Bienvenue sur JurisPedia! Vous êtes invités à créer un compte et à contribuer après avoir confirmé votre adresse de courriel. Dès lors, vous pouvez ajouter un article en commençant par lui donner un titre en renseignant ce champ:

Les lecteurs et contributeurs ne doivent pas oublier de consulter les avertissements juridiques. Il y a actuellement 3 533 articles en construction permanente...

Correspondant informatique et libertés dans les entreprises (fr)

Un article de JurisPedia, le droit partagé.
Version du 8 novembre 2010 à 00:18 par Céline C. (discuter | contributions)

(diff) ← Version précédente | voir la version actuelle (diff) | Version suivante → (diff)
Aller à : Navigation, Rechercher


Cet article est une ébauche relative au droit français, vous pouvez partager vos connaissances juridiques en le modifiant, vous pouvez également faire une recherche dans le moteur...'
'
Recherche en droit français Fr flag.png
Google Custom Search

France > Droit des médias > Droit de l'informatique et de l'internet
Fr flag.png

La loi du 6 août 2004 relative à la protection des personnes physiques à l'égard des traitements de données à caractère personnel, prévoit la possibilité pour un organisme public ou privé de nommer un « Correspondant à la protection des données à caractère personnel », couramment appelé « Correspondant Informatique et Libertés » (CIL). Le CIL représente, dans le paysage de la protection des données personnelles, un personnage-clé. En effet, désigner un correspondant permet certes de disposer d’un allègement des formalités administratives mais c’est surtout un moyen de s’assurer que l’informatique de l’organisation se développera sans danger pour les droits des usagers, des clients ou des salariés. C’est également une façon d’éviter de nombreux risques pour l’application du droit en vigueur.

Sommaire

Historique juridique des données à caractère personnel

La Déclaration Universelle des Droits de l’Homme (1948) [1]

Article 12 - « Nul ne sera l'objet d'immixtions arbitraires dans sa vie privée, sa famille, son domicile ou sa correspondance, ni d'atteintes à son honneur et à sa réputation. Toute personne a droit à la protection de la loi contre de telles immixtions ou de telles atteintes. »

La Convention Européenne des Droits de l’Homme et des Libertés fondamentales (1950) [2]

Article 8 – Droit au respect de la vie privée et familiale

« 1. Toute personne a droit au respect de sa vie privée et familiale, de son domicile et de sa correspondance. 2. Il ne peut y avoir ingérence d'une autorité publique dans l'exercice de ce droit que pour autant que cette ingérence est prévue par la loi et qu'elle constitue une mesure qui, dans une société démocratique, est nécessaire à la sécurité nationale, à la sûreté publique, au bien-être économique du pays, à la défense de l'ordre et à la prévention des infractions pénales, à la protection de la santé ou de la morale, ou à la protection des droits et libertés d'autrui. »

La loi du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés [3]

La loi n°78-17 relative à l'informatique, aux fichiers et aux libertés du 6 janvier 1978 (plus connue sous le nom de « loi Informatique et Libertés de 1978 » est une loi française promulguée à la suite de l'affaire SAFARI, et qui réglemente aujourd'hui notamment la pratique du fichage, manuel ou informatique. Elle institue notamment la Commission Nationale de l’Informatique et des libertés (CNIL) [4], autorité chargée de veiller à la protection des données personnelles et de la vie privée. Dans ce cadre, la CNIL vérifie que la loi est respectée en contrôlant les applications informatiques, prononce des sanctions, établit des normes et propose au gouvernement des mesures législatives ou réglementaires de nature à adapter la protection des libertés et de la vie privée à l'évolution des techniques. Article 1 – « L'informatique doit être au service de chaque citoyen. Son développement doit s'opérer dans le cadre de la coopération internationale. Elle ne doit porter atteinte ni à l'identité humaine, ni aux droits de l'homme, ni à la vie privée, ni aux libertés individuelles ou publiques. »

La Convention 108 du Conseil de l’Europe (25 janvier 1981) [5]

Article 1er – Objet et but « Le but de la présente Convention est de garantir, sur le territoire de chaque Partie, à toute personne physique, quelles que soient sa nationalité ou sa résidence, le respect de ses droits et de ses libertés fondamentales, et notamment de son droit à la vie privée, à l'égard du traitement automatisé des données à caractère personnel la concernant («protection des données»). »

La Directive 95/46/CE du Parlement européen et du Conseil (24 octobre 1995)

C’est la directive[6] relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données. La directive 95/46/CE constitue le texte de référence, au niveau européen, en matière de protection des données à caractère personnel. Elle met en place un cadre réglementaire visant à établir un équilibre entre un niveau élevé de protection de la vie privée des personnes et la libre circulation des données à caractère personnel au sein de l'Union européenne (UE). Pour ce faire, la directive fixe des limites strictes à la collecte et à l'utilisation des données à caractère personnel, et demande la création, dans chaque État membre, d'un organisme national indépendant chargé de la protection de ces données.

La loi du 6 août 2004 relative à la protection des personnes physiques à l'égard des traitements de données à caractère personnel

La loi n° 2004-801 du 6 août 2004[7], qui transpose dans le droit français les dispositions de la directive 95/46/CE[8], apporte de nombreuses modifications à la loi Informatique et Libertés[9]. Elle a été complétée par décrets du 20 octobre 2005 et du 25 mars 2007. Grâce à la refonte de la loi Informatique et Libertés a été introduit le correspondant à la protection des données à caractère personnel couramment appelé « Correspondant Informatique et Libertés » (CIL).

Article 22 –

« I. - À l'exception de ceux qui relèvent des dispositions prévues aux articles 25, 26 et 27 ou qui sont visés au deuxième alinéa de l'article 36, les traitements automatisés de données à caractère personnel font l'objet d'une déclaration auprès de la Commission nationale de l'informatique et des libertés.
II. - Toutefois, ne sont soumis à aucune des formalités préalables prévues au présent chapitre :
1° Les traitements ayant pour seul objet la tenue d'un registre qui, en vertu de dispositions législatives ou réglementaires, est destiné exclusivement à l'information du public et est ouvert à la consultation de celui-ci ou de toute personne justifiant d'un intérêt légitime ;
2° Les traitements mentionnés au 3° du II de l'article 8.
III. - Les traitements pour lesquels le responsable a désigné un correspondant à la protection des données à caractère personnel chargé d'assurer, d'une manière indépendante, le respect des obligations prévues dans la présente loi sont dispensés des formalités prévues aux articles 23 et 24, sauf lorsqu'un transfert de données à caractère personnel à destination d'un État non membre de la Communauté européenne est envisagé.
La désignation du correspondant est notifiée à la Commission nationale de l'informatique et des libertés. Elle est portée à la connaissance des instances représentatives du personnel.
Le correspondant est une personne bénéficiant des qualifications requises pour exercer ses missions. Il tient une liste des traitements effectués immédiatement accessible à toute personne en faisant la demande et ne peut faire l'objet d'aucune sanction de la part de l'employeur du fait de l'accomplissement de ses missions. Il peut saisir la Commission nationale de l'informatique et des libertés des difficultés qu'il rencontre dans l'exercice de ses missions.
En cas de non-respect des dispositions de la loi, le responsable du traitement est enjoint par la Commission nationale de l'informatique et des libertés de procéder aux formalités prévues aux articles 23 et 24. En cas de manquement constaté à ses devoirs, le correspondant est déchargé de ses fonctions sur demande, ou après consultation, de la Commission nationale de l'informatique et des libertés.
IV. - Le responsable d'un traitement de données à caractère personnel qui n'est soumis à aucune des formalités prévues au présent chapitre communique à toute personne qui en fait la demande les informations relatives à ce traitement mentionnées aux 2° à 6° du I de l'article 31. »

Le Décret n° 2005-1309 du 20 octobre 2005 [10]

Le décret n° 2005-1309 du 20 octobre 2005 est le décret d’application de la loi Informatique et Libertés modifiée en 2004.

