions relatives aux faits dont il est fait grief. Le responsable doit également notifier cette saisine au CIL par lettre recommandée en l’informant qu’il peut adresse ses observations à la CNIL.
La CNIL fait connaître son avis au responsable de traitement dans un délai d’un mois à compter de la réception de la saisine. Ce délai peut être renouvelé une fois sur décision motivée de son président.
==== A l’initiative du CIL démissionnaire : ====
Le responsable de traitement en informe la CNIL par une notification mentionnant en outre le motif de sa démission ou de sa décharge. Cette décision prend effet huit jours après sa date de réception par la CNIL.

== Les pouvoirs de contrôle de la CNIL ==
=== L’injonction de procéder aux formalités ===
=== Décharge du correspondant en cas de manquement grave du CIL ===
== L'AFCDP ==
== Actualités ==
= Comparaison européenne et internationale =
Le correspondant informatique et libertés existe dans d'autres pays comme en [[Allemagne]] ([[Préposé à la Protection des Données (de)|''Datenschutzbeauftragter'']] (préposé à la protection des données) créé dans les années 1970), aux [[Pays-Bas]] ([[Délégué à la protection des données (nl)|''functionaris gegevensbescherming'']] (délégué à la protection des données)), en [[Suède]] ([[Délégué à la protection des données (se)|''personuppgiftsombud'']] (délégué à la protection des données)) ainsi qu’aux [[États-Unis]] ([[responsable en chef de la vie privée (us)|''Chief Privacy Officer'']] (responsable en chef de la vie privée)).

= Voir aussi =
{{moteur (fr)|"Correspondant informatique et libertés" OR CIL AND entreprise -CCI}}

= Liens externes =
= Références =
= Notes =
<references />

Correspondant informatique et libertés dans les entreprises (fr)

2010-11-07T22:02:53Z

Céline C. : /* La désignation d'un CIL */

{{ébauche (fr)}}
[[France]] > [[Droit des médias (fr)|Droit des médias]] > [[Droit de l'informatique et de l'internet (fr)|Droit de l'informatique et de l'internet]]
[[Image:fr_flag.png|framed|]]
[[Catégorie:France]][[Catégorie:Droit des médias (fr)|Droit des médias]][[Catégorie:Droit de l'informatique et de l'internet (fr)]]

= Historique juridique des données à caractère personnel =
== La Déclaration Universelle des Droits de l’Homme (1948) <ref>[http://www.un.org/fr/documents/udhr/ ''Déclaration Universelle des Droits de l’Homme''] sur le site de l'[[Organisation des Nations Unies (int)|Organisation des Nations Unies]]</ref> ==

Article 12 -
« Nul ne sera l'objet d'immixtions arbitraires dans sa vie privée, sa famille, son domicile ou sa correspondance, ni d'atteintes à son honneur et à sa réputation. Toute personne a droit à la protection de la loi contre de telles immixtions ou de telles atteintes. »

== La Convention Européenne des Droits de l’Homme et des Libertés fondamentales (1950) <ref> Convention Européenne des Droits de l'Homme et des Libertés fondamentales[http://conventions.coe.int/treaty/fr/Treaties/Html/005.htm ]</ref> ==

Article 8 – Droit au respect de la vie privée et familiale

« 1. Toute personne a droit au respect de sa vie privée et familiale, de son domicile et de sa correspondance.
2. Il ne peut y avoir ingérence d'une autorité publique dans l'exercice de ce droit que pour autant que cette ingérence est prévue par la loi et qu'elle constitue une mesure qui, dans une société démocratique, est nécessaire à la sécurité nationale, à la sûreté publique, au bien-être économique du pays, à la défense de l'ordre et à la prévention des infractions pénales, à la protection de la santé ou de la morale, ou à la protection des droits et libertés d'autrui. »

== La loi du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés <ref> Loi du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés [http://www.legifrance.gouv.fr/affichTexte.do;jsessionid=D7AC7F30557EA37898A73A63885BD865.tpdjo02v_2?cidTexte=JORFTEXT000000886460&dateTexte=20101107]</ref> ==

La loi n°78-17 relative à l'informatique, aux fichiers et aux libertés du 6 janvier 1978 (plus connue sous le nom de « loi Informatique et Libertés de 1978 » est une loi française promulguée à la suite de l'affaire SAFARI, et qui réglemente aujourd'hui notamment la pratique du fichage, manuel ou informatique. Elle institue notamment la Commission Nationale de l’Informatique et des libertés (CNIL) <ref> Site de la Commission Nationale de l'Informatique et des Libertés [http://www.cnil.fr/]</ref>, autorité chargée de veiller à la protection des données personnelles et de la vie privée. Dans ce cadre, la CNIL vérifie que la loi est respectée en contrôlant les applications informatiques, prononce des sanctions, établit des normes et propose au gouvernement des mesures législatives ou réglementaires de nature à adapter la protection des libertés et de la vie privée à l'évolution des techniques.
Article 1 –
« L'informatique doit être au service de chaque citoyen. Son développement doit s'opérer dans le cadre de la coopération internationale. Elle ne doit porter atteinte ni à l'identité humaine, ni aux droits de l'homme, ni à la vie privée, ni aux libertés individuelles ou publiques. »

== La Convention 108 du Conseil de l’Europe (25 janvier 1981) <ref> Convention 108 du Conseil de l'Europe [http://conventions.coe.int/treaty/fr/Treaties/html/108.htm]</ref> ==

Article 1er – Objet et but
« Le but de la présente Convention est de garantir, sur le territoire de chaque Partie, à toute personne physique, quelles que soient sa nationalité ou sa résidence, le respect de ses droits et de ses libertés fondamentales, et notamment de son droit à la vie privée, à l'égard du traitement automatisé des données à caractère personnel la concernant («protection des données»). »

== La Directive 95/46/CE du Parlement européen et du Conseil (24 octobre 1995) ==

C’est la [[directive (eu)|directive]]<ref>[[CELEX:31995L0046|''Directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données'']], [[Journal officiel (eu)|Journal officiel]] n° L 281 du 23/11/1995 p. 0031 - 0050</ref> relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données.
La directive 95/46/CE constitue le texte de référence, au niveau européen, en matière de protection des données à caractère personnel. Elle met en place un cadre réglementaire visant à établir un équilibre entre un niveau élevé de protection de la vie privée des personnes et la libre circulation des données à caractère personnel au sein de l'[[Union européenne]] (UE). Pour ce faire, la directive fixe des limites strictes à la collecte et à l'utilisation des données à caractère personnel, et demande la création, dans chaque [[État membre (eu)|État membre]], d'un organisme national indépendant chargé de la protection de ces données.

== La loi du 6 août 2004 relative à la protection des personnes physiques à l'égard des traitements de données à caractère personnel ==

La ''loi n° 2004-801 du 6 août 2004''<ref>[[JORF:JUSX0100026L|''Loi n°2004-801 du 6 août 2004 relative à la protection des personnes physiques à l'égard des traitements de données à caractère personnel et modifiant la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés'']] [[Journal officiel (fr)|JORF]] n°182 du 7 août 2004 page 14063 texte n° 2 </ref>, qui transpose dans le droit français les dispositions de la directive 95/46/CE<ref>[[CELEX:31995L0046|''op. cit.'']]</ref>, apporte de nombreuses modifications à la ''loi Informatique et Libertés''<ref>[http://www.legifrance.gouv.fr/affichTexte.do?cidTexte=LEGITEXT000006068624 ''Loi n° 78-17 du 6 Janvier 1978 relative à l'informatique, aux fichiers et aux libertés''], [[Journal officiel (fr)|JORF]] du 7 janvier 1978 page 227</ref>. Elle a été complétée par décrets du 20 octobre 2005 et du 25 mars 2007.
Grâce à la refonte de la loi Informatique et Libertés a été introduit le correspondant à la protection des données à caractère personnel couramment appelé « [[Correspondant informatique et libertés (fr)|Correspondant Informatique et Libertés]] » (CIL).

Article 22 –

« '''I.''' - À l'exception de ceux qui relèvent des dispositions prévues aux articles 25, 26 et 27 ou qui sont visés au deuxième alinéa de l'article 36, les traitements automatisés de données à caractère personnel font l'objet d'une déclaration auprès de la Commission nationale de l'informatique et des libertés. 
'''II.''' - Toutefois, ne sont soumis à aucune des formalités préalables prévues au présent chapitre : 
1° Les traitements ayant pour seul objet la tenue d'un registre qui, en vertu de dispositions législatives ou réglementaires, est destiné exclusivement à l'information du public et est ouvert à la consultation de celui-ci ou de toute personne justifiant d'un intérêt légitime ; 
2° Les traitements mentionnés au 3° du II de l'article 8. 
'''III.''' - Les traitements pour lesquels le responsable a désigné un correspondant à la protection des données à caractère personnel chargé d'assurer, d'une manière indépendante, le respect des obligations prévues dans la présente loi sont dispensés des formalités prévues aux articles 23 et 24, sauf lorsqu'un transfert de données à caractère personnel à destination d'un [[État (int)|État]] non membre de la Communauté européenne est envisagé. 
La désignation du correspondant est notifiée à la [[Commission nationale de l'informatique et des libertés (fr)|Commission nationale de l'informatique et des libertés]]. Elle est portée à la connaissance des instances représentatives du personnel. 
Le correspondant est une personne bénéficiant des qualifications requises pour exercer ses missions. Il tient une liste des traitements effectués immédiatement accessible à toute personne en faisant la demande et ne peut faire l'objet d'aucune sanction de la part de l'employeur du fait de l'accomplissement de ses missions. Il peut saisir la Commission nationale de l'informatique et des libertés des difficultés qu'il rencontre dans l'exercice de ses missions. 
En cas de non-respect des dispositions de la loi, le responsable du traitement est enjoint par la [[Commission nationale de l'informatique et des libertés (fr)|Commission nationale de l'informatique et des libertés]] de procéder aux formalités prévues aux articles 23 et 24. En cas de manquement constaté à ses devoirs, le correspondant est déchargé de ses fonctions sur demande, ou après consultation, de la Commission nationale de l'informatique et des libertés. 
'''IV.''' - Le responsable d'un traitement de données à caractère personnel qui n'est soumis à aucune des formalités prévues au présent chapitre communique à toute personne qui en fait la demande les informations relatives à ce traitement mentionnées aux 2° à 6° du I de l'article 31. »

