Réglementation RGPD : CIL et DPO, quelles différences ?

Réglementation RGPD : CIL et DPO, quelles différences ?

Depuis l’entrée en vigueur du RGPD, les Data Protection Officer (DPO), sont de plus en plus nombreux. En effet, nombreuses sont les entreprises à chercher à recruter un DPO pour assurer leur mise en conformité avec le Règlement Général pour la Protection des Données. Mais, le DPO remplace-t-il pour autant le CIL et quelles sont leurs missions respectives ? En premier lieu, définissons ces deux métiers que sont le DPO et le CIL.

Qu’est-ce qu’un DPO ?

Le Data Protection Officer, délégué à la protection des données en entreprise, est en charge d’assurer la sécurité des données personnelles – au cœur du projet RGPD – utilisées à des fins commerciales comme internes. Son rôle est très important, puisque le DPO doit s’assurer que son entreprise respecte bien la législation en matière de données personnelles et assure au maximum leur sécurité, comme le prévoit désormais le RGPD. Le Data Protection Officer fait partie des nouveaux métiers du numérique, dont l’origine découle directement de l’entrée en vigueur du Règlement européen pour la protection des données, instauré le 25 mai 2018.

Qu’est qu’un CIL ?

Pour sa part, le CIL, Correspondant Informatique et Libertés, demeure le référent en ce qui concerne la protection des données à caractère personnel. Le CIL joue un rôle également très important, puisqu’il est l’interlocuteur de référence entre la CNIL, Commission nationale de l’informatique et des libertés, et l’entreprise. Le Correspondant Informatique et Libertés s’appuie sur la loi Informatique et Libertés (loi n°78-17 du 6 janvier 1978), afin de garantir à son entreprise une conformité exemplaire concernant les problématiques relatives à l’informatique, aux fichiers et aux libertés.

Quelles différences entre les missions du DPO et celles du CIL ?

La différence majeure existant entre le Correspondant Informatique et Libertés et le Data Protection Officer réside avant tout dans le fait que la nomination d’un DPO est obligatoire pour toutes les entreprises concernées par le RGPD, alors que celle d’un CIL ne l’est pas, bien que son expertise soit fortement recommandée.

L’obligation de nomination d’un DPO est clairement énoncée dans l’article 38 du RGPD, point 2 : « Le responsable du traitement et le sous-traitant aident le délégué à la protection des données à exercer les missions visées à l’article 39 en fournissant les ressources nécessaires pour exercer ces missions, ainsi que l’accès aux données à caractère personnel et aux opérations de traitement, et lui permettent d’entretenir ses connaissances spécialisées ».

Une obligation qui ne figure nulle part dans la loi Informatique et Libertés en ce qui concerne le CIL. Le Correspondant Informatique et Libertés, contrairement au Délégué à la Protection des Données, n’a donc aucune obligation de formation continue. Car outre sa nomination obligatoire, le DPO a également pour obligation de se former continuellement, afin de répondre aux exigences nouvelles du RGPD, en opposition au CIL dont les compétences exigées sont nettement plus floues. En effet, alors que la loi Informatique et Libertés prévoit que le CIL doit « avoir les compétences nécessaires pour exercer ses missions » ; les exigences concernant le DPO sont clairement précisées dans l’article 37 du RGPD, Point 5 : « Le délégué à la protection des données est désigné sur la base de ses qualités professionnelles et, en particulier, de ses connaissances spécialisées du droit et des pratiques en matière de protection des données, et de sa capacité à accomplir les missions visées à l’article 39 ».

Dernière différence notable, le Data Protection Officer est tenu à une exigence de confidentialité quant aux missions qu’il mène, tandis que le CIL ne l’est pas de manière explicite.

Les entreprises ne possédant pas de CIL avant l’entrée en vigueur du RGPD, sont désormais dans l’obligation d’avoir recours à un DPO. Elles ont donc tout intérêt à employer une personne déjà formée aux nouvelles exigences en règle de protection des données, ou bien à former en interne un référent. Une question se pose alors pour les entreprises qui ont déjà recours aux services d’un CIL, le Correspondant Informatique et Libertés a-t-il vocation à devenir DPO ?

Le CIL peut-il devenir DPO ?

Le Correspondant Informatique et Libertés peut tout à fait devenir Délégué à la protection des données, si tant est qu’il suive des formations complémentaires et sache adopter un rôle plus “politique” qu’informatif. Car le nouveau Data Protection Officer devra résister aux éventuelles pressions internes en ce qui concerne la protection des données personnelles, afin d’assurer coûte que coûte la bonne conformité de son entreprise avec les exigences du RGPD. Le CIL nouvellement DPO verra sa fonction devenir à la fois transverse, interpellant les différents métiers de l’entreprise, tout en demeurant indépendante, afin de pouvoir trancher intelligemment sur les questions de protection des données.

Le DPO doit donc être aussi bon communicant que pédagogue, pour pouvoir résister à de possibles exigences de ses supérieurs, dont il devra être appuyé, afin que chaque service intègre parfaitement les nouvelles règles inhérentes au RGPD.

À noter également que le CIL, avant de devenir DPO, devra suivre les formations nécessaires pour sa montée en compétences. Ainsi, un CIL au profil plutôt technique se formera de préférence sur le juridique ; inversement, un CIL axé sur le juridique devra s’assurer de maîtriser les compétences techniques demandées. En outre, le DPO étant amené de par ses missions à délivrer son expertise auprès des cadres dirigeants, il devra être positionné au plus près de la direction générale, afin que ses recommandations aient un poids suffisant.

1 réponse

Trackbacks (rétroliens) & Pingbacks

  1. […] clair, le ou les responsables de traitement agissant au sein de toute entreprise, organisme, association et administration ainsi que leurs […]

Répondre

Se joindre à la discussion ?
Vous êtes libre de contribuer !

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *