Continuons à présenter quelques détails relatifs au Règlement Général sur la Protection des Données. Aujourd’hui, nous allons parler des postes de CIL et de DPO. Le sujet est abordé suite à des choses trop fréquemment entendues, exemple : « le DPO c’est l’exact copie du CIL, mais pour le RGPD ».
Vrai ou faux ?
CIL, DPO, RGPD, c’est à dire ?
Il y a plus d’abréviations que de texte dans les premières lignes de ce billet, quelques définitions s’imposent.
RGPD, comme DPO, sont déjà présentés dans le précédent billet, CIL en revanche, vous ne connaissez peut-être pas.
Le CIL, ou Correspondant Informatique et Libertés, est le référent des questions relatives à la protection des données à caractère personnel (ou DCP).
Ses missions sont de garantir la conformité de l’organisme à la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, plus communément appelée loi Informatique et Libertés.
Cette loi sert de référence à tout ce qui touche, de près comme de loin, à la collecte, l’usage et la protection des données personnelles (collecte, analyse, traitement, définitions des collectes licites, modalités de collecte, sécurisation, anonymisation, etc.).
D’une certaine façon, le CIL est l’interlocuteur entre la CNIL et l’entreprise. Il est l’acteur incontournable entre le responsable de traitements de l’entreprise et l’autorité de contrôle.
Pour information, la loi Informatique et Libertés a évolué au fil du temps pour tenir compte de l’évolution des technologies et des nouveaux usages. Sa dernière modification remonte au 20 janvier 2017. La prochaine date à noter, pour ladite loi, sera le 25 mai 2018, moment à partir duquel le RGPD sera applicable.
Les points communs entre le CIL et le DPO
Le CIL et le DPO sont indirectement des représentants des réglementations, l’un pour Informatique et Libertés, l’autre pour le RGPD. Ils sont tous deux attachés à la protection des données personnelles et aux usages qui sont faits de ces dernières au sein des entreprises et administrations.
Les deux doivent être hors de tout conflit d’intérêt et ne peuvent donc pas exercer d’autres fonctions qui entreraient en conflit avec leurs rôles de CIL ou de DPO.
Ils doivent globalement être informés des traitements effectués sur les données personnelles et tenir des registres relatifs à ces derniers, même si les missions diffèrent sur ce point.
Le point numéro 3 de l’article 38 du RGPD confère au DPO le même type de protection que le CIL. Ainsi, le DPO « ne peut être relevé de ses fonctions ou pénalisé par le responsable de traitement ou le sous-traitant pour l’exercice de ses missions ». Il va de soi que si le DPO est complice d’activités illicites menées par le responsable de traitement, cela ne tient pas.
Enfin, l’article 39 (son point 1), confèrent au DPO des missions similaires à certaines du CIL : coopérer avec l’autorité de contrôle et faire office de point de contact pour l’autorité de contrôle.
Globalement, les similarités s’arrêtent là.
Les différences entre le CIL et le DPO
Les qualifications requises
En soi, il n’existe pas de réelles obligations de compétences dans le poste de CIL, même si la logique fait qu’on ne place pas n’importe qui à ce poste. Dans la loi Informatique et Libertés, tout au mieux, le CIL doit « avoir les compétences nécessaires pour exercer ses missions ».
L’article 37 du RGPD, et plus particulièrement son point 5, explique la chose suivante :
« Le délégué à la protection des données est désigné sur la base de ses qualités professionnelles et, en particulier, de ses connaissances spécialisées du droit et des pratiques en matière de protection des données, et de sa capacité à accomplir les missions visées à l’article 39 ».
Alors oui, cela peut sembler logique voire évident, mais c’est une différence assez importante. Cela signifie que si le CIL peut avoir le profil qui lui permet d’exercer ses missions, le DPO doit avoir les compétences nécessaires pour ses missions. Le considérant 97 du texte va dans ce sens également, considérant que vous pouvez retrouver ici (non référencé directement par la CNIL).