Article 42 –

« La désignation d'un correspondant à la protection des données à caractère personnel par le responsable de traitements relevant des formalités prévues aux articles 22 à 24 de la loi du 6 janvier 1978 susvisée est notifiée à la Commission nationale de l'informatique et des libertés par lettre recommandée avec demande d'avis de réception ou par remise au secrétariat de la commission contre reçu, ou par voie électronique avec accusé de réception qui peut être adressé par la même voie. »

Le Décret n° 2007-451 du 25 mars 2007 [11]

Le décret n° 2007-451 modifie le décret n° 2005-1309 du 20 octobre 2005 pris pour l’application de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, modifiée par la loi n° 2004-801 du 6 août 2004.

Le Correspondant Informatique et Libertés (CIL)

Les raisons de la désignation d'un CIL

La loi Informatique et Libertés et son décret d’application prévoient, pour les entreprises, les collectivités locales, les administrations ou les associations, la possibilité de nommer un Correspondant Informatique et Libertés. La désignation d’un CIL, par le responsable des traitements, a plusieurs avantages : elle permet une meilleure application de la loi, une sécurité juridique, un allègement des formalités et une relation privilégiée avec la CNIL.

Une meilleure application de la loi

La première raison de la désignation d’un CIL au sein d’un organisme est celle de la sécurité juridique. En effet, le CIL permet de garantir la conformité de l’organisme à la loi, notamment la loi « Informatique et Libertés ». Cette désignation permet de mieux assurer les obligations imposées par la loi au responsable des traitements. Cette maîtrise des risques juridiques est d’autant plus importante que certains manquements à la loi du 6 janvier 1978 sont pénalement sanctionnés. Le responsable de traitements est notamment tenu d’assurer le respect des droits des personnes concernées : il doit ainsi leur fournir une information suffisante sur les traitements mis en œuvre. Il doit aussi veiller à ce que les données traitées ne soient utilisées qu’aux seules fins pour lesquelles elles sont collectées. Enfin, il doit faire respecter la sécurité et la confidentialité de ces informations. Le temps libéré du fait de la dispense de déclaration peut donc désormais être consacré à l’application pratique de la loi Informatique et Libertés. Le responsable de traitements dispose en la personne du CIL d’un interlocuteur spécialisé à même de le conseiller dans ses choix.

Une sécurité informatique

Une meilleure application de la loi signifie aussi une source de sécurité informatique renforcée au sein de l’organisme. Le CIL doit veiller ainsi à ce que toutes les précautions utiles et nécessaires ont été prises pour préserver la sécurité des données. Il doit notamment empêcher que ces données soient altérées, endommagées ou communiquées à des personnes n’ayant aucune raison de les connaître.

Un allègement des formalités

Comme envisagé un peu plus haut, la désignation d’un CIL est un facteur de simplification des formalités administratives. En principe, les traitements automatisés de données à caractère personnel font l'objet d'une déclaration auprès de la CNIL (art. 23 et 24 de la loi du 6 janvier 1978). La désignation d’un CIL a pour effet d’exonérer les responsables de traitements de l’accomplissement de tout ou partie des formalités préalables leur incombant. L’on peut donc voir en la désignation d’un CIL un allègement considérable des formalités. Ainsi, une fois le CIL désigné, seuls les traitements soumis à autorisation ou avis préalable de la CNIL (traitements comportant des risques manifestes pour les droits des personnes) devront continuer à être déclarés. Les autres traitements devront simplement être référencés dans une liste tenue par le CIL et régulièrement mise à jour par ce dernier. Notons cependant que la désignation d’un CIL n’emporte pas dispense de demander l’autorisation ou l’avis de la CNIL pour les traitements comportant des transferts de données personnelles hors de l’Union Européenne (art. 22 de la loi du 6 janvier 1978).

Une relation privilégiée avec la CNIL

Outre le fait que la désignation du CIL doit être notifiée à la CNIL, le correspondant bénéficie surtout d’une relation privilégiée avec cette dernière: il dispose en effet d’un accès personnalisé aux services l’autorité chargée de veiller à la protection des données personnelles et de la vie privée en France. Le CIL dispose :

  • d'une ligne téléphonique et d’une adresse électronique dédiées ;
  • d'un extranet proposant des services exclusifs et notamment des forums de discussion et des outils pratiques.

