04 Juil 2016 Le correspondant informatique et libertés à l’heure du Règlement européen
Qu’est-ce qu’un Cil au juste ?
Le correspondant informatique et libertés (Cil) est la personne en charge de la protection des données personnelles au sein d’un organisme (société, structure publique, association, etc.). Il existe en France depuis 2004.
Le Règlement européen vient refondre les règles de désignation, son statut et ses missions. Le Règlement a été adopté le 14 avril 2016. Nous avons deux ans pour mettre en œuvre les changements apportés.
Le Cil portera le nom de Délégué à la protection des données (DPD).
Quel est son statut ?
Si vous êtes concerné, vous pouvez désigner un Cil interne (salarié) ou un Cil externe (consultant, avocat).
Le Cil doit disposer des compétences et des moyens humains, matériels et financiers pour exercer ses missions. Il est indépendant (il ne reçoit d’instructions qu’au niveau le plus élevé de la structure) et soumis à une obligation de confidentialité.
Suis-je tenu de désigner un Cil / DPD ?
Jusqu’à aujourd’hui, le Cil n’était pas obligatoire mais fortement recommandé pour les organismes en charge d’une grande volumétrie de données ou disposant d’un système d’information complexe notamment.
Avec le Règlement européen, le DPD devient obligatoire dans trois cas :
- dans le secteur public ;
- lorsque la structure effectue des opérations qui exigent un suivi régulier et systématique à grande échelle des personnes concernées (profilage, marketing ciblé, gestion de grosses bases de données, etc.) ;
- lorsque l’organisme traite des données sensibles (données de santé par exemple) ou données relatives à des condamnations ou infractions à grande échelle.
En pratique, la désignation va finalement devenir obligatoire pour beaucoup d’organismes.
Quelles sont ses missions ?
Ses missions sont multiples. Elles sont renforcées avec le Règlement européen.
Outre ses missions actuelles (point de contact pour les personnes fichées, tenu d’un registre des traitements, établissement d’un bilan annuel, etc.), le Règlement ajoute cinq fonctions majeures au DPD :
- Il exerce une mission de conseil auprès du responsable de traitement (l’organisme) et les employés (obligation de conseil renforcée).
- Il contrôle la conformité des pratiques aux règles applicables et sensibilise le dirigeant, les directions opérationnelles et les membres du personnel.
- Il dispense des conseils sur demande lors de la réalisation des études d’impact (l’étude d’impact consiste pour l’organisme à identifier et cartographier les risques inhérents à la mise en œuvre d’un nouveau traitement – elle va devenir obligatoire dans certains cas).
- Il coopère avec la Cnil.
- Il fait office de point de contact pour la Cnil sur toutes questions en matière de protection des données.
Le Cil / DPD est une opportunité pour votre structure (« redore » votre image auprès de vos clients ou usagers, sécurise vos services, valorise votre patrimoine informationnel, etc.) et pas seulement une contrainte. Pensez-y !