Protection des données personnelles – Des Correspondants Informatique et Libertés de la FIGEC

Une des missions de la CNIL est d’approuver ou non la désignation de Correspondants Informatique et Libertés proposés par les entreprises. Peut-on dire que ces derniers sont assermentés par la CNIL ? Non, les CIL ne sont ni assermentés ni accrédités. Pour bien comprendre ce qu’est un CIL, je pense qu’il faut rappeler sa brève histoire. Le Correspondant Informatique et Libertés existe depuis le 20 octobre 2005. Suite à la transposition de la Directive Européenne 95- 46, le président de la CNIL, Alex Türk, a réussi à positionner le CIL comme un des outils à disposition du chef d’entreprise, plus globalement du responsable du traitement, pour l’aider, l’accompagner, avoir quelqu’un à disposition qui sache le conseiller dans l’application de cette législation. Le système de Correspondant existe déjà en Allemagne depuis plus de 30 ans et il est obligatoire. Il doit disposer d’une expertise comme en France, mais le système allemand est plus contrôlé. En France, il n’existe par exemple actuellement pas encore d’examen de passage. Il n’y a qu’une université française qui forme des Correspondants, avec un master spécialisé que je possède, mais tout le monde a priori peut s’intituler CIL. La CNIL travaille sur la labellisation (prévue pour 2011), en commençant par les formations. Le Correspondant a le vent en poupe, il y a environ 6 700 organismes et 2 000 CIL, ce qui représente un bon démarrage pour quelque chose qui n’est pas obligatoire. On peut réellement parler d’un succès pour la CNIL.

Pour vous, que représente un CIL ? C’est une personne qui est amenée à sensibiliser, à apporter une réflexion, mais aussi à simplifier les démarches administratives par rapport à la CNIL. Enfin, c’est le CIL qui gère en interne le registre, c’est-à-dire la liste des traitements qui sont mis en oeuvre dans l’entreprise.

En quoi la démarche de désignation d’un CIL est-elle proche de celle de la qualité ? La norme ISO 9000 ou la norme ISO 27000 pour la sécurité et le management des informations sont des normes internationales. Par contre, la loi Informatique et Libertés est franco-française.

Comment s’applique en Europe cette politique de protection des données ? Quelles sont les spécificités françaises ? La directive européenne 95/46/CE a cela de particulier qu’elle s’applique sur le fond mais pas sur la forme. Le citoyen allemand aura les mêmes droits que le citoyen français par rapport au traitement, droit d’accès, droit d’opposition, droit de rectification et éventuellement droit de suppression, comme dans tous les pays de l’Union Européenne d’ailleurs. Par contre sur la forme, c’est-à-dire comment mettre en oeuvre ou comment doit mettre en oeuvre le responsable de traitement ou le chef d’entreprise, cela diffère : un Correspondant est obligatoire en Allemagne à partir de 9 personnes ou pour des traitements sensibles, il reste facultatif en France. En France, la CNIL donne des autorisations notamment pour les échanges de données France-Union européenne pour les traitements dits sensibles, les données sensibles comme les données biométriques etc. Ce n’est pas le cas dans tous les pays, cela dépend un peu de la finalité de l’Autorité. Notre Autorité a été créée suite au projet Safari en 1974. C’était un projet de l’administration française, du moins des plus importantes administrations, qui avaient comme objectif d’interconnecter à peu près 400 fichiers d’état, sur la base d’un identifiant unique, le numéro de sécurité sociale. Depuis cette date, l’utilisation du numéro de sécurité sociale est toujours jugée sensible par la CNIL. C’est pour cela qu’aujourd’hui encore, il est interdit d’utiliser ce numéro sans autorisation de la CNIL sauf dans certains cas très spécifiques comme dans le cas du fichier « ressources humaines » pour la paye mais uniquement pour la paye, pour les flux vers les organismes sociaux.

