GUIDE

du Correspondant Informatique et Liberts

COMMISSION DE E T D E S

N AT I O N A L E

L I N F O R M AT I Q U E L I B E R T S

Le correspondant informatique et liberts (CIL)

ou correspondant la protection des donnes caractre personnel 1

Pourquoi dsigner un correspondant ? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3

Quelles sont les missions du correspondant ? . . . . . . . . . . . . . . . . . . . . . . . . . . 5

Qui peut exercer les fonctions de correspondant ? . . . . . . . . . . . . . . . . . . . . . . . 7

Selon quelles modalits le correspondant doit-il tre dsign ? . . . . . . . . . . . 10

Quels sont les moyens de controle de la Cnil ? . . . . . . . . . . . . . . . . . . . . . . . . . 11

Annexes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12

Ce guide ne concerne pas les correspondants dsigns par les organes de presse des fins journalistiques. (correspondant presse prvu par les dispositions de larticle 67 de la loi du 6 janvier 1978 modifie en aot 2004)

 Le correspondant est arriv !

Madame, Monsieur, Grce la parution du dcret dapplication de la loi informatique et liberts, les entreprises, les collectivits locales, les administrations, les associations peuvent dsormais dsigner un correspondant la protection des donnes. Cette innovation majeure constitue un tournant dans lapplication de la loi : laccent est mis sur la pdagogie et le conseil en amont. En effet, dsigner un correspondant permet certes de bnficier dun allgement des formalits dclaratives mais cest surtout sassurer que linformatique de lorganisation se dveloppera sans danger pour les droits des usagers, des clients et des salaris. C'est aussi, pour les responsables de fichiers, le moyen de se garantir de nombreux risques vis-vis de l'application du droit en vigueur. Pour les aider dans laccomplissement de leurs missions, la CNIL a mis en place un service entirement ddi aux correspondants. Notre objectif : qu'ils bnficient, dans un dlai trs court, des conseils, de l'information et de l'orientation qui leur sont ncessaires pour dvelopper leur action. Ceci signifie qu'ils feront l'objet d'un traitement prioritaire. Ils seront invits des changes rguliers avec la CNIL qui, bien sr, ne pourra prendre en charge l'ensemble de leur formation mais favorisera lmergence denseignements adapts, indispensables lexercice des missions du correspondant. Ainsi, le correspondant deviendra un personnage-cl dans le paysage de la protection des donnes personnelles mais aussi dans celui de la gestion de l'entreprise et de la collectivit locale de demain. Je vous invite, avec ce guide, mieux apprhender le dispositif mis en place, ainsi que les modalits pratiques de dsignation des correspondants. Alex Trk Prsident de la CNIL

I. Pourquoi dsigner un correspondant ?

Introduit en 2004 loccasion de la refonte de la loi Informatique et Liberts du 6 janvier 1978, le correspondant la protection des donnes est dsormais un personnage incontournable dans le paysage de la protection des donnes caractre personnel. Sa dsignation est facultative et permet un allgement considrable des formalits de dclaration ; elle constitue surtout un moyen efficace de veiller la bonne application, dans lorganisme, de la loi Informatique et Liberts et donc assurer le respect du droit fondamental la protection des donnes personnelles. Tous les responsables de traitements et de fichiers peuvent recourir cette formule, quils soient publics ou privs, quils aient le statut dassociations, de collectivits locales ou de grandes administrations de lEtat, quil sagisse de PME-PMI ou dentreprises multinationales.

1. Allger les formalits

La dsignation dun correspondant a pour effet dexonrer les responsables de traitements de laccomplissement de tout ou partie des formalits pralables leur incombant. Ainsi, une fois le correspondant dsign, seuls les traitements soumis autorisation ou avis pralable de la CNIL devront continuer tre dclars. Les autres traitements, qui ne comportent pas de risques manifestes pour les droits des personnes, nauront plus qu tre rfrencs dans une liste tenue localement par le correspondant.

2. Assurer une meilleure application de la loi

La dsignation du correspondant permet au responsable de traitements de mieux assurer les obligations qui lui incombent en application de la loi. En effet, laccomplissement des formalits pralables ne constitue quun aspect de la protection des donnes caractre personnel. Le responsable de traitements est notamment tenu dassurer le respect des droits des personnes concernes (droit daccs, droit de rectification et de radiation, droit dopposition...) : il doit ainsi leur fournir une information suffisante sur les traitements mis en uvre. Il doit aussi veiller ce que les donnes traites ne soient utilises quaux seules fins pour lesquelles elles sont collectes. Il doit enfin faire respecter la scurit et la confidentialit de ces informations ; ainsi, les informations traites ne doivent pas tre communiques des personnes nayant aucune raison de les connatre. Ces obligations impliquent une rflexion sur lusage qui sera fait des donnes, une dfinition des besoins tenant compte des droits garantis aux personnes.

