Les entreprises peuvent désigner leur correspondant aux données personnelles

Issu de la réforme votée l"an passé de la loi Informatique et libertés, le correspondant à la protection des données à caractère personnel (CPDCP) avait déjà son association. Depuis le 22 octobre dernier, il est désormais doté d"un statut légal.

Le décret d"application relatif à la loi du 6 août 2004 a été publié au Journal officiel. Il précise les conditions de nominations et les différentes tâches qui devraient revenir au CIL (Correspondant Informatique et libertés), le nom officieux du CPDCP. Le correspondant veille au respect (par l"entreprise, l"association, l"Administration ou la structure concernée) des obligations prévues par la loi Informatique et libertés. De facto, son rôle consistera à faire le travail de la Cnil (Commission nationale de l’informatique et des libertés) dans sa structure.

Sa désignation doit être notifiée à la Commission par lettre recommandée ou par voie électronique. Cette nomination prend effet un mois après la date de réception de la notification par la Cnil, dont l"accord est automatique. Il peut s"agir d"une personne physique (un individu) ou d"une personne morale (une entreprise, un groupement d"intérêt économique…).

Facultatif

La mise en place d"un CIL dans une entreprise est facultative. Mais toute société dont plus de 50 collaborateurs ont accès aux données informatiques et qui choisit de nommer un correspondant doit le faire parmi ses salariés.

Le représentant des traitements d"informations (par exemple, le directeur informatique) ou son représentant légal (le chef d"établissement) ne peuvent être désignés comme correspondant. Le CIL ne reçoit dans le cadre de sa mission aucune instruction de leur part. Il peut en outre leur faire toute recommandation nécessaire. Un bilan annuel des activités du CIL est établi par ses soins. Enfin ce document est présenté au responsable des traitements d"informations et mis à la disposition de la Cnil.