Droit et numérique - Une directive européenne devrait accroître les responsabilités des correspondants Informatique et Libertés
"Il est important de rendre attrayante la nomination d’un correspondant Informatique et Libertés (CIL) car sa présence auprès d’un responsable de traitement est le meilleur moyen pour garantir le respect de la vie privée à l’heure numérique", explique Paul-Olivier Gibert, président de l'Association française des correspondants à la protection des données à caractère personnel (AFCDP), dans son communiqué du 4 novembre, suite à la publication par la Commission européenne de ses axes stratégiques sur la révision de la directive pour la protection des données personnelles (95/46/CE). L'association se réjouit des mesures qui concernent la fonction de "Data Protection Officers". Elle y voit la reconnaissance du rôle que les CIL jouent en France. Seuls 11% des 5.000 CIL exerçaient leur activité dans le secteur public en 2008. Sur les 6.869 organismes ayant actuellement désigné un CIL, seuls 1.803 seraient en activité. Alors même que les collectivités (notamment les villes) gèrent une multitude de données confidentielles : adresses des administrés (géolocatisation), quotient familial (niveau de revenu), appartenance religieuse (menus des cantines), etc.
Dans ses orientations, la Commission européenne envisage ainsi de rendre obligatoire la désignation de cet expert qui est "le plus apte à mener des évaluations de protection de la vie privée et des données personnelles (Privacy Assessments), ou à veiller aux principes de Privacy by Design" (prise en compte des règles "Informatique et Libertés" dès la conception d’un projet, d’un outil, d’une application). Parmi les autres propositions stratégiques, plusieurs nouvelles règles participent à la clarification et au renforcement du concept du "consentement des personnes" et du principe de data minimization (s’en tenir strictement aux seules données pertinentes et indispensables). Un "droit à l’oubli" (purge des données à l’issue de la durée de conservation) y est également formalisé, dans la lignée de la proposition de loi des sénateurs français Yves Détraigne et Anne-Marie Escoffier. Outre la définition standardisée des "données personnelles sensibles" au niveau européen, plusieurs mesures évoquées par Bruxelles concernent les flux transfrontières : homogénéisation des règles de circulation en Europe, clarification des critères du niveau de protection des pays tiers, redéfinition des clauses dans le cadre des accords internationaux (Binding Corporate Rules, Safe Harbor, etc.).
Des CIL obligatoires ou volontaires
Deux mesures projetées visent une responsabilisation accrue des CIL : l'introduction du concept d’Acountability (obligation de rendre des comptes) et l'instauration d’une notification des violations aux traitements de données personnelles. Pour gérer ces nouvelles obligations, "les responsables de traitement auront naturellement tendance à désigner un correspondant Informatique et Libertés et le doteront de moyens à la mesure de sa mission", souligne l'AFCDP plutôt en faveur d'une formation et d'une certification des CIL dans le cadre du volontariat. L'association a d'ailleurs créé un groupe de travail pour réfléchir aux modalités éventuelles de cette notification des violations aux traitements de données à caractère personnel et à ses impacts. L’AFCDP souhaite notamment qu’il soit accordé un avantage "plus significatif" aux organismes publics ou privés optant pour le CIL en leur permettant "de bénéficier de l’exemption de déclaration, notamment lors de transferts de données ayant déjà été considérés comme encadrés par les autorités de protection des données".
La Commission européenne évoque également une clarification concernant l’application du texte quand les données personnelles sont hébergées dans un dispositif de Cloud Computing (informatique en nuage) qui pourrait se développer pour l'e-administration. Elle propose aussi la mise en place d’un processus de certification. Enfin, plusieurs propositions visent à plus de coopération et à une meilleure efficacité des autorités de contrôles européennes, comme la Commission nationale informatique et libertés (Cnil) en France : renforcement des pouvoirs (audits, sanctions, possibilité d’action en justice, etc.) ; renforcement des pouvoirs du groupe Article 29, voire création d’une autorité de contrôle européenne. Dans le cadre de la refonte de la directive, l’AFCDP devrait apporter au débat son expertise et sa vision, en tant qu’association représentative de la profession de CIL. "Nous nous sommes déjà rapprochés de nos partenaires allemands et néerlandais afin de partager expériences et points de vue", conclut le président. Les villes de Paris et Saint-Etienne, la communauté urbaine de Marseille Provence, le conseil général de Seine-Maritime, les régions Haute-Normandie et Lorraine comptent parmi les adhérents de l'AFCDP qui regroupe les CIL mais aussi toutes les personnes intéressées par la protection des données personnelles.
Luc Derriano / EVS