Elles doivent ensuite se traduire par des mesures dapplications concrtes et pratiques adaptes lactivit professionnelle. Les choix effectus en matire de systmes dinformations doivent tenir compte de ces droits et obligations. En labsence de correspondant, ces tches sont souvent ngliges alors quelles sont essentielles au regard de la protection des droits des personnes. Le temps libr du fait de la dispense de dclaration peut dsormais tre consacr lapplication pratique de la loi Informatique et Liberts et ce dautant que de lourdes sanctions sont encourues en cas de non-respect de ces obligations. Ds lors, en recourant ce mcanisme, le responsable de traitement dispose en la personne du correspondant dun interlocuteur spcialis mme de le conseiller dans ses choix.

II. Quelles sont les missions du correspondant ?

1. Tenir la liste des traitements
Dans les trois mois suivant sa dsignation, le correspondant doit dresser une liste des traitements automatiss pour lesquels il a t dsign. Cette liste peut bien entendu tre tenue de manire informatise.

a) Le contenu de la liste
La liste prcise pour chaque traitement : - le nom et ladresse du responsable du traitement et, le cas chant, de son reprsentant ; - la ou les finalits du traitement ; - le ou les services chargs de la mise en uvre ; - lindication de la fonction de la personne ou du service auprs desquels sexerce le droit daccs ; - une description de la ou des catgories de personnes concernes et des donnes ou des catgories de donnes sy rapportant ; - les destinataires ou les catgories de destinataires auxquels les donnes sont susceptibles dtre communiques ; - la dure de conservation des donnes traites.

b) La mise jour de la liste - la liste, une fois constitue, doit tre tenue jour ; - les traitements mis en uvre aprs la dsignation du correspondant doivent y tre rpertoris au fur et mesure de leur mise en uvre ; lobjet et la date des modifications de ces traitements doivent tre ports sur la liste ds lors quelles portent sur des caractristiques essentielles du traitement appeles figurer dans la liste.

c) La publicit de la liste
A linstar du fichier des fichiers tenu par la CNIL qui recense les traitements soumis dclaration, la liste des traitements dispenss tenue par le correspondant doit tre accessible toute personne en faisant la demande.

Cette mise disposition implique un droit de consultation et un droit de communication sans que le demandeur ait justifier de motif. Le responsable des traitements peut dcider deffectuer spontanment cette publicit, par exemple sur le site internet de lorganisme pour les traitements intressant les clients ou les usagers, et sur les lieux daffichage rservs au personnel.

2. Veiller lapplication de la loi

Le correspondant est charg dassurer, dune manire indpendante, le respect des obligations prvues dans la prsente loi. Il veille ainsi lapplication de la loi Informatique et Liberts aux traitements pour lesquels il a t dsign.

a) Conseil et recommandation
Le correspondant est obligatoirement consult pralablement la mise en uvre des traitements. A cette fin, il peut faire toute recommandation au responsable des traitements.

b) Mdiation
Le correspondant reoit les rclamations et requtes des personnes concernes par les traitements pour lesquels il a t dsign, sassure de leur transmission aux services intresss et leur apporte son conseil dans la rponse apporte au requrant. Il veille galement au respect du droit daccs et dopposition et linformation des personnes sur leurs droits. A cet effet, il contribue llaboration et la bonne diffusion de notes dinformation, daffiches, etc. afin de diffuser une culture Informatique et Liberts au sein de lorganisme.

c) Alerte
Le correspondant informe le responsable de traitement des manquements constats et le conseille dans la rponse apporter pour y remdier. Dans certains cas, lorsque cela se justifie rellement, il peut arriver que le correspondant saisisse la CNIL des difficults quil rencontre dans lexercice de ses missions (par exemple : absence de consultation du correspondant avant la mise en uvre des traitements, impossibilit dexercer ses fonctions du fait de linsuffisance des moyens..., mais aussi difficults dapplication des dispositions lgislatives et rglementaires ). Bien sr, ceci ne sera possible quaprs que le correspondant ait effectu les dmarches ncessaires auprs du responsable de traitements et que celles-ci soient demeures infructueuses.

d) Rendre compte de son action

Le correspondant tablit un bilan annuel de ses activits quil prsente au responsable des traitements et quil tient la disposition de la CNIL.

e) Autres missions
Dautres missions peuvent, de convention expresse, tre confies au correspondant. Elles peuvent porter, sans que cette liste soit exhaustive, sur : - lextension de son champ de comptence lensemble des traitements mis en uvre par lorganisme (traitements automatiss ou non, traitements soumis autorisation ou avis, traitements exonrs par la loi ou par la CNIL) ; - llaboration des dossiers de formalits auprs de la CNIL pour les traitements non exonrs ; - lextension de la tenue de la liste aux traitements non dispenss ; - llaboration dune politique de protection des donnes caractre personnel (par exemple, dans le cadre dune charte sur lutilisation de moyens informatiques et sur la scurit, dans le cadre dun rglement intrieur...) ; - la sensibilisation des personnels aux dispositions de la loi sous forme de brochures explicatives, de mesures diffuses sur lintranet, dactions de formations. ; - llaboration et le contrle de lapplication de codes de conduite spcifiques.

