Quel profil pour le correspondant informatique et libertés ?

NB : Cet article a été rédigé en 2014. Le régime juridique du correspondant informatique et libertés a évolué vers celui du délégué à la protection des données.

La loi Informatique et Libertés ouvre la possibilité de désigner un « correspondant informatique et libertés » (L. no 76-17, 6 janv. 1978, art. 22 ; D. no 2005-1309, 20 oct. 2005).

Quel est l’intérêt de désigner un correspondant ?

La désignation d’un correspondant permet de s’exonérer de tout ou partie des formalités préalables de déclaration des traitements de données :

  • seuls les traitements soumis à autorisation de la CNIL doivent être déclarés ;
  • les autres traitements sont simplement référencés dans une liste tenue par le correspondant.

Qui désigner ?

Il est possible de désigner un correspondant interne, à savoir un salarié dépendant directement du responsable de traitement.

Mais on peut aussi choisir de désigner un correspondant externe :

  • lorsque moins de 50 personnes sont chargées de la mise en œuvre des traitements ou y ont directement accès, le choix du correspondant externe est libre. Il peut s’agir d’un salarié de l’entreprise ou d’une autre entité (société du groupe, association, etc.), ou d’un professionnel indépendant (avocat, expert-comptable, consultant, etc.) ;
  • dans les autres structures, seul peut être désigné comme correspondant :
  • un salarié de l’entreprise,– un salarié d’une des entités du groupe de sociétés auquel appartient l’entreprise,– un salarié du groupement d’intérêt économique dont l’entreprise est membre,– une personne mandatée à cet effet par un organisme professionnel,– une personne mandatée à cet effet par un organisme regroupant des responsables de traitement d’un même secteur d’activité.

Comment désigner le correspondant ?

Le responsable des traitements doit informer les instances représentatives du personnel de sa décision de nommer un correspondant et de la personne désignée.

La désignation du correspondant est ensuite notifiée à la CNIL :

  • par lettre recommandée avec demande d’avis de réception ;
  • ou par remise au secrétariat de la CNIL contre reçu ;
  • ou par voie électronique avec accusé de réception.

Elle prend effet un mois après la date de réception de la notification.

Quelles sont les missions du correspondant ?

Établir la liste des traitements

Dans les trois mois suivant sa désignation, le correspondant doit dresser une liste des traitements automatisés pour lesquels il a été désigné.

La liste précise pour chaque traitement :

  • le nom et l’adresse du responsable du traitement ;
  • la ou les finalités du traitement ;
  • le ou les services chargés de la mise en œuvre ;
  • l’indication de la fonction de la personne ou du service auprès desquels s’exerce le droit d’accès ;
  • une description de la ou des catégories de personnes concernées et des données ou des catégories de données s’y rapportant ;
  • les destinataires ou les catégories de destinataires auxquels les données sont susceptibles d’être communiquées ;
  • la durée de conservation des données traitées.

Cette liste doit être tenue à jour. Elle doit être accessible à toute personne en faisant la demande.

Veiller à l’application de la loi Informatique et Libertés

Le correspondant doit veiller à l’application de la loi Informatique et Libertés aux traitements pour lesquels il a été désigné :

  • il est obligatoirement consulté préalablement à la mise en œuvre des traitements ;
  • il reçoit les réclamations et requêtes des personnes concernées par les traitements et les transmet aux services intéressés ;
  • il veille au respect du droit d’accès et d’opposition et à l’information des personnes sur leurs droits.

Alerter

Le correspondant doit informer le responsable du traitement des manquements constatés. Il peut, le cas échéant, saisir la CNIL.

Rédiger un bilan annuel

Le correspondant doit établir chaque année un bilan de ses activités qu’il présentera au responsable des traitements. Ce bilan est tenu à la disposition de la CNIL.