Le CIL devra, par ailleurs, tenir certains documents à la disposition de la CNIL. Considérant le CIL comme un acteur « relais », la CNIL conduit par ailleurs une vaste opération de communication et de pédagogie auprès des acteurs concernés par la désignation d’un CIL [12].

Les missions d'un CIL

Dans le cadre de ses fonctions au sein de l’organisme, le CIL doit notamment tenir une liste des traitements et veiller à la bonne application de la loi Informatique et Libertés. Aussi, d’autres missions, de convention expresse, peuvent lui être confiées.

Établir et actualiser une liste des traitements

Dans les trois mois suivant sa désignation, le CIL doit dresser une liste des traitements automatisés pour lesquels il a été désigné. Cette liste peut être tenue de manière informatisée.

Le contenu de la liste

La liste précise pour chaque traitement :

  • Le nom et l’adresse du responsable du traitement et, le cas échéant, de son représentant ;
  • La ou les finalités du traitement ;
  • Le ou les services chargés de la mise en œuvre ;
  • L’indication de la fonction de la personne ou du service auprès desquels s’exerce le droit d’accès ;
  • Une description de la ou les catégories de personnes concernées et des données ou des catégories de données s’y rapportant ;
  • Les destinataires ou les catégories de destinataires auxquels les données sont susceptibles d’être communiquées ;
  • La durée de conservation des données traitées (art. 48 du décret du 20 octobre 2005).

La mise à jour de la liste

La liste, une fois constituée, doit être tenue à jour. Les traitements mis en œuvre après la désignation du CIL doivent également y être répertoriés au fur et à mesure. Le responsable des traitements doit aider le CIL dans cette mission en lui communiquant tous les éléments qui lui seraient nécessaires.

Tenir cette liste à disposition

La liste des traitements dispensés tenue par le CIL doit être accessible à toute personne en faisant la demande. Cette mise à disposition implique un droit de consultation et un droit de communication sans que le demandeur ait à en justifier le motif. Le responsable peut également décider d’effectuer spontanément cette publicité.

Veiller à l’application de la loi Informatique et Libertés

Le CIL est tenu de veiller à la bonne application de la loi Informatique et Libertés. Pour ce faire, il est tenu à plusieurs missions : des missions de conseil, de médiation ou d’alerte. Enfin, il doit rendre compte de son action à la CNIL.

Conseiller et recommander le responsable des traitements

Le correspondant est obligatoirement consulté préalablement à la mise en œuvre des traitements. Il tient donc un rôle de conseiller auprès du responsable des traitements. Pour la bonne mise en œuvre de cette relation, le responsable des traitements doit évidemment fournir au CIL tous les éléments lui permettant d’établir et d’actualiser régulièrement sa liste des traitements automatisés.

Diffuser « une culture Informatique et Libertés »

Le CIL veille également au respect du droit d’accès et d’opposition et à l’information des personnes sur leurs droits. A cette fin, il contribue à l’élaboration et à la bonne diffusion de notes d’information ou d’affiches afin de diffuser une « culture Informatique et Libertés ».

Constater les manquements

Le CIL informe le responsable des traitements des manquements constatés et le conseille dans la réponse à apporter pour y remédier. Dans certains cas, si le CIL rencontre des difficultés dans l’exercice de ses missions, il lui est possible de saisir la CNIL.

Rendre compte de son action à l’aide d’un bilan annuel

Le CIL doit établir un bilan annuel de ses activités qu’il présente au responsable des traitements et qu’il tient à disposition de la CNIL.

Autres missions

D’autres missions, de convention expresse, peuvent être confiées au CIL. Elles peuvent porter notamment sur l’extension de son champ de compétence, l’élaboration d’une politique de protection des données à caractère personnel spécifique ou même la sensibilisation des personnels de l’organisme aux dispositions de la loi sous forme de brochure par exemple.

La désignation d'un CIL

C’est le décret d’application de la loi Informatique et Libertés, paru au journal officiel le 22 octobre 2005, qui précise les conditions de nomination du CIL.