== Le Décret n° 2005-1309 du 20 octobre 2005 <ref> Décret n° 2005-1309 du 20 octobre 2005 [http://www.legifrance.gouv.fr/affichTexte.do;jsessionid=D7AC7F30557EA37898A73A63885BD865.tpdjo02v_2?cidTexte=JORFTEXT000000241445&dateTexte=20070327]</ref> ==

Le décret n° 2005-1309 du 20 octobre 2005 est le décret d’application de la loi Informatique et Libertés modifiée en 2004.

Article 42 –

« La désignation d'un correspondant à la protection des données à caractère personnel par le responsable de traitements relevant des formalités prévues aux articles 22 à 24 de la loi du 6 janvier 1978 susvisée est notifiée à la Commission nationale de l'informatique et des libertés par lettre recommandée avec demande d'avis de réception ou par remise au secrétariat de la commission contre reçu, ou par voie électronique avec accusé de réception qui peut être adressé par la même voie. »

== Le Décret n° 2007-451 du 25 mars 2007 <ref> Décret n° 2007-451 du 25 mars 2007[http://www.legifrance.gouv.fr/affichTexte.do;jsessionid=D7AC7F30557EA37898A73A63885BD865.tpdjo02v_2?cidTexte=JORFTEXT000000824352&dateTexte=20101107]</ref> ==

Le décret n° 2007-451 modifie le décret n° 2005-1309 du 20 octobre 2005 pris pour l’application de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, modifiée par la loi n° 2004-801 du 6 août 2004.

= Le Correspondant Informatique et libertés (CIL) =
== Les raisons de la désignation d'un CIL ==
La loi Informatique et Libertés et son décret d’application prévoient, pour les entreprises, les collectivités locales, les administrations ou les associations, la possibilité de nommer un Correspondant Informatique et Libertés.
La désignation d’un CIL, par le responsable des traitements, a plusieurs avantages : elle permet une meilleure application de la loi, une sécurité juridique, un allègement des formalités et une relation privilégiée avec la CNIL.

=== Une meilleure application de la loi ===
La première raison de la désignation d’un CIL au sein d’un organisme est celle de la sécurité juridique. En effet, le CIL permet de garantir la conformité de l’organisme à la loi, notamment la loi « Informatique et Libertés ». Cette désignation permet de mieux assurer les obligations imposées par la loi au responsable des traitements. Cette maîtrise des risques juridiques est d’autant plus importante que certains manquements à la loi du 6 janvier 1978 sont pénalement sanctionnés. Le responsable de traitements est notamment tenu d’assurer le respect des droits des personnes concernées : il doit ainsi leur fournir une information suffisante sur les traitements mis en œuvre. Il doit aussi veiller à ce que les données traitées ne soient utilisées qu’aux seules fins pour lesquelles elles sont collectées.
Enfin, il doit faire respecter la sécurité et la confidentialité de ces informations.
Le temps libéré du fait de la dispense de déclaration peut donc désormais être consacré à l’application pratique de la loi Informatique et Libertés. Le responsable de traitements dispose en la personne du CIL d’un interlocuteur spécialisé à même de le conseiller dans ses choix.

=== Une sécurité informatique ===
Une meilleure application de la loi signifie aussi une source de sécurité informatique renforcée au sein de l’organisme.
Le CIL doit veiller ainsi à ce que toutes les précautions utiles et nécessaires ont été prises pour préserver la sécurité des données. Il doit notamment empêcher que ces données soient altérées, endommagées ou communiquées à des personnes n’ayant aucune raison de les connaître.