III. Qui peut exercer les fonctions de correspondant ?

1. Un salari ou une personnes extrieure
Le correspondant doit, si possible, tre un employ du responsable de traitement (correspondant interne), car connaissant mieux, a priori, lactivit et le fonctionnement interne de son entreprise ou de son administration, il est ainsi mme de veiller en temps rel la bonne application des rgles de protection des personnes et des conditions de mise en uvre des traitements. Mais il est aussi possible, sous certaines conditions, de dsigner un correspondant nappartenant pas lorganisme (correspondant externe). Les possibilits de choix dun correspondant externe ne sont pas les mmes pour tous les organismes. Au-del dun certain seuil, seuls peuvent tre choisis comme correspondants des personnes se trouvant dans lentourage conomique de lorganisme qui le dsigne.

a) Une libert de choix lorsque moins de 50 personnes sont charges de la mise en uvre des traitements ou y ont directement accs 1
Dans les petites structures, il peut tre difficile de trouver parmi les salaris des personnes disposant des qualifications et comptences ncessaires pour exercer les fonctions de correspondant et ce, dautant que les traitements mis en uvre sont peu importants en nombre ou en enregistrements. Lembauche dun salari ou laffectation dun salari cette tche, mme temps partiel, napparat alors selon les cas ni possible ni ncessaire. Ainsi, lorsque moins de 50 personnes sont charges de la mise en uvre des traitements ou y ont directement accs, le choix du correspondant est entirement libre. Le correspondant peut tre aussi bien un salari de lorganisme ou dune autre entit (socit du groupe, association, groupement etc.), ou encore un professionnel indpendant (avocat, expert comptable, consultant...).

b) Un choix limit lorsque plus de 50 personnes sont charges de la mise en uvre des traitements ou y ont directement accs
Si, le recours un correspondant externe est une solution permettant de petites entits de bnficier aussi du dispositif, en revanche, pour de plus grosses structures ou pour celles mettant en uvre des traitements plus importants, lexternalisation de ses fonctions risque de ne pas rpondre aux besoins de proximit et de disponibilit du correspondant. Ainsi, lorsque plus de 50 personnes sont charges de la mise en uvre des traitements ou y ont directement accs, le choix du correspondant externe est limit.

Doivent tre considres comme des personnes charges de la mise en uvre des traitements ou y ayant directement accs , toutes les personnes charges de dvelopper et dassurer la maintenance de lapplication (service informatique), tous les utilisateurs chargs notamment de saisir les donnes ou de les consulter (services oprationnels comme par exemple la direction des ressources humaines, la direction marketing, le service comptabilit....) ainsi que toutes les personnes qui, en raison de leurs fonctions ou pour les besoins du service, accdent aux donnes enregistres.

Seul peut tre dsign comme correspondant : - un salari de lorganisme, - un salari dune des entits du groupe de socits auquel appartient lorganisme, - un salari du groupement dintrt conomique dont est membre lorganisme, - une personne mandate cet effet par un organisme professionnel 1, - une personne mandate cet effet par un organisme regroupant des responsables de traitement dun mme secteur dactivit 2.

2. Une personne qualifie

La loi prvoit que le correspondant est une personne bnficiant des qualifications requises pour exercer ses missions. Aucun agrment nest prvu et aucune exigence de diplme nest fixe. Nanmoins, le correspondant doit disposer de comptences adaptes la taille et lactivit du responsable de traitement. Ces comptences et qualifications doivent porter tant sur la lgislation relative la protection des donnes caractre personnel que sur linformatique et les nouvelles technologies, sans oublier le domaine dactivit propre du responsable des traitements. Ainsi, si la connaissance de la loi Informatique et Liberts est essentielle, les connaissances du correspondant devront aussi porter sur les lgislation particulires au secteur dactivits du responsable de traitement (par exemple en matire de commerce lectronique, de sant ou du travail..), sur les rgles spcifiques aux conditions de recueil et de traitement de certaines donnes (donnes couvertes par exemple par le secret mdical, le secret bancaire...). En informatique, une connaissance du vocabulaire et des mtiers de linformatique parait galement ncessaire, de mme que des diffrents modes de traitement des donnes. Les connaissances du correspondant porteront par exemple sur les systmes de gestion et dexploitation de bases de donnes, les types de logiciels et modes de stockage de donnes, les types de fichiers, ainsi que sur les lments dune politique de confidentialit et de scurit (chiffrement des donnes, signature lectronique, biomtrie,...). Elles doivent lui permettre de suivre le dploiement des projets informatiques et de conseiller utilement le responsable de traitement.

Le correspondant peut aussi tre mandat par lorganisme professionnel auquel appartient le responsable de traitements ou lorganisme regroupant des responsables de traitement dont relve le responsable de traitement. Ainsi, un organisme professionnel (par exemple un syndicat professionnel) peut proposer au responsable de traitement de dsigner une personne quil aura mandat cet effet. Il peut sagir dun salari de lorganisme professionnel, mais aussi dun professionnel indpendant avec lequel lorganisme aura conclu une convention dfinissant les qualifications exiges et les conditions dexercice des missions (rgles de confidentialit, disponibilit, moyens...). Cette solution parat notamment adapte pour des organismes professionnels ayant adopt des codes de conduites lis lapplication de la loi Informatique et Liberts. Le correspondant aurait dans ce cas galement pour mission de veiller lapplication du code de conduite. 2 Plusieurs responsables de traitement peuvent dcider de mutualiser la fonction de correspondant. Ils doivent appartenir un mme secteur dactivit. Cette solution vise principalement les tablissements publics de coopration intercommunale (EPCI), comme les communauts de commune, dagglomrations etc., mais elle peut aussi concerner par exemple des regroupements dassociations au sein de fdrations.
1

Lorsque le correspondant ne dispose pas de lensemble des qualifications la date de sa dsignation, il doit les acqurir. Il appartient au responsable de traitement, en accord avec le correspondant, de dfinir les formations ncessaires. Lorsque le correspondant est une personne morale, les conditions de qualification sont remplir de faon complmentaire par le prpos exerant les fonctions de correspondant et la structure ou lorganisme lemployant. Ainsi, lorsque le prpos a un profil de juriste, mais que le correspondant dispose en son sein de personnes qualifies sur le plan technique et que ces derniers sont chargs dpauler le prpos dans lexercice des fonctions de correspondant, il est considr que les conditions de qualification sont remplies.

3. Une personne indpendante

Le correspondant doit exercer ses missions de manire indpendante. Il doit en consquence disposer dune autonomie daction reconnue par tous. Le correspondant est directement rattach au responsable de traitement Directement rattach au responsable de traitement, il pourra ainsi lui apporter les conseils, recommandations et alertes ncessaires lors de la mise en uvre de traitements ou dans linstruction des plaintes et requtes adresses par les personnes concernes. Le correspondant a un rle reconnu Le correspondant ne reoit aucune instruction pour lexercice de sa mission. Cette disposition ne signifie pas quil agit seul et sans concertation. Au contraire, il peut, et doit dans certains cas, recueillir ou susciter lavis dautres personnes ou services concerns par lexercice de ses missions. Toutefois, il arrte seul les dcisions se rapportant lexercice de ses fonctions (avis, recommandations, audits, alertes...). Le correspondant est labri des conflits dintrt Labsence de conflit dintrt avec dautres fonctions exerces paralllement est de nature apporter les garanties de lindpendance du correspondant. Ainsi, le responsable de traitement ne peut tre dsign correspondant. Dautres fonctions pourraient savrer incompatibles. Ainsi en est-il des fonctions impliquant une dlgation de fait ou de droit des pouvoirs propres au responsable des traitements, comme celui de dcider de la finalit du traitement, de dfinir les objectifs poursuivis ainsi que les moyens dy mettre fin. Le correspondant est protg des sanctions de lemployeur Le correspondant ne peut faire lobjet de sanctions de lemployeur du fait de lexercice de ses missions, sauf en cas de manquements graves dment constats et qui lui soient directement imputables. Afin dassurer leffectivit de cette protection, la CNIL devra tre avertie de toute modification affectant sa fonction. Il ne pourra notamment y tre mis fin sans que la CNIL en connaisse les raisons.

IV. Selon quelles modalits le correspondant doit-il tre dsign ?

1. L information des reprsentants du personnel
Le responsable des traitements doit informer les instances reprsentatives du personnel de sa dcision de nommer un correspondant et de la personne dsigne (cf. modle en annexe). Cette information doit tre effectue par lettre recommande avec avis de rception. Elle prcde la notification la CNIL.

2. La notification la CNIL
La CNIL doit tre informe de la dsignation par lettre recommande avec demande davis de rception. Cette notification seffectue laide dun formulaire spcifique. Ce formulaire est galement disponible sur le site de la CNIL www.cnil.fr . Il est galement possible deffectuer cette notification par remise au secrtariat de la Commission contre reu. Il est prvu que cette notification puisse se faire par voie lectronique avec accus de rception. Cette modalit devrait prochainement tre mise en uvre.

3. La prise deffet de la dsignation

La dsignation dun correspondant la protection des donnes prend effet un mois aprs la date de rception de la notification par la CNIL.

4. Les modifications relatives la dsignation

Toute modification substantielle affectant les informations mentionnes dans la dsignation prcdemment notifie est porte la connaissance de la CNIL par lettre recommande avec demande davis de rception.

5. Linformation de la CNIL en cas de remplacement du correspondant

Le responsable de traitement doit informer la CNIL du remplacement du correspondant par lettre recommande avec avis de rception. Les circonstances et les motifs qui justifient le remplacement (dmission du correspondant, demande de remplacement manant du correspondant, terme contractuel pour les correspondants externes...) doivent tre indiqus dans le courrier. Le responsable de traitement doit justifier avoir inform le correspondant de sa dcision. Le remplacement ne peut devenir effectif que huit jours aprs la date de rception du courrier dinformation par la CNIL.

