Faut-il mettre en place un correspondant Cnil ?

La notion de correspondant à la protection des données à caractère personnel a été introduite dans le chapitre 4 de la nouvelle loi, dédié aux formalités préalables lors de la mise en œuvre des traitements. De par son rôle, le correspondant peut permettre aux entreprises de déroger à certaines formalités déclaratives. En effet, les traitements, pour lesquels le responsable a désigné un correspondant, sont dispensés des formalités. Toutefois, cette dispense ne concerne que les traitements soumis aux formalités telles que déclaration simplifiée ou ordinaire. Ceux pour lesquels existent des demandes d'autorisation, simples ou par décret ou arrêté, ne sont pas dispensés. Il en est de même pour tout traitement de données à caractère personnel lorsqu'un transfert de données est envisagé à destination d'un Etat non membre de la Communauté européenne. L'absence de déclaration ne signifie pas une dispense totale et, en fonction de la finalité des traitements mis en œuvre, des traitements ou des informations y figurant, les formalités déclaratives existeront. Son deuxième rôle essentiel est de veiller au respect des dispositions de la loi Informatique et libertés. Il doit tenir un registre des traitements et, de ce fait, identifier si la loi est respectée. Il peut saisir la Cnil de toutes difficultés qu'il rencontre dans l'exercice de sa mission. Troisième rôle : communiquer à toute personne qui en fait la demande les informations relatives aux traitements de l'entreprise : dénomination, finalités du traitement, identité et adresse du responsable du traitement et fonction de la personne ou service auprès duquel s'exerce le droit d'accès. Un autre rôle essentiel, non explicité dans la loi, s'entend de son rôle au titre des demandes de droit d'accès. Le droit d'accès venant d'être extrêmement enrichi, il appartient au correspondant de veiller à son respect, tout en mettant en place une politique de confidentialité et de sécurité nécessaire à son exercice.

Qui est le correspondant ?

La loi ne prévoit pas si le correspondant s'entend d'une personne physique ou morale. Si les deux options semblent envisageables, le législateur avait, dans un premier temps, souhaité privilégier une personne physique. Compte tenu de son rôle, le correspondant ne peut en effet faire l'objet d'aucune sanction de la part de l'employeur du fait de l'accomplissement de sa mission. Une même analyse peut être faite, au vu des travaux parlementaires, puisque deux modèles avaient été débattus. A savoir celui de salarié protégé, représentant du personnel, et celui de responsable à la protection des données. C'est cette dernière notion qui a été retenue, le correspondant ne disposant pas, à ce jour, de droits spécifiques eu égard au concept de salarié protégé. Toutefois, un principe essentiel est posé par l'article 22-3,de la nouvelle loi, à savoir celui de l'indépendance du correspondant. Vis-à-vis de ses employeurs et de son client. Sa mission devra dès lors être clairement définie et acceptée formellement par la personne désignée, qui doit disposer d'un réel pouvoir afin de mettre en place et de veiller au respect de la loi. Une mission qui devra être encadrée par un contrat ou une convention, réglant ses modalités.

Comment désigner un correspondant ?

Première règle : le correspondant doit bénéficier des qualifications requises pour exercer sa mission et d'une véritable indépendance. Deuxième règle : sa désignation doit être portée à la connaissance des instances représentatives du personnel mais également de la Cnil. Si sa désignation a été encadrée par l'article 22 de la loi nouvelle, sa révocation l'a été également. En cas de non-respect des dispositions de la loi, la Cnil peut enjoindre le responsable du traitement de procéder aux formalités prévues aux articles 23 et 24 et dès lors, à effectuer les déclarations simplifiées ou ordinaires. De même, en cas de manquement à ses devoirs, le correspondant peut être déchargé de ses fonctions sur demande ou après consultation de la Cnil. n