=== Un allègement des formalités ===
Comme envisagé un peu plus haut, la désignation d’un CIL est un facteur de simplification des formalités administratives. En principe, les traitements automatisés de données à caractère personnel font l'objet d'une déclaration auprès de la CNIL (art. 23 et 24 de la loi du 6 janvier 1978). La désignation d’un CIL a pour effet d’exonérer les responsables de traitements de l’accomplissement de tout ou partie des formalités préalables leur incombant. L’on peut donc voir en la désignation d’un CIL un allègement considérable des formalités. Ainsi, une fois le CIL désigné, seuls les traitements soumis à autorisation ou avis préalable de la CNIL (traitements comportant des risques manifestes pour les droits des personnes) devront continuer à être déclarés. Les autres traitements devront simplement être référencés dans une liste tenue par le CIL et régulièrement mise à jour par ce dernier.
Notons cependant que la désignation d’un CIL n’emporte pas dispense de demander l’autorisation ou l’avis de la CNIL pour les traitements comportant des transferts de données personnelles hors de l’Union Européenne (art. 22 de la loi du 6 janvier 1978).

=== Une relation privilégiée avec la CNIL ===
Outre le fait que la désignation du CIL doit être notifiée à la CNIL, le correspondant bénéficie surtout d’une relation privilégiée avec cette dernière: il dispose en effet d’un accès personnalisé aux services l’autorité chargée de veiller à la protection des données personnelles et de la vie privée en France.
Le CIL dispose :
*d'une ligne téléphonique et d’une adresse électronique dédiées ;
*d'un extranet proposant des services exclusifs et notamment des forums de discussion et des outils pratiques.
Le CIL devra, par ailleurs, tenir certains documents à la disposition de la CNIL.
Considérant le CIL comme un acteur « relais », la CNIL conduit par ailleurs une vaste opération de communication et de pédagogie auprès des acteurs concernés par la désignation d’un CIL <ref> Les plus grandes entreprises françaises sont invitées à se doter de correspondants, mais aussi les collectivités locales à travers l’Association des maires de France. La CNIL a déjà signé des accords de partenariat avec l’ACFCI (Assemblée des chambres de commerce et d’industrie), la CPU (Conférence des présidents d’université) et l’Union des caisses nationales de Sécurité sociale (UCANSS), afin de conduire des actions de sensibilisation à la protection des données et de favoriser la diffusion de la culture informatique et libertés.</ref>.

== Les missions d'un CIL ==
Dans le cadre de ses fonctions au sein de l’organisme, le CIL doit notamment tenir une liste des traitements et veiller à la bonne application de la loi Informatique et Libertés. Aussi, d’autres missions, de convention expresse, peuvent lui être confiées.
=== Établir et actualiser une liste des traitements ===
Dans les trois mois suivant sa désignation, le CIL doit dresser une liste des traitements automatisés pour lesquels il a été désigné. Cette liste peut être tenue de manière informatisée.
==== Le contenu de la liste ====
La liste précise pour chaque traitement :
*Le nom et l’adresse du responsable du traitement et, le cas échéant, de son représentant ;
*La ou les finalités du traitement ;
*Le ou les services chargés de la mise en œuvre ;
*L’indication de la fonction de la personne ou du service auprès desquels s’exerce le droit d’accès ;
*Une description de la ou les catégories de personnes concernées et des données ou des catégories de données s’y rapportant ;
*Les destinataires ou les catégories de destinataires auxquels les données sont susceptibles d’être communiquées ;
*La durée de conservation des données traitées (art. 48 du décret du 20 octobre 2005).