10

V. Quels sont les moyens de contrle de la CNIL ?

La dsignation dun correspondant na pas pour effet de priver la CNIL de ses pouvoirs propres de contrle qui lui sont reconnus par la loi : investigations sur place, mises en demeure, sanctions. La loi organise en outre un pouvoir spcifique de rgulation du dispositif du correspondant par la CNIL :

1. Linjonction de procder aux formalits pralables

Lorsque le responsable de traitement ne respecte pas les obligations mises sa charge par la loi, la CNIL peut lenjoindre de procder aux formalits pour les traitements dispenss. Cette mesure, qui suspend le bnficie de la dispense, pourra viser tout ou partie des traitements prcdemment dispenss du fait de sa dsignation. Elle ne met pas fin pour autant aux fonctions du correspondant, qui reste saisi de ses autres missions.

2. La dcharge du correspondant la demande de la CNIL

Lorsquun manquement grave aux devoirs de ses missions est directement imputable au correspondant, la CNIL, aprs avoir recueilli ses observations, peut demander au responsable des traitements de le dcharger de ses fonctions. Cette dcharge implique le remplacement du correspondant. A dfaut, le responsable de traitement devra dclarer lensemble des traitements exonrs.

3. Lavis de la CNIL en cas de demande de dcharge du correspondant prsente par le responsable des traitements
Lorsquil est mis un terme aux missions du correspondant en raison de manquements lexcution de sa mission, le responsable des traitements doit saisir la CNIL pour avis. Le correspondant doit en tre inform en mme temps, afin de pouvoir prsenter ses observations. Les manquements invoqus doivent tre directement imputables au correspondant et relever directement de lexercice de ses missions telles que dfinies dans la dsignation notifie la CNIL. La CNIL fait alors connatre son avis dans le dlai dun mois, renouvelable une fois. Ce nest quune fois le correspondant mis en mesure dexposer son point de vue et lexpiration du dlai que la dcision de dcharger le correspondant peut tre prise par le responsable des traitements. Dans tous les cas, pour continuer bnficier de la dispense de dclaration, le responsable de traitement doit notifier la CNIL les coordonnes et fonctions du nouveau correspondant. A dfaut, le responsable de traitement devra dclarer lensemble des traitements exonrs.

11

VI. Annexes
1. Textes de rfrence
Loi du 6 janvier 1978 modifie le 6 aot 2004 (extraits). Dcret du 20 octobre 2005 (extraits).

Modles de documents
Exemple dinformation des reprsentants du personnel sur la dsignation dun correspondant. Exemple de tenue de la liste des traitements.

12

1. Textes de rfrence
- Loi du 6 janvier 19781 modifie le 6 aot 20042 (extraits) Article 22 I. - A lexception de ceux qui relvent des dispositions prvues aux articles 25, 26 et 273 ou qui sont viss au deuxime alina de larticle 364 , les traitements automatiss de donnes caractre personnel font lobjet dune dclaration auprs de la Commission nationale de linformatique et des liberts. II. - Toutefois, ne sont soumis aucune des formalits pralables prvues au prsent chapitre : III. - Les traitements pour lesquels le responsable a dsign un correspondant la protection des donnes caractre personnel charg dassurer, dune manire indpendante, le respect des obligations prvues dans la prsente loi sont dispenss des formalits prvues aux articles 23 et 245 , sauf lorsquun transfert de donnes caractre personnel destination dun Etat non membre de la Communaut europenne est envisag. La dsignation du correspondant est notifie la Commission nationale de linformatique et des liberts. Elle est porte la connaissance des instances reprsentatives du personnel. Le correspondant est une personne bnficiant des qualifications requises pour exercer ses missions. Il tient une liste des traitements effectus immdiatement accessible toute personne en faisant la demande et ne peut faire lobjet daucune sanction de la part de lemployeur du fait de laccomplissement de ses missions. Il peut saisir la Commission nationale de linformatique et des liberts des difficults quil rencontre dans lexercice de ses missions. En cas de non-respect des dispositions de la loi, le responsable du traitement est enjoint par la Commission nationale de linformatique et des liberts de procder aux formalits prvues aux articles 23 et 24. En cas de manquement constat ses devoirs, le correspondant est dcharg de ses fonctions sur demande, ou aprs consultation, de la Commission nationale de linformatique et des liberts.

1 2

Loi n 78-17 du 6 janvier 1978 relative l'informatique, aux fichiers et aux liberts. Loi n 2004-801 du 06 aot 2004 relative la protection des personnes physiques l'gard des traitements de donnes caractre personnel et modifiant la loi n 78-17 du 6 janvier 1978 relative l'informatique, aux fichiers et aux liberts Les articles 25, 26, 27 concernent les rgimes dautorisation pralable et de demande davis. Larticle 36 se rapporte au rgime dautorisation spcifique lorsque les donnes personnelles sont conserves au-del de la dure prvue pour une autre finalit que celle pour laquelle elles ont t collectes. Les articles 23 et 24 concernent la dclaration ordinaire, les normes simplifies et les dispenses de dclaration.

3 4

13

- Dcret du 20 octobre 20051 (extraits) Article 42 La dsignation d'un correspondant la protection des donnes caractre personnel par le responsable de traitements relevant des formalits prvues aux articles 22 24 de la loi du 6 janvier 1978 susvise est notifie la Commission nationale de l'informatique et des liberts par lettre recommande avec demande d'avis de rception ou par remise au secrtariat de la commission contre reu, ou par voie lectronique avec accus de rception qui peut tre adress par la mme voie. Article 43 La notification prvue l'article 42 du prsent dcret mentionne : 1 Les nom, prnom, profession et coordonnes professionnelles du responsable des traitements, le cas chant, ceux de son reprsentant, ainsi que ceux du correspondant la protection des donnes caractre personnel. Pour les personnes morales, la notification mentionne leur forme, leur dnomination, leur sige social ainsi que l'organe qui les reprsente lgalement ; 2 Lorsque le correspondant la protection des donnes caractre personnel est une personne morale, les mmes renseignements concernant le prpos que la personne morale a dsign pour exercer les missions de correspondant ; 3 Si la dsignation est faite seulement pour certains traitements ou catgories de traitements, l'numration de ceux-ci ; 4 La nature des liens juridiques entre le correspondant et la personne, l'autorit publique, le service ou l'organisme auprs duquel il est appel exercer ses fonctions ; 5 Tout lment relatif aux qualifications ou rfrences professionnelles du correspondant et, le cas chant, de son prpos en rapport avec cette fonction ; 6 Les mesures prises par le responsable des traitements en vue de l'accomplissement par le correspondant de ses missions en matire de protection des donnes. L'accord crit de la personne dsigne en qualit de correspondant est annex la notification. La dsignation d'un correspondant la protection des donnes caractre personnel prend effet un mois aprs la date de rception de la notification par la Commission nationale de l'informatique et des liberts. Toute modification substantielle affectant les informations mentionnes aux 1 6 est porte la connaissance de la Commission nationale de l'informatique et des liberts, dans les formes dfinies l'article 42.

14

Art. 42 55 Dcret n 2005-1309 du 20 octobre 2005 pris pour l'application de la loi n 78-17 du 6 janvier 1978 relative l'informatique, aux fichiers et aux liberts, modifie par la loi n 2004-801 du 6 aot 2004 (J.O n 247 du 22 octobre 2005)

Article 44 Lorsque plus de cinquante personnes sont charges de la mise en uvre ou ont directement accs aux traitements ou catgories de traitements automatiss pour lesquels le responsable entend dsigner un correspondant la protection des donnes caractre personnel, seul peut tre dsign un correspondant exclusivement attach au service de la personne, de l'autorit publique ou de l'organisme, ou appartenant au service, qui met en uvre ces traitements. Par drogation au premier alina : a) Lorsque le responsable des traitements est une socit qui contrle ou qui est contrle au sens de l'article L. 233-3 du code de commerce, le correspondant peut tre dsign parmi les personnes au service de la socit qui contrle, ou de l'une des socits contrles par cette dernire ; b) Lorsque le responsable des traitements est membre d'un groupement d'intrt conomique au sens du titre V du livre deuxime du code de commerce, le correspondant peut tre dsign parmi les personnes au service dudit groupement ; c) Lorsque le responsable des traitements fait partie d'un organisme professionnel ou d'un organisme regroupant des responsables de traitements d'un mme secteur d'activits, il peut dsigner un correspondant mandat cette fin par cet organisme. Article 45 La dsignation d'un correspondant la protection des donnes caractre personnel est, pralablement sa notification la Commission nationale de l'informatique et des liberts, porte la connaissance de l'instance reprsentative du personnel comptente par le responsable des traitements, par lettre recommande avec demande d'avis de rception. Article 46 Le correspondant la protection des donnes caractre personnel exerce sa mission directement auprs du responsable des traitements. Le correspondant ne reoit aucune instruction pour l'exercice de sa mission. Le responsable des traitements ou son reprsentant lgal ne peut tre dsign comme correspondant. Les fonctions ou activits exerces concurremment par le correspondant ne doivent pas tre susceptibles de provoquer un conflit d'intrts avec l'exercice de sa mission. Article 47 Le responsable des traitements fournit au correspondant tous les lments lui permettant d'tablir et d'actualiser rgulirement une liste des traitements automatiss mis en uvre au sein de l'tablissement, du service ou de l'organisme au sein duquel il a t dsign et qui, dfaut de dsignation d'un correspondant, relveraient des formalits de dclaration prvues par les articles 22 24 de la loi du 6 janvier 1978 susvise.

15

Article 48 Dans les trois mois de sa dsignation, le correspondant la protection des donnes caractre personnel dresse la liste mentionne l'article 47. La liste prcise, pour chacun des traitements automatiss : 1 Les nom et adresse du responsable du traitement et, le cas chant, de son reprsentant ; 2 La ou les finalits de traitement ; 3 Le ou les services chargs de le mettre en uvre ; 4 La fonction de la personne ou le service auprs duquel s'exerce le droit d'accs et de rectification ainsi que leurs coordonnes ; 5 Une description des catgories de donnes traites, ainsi que les catgories de personnes concernes par le traitement ; 6 Les destinataires ou catgories de destinataires habilits recevoir communication des donnes ; 7 La dure de conservation des donnes traites. La liste est actualise en cas de modification substantielle des traitements en cause. Elle comporte la date et l'objet de ces mises jour au cours des trois dernires annes. Le correspondant tient la liste la disposition de toute personne qui en fait la demande. Une copie de la liste est dlivre l'intress sa demande. Le responsable des traitements peut subordonner la dlivrance de cette copie au paiement d'une somme qui ne peut excder le cot de la reproduction. Lorsque la liste ne recense pas la totalit des traitements mis en uvre par le responsable, elle mentionne que d'autres traitements relevant du mme responsable figurent sur la liste nationale mise la disposition du public en application de l'article 31 de la loi du 6 janvier 1978 susvise. Article 49 Le correspondant veille au respect des obligations prvues par la loi du 6 janvier 1978 susvise pour les traitements au titre desquels il a t dsign. A cette fin, il peut faire toute recommandation au responsable des traitements. Il est consult, pralablement leur mise en uvre, sur l'ensemble des nouveaux traitements appels figurer sur la liste prvue par l'article 47. Il reoit les demandes et les rclamations des personnes intresses relatives aux traitements figurant sur la liste prvue par l'article 47. Lorsqu'elles ne relvent pas de sa responsabilit, il les transmet au responsable des traitements et en avise les intresss. Il informe le responsable des traitements des manquements constats avant toute saisine de la Commission nationale de l'informatique et des liberts. Il tablit un bilan annuel de ses activits qu'il prsente au responsable des traitements et qu'il tient la disposition de la commission.

16

Article 50 Le responsable des traitements peut, avec l'accord du correspondant la protection des donnes caractre personnel, lui confier les missions mentionnes l'article 49 pour la totalit des traitements qui dpendent du responsable. Dans ce cas, la notification prvue l'article 43 en fait mention. Article 51 La Commission nationale de l'informatique et des liberts peut tre saisie tout moment par le correspondant la protection des donnes caractre personnel ou le responsable des traitements de toute difficult rencontre l'occasion de l'exercice des missions du correspondant. L'auteur de la saisine doit justifier qu'il en a pralablement inform, selon le cas, le correspondant ou le responsable des traitements. La Commission nationale de l'informatique et des liberts peut tout moment solliciter les observations du correspondant la protection des donnes ou celles du responsable des traitements. Article 52 Lorsque la Commission nationale de l'informatique et des liberts constate, aprs avoir recueilli ses observations, que le correspondant manque aux devoirs de sa mission, elle demande au responsable des traitements de le dcharger de ses fonctions en application du III de l'article 22 de la loi du 6 janvier 1978 susvise. Article 53 Hors le cas prvu l'article 52, lorsqu'il envisage de mettre fin aux fonctions du correspondant pour un motif tenant un manquement aux devoirs de sa mission, le responsable des traitements saisit la Commission nationale de l'informatique et des liberts pour avis par lettre recommande avec demande d'avis de rception, comportant toutes prcisions relatives aux faits dont il est fait grief. Le responsable des traitements notifie cette saisine au correspondant dans les mmes formes en l'informant qu'il peut adresser ses observations la Commission nationale de l'informatique et des liberts. La Commission nationale de l'informatique et des liberts fait connatre son avis au responsable des traitements dans un dlai d'un mois compter de la rception de sa saisine. Ce dlai peut tre renouvel une fois sur dcision motive de son prsident. Aucune dcision mettant fin aux fonctions du correspondant ne peut intervenir avant l'expiration du dlai prvu l'alina prcdent. Article 54 Lorsque le correspondant est dmissionnaire ou dcharg de ses fonctions, le responsable des traitements en informe la Commission nationale de l'informatique et des liberts dans les formes prvues l'article 42.

17

La notification de cette dcision mentionne en outre le motif de la dmission ou de la dcharge. Il y est annex, en lieu et place de l'accord prvu au huitime alina de l'article 43, le justificatif de la notification de la dcision au correspondant. Cette dcision prend effet huit jours aprs sa date de rception par la Commission nationale de l'informatique et des liberts. Hormis le cas du remplacement du correspondant, le responsable des traitements est alors tenu de procder, dans le dlai d'un mois, aux formalits prvues aux articles 23 et 24 de la loi du 6 janvier 1978 susvise pour l'ensemble des traitements qui s'en taient trouvs dispenss du fait de la dsignation laquelle il est mis fin. Article 55 Lorsque le responsable des traitements ne respecte pas ses obligations lgales relatives au correspondant, la Commission nationale de l'informatique et des liberts l'enjoint par lettre recommande avec accus de rception de procder aux formalits prvues aux articles 23 et 24 de la loi du 6 janvier 1978 susvise. Cette lettre mentionne les traitements concerns par l'injonction ainsi que le dlai dans lequel le responsable des traitements doit s'y conformer.