Un salarié ou une personne extérieure

Un CIL interne

Le CIL doit, si possible, être un employé du responsable de traitement, car connaissant mieux, a priori, l’activité et le fonctionnement interne de son organisme, il est ainsi à même de veiller en temps réel à la bonne application des règles de protection des personnes et des conditions de mise en œuvre des traitements.

Si le recours à un correspondant externe est une solution qui peut être efficace pour les petites entités, pour de plus grosses structures, l’externalisation risque de ne pas répondre aux besoins de proximité et de disponibilité du CIL. Ainsi, lorsque plus de 50 personnes sont chargées de la mise en œuvre des traitements ou y ont directement accès, le choix du CIL externe est limité. Au-delà d’un certain seuil, seuls peuvent être choisis comme CIL des personnes se trouvant dans l’entourage économique de l’organisme qui le désigne.

Seul peut être désigné comme CIL :

  • Un salarié de l’organisme,
  • Un salarié d’une des entités du groupe de sociétés auquel appartient l’organisme,
  • Un salarié du groupement d’intérêt économique dont est membre l’organisme,
  • Une personne mandatée à cet effet par un organisme professionnel,
  • Une personne mandatée à cet effet par un organisme regroupant des responsables de traitement d’un même secteur d’activité.

Un CIL externe

Il est donc aussi possible, sous les conditions indiquées ci-dessus, de désigner un CIL n’appartenant pas à l’organisme. Les possibilités de choix d’un CIL externe ne sont pas les mêmes pour tous les organismes.

Dans les petites structures, il peut être difficile de trouver parmi les salariés des personnes disposant des qualifications et compétences nécessaires pour exercer les fonctions de CIL. L’embauche d’un salarié ou l’affectation d’un salarié à cette tâche n’apparaît alors selon les cas ni possible ni nécessaire. Ainsi, lorsque moins de 50 personnes sont chargées de la mise en œuvre des traitements ou y ont directement accès, le choix du CIL est libre : le correspondant peut être aussi bien un salarié de l’organisme ou d’une autre entité ou encore un professionnel indépendant.

Les compétences du CIL

La loi prévoit que le correspondant est une personne bénéficiant des qualifications requises pour exercer ses missions.

Article 22 de la loi du 6 janvier 1978 modifiée le 6 août 2004 : « Le correspondant est une personne bénéficiant des qualifications requises pour exercer ses missions ».

Aucun agrément n’est prévu et aucune exigence de diplôme n’est fixée. Cependant, le correspondant doit disposer de compétences adaptées et le cas échéant, il doit les acquérir.

Les connaissances du CIL

Le CIL doit disposer de compétences adaptées à la taille et à l’activité du responsable de traitement. Ces compétences et qualifications doivent porter tant sur la législation relative à la protection des données à caractère personnel que sur l’informatique et les nouvelles technologies, sans oublier le domaine d’activité propre du responsable des traitements. La connaissance de la loi Informatique et Libertés semble donc être primordiale. De plus, en informatique, une connaissance du vocabulaire et des métiers de l’informatique parait également nécessaire, de même que des différents modes de traitement des données.

Les formations du CIL

Lorsque le CIL ne dispose pas de l’ensemble des qualifications à la date de sa désignation, il doit les acquérir. Il appartient au responsable de traitement, en accord avec le CIL, de définir les formations nécessaires.

L’indépendance du CIL

Le correspondant doit exercer ses missions de manière indépendante : il est directement rattaché au responsable des traitements, il est protégé et ne peut exercer certaines fonctions pouvant engendrer des conflits d’intérêts.

Le correspondant est directement rattaché au responsable des traitements

Comme envisagé plus haut, le CIL et le responsable des traitements entretiennent des relations étroites. A cet égard, le CIL pourra apporter des conseils, des recommandations ou des alertes au responsable lors de la mise en œuvre des traitements ou dans l’instruction des plaintes.

Le correspondant est indépendant

Le CIL ne reçoit aucune instruction pour l’exercice de ses missions.

