Le positionnement du CIL dans l'entreprise : interview de Maître Caron

Maître Laurent Caron est avocat au Barreau de Paris, et dirige son propre cabinet d'avocats. Il co-anime la formation "Correspondant Informatique et Libertés".

Juridiquement, comment se positionne le CIL dans l'entreprise ?
Le CIL est un nouveau métier datant de 2004. Les années qui viennent de passer et la désignation d'un grand nombre de CIL permettent de mieux comprendre son positionnement. Le Correspondant Informatique et Libertés (CIL) dispose tout d'abord d'un positionnement réglementaire. Les enjeux s'inscrivent dans une même logique selon que le CIL soit interne ou externe, de même qu'en fonction du statut public ou privé du CIL concerné. Il s'agit dans tous les cas d'une relation nouvelle pour les entreprises (responsable de traitement au sens de la loi) qui modifie la relation qui pouvait exister avant la prise de fonction. Les missions du CIL sont sacralisées à travers l'engagement pris par l'employeur auprès de la CNIlL grâce au formulaire CNIL tripartite de notification signée par l'ensemble des parties qui a valeur de contrat. Le CIL dispose donc ensuite d'un positionnement contractuel. Sur la base du contrat précité, le CIL est investi d'une quasi-délégation de pouvoirs dont les impacts sont juridiques, techniques et organisationnels à l'égard des traitements et fichiers de données personnelles placés sous son contrôle. Le CIL est par conséquent positionné au sein de la gouvernance techno juridique des SI de l'entreprise sur la base de la loi informatique et libertés modifiée et du décret d'application d'octobre 2005. À compter de sa désignation, le CIL est un partenaire incontournable à la fois pour la direction générale et la direction de la conformité, la DSI et les directions métiers, mais également pour les risk managers. Le CIL est la première image donnée par l'entreprise à la CNIL et à l'égard des stakeholders. Il convient donc de choisir son positionnement interne en fonction de l'organisation concernée.

Quelles sont ses responsabilités juridiques ?
Cette question demeure complexe. Le CIL est investi d'une mission étendue de conformité. Il doit anticiper une multitude de responsabilités. Au premier chef, le CIL doit remplir avec loyauté et engagement ses nouvelles obligations contractuelles. Il doit par conséquent maîtriser son éventuelle responsabilité contractuelle en tant qu'employé ou en tant que CIL externe. Dans l'exercice quotidien de ses fonctions, le CIL est en effet amené à exprimer ses pouvoirs en mode "feu vert, orange, rouge". La moindre question posée présente un véritable degré de sensibilité. Rappelons que le CIL doit assurer la conformité des traitements et des fichiers aux dispositions légales applicables. Ces dernières sont nombreuses et ne se limitent dans la plupart des cas pas à la seule loi informatique et libertés.
En résumé, les responsabilités doivent être validées sous l'angle du contrat de travail, vis-à-vis de la CNIL, ainsi qu'au regard des règles de droit civil et pénal.
La rédaction du contrat de travail ou de prestation de service, la formalisation du cadre des missions entre le CIL et l'employeur ne doivent comporter aucune ambiguïté quant à la répartition des responsabilités entre le CIL et le responsable des traitements. Il n'existe dans ce domaine aucune possibilité de déterminer avec certitude la répartition de ces responsabilités. C'est pourquoi, le responsable de traitement et le CIL doivent mettre en place, au-delà de la relation contractuelle, des règles de fonctionnement quotidien pouvant prendre la forme d'une charte de déploiement.

Pourquoi un CIL devrait-il souscrire une assurance ?
Très tôt les entreprises et les CIL en fonction se sont interrogés sur l'éventuelle nécessité de souscrire une assurance pour le CIL interne ou externe. La question n'est pas définitivement tranchée. Les enjeux sont liés au choix d'un contrat d'assurance adapté, mais également à la capacité de l'entreprise de respecter le contrat passé avec l'assureur. Les entreprises disposent en effet d'une responsabilité civile professionnelle qui a vocation sur le papier à couvrir les risques inhérents au métier exercé et donc au CIL. En pratique, il s'avère que le risque informatique et libertés à couvrir par l'assureur présente en l'espèce de véritables spécificités par rapport à d'autres risques. Cela crée une relation totalement nouvelle et complexe avec l'assureur au regard de la multiplicité des facteurs de criticité rencontrés. L'entreprise doit être certaine que l'assureur a compris les risques à couvrir : assurabilité,  sinistralité. Par conséquent, le responsable de traitement doit mettre en place un contexte de fonctionnement du CIL permettant de maîtriser les risques encourus et d'assurer la confiance de l'assureur en cas de sinistre et de prévisibilité. La boucle est donc bouclée, le contrat d'assurance n'aura de valeur que dans la mesure où le positionnement du CIL aura été balisé dans une logique avérée de maîtrise et d'anticipation des risques. Une chose est certaine, l'assurance du CIL franchit une nouvelle dimension par rapport à celle dont pourrait d'ores et déjà disposer l'entreprise pour ses directions métier ou sa DSI.