Le métier de DPO remplace-t-il désormais celui de CIL ?

Alors que le Règlement Général pour la protection des données est entré en vigueur dans l’Union européenne depuis près de 7 mois, le métier de Data Protection Officer (DPO), rendu obligatoire par le RGPD, remplace-t-il celui de Correspondant Informatique et Libertés (CIL) ?

La nouvelle législation européenne en matière de protection des données personnelles est venue bouleverser le métier de CIL en introduisant notamment l’obligation pour les organismes concernés de désigner un DPO, ou Délégué à la protection des données en français, lequel se trouve au centre du dispositif établi par ce nouveau règlement. Le Correspondant Informatique et Libertés a ainsi vu arriver ce nouveau métier différent du sien tout en s’avérant complémentaire. Avant de se pencher sur la nature des fonctions du Data Protection Officer, un retour sur les missions du CIL s’avère nécessaire afin de mieux comprendre les évolutions de ce métier.

Le CIL, acteur incontournable des pratiques et l’informatique et des libertés

Le CIL, dont le poste a été créé par décret, est rapidement devenu un acteur incontournable de la régulation des pratiques de l’informatique et des libertés. En effet, sa vocation première étant d’être l’interlocuteur référent en termes de protection des données à caractère personnelle, tant auprès de la CNIL que pour le responsable des traitements, dispose donc d’une certaine autorité afin que ses alertes et conseils soient bien pris en compte. En ce sens, le CIL – tout comme le DPO -, doit être exempt de tout conflit d’intérêts et ne peut donc se voir confier d’autres missions que celles inhérentes à sa mission. Bien que travaillant en étroite collaboration avec le responsable de traitement des données personnelles, le Correspondant Informatique et Libertés se voit au-dessus de tout ordre ou instruction dans l’exercice de ses fonctions, il est pour ainsi dire libre de ses décisions. De même, il ne peut faire l’objet d’aucune sanction de la part de son employeur dans l’accomplissement de ses missions, tout comme le nouveau DPO.

En ce qui concerne ses missions, le CIL doit dresser et tenir à jour la liste des traitements automatisés de données personnelles exercés par l’entreprise pour laquelle il travaille et veiller à la régularité de ces traitements. Il doit également être consulté en amont de la mise en place d’un nouveau processus de traitement de données. Le Correspondant Informatique et Libertés doit aussi veiller au respect du droit des personnes concernées par ces traitements automatisés, en veillant à ce que leurs finalités n’outrepassent pas celles prévues initialement et que les utilisateurs concernés puissent avoir accès à leurs données, en demander la rectification ou bien la radiation. En cas de manquement à ces obligations, le CIL doit en informer la CNIL (Commission nationale de l’informatique et des libertés).

Le CIL, pour mener à bien ses missions, doit notamment veiller à ce que le personnel soit sensibilisé à ces questions de lois relatives à la protection des données personnelles. Enfin, il doit également rédiger un bilan annuel de son action au sein de la structure, qu’il remet au responsable de traitement des données personnelles. Ce même bilan doit être tenu à disposition de la CNIL.

Le DPO voit ses responsabilités plus accrues que le CIL en termes de données personnelles

Quant au DPO (Data Protection Officer), ses responsabilités en matière de respect des données personnelles sont les mêmes que le CIL, mais nettement plus poussées. Ce nouveau métier qui fait partie des professions du numérique, dont l’origine découle directement de l’entrée en vigueur du RGPD, est au coeur du nouveau règlement européen. Le Délégué à la protection des données est ainsi plus impliqué dans l’ensemble des aspects des traitements d’informations personnelles, dès leur conception. Le DPO est notamment en charge de la gestion des droits des personnes, de définir les mécanismes de vérification de la conformité, de réaliser des audits, de vérifier l’adéquation des mesures de sécurité prises, de maintenir la documentation inhérente à la protection des données personnelles, etc.

De par la nature de ses missions, le DPO a ainsi accès à toutes les informations nécessaires à l’exercice de son métier et doit pouvoir exercer sa profession de manière indépendante, sans conflit d’intérêts ni pression de sa hiérarchie.

Le Data Protection Officer est l’interlocuteur référent entre les personnes concernées par le traitement de leurs données, l’organisme qui entreprend de le faire, et la CNIL. Le DPO doit ainsi la première personne concernée par un dysfonctionnement des règles de sécurité en la matière, et ce avant même qu’une plainte ne soit déposée auprès de la CNIL.

CIL et DPO : deux métiers compatibles bien que différents

La différence majeure existant entre le métier de CIL et celui de DPO réside dans le fait que pour le premier sa nomination est fortement conseillée, mais pas obligatoire, alors que pour le second elle l’est, du moins pour les entreprises concernées par le RGPD. L’article 38 du RGPD énonce clairement ce point : « Le responsable du traitement et le sous-traitant aident le délégué à la protection des données à exercer les missions visées à l’article 39 en fournissant les ressources nécessaires pour exercer ces missions, ainsi que l’accès aux données à caractère personnel et aux opérations de traitement, et lui permettent d’entretenir ses connaissances spécialisées ». Une obligation qui, en ce qui concerne le CIL, ne figure nullement dans la loi Informatique et Libertés.

De plus, le CIL, qui pour exercer ses missions se base sur la loi Informatique et Libertés (loi n°78-17 du 6 janvier 1978), n’a aucune obligation de formation continue, contrairement au DPO qui se doit de répondre parfaitement aux nouvelles exigences du RGPD. En outre, si les missions du CIL demeurent relativement floues, la loi Informatique et Libertés stipulant simplement qu’il doit « avoir les compétences nécessaires à l’exercice de ses missions », les exigences relatives au DPO sont clairement énoncées dans l’article 37 du RGPD, point 5 : « Le délégué à la protection des données est désigné sur la base de ses qualités professionnelles et, en particulier, de ses connaissances spécialisées du droit et des pratiques en matière de protection des données, et de sa capacité à accomplir les missions visées à l’article 39 ».

Les métiers de CIL et de DPO ne sont pas incompatibles, le CIL demeurant un référent interne en ce qui concerne les questions d’informatique et de libertés. Toutefois, si les entreprises concernées par le RGPD ne souhaitent pas faire appel à un DPO, alors le CIL est dans l’obligation de se former pour exercer ses nouvelles missions de Data Protection Officer. A contrario, si les organismes concernés par l’entrée en vigueur du RGPD souhaitent conserver un CIL et avoir recours parallèlement à un DPO, cela est tout à fait possible, les deux professions étant complémentaires l’une de l’autre.