Le correspondant est protégé

Le CIL ne peut faire l’objet de sanctions de l’employeur du fait de l’exercice de ses missions, sauf en cas de manquements graves dûment constatés et qui lui soient directement imputables. La CNIL est gardienne de l’efficacité de cette protection : elle doit être avertie des raisons affectant la décision de fin des fonctions du CIL.

Les incompatibilités de fonctions

Notamment, le responsable de traitement ne peut être désigné comme CIL. D’autres fonctions pourraient s’avérer incompatibles : les fonctions impliquant une délégation de fait ou de droit des pouvoirs propres au responsable du traitement par exemple.

Les modalités de désignation d'un CIL

L’information aux instances représentatives du personnel

Préalablement à la notification à la CNIL, le responsable de traitement doit informer les instances représentatives du personnel de sa décision de nomination du CIL. Cette information doit être effectuée par lettre recommandée avec avis de réception.

La notification à la CNIL

La notification à la CNIL doit contenir :

  • Les nom, prénom, profession et coordonnées professionnelles du responsable des traitements, le cas échéant, ceux de son représentant, ainsi que ceux du CIL. Pour les personnes morales, la notification mentionne leur forme, leur dénomination, leur siège social ainsi que l’organe qui les représente légalement ;
  • Lorsque le CIL est une personne morale, les mêmes renseignements concernant le préposé que la personne morale a désigné pour exercer les missions de CIL;
  • Si la désignation est faite seulement pour certains traitements ou catégories de traitements, l’énumération de ceux-ci ;
  • La nature des liens juridiques entre le CIL et la personne, l’autorité publique, le service ou l’organisme auprès duquel il est appelé à exercer ses fonctions ;
  • Tout élément relatif aux qualifications ou références professionnelles du CIL et, le cas échéant, de son préposé en rapport avec cette fonction ;
  • Les mesures prises par le responsable des traitements en vue de l’accomplissement par le CIL de ses missions en matière de protection des données ;

L’accord écrit de la personne désignée en qualité de CIL est annexé à la notification, qui peut se faire par voie électronique avec accusé de réception.

La prise d’effet de la désignation

La désignation d’un CIL prend effet un mois après la date de réception de la notification par la CNIL.

Modification, remplacement ou fin de fonctions

Toute modification substantielle affectant les informations mentionnées dans la désignation notifiée doit être portée à la connaissance de la CNIL par lettre recommandée avec demande d’avis de réception. Il peut être mis fin aux fonctions du CIL à la demande de la CNIL ou de responsable de traitement ou à l’initiative du CIL lui-même.

A l’initiative de la CNIL lorsque le CIL manque aux devoirs de sa mission :

Lorsque la CNIL constate, après avoir recueilli ses observations, que le CIL manque aux devoirs de sa mission, elle demande au responsable de traitement de le décharger de ses fonctions.

A l’initiative du responsable de traitement lorsque le CIL manque aux devoirs de sa mission :

Le responsable de traitement doit alors saisir la CNIL pour avis par lettre recommandée comportant toutes les précisions relatives aux faits dont il est fait grief. Le responsable doit également notifier cette saisine au CIL par lettre recommandée en l’informant qu’il peut adresse ses observations à la CNIL. La CNIL fait connaître son avis au responsable de traitement dans un délai d’un mois à compter de la réception de la saisine. Ce délai peut être renouvelé une fois sur décision motivée de son président.

A l’initiative du CIL démissionnaire :

Le responsable de traitement en informe la CNIL par une notification mentionnant en outre le motif de sa démission ou de sa décharge. Cette décision prend effet huit jours après sa date de réception par la CNIL.

Les pouvoirs de contrôle de la CNIL

L’injonction de procéder aux formalités

Lorsque le responsable de traitement ne respecte pas les obligations mises à sa charge par la loi, le CNIL peut l’enjoindre de procéder aux formalités pour les traitements dispensés. Cette mesure ne met pas pour autant fin aux fonctions du CIL, qui reste saisi de ses autres missions.

Décharge du correspondant en cas de manquement grave du CIL

Cf ci-dessus « modification, remplacement ou fin des fonctions du CIL ».