La CNIL édite des règles, des normes, des recommandations… mais exerce aussi un pouvoir de sanction. Est-ce que cela aide à mieux comprendre les règles ? Typiquement, l’entreprise Acadomia a été sanctionnée pour le fait que les collaborateurs saisissaient des données dites subjectives, des données de santé, des données faisant apparaître des difficultés sociales. Or, ces informations sont des données sensibles au sens de la loi. Ils les conservaient. Pourquoi la CNIL est-elle intervenue ? En premier lieu, le fait d’être stockées rendait ces informations interprétables et divulgables. En second lieu, détenir cette information n’était pas proportionnel par rapport à la finalité du traitement qui est de former des jeunes. Que le père boive par exemple ou pour toutes les différentes remarques qui existaient, cela n’avait aucun sens par rapport à l’objectif de formation. C’est comme dans le cadre d’un recrutement, il n’y a pas lieu de demander le numéro de sécurité sociale ni les antécédents, ni le métier du père ou celui des frères et soeurs, à moins qu’il n’y ait un lien avec le métier. C’est sur cette proportionnalité des informations collectées que le législateur a été très attentif dans la rédaction du texte de loi.

En ce qui concerne la FIGEC, êtes-vous intervenu auprès de tous ses membres ? J’ai formé presque toutes les entreprises de la FIGEC. Elles ont bénéficié d’une action collective AGEFOS pour une formation sur deux jours. Cela a permis de dispenser une journée de formation théorique couplée à une journée de formation pratique en entreprise où j’allais accompagner la personne qui avait suivi la formation théorique, pour l’aider à mettre le pied à l’étrier. Certains adhérents avaient déjà mené un travail avancé en matière de protection des données. C’est une des forces de la FIGEC, composée d’entreprises structurées et déjà dans des démarches de type qualité.

Qui avez-vous plutôt touché au sein des sociétés ? Des dirigeants et des personnes des services qualité, DRH, informatique, des analystes, des juristes… il n’existe pas un prototype de CIL. Ce n’est pas encore un métier, c’est une fonction, à part celui que j’exerce en tant que CIL externe.

Après la formation de chacun, quel « pont » peut-il exister ? La première journée est réalisée en groupe, avec une moyenne de 6-7 personnes. Nous avons ensuite créé un Hub sur Viadeo, pour que ces personnes puissent échanger, poser des questions, exprimer des remarques relatives à l’environnement de protection des données personnelles. Ce n’est pas aussi simple que cela de se retrouver devant des problématiques de protection des données personnelles. Ceux qui ont déjà traité cette thématique peuvent apporter leur aide, leur soutien, leur expérience. C’est à l’image de ce que fait la FIGEC pour ses membres : créer des espaces de réflexion et de partage. L’idée est de monter ensemble en compétences.

Comment sont conçus et mis en oeuvre les traitements des données ? La loi Informatique et Libertés s’appuie sur des législations de secteur, par exemple pour la FIGEC le décret de 1996 sur les entreprises de recouvrement pour compte de tiers. On retrouve des incitations, des obligations issues de ce décret. Les règles sur les délais de prescription vont aussi avoir une influence sur la mise en oeuvre de traitement, sur la durée de conservation. La loi Informatique et Libertés impose des obligations par rapport à la mise en oeuvre d’un traitement et elle donne des droits aux personnes. En ce qui concerne les obligations, la déclaration et l’autorisation viennent en fin. L’entreprise ou l’organisme doit d’abord mener une réflexion par rapport à la finalité du traitement. Par exemple, un lecteur de badge peut donner uniquement l’accès à des lieux mais peut aussi aller jusqu’à la gestion du restaurant d’entreprise. Par rapport aux finalités définies, on va mettre en place des fonctions, des logiciels. Vient ensuite l’obligation au niveau de l’information : je dois informer les gens comme quoi je traite des données à caractère personnel. Selon l’information que je délivre, les données ne peuvent pas être utilisées à d’autres finalités, sinon cela devient un détournement de finalité. Cela permet une transparence certaine et assure une sécurité à la personne concernée. Elle sait pourquoi les données sont collectées, qui en est destinataire, quelles sont les durées de conservation, etc. Selon le type d’informations que je vais collecter, je vais devoir mettre en place des barrières complémentaires par rapport à l’accès aux logiciels, la gestion des rôles et des mots de passe, la cryptologie, etc. Et les durées de conservation affichées issues d’une obligation légale ou non doivent être respectées. Cette partie constitue le descriptif du traitement que je vais déclarer ou faire autoriser par la CNIL, selon la finalité du traitement, le type de données collectées ou suivant les technologies utilisées.

