La loi du 6 janvier 1978, dite Loi Informatique et Libertés, impose que la collecte des données à caractère personnel concernant les employés ne soit ni frauduleuse, ni déloyale, ni illicite.
Dans ce cadre, cette réglementation prévoit une notification à la Cnil (Commission informatique et liberté) des processus et outils de traitement de données personnelles mis en oeuvre par l'entreprise.
La loi du 6 août 2004 vient
modifier ce texte. Elle transpose en droit français une directive européenne selon laquelle les Etats membres de l'union ont la possibilité de simplifier ou d'éviter l'obligation de déclaration.
Pour ce faire,
l'entreprise doit nommer un détaché à la protection des données personnelles, "chargé notamment d'assurer, d'une manière indépendante, l'application interne des dispositions nationales prises en application de la présente directive, de tenir un registre des traitements effectués par le responsable du traitement, et garantissant de la sorte que les traitements ne sont pas susceptibles de porter atteinte aux droits et libertés des personnes concernées."
Gestion des ressources humaines, base clients, contrôle d'accès, etc., la dérogation concerne l'ensemble des traitements courants susceptibles de porter atteinte aux libertés ou à la vie privée.
Elle ne porte pas sur les traitements nécessitant un contrôle préalable, tels que l'exploitation de données biométriques ou les dispositifs concernant la sûreté de l'Etat.
Selon le décret français, le correspondant a pour but de garantir le respects des obligations Cnil relatives à l'ensemble de ces traitements, avec pour objectif d'assurer la confidentialité des données et permettre une transparence des processus (informations des salariés, gestion des droits, démarches Cnil, etc.).
Les solutions concernées par cette missions sont bien entendu les bases et fichiers de tous types (fichiers plats, fichiers Excel, etc.), à partir du moment où ils contiennent des informations personnelles, ainsi que les mécanismes d'analyse et de restitution exploités par dessus (datamining, outils de reporting, etc.).
| Le correspondant Cnil n'est pas un salarié protégé |
"La question de l'indépendance du correspondant est complexe", reconnaît maître Sylvain Staub, Avocat à la Cour, du cabinet Staub & Associés. Il est vrai que le décret d'application prévoit un certain nombre de mesures pour garantir une certaine indépendance. D'abord, le correspondant, lorsqu'il est choisi parmi les salariés, ne peut être en même temps le responsable en charge du traitement des données, c'est-à-dire le DSI ou le responsable marketing par exemple.
Sa désignation doit par ailleurs être notifiée à la Cnil. "Mais il ne s'agit pas d'un salarié protégé pour autant, comme peuvent l'être les délégués du personnel", explique Sylvain Staub.
Or, le correspondant Cnil est censé en dernier recours informer la Cnil des éventuels manquements de son entreprise à la loi de 1978. Ne bénéficiant comme seule protection que du droit du travail, "la situation pourrait s'avérer délicate pour le détaché à la protection des données vis-à-vis de son employeur", ajoute Sylvain Staub. Ce sera donc à la Cnil de gérer au mieux cette problématique... Reste à savoir comment.
Les sociétés présentant moins de 50 salariés accédant à leur système de traitement de données peuvent faite appel à un correspondant extérieur pour prendre en charge cette activité. "Les entreprises qui dépassent ce seuil ont la possibilité de faire mandater un correspondant par un organisme regroupant des responsables de traitement d'un même secteur d'activité, et notamment utilisant le même logiciel de gestion", précise Sylvain Staub.
Sur la question des compétences, le texte ne spécifie pas de qualification particulière pour le correspondant. "En réalité, il devra bénéficier de bonnes connaissances dans les domaines
juridique et informatique", estime Sylvain Staub. La Cnil conseille également de choisir des profils présentant des compétences en matière de conseil, management, et en pédagogie.
|