L'AFCDP [13]

L’Association Française des Correspondants à la Protection des Données à Caractère Personnel (AFCDP) a été créée dès 2004, dans le contexte de la modification de la loi Informatique et Libertés qui a officialisé la nouvelle fonction du CIL. L’association regroupe en mai 2010 plus de six cents professionnels et plus de 340 membres. Aussi, plusieurs groupes de travail participent de l’activité de l’association. L’AFCDP s’est focalisée sur les objectifs suivants :

  • Promouvoir la fonction du CIL et en faire un métier
  • Proposer un cadre d’échanges en développant un réseau en France et à l’international
  • Concevoir des outils, méthodes et pratiques utiles aux correspondants
  • Défendre la fonction, en suivant le cadre juridique de la fonction, en ayant la primeur de l’information, en agissant pour faire valoir la position des professionnels [14].

Actualités

Le 23 mars 2010, une proposition de loi [15] a été votée en première lecture au Sénat. Ce texte, qui modifierait la loi relative à « l’informatique, aux fichiers et aux libertés », propose de rendre obligatoire le Correspondant Informatique et Libertés, prône le renforcement des sanctions de la CNIL et envisage la publication des « failles de sécurité ». La Commission européenne vient de publier ses axes stratégiques concernant la révision de la Directive 95/46/CE pour la protection des données personnelles. A ce stade, la Commission européenne envisage notamment de rendre obligatoire la désignation du CIL car elle estime cet expert plus apte à mener des évaluations de protection de la vie privée et des données personnelles [16] . La Commission présentera également, en 2011, des propositions instaurant un nouveau cadre juridique général régissant la protection des données, que le Parlement européen et le Conseil devront ensuite négocier et adopter.

Comparaison européenne et internationale

Le correspondant informatique et libertés existe dans d'autres pays comme en Allemagne (Datenschutzbeauftragter (préposé à la protection des données) créé dans les années 1970), aux Pays-Bas (functionaris gegevensbescherming (délégué à la protection des données)), en Suède (personuppgiftsombud (délégué à la protection des données)) ainsi qu’aux États-Unis (Chief Privacy Officer (responsable en chef de la vie privée)).

Voir aussi

Liens externes

Références

Notes

  1. Déclaration Universelle des Droits de l’Homme sur le site de l'Organisation des Nations Unies
  2. Convention Européenne des Droits de l'Homme et des Libertés fondamentales[1]
  3. Loi du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés [2]
  4. Site de la Commission Nationale de l'Informatique et des Libertés [3]
  5. Convention 108 du Conseil de l'Europe [4]
  6. Directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, Journal officiel n° L 281 du 23/11/1995 p. 0031 - 0050
  7. Loi n°2004-801 du 6 août 2004 relative à la protection des personnes physiques à l'égard des traitements de données à caractère personnel et modifiant la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés JORF n°182 du 7 août 2004 page 14063 texte n° 2
  8. op. cit.
  9. Loi n° 78-17 du 6 Janvier 1978 relative à l'informatique, aux fichiers et aux libertés, JORF du 7 janvier 1978 page 227
  10. Décret n° 2005-1309 du 20 octobre 2005 [5]
  11. Décret n° 2007-451 du 25 mars 2007[6]
  12. Les plus grandes entreprises françaises sont invitées à se doter de correspondants, mais aussi les collectivités locales à travers l’Association des maires de France. La CNIL a déjà signé des accords de partenariat avec l’ACFCI (Assemblée des chambres de commerce et d’industrie), la CPU (Conférence des présidents d’université) et l’Union des caisses nationales de Sécurité sociale (UCANSS), afin de conduire des actions de sensibilisation à la protection des données et de favoriser la diffusion de la culture informatique et libertés.
  13. Voir le site de l'AFCDP[7]
  14. Pour plus d'informations sur l'AFCDP, voir le guide "l'AFCDP se présente"[8]
  15. Proposition de loi votée en première lecture au Sénat[9]
  16. Axes stratégiques concernant la révision de la Directive 95/46/CE de la Commission européenne[10]