Les premiers CIL ont-ils commencé à exercer leur fonction dans les sociétés membres de la FIGEC ? Fin 2010, quatre CIL et un référent sont en activité, et cinq sont en cours de désignation. En mars, nous avions adressé, le secrétaire général de la FIGEC et moi-même, un courrier à Monsieur Padova, secrétaire général de la CNIL. Il faut savoir que la CNIL était en train d’embaucher des auditeurs et des contrôleurs pour les secteurs banque, recouvrement et assurances. Notre courrier informait la CNIL de la démarche de complétude à la législation suivie par la FIGEC, soulignait que des entreprises du secteur recouvrement souhaitaient former des Correspondants Informatique et Libertés, et demandait si la CNIL était prête à soutenir cette démarche. Lors de la formation des CIL, la CNIL a délégué une personne qui s’occupe notamment des contrôles CNIL secteur recouvrement, afin que les participants aient un retour de l’approche et puissent connaître ce qu’est un contrôleur CNIL. Nous avons essayé de faire quelque chose de très pratique et pragmatique pour que chacun tire un enseignement et sache l’appliquer immédiatement.

     

Les actions menées par votre société ActeCil permettent de réaliser des économies… Un exemple : si vos bases de données ne connaissent pas de purges, vous traînez un historique alors qu’il vous est interdit de garder les informations plus d’un certain temps. Votre base grandit, les temps d’accès à l’information s’allongent, les temps de sauvegarde et de restauration en cas de clash vont encore être plus longs. Votre patrimoine informationnel va en pâtir. Plus vous avez d’anciennes données erronées, plus le risque d’erreur est potentiellement élevé. Il est possible d’améliorer la qualité, la fiabilité, la rapidité de l’information ou la pérennité de l’entreprise tout simplement. Il faut pour cela définir les conditions des purges, des nettoyages et des mises à niveau.

La purge n’est pas uniquement liée au temps, elle est aussi liée à l’atteinte de la finalité.

Dans le cadre d’un contrat entre X et Y, X est amené à collecter des informations sur Y, lui envoyer des courriers… X ne supprimera pas ces données tant qu’elles seront dans la finalité de la gestion contractuelle. Quand la relation contractuelle s’arrêtera, il va falloir savoir combien de temps l’information peut ou doit être gardée. En cas d’obligation, X doit être capable d’argumenter sur la durée de conservation de ces données, par exemple parce des clients reviennent au bout de 5 mois pour demander des informations complémentaires. X doit trouver une durée de conservation proportionnelle ou logique.

Les missions de la CNIL ont-elles évolué ? Le président de la CNIL parle souvent des 4 « ?C? » de sa stratégie : communication, le Correspondant, contrôles, coercition. La CNIL établit des bilans annuels, elle est dans cette obligation de rendre compte, comme le Correspondant doit rendre compte au responsable de traitement, comme je dois le faire pour mes clients en établissant un bilan annuel de mes activités.

La CNIL investit de plus en plus en communication. Ils ont édité des supports pour les CM2, pour 500?000?euros. Ils ont investi dans l’approche de la formation des jeunes, pour les inciter à faire attention à l’utilisation qu’ils font de leurs données personnelles, notamment sur Internet, via Facebook ou tout autre réseau social. Ils font réaliser des sondages par la Sofres pour estimer la notoriété de la CNIL, la connaissance de son activité, savoir s’ils savent qu’ils disposent de droits… Et chaque année, le poids de la CNIL et de la législation augmentent régulièrement.

Avant 2004, on parlait peu de la CNIL. Parce que lorsque la loi a été promulguée en 1978, qui disposait des moyens informatiques adéquats ? C’étaient les grands groupes et l’administration et la principale mission de la CNIL en était le contrôle.

En 2004, lorsqu’il y a eu la transposition, le gouvernement en a profité pour alléger ses obligations. Avant 2004, la CNIL avait un droit de veto sur les traitements de l’état. Depuis 2004, elle n’a plus qu’un avis consultatif qui peut être outrepassé. Mais à l’inverse, elle a commencé à disposer d’un pouvoir de contrôle a posteriori qu’elle n’avait pas auparavant, ainsi qu’un pouvoir de sanction. Si elle vérifie toujours les fichiers de l’état ou de la police, sa mission a évolué sur le secteur privé. La CNIL est à ma connaissance la seule autorité qui voit son budget augmenter.