==== La mise à jour de la liste ====
La liste, une fois constituée, doit être tenue à jour. Les traitements mis en œuvre après la désignation du CIL doivent également y être répertoriés au fur et à mesure. Le responsable des traitements doit aider le CIL dans cette mission en lui communiquant tous les éléments qui lui seraient nécessaires.
==== Tenir cette liste à disposition ====
La liste des traitements dispensés tenue par le CIL doit être accessible à toute personne en faisant la demande. Cette mise à disposition implique un droit de consultation et un droit de communication sans que le demandeur ait à en justifier le motif. Le responsable peut également décider d’effectuer spontanément cette publicité.
=== Veiller à l’application de la loi Informatique et Libertés ===
Le CIL est tenu de veiller à la bonne application de la loi Informatique et Libertés. Pour ce faire, il est tenu à plusieurs missions : des missions de conseil, de médiation ou d’alerte. Enfin, il doit rendre compte de son action à la CNIL.
==== Conseiller et recommander le responsable des traitements ====
Le correspondant est obligatoirement consulté préalablement à la mise en œuvre des traitements. Il tient donc un rôle de conseiller auprès du responsable des traitements. Pour la bonne mise en œuvre de cette relation, le responsable des traitements doit évidemment fournir au CIL tous les éléments lui permettant d’établir et d’actualiser régulièrement sa liste des traitements automatisés.
==== Diffuser « une culture Informatique et Libertés » ====
Le CIL veille également au respect du droit d’accès et d’opposition et à l’information des personnes sur leurs droits. A cette fin, il contribue à l’élaboration et à la bonne diffusion de notes d’information ou d’affiches afin de diffuser une « culture Informatique et Libertés ».
==== Constater les manquements ====
Le CIL informe le responsable des traitements des manquements constatés et le conseille dans la réponse à apporter pour y remédier. Dans certains cas, si le CIL rencontre des difficultés dans l’exercice de ses missions, il lui est possible de saisir la CNIL.
==== Rendre compte de son action à l’aide d’un bilan annuel ====
Le CIL doit établir un bilan annuel de ses activités qu’il présente au responsable des traitements et qu’il tient à disposition de la CNIL.
=== Autres missions ===
D’autres missions, de convention expresse, peuvent être confiées au CIL. Elles peuvent porter notamment sur l’extension de son champ de compétence, l’élaboration d’une politique de protection des données à caractère personnel spécifique ou même la sensibilisation des personnels de l’organisme aux dispositions de la loi sous forme de brochure par exemple.

== La désignation d'un CIL ==
C’est le décret d’application de la loi Informatique et Libertés, paru au journal officiel le 22 octobre 2005, qui précise les conditions de nomination du CIL.
=== Un salarié ou une personne extérieure ===
==== Un CIL interne ====
Le CIL doit, si possible, être un employé du responsable de traitement, car connaissant mieux, a priori, l’activité et le fonctionnement interne de son organisme, il est ainsi à même de veiller en temps réel à la bonne application des règles de protection des personnes et des conditions de mise en œuvre des traitements.

Si le recours à un correspondant externe est une solution qui peut être efficace pour les petites entités, pour de plus grosses structures, l’externalisation risque de ne pas répondre aux besoins de proximité et de disponibilité du CIL. Ainsi, lorsque plus de 50 personnes sont chargées de la mise en œuvre des traitements ou y ont directement accès, le choix du CIL externe est limité. Au-delà d’un certain seuil, seuls peuvent être choisis comme CIL des personnes se trouvant dans l’entourage économique de l’organisme qui le désigne.

Seul peut être désigné comme CIL :
*Un salarié de l’organisme,
*Un salarié d’une des entités du groupe de sociétés auquel appartient l’organisme,
*Un salarié du groupement d’intérêt économique dont est membre l’organisme,
*Une personne mandatée à cet effet par un organisme professionnel,
*Une personne mandatée à cet effet par un organisme regroupant des responsables de traitement d’un même secteur d’activité.

==== Un CIL externe ====
Il est donc aussi possible, sous les conditions indiquées ci-dessus, de désigner un CIL n’appartenant pas à l’organisme. Les possibilités de choix d’un CIL externe ne sont pas les mêmes pour tous les organismes.

Dans les petites structures, il peut être difficile de trouver parmi les salariés des personnes disposant des qualifications et compétences nécessaires pour exercer les fonctions de CIL. L’embauche d’un salarié ou l’affectation d’un salarié à cette tâche n’apparaît alors selon les cas ni possible ni nécessaire.
Ainsi, lorsque moins de 50 personnes sont chargées de la mise en œuvre des traitements ou y ont directement accès, le choix du CIL est libre : le correspondant peut être aussi bien un salarié de l’organisme ou d’une autre entité ou encore un professionnel indépendant.

=== Les compétences du CIL ===
La loi prévoit que le correspondant est une personne bénéficiant des qualifications requises pour exercer ses missions.

Article 22 de la loi du 6 janvier 1978 modifiée le 6 août 2004 :
« Le correspondant est une personne bénéficiant des qualifications requises pour exercer ses missions ».

Aucun agrément n’est prévu et aucune exigence de diplôme n’est fixée. Cependant, le correspondant doit disposer de compétences adaptées et le cas échéant, il doit les acquérir.

==== Les connaissances du CIL ====
Le CIL doit disposer de compétences adaptées à la taille et à l’activité du responsable de traitement. Ces compétences et qualifications doivent porter tant sur la législation relative à la protection des données à caractère personnel que sur l’informatique et les nouvelles technologies, sans oublier le domaine d’activité propre du responsable des traitements.
La connaissance de la loi Informatique et Libertés semble donc être primordiale. De plus, en informatique, une connaissance du vocabulaire et des métiers de l’informatique parait également nécessaire, de même que des différents modes de traitement des données.

