Le 13 octobre 2015, la CNIL a rassemblé les correspondants Informatique et Libertés (CIL) à l’occasion des dix ans de la fonction. 16300 organismes ont déjà désigné un CIL dont le rôle de pilote de la conformité sera consacré dans le futur règlement européen avec un renforcement de ses missions et moyens.

A la veille d’un tournant majeur de la réglementation en matière de données personnelles, la CNIL et les CIL dressent le bilan des 10 années d’existence de la fonction de CIL. A l’occasion d’un événement organisé le mardi 13 octobre par la CNIL, ils échangeront sur les bonnes pratiques en matière de conformité et envisageront ensemble l’avenir de la profession.

La journée, introduite par la Présidente de la CNIL, Isabelle Falque-Pierrotin, sera ponctuée d’interventions et d’ateliers axés sur la préparation des CIL à un exercice efficace de leurs missions dans un contexte réglementaire renouvelé.

Après la restitution des résultats de l’étude IFOP de juillet 2015 sur la fonction de CIL menée pour la CNIL auprès des correspondants en poste, seront évoqués les actions, outils, procédures et pratiques contractuelles propres à satisfaire le nouveau principe d’ accountability et, plus particulièrement, l’obligation relative à la sécurité des données personnelles à l’heure du tout connecté.

Enfin, un atelier sera consacré aux techniques de valorisation de la conformité auxquelles peut recourir chaque CIL pour installer et pérenniser une culture « Informatique et Libertés » au sein de son organisme.

L’opportunité est ainsi offerte aux correspondants de partager leurs retours d’expérience et visions opérationnelles sur des sujets désormais incontournables L’objectif est donc de prendre collectivement une longueur d’avance sur le règlement européen.

CIL aujourd’hui, délégué à la protection des données demain avec le règlement européen

10 ans après sa création, le CIL est devenu un métier clé du paysage de la protection des données personnelles. Cette évolution est consacrée par le projet de règlement européen, qui place les futurs « délégués à la protection des données » (Data Privacy Officers ou DPO) au cœur du prochain dispositif de régulation. Ce texte est actuellement en cours de discussion et devrait être finalisé pour la fin de l’année.

Le projet de règlement prévoit :

  • un allègement des formalités préalables à accomplir par les organismes
  • un renforcement des droits des personnes concernées,
  • une augmentation du montant des sanctions
  • la mise en place d’outils et de procédures visant à s’assurer, documenter et ainsi démontrer la prise en compte des principes de protection des données, dans une logique d’engagement responsable (« accountability »).

Dans ce nouveau cadre, la désignation d’un DPO pourrait être rendue obligatoire dans un certain nombre de cas. Son rôle de pilote de la conformité sera consacré au travers d’un renforcement de ses missions et moyens. Il deviendra un véritable « chef d’orchestre » en la matière, chargé :

  • de tenir à jour la « documentation Informatique et Libertés »,
  • d’informer, de conseiller et de vérifier le respect par l’organisme de ses obligations (en particulier, « privacy by design », études d’impact et notification des violations de données).
  • Il sera également le point de contact de l’autorité de régulation, la consultera et coopèrera avec elle si nécessaire.

Pour en savoir plus sur les CIL

Qui sont les CIL d’aujourd’hui ?

L’étude IFOP de juillet 2015 menée auprès des CIL sur leur fonction montre que :

  • 53% des CIL font partie du secteur privé et 47% exercent leurs fonctions au sein d’une structure de la sphère publique. La répartition par type d’organisme est la suivante :
    • entreprise privée 44%,
    • association 9%,
    • organisme de sécurité sociale 10%,
    • entreprise publique 9%,
    • commune 9%,
    • établissement de santé 7%,
    • Etat 5%,
    • EPCI 3%,
    • département 2%,
    • office HLM 2%,
    • région 1%
  • La quasi-totalité des CIL sont désignés en interne (95%)
  • Si la plupart des CIL sont issus d’un cursus technique, les profils sont diversifiés :
    • 47% sont issus du secteur des TIC/SI,
    • 29% occupent ou ont occupé des fonctions juridiques,
    • 10% des fonctions administratives
    • et 10% des fonctions d’audit ou de conformité.
  • Les CIL sont principalement rattachés aux instances dirigeantes de leur organismes
    • 46% sont rattachés directement au Secrétariat général ou à leur direction générale ou comité exécutif,
    • pour 26% ils font partie de la direction informatique
    • et 10% de la direction juridique.
  • Les CIL sont naturellement amenés à collaborer avec de nombreux services qui font appel à leur expertise et à leurs conseils pour la mise en place de traitement de données.

cil cnil

A quoi sert un CIL ? 

Pour permettre aux structures publiques et privées d’exercer leur activité tout en protégeant les données personnelles traitées, il est possible depuis l’adoption du décret n° 2005-1309 du 20 octobre 2005 de désigner un CIL et de disposer ainsi d’un précieux acteur de mise en conformité à la loi Informatique et Libertés.

La désignation d’un CIL témoigne également de la part des organismes d’un attachement aux principes de protection de la vie privée, des droits et libertés, et constitue ainsi un facteur de valorisation de l’image de l’organisme.

Cette désignation présente donc plusieurs bénéfices :

  • Un renforcement de la sécurité juridique : la désignation d’un CIL permet d’identifier un référent sur les questions de protection des données personnelles et s’intègre dans les nouvelles pratiques de gouvernance en termes de mise en conformité. Il en découle une réduction des risques de contentieux contractuel, administratif et judiciaire.
  • Un renforcement de la sécurité informatique : le CIL conseille l’organisme sur les nouvelles manières d’exploiter les données. Il permet d’éviter les erreurs stratégiques lors du lancement de nouveaux services ou produits, et optimiser en conséquence les investissements, la politique d’archivage et d’externalisation, les procédures internes relatives à la sécurité de l’information.
  • Un vecteur de confiance avec les parties prenantes : la mise en place d’un CIL est de nature à rassurer les personnes extérieures à l’organisme (clients, citoyens, fournisseurs, étudiants, partenaires potentiels, etc.) et le personnel interne sur les garanties prises pour une collecte et un traitement responsable des données.

Un service dédié au sein de la CNIL 

La CNIL propose un accompagnement personnalisé des CIL dès leur désignation, en les préparant à l’exercice de leurs missions et en les guidant dans l’application des textes relatifs à la protection des données :

  • réponse rapide aux demandes de conseil juridique,
  • ateliers d’information exclusifs et gratuits (en 2014, plus de 1 000 participants ont suivi 34 ateliers),
  • outils dédiés (extranet contenant des guides, modèles, réponses-type, référentiels, etc.),
  • permanence téléphonique quotidienne.

En 2014, ce sont plus de 2 567 demandes de conseil juridique (+ 17% par rapport à 2013) et 4 808 appels traités par l’équipe du service des CIL, qui concrétise cette volonté forte d’animer et de fédérer le réseau.

Désigner un CIL : une étape vers l’obtention du label « gouvernance » de la CNIL

La désignation d’un CIL fait partie des exigences posées pour obtenir le label CNIL  « gouvernance Informatique et Libertés » qui permet d’indiquer au public que la procédure ou le produit proposé par un organisme corresponde aux exigences de la Commission. Un label de la CNIL est destiné à améliorer la confiance des utilisateurs, en termes de protection de la vie privée, envers des produits et des procédures.