Y aura-t-il bientôt un diplôme pour les audités ? Je pense que oui. J’ai déjà certifié des entreprises françaises, mais avec des certificats allemands. Les Allemands ont mis cela au point. Il existe une certification européenne qui s’appelle EuroPriSe (European Privacy Seal), acceptée pour le moment par les Allemands, les Espagnols et les Polonais. À mon sens, la CNIL va labelliser en France. Elle a participé au groupe de travail, de réflexion mais elle n’avait pas ce pouvoir de certification, de labellisation comme l’autorité allemande. Elle n’a donc pas pu aller jusqu’au bout de la démarche.

Quelles sont ou seront les dispositions concernant les flux internationaux ? Pour le secteur du recouvrement comme pour tout autre, il existe des impératifs concernant les flux au sein de l’Union européenne, avec une certaine flexibilité, étant donné que nous disposons d’un même niveau de sécurité et de confidentialité. Hors Union européenne, il y aura lieu de demander des autorisations. S’implanter ou faire du recouvrement hors de nos frontières va demander une réflexion préalable. Les Marocains ont adopté une législation et cela veut dire que les entreprises FIGEC qui disposent d’une filiale au Maroc sont contraintes d’être conformes à la législation marocaine. Je me suis rendu compte que les Allemands qui avaient des filiales en France oubliaient parfois que leur conduite rigoureuse en Allemagne ne faisait pas échapper leurs filiales aux obligations françaises.

Une harmonisation est-elle possible en Europe ? Le problème, c’est qu’il existe deux types de pays au sein de la Communauté européenne : les pays qui disposaient d’une législation protection des données personnelles avant la promulgation de la Directive européenne, et les pays (notamment les pays de l’est qui sont rattachés à l’Union européenne) qui ont transposé la Directive telle quelle parce qu’ils n’avaient pas cet historique.

Nos voisins allemands sont par exemple très regardants sur les traitements du type recensement, car il s’agit pour eux d’une donnée sensible. Que l’on traite dans tous les sens le numéro de carte nationale d’identité ou d’identifiant Sécurité Sociale ne les dérange pas du tout. C’est historique : l’autorité allemande a été touchée par le fait que lors d’un recensement, toutes les administrations ont ajouté leur grain de sel, ce qui a fait qu’un questionnaire A4 est devenu un catalogue de questions où finalement on disait tout. C’est ce qui a touché la protection des données en Allemagne.

Autre exemple : le Luxembourg n’avait pas de législation dans le domaine. Les Luxembourgeois ont adapté la Directive et l’ont transposée en 2003, bien qu’elle soit sortie en 1995. Cela fait un délai de 8 ans et la Cour de Justice européenne les a sanctionnés financièrement.

La France, bien qu’ayant transposé la Directive en 2004, n’a pas été sanctionnée. Les Français se sont expliqués sur le fond en disant « ?la Directive européenne est une émanation de la loi allemande et de la loi française. On a déjà un niveau de protection équivalent? ».

Un dernier exemple : pour les Marocains, la carte d’identité est une donnée sensible, ce qui n’est pas le cas pour nous. Cette notion dépend vraiment du pays, de son histoire.

Peut-on avoir une idée sur l’évolution du cadre légal international ? Une nouvelle loi a été adoptée en première lecture par le Sénat en mars?2010, avec des obligations, notamment :
 de désigner un CIL pour les sociétés qui disposent d’entités ou qui font du recouvrement hors frontières,
 de notifier les failles de sécurité, c’est-à-dire les données qui sont accessibles à des personnes qui n’ont pas lieu de les connaître,
 d’en informer les personnes concernées par courrier. Ou, dans le pire des cas, si c’est vraiment un gros fichier, de publier dans un quotidien national la faille de sécurité et le fait que des données personnelles concernant les salariés, les clients, les débiteurs, les créditeurs… ont été mises sur la place publique.

Des mesures similaires ont été instaurées en Californie pour le secteur santé, suivies par aujourd’hui plus de 40 états nord-américains. En 2009, les Allemands ont eux aussi adopté une législation sur l’obligation de notifier les failles de sécurité.