==== Les formations du CIL ====
Lorsque le CIL ne dispose pas de l’ensemble des qualifications à la date de sa désignation, il doit les acquérir. Il appartient au responsable de traitement, en accord avec le CIL, de définir les formations nécessaires.
=== L’indépendance du CIL ===
Le correspondant doit exercer ses missions de manière indépendante : il est directement rattaché au responsable des traitements, il est protégé et ne peut exercer certaines fonctions pouvant engendrer des conflits d’intérêts.
==== Le correspondant est directement rattaché au responsable des traitements ====
Comme envisagé plus haut, le CIL et le responsable des traitements entretiennent des relations étroites. A cet égard, le CIL pourra apporter des conseils, des recommandations ou des alertes au responsable lors de la mise en œuvre des traitements ou dans l’instruction des plaintes.
==== Le correspondant est indépendant ====
Le CIL ne reçoit aucune instruction pour l’exercice de ses missions.
==== Le correspondant est protégé ====
Le CIL ne peut faire l’objet de sanctions de l’employeur du fait de l’exercice de ses missions, sauf en cas de manquements graves dûment constatés et qui lui soient directement imputables. La CNIL est gardienne de l’efficacité de cette protection : elle doit être avertie des raisons affectant la décision de fin des fonctions du CIL.
==== Les incompatibilités de fonctions ====
Notamment, le responsable de traitement ne peut être désigné comme CIL. D’autres fonctions pourraient s’avérer incompatibles : les fonctions impliquant une délégation de fait ou de droit des pouvoirs propres au responsable du traitement par exemple.

== Les modalités de désignation d'un CIL ==
=== L’information aux instances représentatives du personnel ===
=== La notification à la CNIL ===
=== La prise d’effet de la désignation ===
=== Modification, remplacement ou fin de fonctions ===
==== A l’initiative de la CNIL lorsque le CIL manque aux devoirs de sa mission : ====
==== A l’initiative du responsable de traitement lorsque le CIL manque aux devoirs de sa mission : ====
==== A l’initiative du CIL démissionnaire : ====
== Les pouvoirs de contrôle de la CNIL ==
=== L’injonction de procéder aux formalités ===
=== Décharge du correspondant en cas de manquement grave du CIL ===
== L'AFCDP ==
== Actualités ==
= Comparaison européenne et internationale =
Le correspondant informatique et libertés existe dans d'autres pays comme en [[Allemagne]] ([[Préposé à la Protection des Données (de)|''Datenschutzbeauftragter'']] (préposé à la protection des données) créé dans les années 1970), aux [[Pays-Bas]] ([[Délégué à la protection des données (nl)|''functionaris gegevensbescherming'']] (délégué à la protection des données)), en [[Suède]] ([[Délégué à la protection des données (se)|''personuppgiftsombud'']] (délégué à la protection des données)) ainsi qu’aux [[États-Unis]] ([[responsable en chef de la vie privée (us)|''Chief Privacy Officer'']] (responsable en chef de la vie privée)).

= Voir aussi =
{{moteur (fr)|"Correspondant informatique et libertés" OR CIL AND entreprise -CCI}}

= Liens externes =
= Références =
= Notes =
<references />

Correspondant informatique et libertés dans les entreprises (fr)

2010-11-07T21:57:22Z

Céline C. : /* Une relation privilégiée avec la CNIL */

Correspondant informatique et libertés dans les entreprises (fr)

2010-11-07T21:55:36Z

Céline C. : /* Les missions d'un CIL */

Correspondant informatique et libertés dans les entreprises (fr)

2010-11-07T21:49:26Z

Céline C. : /* Une relation privilégiée avec la CNIL */

Correspondant informatique et libertés dans les entreprises (fr)

2010-11-07T21:47:09Z

Céline C. : /* Les raisons de la désignation d'un CIL */

Correspondant informatique et libertés dans les entreprises (fr)

2010-11-07T21:40:45Z

Céline C. : /* Le Décret n° 2007-451 du 25 mars 2007 Décret n° 2007-451 du 25 mars 2007[http://www.legifrance.gouv.fr/affichTexte.do;jsessionid=D7AC7F30557EA37898A73A63885BD865.tpdjo02v_2?cidTexte=JORFTEXT000000824352&dateTexte=20101107] */

Correspondant informatique et libertés dans les entreprises (fr)

2010-11-07T21:40:07Z

Céline C. : /* Le Décret n° 2005-1309 du 20 octobre 2005 Décret n° 2005-1309 du 20 octobre 2005 [http://www.legifrance.gouv.fr/affichTexte.do;jsessionid=D7AC7F30557EA37898A73A63885BD865.tpdjo02v_2?cidTexte=JORFTEXT000000241445&dateTexte=20070327] */

Correspondant informatique et libertés dans les entreprises (fr)