Obligation de formation continue
Le point 2 de l’article 38 explique que « le responsable du traitement et le sous-traitant aident le délégué à la protection des données à exercer les missions visées à l’article 39 en fournissant les ressources nécessaires pour exercer ces missions, ainsi que l’accès aux données à caractère personnel et aux opérations de traitement, et lui permettent d’entretenir ses connaissances spécialisées ».
Cette obligation de maintien des compétences dans le temps n’est pas présente dans la loi Informatique et Libertés, elle permet au DPO de pouvoir bénéficier de parcours de formation continue afin de maintenir ses compétences à jour.
Si les entreprises permettent aux CIL d’accéder à la formation, elles n’en ont pas l’obligation actuellement, ce qui ne sera plus vrai avec le DPO. Il faut y voir l’opportunité de maintenir un niveau d’expertise à jour, plutôt qu’une contrainte de formation pour les entreprises.
Obligation de confidentialité
L’article 38, via son point 5, souligne le caractère de confidentialité des missions du DPO, qui est soumis au secret professionnel ou à une obligation de confidentialité. Il me semble évident que les missions du CIL sont, elles aussi, sensibles et confidentielles… mais il n’existe pas d’obligation de confidentialité dans la loi Informatique et Libertés.
L’article 39 du règlement confère des missions étendues au DPO, dont celles de la répartition des responsabilités ainsi que la formation et la sensibilisation du personnel qui participe aux opérations de traitement.
Obligation de nommer un DPO
Si le poste de CIL n’est pas une obligation, il reste fortement recommandé pour de nombreuses entreprises. Il permet, au passage, de « s’affranchir » d’un certain nombre de déclarations auprès de l’autorité de contrôle.
Dans certains cas, la nomination d’un DPO est obligatoire. L’article 37 précise les cas où la nomination d’un DPO est nécessaire :
- le responsable de traitement est un organisme public,
- les différentes activités du responsable de traitement le conduisent à avoir un suivi régulier et systématique des personnes, et ce, à grande échelle,
- si les activités du responsable de traitement portent sur des catégories de données « sensibles » (conviction religieuses, origine raciale ou ethnique, opinions politiques, données génétiques, etc.) ou si elles sont relatives à des infractions ou des condamnations pénales.
Par exemple, les banques, les opérateurs téléphoniques ou les grosses agences publicitaires sont, selon le règlement, dans l’obligation de nommer un DPO, là où cette nomination n’est pas obligatoire avec le CIL.
Revenons à la question de ce billet : est-ce que le CIL et le DPO font le même métier et ont les mêmes obligations ? La réponse est manifestement non.
S’il existe forcément des points communs aux deux postes, ils diffèrent, tant dans les missions que dans les obligations relatives au poste. L’évolution « logique » du CIL est effectivement le poste de DPO, mais cela ne signifie pas pour autant que c’est le même poste, le même périmètre d’intervention, ni même qu’une personne au poste de CIL passera obligatoirement DPO.
J’espère, avec ce billet, que vous aurez compris que non, avoir un CIL, ce n’est pas la même chose qu’avoir un DPO et que cela ne signifie pas « être conforme ».
N’est il pas mentionné dans les textes que CIL et DPO doivent être 2 personnes distinctes ? Qu’on ne peut cumuler les fonctions quoi.
On ne peut pas, effectivement. Le poste de CIL et de DPO sont deux postes différents et il n’est pas question de pouvoir cumuler les deux. Le CIL est lié à Informatique et Libertés et le DPO à la future réglementation.
Comme expliqué, au mieux, le CIL peut évoluer vers un poste de DPO (mais il ne sera alors plus CIL).
La responsabilité de CIL ou de DPO peut-elle être exercée par une société externe ? Et dans ce cas, peut-elle cumuler la responsabilité de CIL et de DPO ?
Merci pour cet article !
Il n’y a pas de cumul de fonction possible, le 25 mai 2018, le CIL n’existera plus mais si le CIL a vocation à devenir DPO, ce ne sera pas automatique (c’est dit dans l’article). Le formulaire de désignation sera disponible dans le courant du mois de mars 2018.
L’article est intéressant car le thème du comparatif n’est pas souvent traité.
Existe-t-il des structures ou des personnes qui peuvent occuper la fonction de DPO pour des associations concernant la fin de vie ?