Ouf, « on » va enfin pouvoir se débarrasser de toutes ces contraintes de fichiers informatiques et des démarches auprès de la Commission nationale de l’informatique et des libertés (Cnil). Un coup de baguette magique de nomination, et le Correspondant Informatique et Libertés (CIL) devient le grand sauveur des administrations et des entreprises. S’il est vrai que son rôle est de veiller à la bonne application de la loi n°78-17 « Informatique et Libertés » du 6 janvier 1978 et d’alléger les formalités, il y a tout de même une petite contrepartie. Et surtout quelques inconvénients, considérés comme rédhibitoires pour certains. Une fois désigné (salarié, organisme extérieur, juriste, directeur des systèmes informatiques, responsable de la conformité, etc.), sa mission définie et les hypothèses de « fin de mission » envisagées, le correspondant devra se mettre au travail. Et ce n’est pas une mince affaire.

Tenir un registre, informer, et faire un bilan

Le CIL doit simultanément assurer dix fonctions dans l’entreprise. Un, tenir un registre à jour et immédiatement accessible de tous les fichiers, ce qui suppose au préalable un recensement exhaustif de tous ces fichiers et la vérification de leur conformité à la loi. Deux, réceptionner les demandes et les réclamations des personnes intéressées par les fichiers. Trois, répondre à toute personne demandant la liste des fichiers à jour. Quatre, être consulté préalablement à la mise en œuvre des nouveaux fichiers. Cinq, assurer le respect des obligations prévues dans la loi (et dans les textes « métier » applicables), faire le cas échéant toute recommandation utile au responsable des traitements, l’informer des manquements constatés et l’alerter. Six, être l’interlocuteur privilégié de la CNIL mais également des personnes visées dans les fichiers (personnel, clients, partenaires,…). Sept, saisir, à sa discrétion, la CNIL des difficultés qu’il rencontre dans l’exercice de ses missions. Huit, se tenir à jour en termes de « qualifications requises » (via des formations par exemple). Neuf, participer, comme le suggère la CNIL, à la diffusion de « la culture informatique et libertés » au sein de son organisme. Dix, établir le bilan annuel de ses activités qu’il présente au responsable des traitements et qu’il tient à la disposition de la CNIL.

Un système complexe, lourd

Pratiquement, la mise en place d’un CIL impose la mise en place d’une organisation interne structurée pour gérer les questions relatives à la protection des données. En cela, son rôle peut s’avérer efficace pour la réduction des risques juridiques, si une telle gestion n’existait pas encore. Mais à quel prix ? Le système reste définitivement complexe et empreint de lourdeur. En outre la question de la responsabilité du CIL, notamment pénale, n’est pas clairement arrêtée. Certains organismes - dont de grands groupes français - préfèrent ainsi conserver l’ancien système où finalement toutes ces tâches, partagées avec la CNIL, n’existaient pas.