2010-11-07T21:38:54Z

Céline C. : /* La loi du 6 août 2004 relative à la protection des personnes physiques à l'égard des traitements de données à caractère personnel Loi du 6 août 2004 relative à la protection des personnes physiques à l'égard des traitements de données

Correspondant informatique et libertés dans les entreprises (fr)

2010-11-07T21:37:02Z

Céline C. : /* La Directive 95/46/CE du Parlement européen et du Conseil (24 octobre 1995) Directive 95/46/CE du Parlement européen et du Conseil[http://eur-lex.europa.eu/smartapi/cgi/sga_doc?smartapi!celexplus!prod!DocNumber&lg=fr&type_doc=Directive&an_doc=1

Correspondant informatique et libertés dans les entreprises (fr)

2010-11-07T21:36:08Z

Céline C. : /* La Convention 108 du Conseil de l’Europe (25 janvier 1981) Convention 108 du Conseil de l'Europe [http://conventions.coe.int/treaty/fr/Treaties/html/108.htm] */

Correspondant informatique et libertés dans les entreprises (fr)

2010-11-07T21:34:01Z

Céline C. : /* La loi du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés Loi du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés [http://www.legifrance.gouv.fr/affichTexte.do;jsessionid=D7AC7F30557EA37898A73A63

Correspondant informatique et libertés dans les entreprises (fr)

2010-11-07T21:28:37Z

Correspondant informatique et libertés dans les entreprises (fr)

2010-11-07T21:27:14Z

Céline C. : /* La Convention Européenne des Droits de l’Homme et des Libertés fondamentales (1950) Convention Européenne des Droits de l'Homme et des Libertés fondamentales[http://conventions.coe.int/treaty/fr/Treaties/Html/005.htm ] */

Correspondant informatique et libertés dans les entreprises (fr)

2010-11-07T21:26:03Z

Céline C. : /* La Déclaration Universelle des Droits de l’Homme (1948) Déclaration Universelle des Droits de l’Homme [http://www.diplomatie.gouv.fr/fr/actions-france_830/droits-homme_1048/60eme-anniversaire-declaration-universelle-droits-homme_18925/colon

Correspondant informatique et libertés dans les entreprises (fr)

2010-11-07T21:23:21Z

Céline C. :

Correspondant informatique et libertés dans les entreprises (fr)

2010-11-07T20:46:03Z

Céline C. :

Correspondant informatique et libertés dans les entreprises (fr)

2010-11-07T18:39:54Z

Céline C. : Nouvelle page : {{ébauche (fr)}} France > Droit des médias > Droit de l'informatique et de l'internet [[Image:fr_f...

Projet:IREDIC/Articles créés

2010-10-19T19:22:14Z

Céline C. : /* Droit de la radiophonie */

==[[Thema:Droit des médias en France|Droit des médias en général]]==

==[[Thema:Droit de la télévision en France|Droit de la télévision]]==

* La [[protection des mineurs face à la télévision (fr)|protection des mineurs face à la télévision]], [[Utilisateur:Nathalie F|Nathalie F]]
* [[Les services de médias audiovisuels à la demande : notion et régime des SMAD]], Sarah S.
* [[Les aides à l'équipement pour la réception de la télévision numérique terrestre (TNT) ]], Clementine L

==[[Thema:Droit du cinéma en France|Droit du cinéma]]==

* [[équipement numérique des établissements de spectacles cinématographiques (fr)|L'équipement numérique des établissements de spectacles cinématographiques]], [[Utilisateur:Jean-Charles I|Jean-Charles I]]

* L'[[exploitation de salles de cinéma (fr)|exploitation de salles de cinéma]], [[Utilisateur:Jean-Charles I|Jean-Charles I]]

* [[La cession de salles de cinéma]], Clémentine L

==[[Thema:Droit de l'internet en France|Droit de l’informatique et de l'internet]]==

* L'[[Autorité de régulation des jeux en ligne (fr)|Autorité de régulation des jeux en ligne (ARJEL)]],Matthieu R.

* Le[[correspondant informatique et libertés (CIL) dans les entreprises]], [[Utilisateur:Céline C.|Céline C.]]

* [[ Identité personnelle et identité numérique ]],

* Le [[Forum des droits sur l'internet (fr)|Forum des droits sur l'internet]], [[Utilisateur:Pauline D|Pauline D]]

* Les [[jeux de hasard sur internet et la libre prestation de service (fr)|jeux de hasard sur internet et la libre prestation de service]], [[Utilisateur:Boris B.|Boris B.]]

* La [[charte pour le droit à l'oubli sur internet (fr)|charte pour le droit à l'oubli sur internet]], [[Utilisateur:Marie S.|Marie S.]]