La Directive européenne est aussi en cours de refonte. On ne sait pas si la législation en France sera adoptée avant, ce qui m’étonnerait. La grande nouveauté serait le droit à l’oubli. Vaste sujet ! Seraient mis en avant la durée de conservation, le droit à l’oubli, etc. notamment en ce qui concerne les réseaux sociaux.

Techniquement, c’est très difficile à maîtriser. Avec les nouvelles technologies comme le Cloud Computing, les réseaux, etc., on ne sait même plus où se trouvent nos données. Même chose pour les sécurités et les sauvegardes. On fait des sauvegardes pour justement pouvoir restaurer, mais si on supprime des informations lorsque les délais de conservation ont été atteints, on ressort de la conformité.

D’où l’intérêt de bien définir les finalités pour constituer des méthodologies simples à suivre : maintenant, on s’oriente plutôt sur les PETs (Privacy Enhanced Technologies). Lorsqu’on développe un produit, on intègre déjà la réflexion sur la protection des données. J’interviens notamment dans des universités ou des écoles d’ingénieurs qui font du développement web et des bases de données, pour qu’ils comprennent les impacts de la législation et les bonnes pratiques à mettre en œuvre dès la rédaction du cahier des charges, les phases de développement pour disposer des outils qui soient capables de gérer les contraintes de la protection des données.

Dans ce domaine, la FIGEC est très en avance et je pense qu’il y a des possibilités qui vont lui permettre de se démarquer du reste du marché. Par ailleurs, d’après les retours que j’ai de cabinets de recouvrement de terrain, les obligations contractuelles sont de plus en plus nombreuses, qui les obligent à être en conformité par rapport à la démarche CNIL, en particulier s’ils veulent travailler avec de gros groupes et notamment bancaires. Or en cas de sous-traitance, le risque pénal n’est pas transféré au sous-traitant… Et le risque encouru par le donneur d’ordre est de 5 ans et 300?000?euros. Les impacts commencent donc à concerner l’ensemble du métier.

Les Allemands ont adopté un « ?taux d’imposition? », en fonction non du critère défini, mais en rapport à l’impact sur la personne ou sur le nombre de personnes concernées et aux avantages qu’a pu tirer l’entreprise de ne pas se conformer. Le groupe Comintel (Lidl), hard discounter, s’est vu contraindre à payer une amende de 1,5?million d’euros et la Deutsche Bahn une amende de 1?million d’euros.

L’article?29 de la Directive européenne 95-46 prévoit que toutes les autorités européennes de contrôle doivent se rencontrer une fois par mois pour débattre des questions de fond, de société… Sur des dossiers comme Facebook ou SWIFT par exemple, qui intéressent tout le monde.

Comment et pourquoi la FIGEC vous a-t-elle choisi ? Je travaille avec d’autres syndicats qui font partie de la même branche, notamment avec le SIST (Chambre Professionnelle des Services Intégrés du Secrétariat et des Téléservices). Les problématiques sont les mêmes, quelles que soient les branches d’activité. Tous les organismes publics, privés ou associatifs ont les mêmes obligations et doivent être capables de répondre aux mêmes droits pour les personnes : droit d’accès, de rectification, etc. Ils doivent répondre dans les délais sur le fond, la forme.

En présentant ma démarche à Monsieur Renault, secrétaire général de la FIGEC, je suis arrivé au bon moment : des membres de la Fédération étaient déjà en action.

Combien de structures comme la vôtre exercent-elles en France ? Quatre, et de nombreux auto entrepreneurs commencent à proposer des prestations.

De quand date le master ? De 2007. On était alors une dizaine et il doit y avoir aujourd’hui une trentaine de diplômés. Le CIL peut être interne ou externalisé. Généralement, les diplômés retournent en entreprise pour être CIL internes. Parce qu’être CIL externe est très limité en France, du fait de la limitation à des entreprises de moins de 50 personnes. La potentialité du marché est relativement faible, d’autant que les entreprises de moins de 50 employés ont rarement cette démarche et les moyens de la réaliser. C’est une question de dirigeant et de politique d’entreprise, de volonté, de dire : pour moi c’est important.