18

2. Modles de documents
- Exemple dinformation des reprsentants du personnel sur la dsignation dun correspondant (Lettre recommande avec accus de rception ) Objet : dsignation dun correspondant informatique et liberts Par application de larticle 22 de la loi du 6 janvier 1978 modifie en aot 2004 et relative linformatique, aux fichiers et aux liberts, je vous informe que jai dsign pour exercer les fonctions de correspondant la protection des donnes caractre personnel : Nom, prnom : . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Fonction/profession : . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Service/ organisme . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Adresse professionnelle (si diffrente de celle du responsable de traitement) : Tlphone : . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Adresse lectronique : . . . . . . . . . . . . . . . . .@ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Cette dsignation va faire lobjet dune notification auprs de la Commission Nationale de lInformatique et des Liberts (CNIL). Elle prend effet un mois aprs la date de rception de la notification la CNIL. Elle emporte dispense de laccomplissement des formalits relatives aux traitements relevant dun rgime de simple dclaration (dclarations ordinaires et simplifies prvues aux articles 23 et 24 de la loi). Ne sont donc pas concerns par la dispense les traitements relavant dun rgime dautorisation ou de demande davis (articles 25, 26, 27 et 68 72 de la loi), notamment ceux impliquant le transfert de donnes caractre personnel destination dun tat non membre de la Communaut europenne. Le correspondant tiendra une liste des traitements dispenss, consultable sur place. La liste pourra galement tre communique toute personne en faisant la demande. Cette liste ne concerne que les traitements dispenss de dclaration auprs de la CNIL du fait de sa dsignation. Les traitements soumis autorisation ou avis pralable de la CNIL continueront tre recenss sur le fichier des fichiers tenu par la CNIL et consultable sur demande auprs de la CNIL.

19

Le correspondant exercera ses missions sur (rayer les mentions inutiles) : (1) tous les traitements qui, en labsence de correspondant, devraient faire lobjet dune dclaration auprs de la CNIL (traitements relevant de articles 22 24 de la loi du 6 janvier 1978) (dsignation gnrale) (2) les traitements ou catgories de traitements (traitements relevant de articles 22 24 de la loi du 6 janvier 1978) numrs ci-aprs (dsignation partielle) : ......................................................................... ......................................................................... ......................................................................... ......................................................................... (3) Le correspondant est dsign pour tous les traitements qui, en labsence de correspondant, devraient faire lobjet dune dclaration auprs de la CNIL (traitements relevant de articles 22 24 de la loi du 6 janvier 1978) et, en plus, ses missions sont tendues aux traitements soumis autorisation ou avis de la CNIL (dsignation tendue). Pour ces traitements, il aura un rle de conseil, de recommandation et dalerte, sil constate des manquements. Pour ce faire, il devra tre consult pralablement leur mise en uvre et tre inform des projets de traitements. Par ailleurs, le correspondant recevra les rclamations et requtes des personnes concernes par les traitements (clients, usagers, personnel...) et organisera dans lorganisme les modalits de traitement. Des moyens spcifiques seront mis disposition du correspondant [ou les mesures suivantes sont adoptes] : - ......................................................................... - .........................................................................

20

- Exemple de tenue de la liste des traitements Liste des traitements dispenss de dclaration Au sein de la socit X Traitement n1 Date de mise en uvre : Finalit principale : Service charg de la mise en uvre : Fonction de la personne ou du service auprs duquel sexerce le droit daccs : Catgories de personnes concernes par le traitement : Catgories de donnes traites : GESCOM 25 janvier 2006 Gestion commerciale Direction commerciale, adresse M. ou mme le correspondant, adresse, tlphone, mail Clients, prospects. Identit, coordonnes, informations relatives aux commandes, paiements et livraisons Donnes concernes Service commercial Service comptabilit Catgories de destinataires : Cabinet de recouvrement de crances VRP Dure de conservation : Lensemble des donnes Lensemble des donnes Impays mis en recouvrement uniquement Identit et coordonnes

Pour les clients : jusqu la fin des relations commerciales Pour les prospects : 6 mois

Mise jour (date et objet): Traitement n2 Date de mise en uvre : Etc. Traitement n3 ..... ... ... ... ...

3 mars 2006 Nouveau destinataire : rseau de VRP GESTION DU PERSONNEL xxxxx EXTRANET ....

Important : dautres traitements sont mis en uvre par notre organisme. Conformment la rglementation, ils ont fait lobjet dune demande dautorisation ou d'avis auprs de la CNIL et sont recenss dans le registre public tenu par la CNIL.

www.cnil.fr

COMMISSION DE E T D E S

N AT I O N A L E

L I N F O R M AT I Q U E L I B E R T S

Agence Aristophane - Janvier 2006