==[[Thema:Droit des télécommunications en France|Droit des télécommunications]]==

* Les [[spécificités juridiques du terminal iPhone (fr)|spécificités juridiques du terminal iPhone]], Thomas F.
* La [[carte SIM et le désimlockage (fr)|carte SIM et le désimlockage]], [[Utilisateur:Nathalie F|Nathalie F]]

==[[Thema:Droit d'auteur en France|Droits d'auteur]]==

* La [[disparition des mesures techniques de protection des œuvres (fr)|disparition des mesures techniques de protection des œuvres]], [[Utilisateur:Patrick A.|Patrick A.]]
* La [[protection des droits d'auteurs sur les plates-formes d'hébergement de vidéos en ligne (fr)|protection des droits d'auteurs sur les plates-formes d'hébergement de vidéos en ligne]], Thomas F.
* [[La riposte graduée]], Sarah S.
* Les [[droits des producteurs de base de données (fr)|droits des producteurs de base de données]], [[Utilisateur:Pauline D.|Pauline D.]]

==[[Thema:Droit de la publicité en France|Droit de la publicité]]==

* L'[[autorégulation de la publicité : du Bureau de Vérification de la Publicité à l'Autorité de Régulation Professionnelle de la Publicité (fr)|autorégulation de la publicité : du Bureau de Vérification de la Publicité (BVP) à l'Autorité de Régulation Professionnelle de la Publicité (ARPP)]], [[Utilisateur:Nathalie F|Nathalie F]]
* La [[communication commerciale sur les jeux d'argent et de hasard dans les médias audiovisuels (fr)|communication commerciale sur les jeux d'argent et de hasard dans les médias audiovisuels]], Matthieu R
* La [[répression de la publicité mensongère sur les sites de commerce électronique]],Marie S.

==[[Thema:Droit de la presse en France|Droit de la presse]]==

==[[Thema:Droit de la radiophonie en France|Droit de la radiophonie]]==

* [[La sélection des candidats à la radio numérique]], [[Utilisateur:Céline C.|Céline C.]]

Projet:IREDIC/Articles créés

2010-10-19T19:20:35Z

Céline C. : /* Droit de l’informatique et de l'internet */

Projet:IREDIC/Participants

2010-10-19T19:18:50Z

Céline C. :

Les étudiants du Master Droit des médias et des télécommunications sont invités à s'inscrire dans cette rubrique, '''''après s'être ouvert un compte sur Jurispedia''''', chacun fera un lien interne vers sa page personnelle où seront notamment indiqués les articles dont il a la responsabilité.

La [[Projet:IREDIC/Participants/Promotion de l'IREDIC 2007-2008|Promotion de l'IREDIC 2007-2008]] ayant participé à Jurispedia.

La [[Projet:IREDIC/Participants/Promotion de l'IREDIC 2008-2009|Promotion de l'IREDIC 2008-2009]] ayant participé à Jurispedia.

La [[Projet:IREDIC/Participants/Promotion de l'IREDIC 2009-2010|Promotion de l'IREDIC 2009-2010]] ayant participé à Jurispedia.

Les inscrits de la Promotion de l'IREDIC 2010-2011 sont:

* [[Utilisateur:Nathalie F|Nathalie F]], [[Special:Contributions/Nathalie F|''Contributions'']]
* [[Utilisateur:Matthieu R|Matthieu R]], [[Special:Contributions/Matthieu R|''Contributions'']]
* [[Utilisateur:Jean-Charles I|Jean-Charles I]], [[Special:Contributions/Jean-Charles I|''Contributions'']]
* [[Utilisateur:Patrick A.|Patrick A.]], [[Special:Contributions/Patrick A.|''Contributions'']]
* [[Utilisateur:Lucie L|Lucie L]], [[Special:Contributions/Lucie L|''Contributions'']]
* [[Utilisateur:Elodie R|Elodie]], [[Special:Contributions/Elodie |''Contributions'']]
* [[Utilisateur:Marie S|MarieS]], [[Special:Contributions/Marie S|''Contributions'']]
* [[Utilisateur:Hannah C|Hannah C]], [[Special:Contributions/Hannah C|''Contributions'']]
* [[Utilisateur:Pauline D|Pauline D]], [[Special:Contributions/Pauline D|''Contributions'']]
* [[Utilisateur:Claudie P.|Claudie P.]], [[Special:Contributions/Claudie P.|''Contributions'']]
* [[Utilisateur:Amandine Y.|Amandine Y.]], [[Special:Contributions/Amandine Y.|''Contributions'']]
* [[Utilisateur:Boris B.|Boris B.]], [[Special:Contributions/Boris B.|''Contributions'']]
* [[Utilisateur:Céline C.|Céline C.]], [[Special:Contributions/Céline C.|''Contributions'']]