Règlement européen : position du CEDPO

Le 25 janvier 2012, la Commission européenne a adopté une proposition de règlement en vue d’établir le futur cadre pour la protection de la vie privée dans l’Union européenne. Créée en septembre 2011 du rapprochement des associations de délégués à la protection des données française, allemande, espagnol et néerlandaise, la CEDPO (Confederation of European Data Protection Organisations) publie ce jour sa première note de position sur ce projet de Règlement européen appelé à modifier en France la loi « Informatique et Libertés ». La CEDPO porte un regard globalement favorable sur le projet, car il tend vers une simplification et une harmonisation des règles. De plus, il place au centre du dispositif le Délégué à la protection des données (DPO - pour Data Protection Officer - ou CIL – pour Correspondant Informatique et Libertés), que celui-ci soit interne, externe ou mutualisé.

La CEDPO salue l’obligation de désignation obligatoire du CIL, mais propose en parallèle la mise en place une campagne de communication afin de mettre en lumière son rôle et ses conséquences bénéfiques sur l’organisme qui l’emploie.

Pour renforcer l’efficience du CIL, plusieurs points concrets sont proposés :
. L’exemption de demande d’autorisation à l’autorité de contrôle nationale pour un traitement de données à caractère personnel, à partir du moment où l’entreprise a désigné un CIL. Cette mesure optimiserait l’allègement administratif annoncé par Bruxelles ;
. La mise en place une procédure de médiation auprès du CIL lorsqu’une personne concernée, dont les données personnelles font l’objet d’un traitement, a une réclamation ou souhaite se plaindre, et ceci avant assignation devant un tribunal ou avant une plainte à l’autorité de contrôle ;
. Dans le cadre de la future obligation de notification des violations aux traitements de données à caractère personnel à l’autorité de contrôle nationale, l’analyse du CIL sur l’incident et son conseil au responsable de traitement sur la pertinence de la notification à l’autorité de contrôle
. L’obligation, pour le responsable de traitement, de fournir au CIL une qualification adéquate: La CEDPO insiste sur le fait que l’employeur doit permettre à son Correspondant Informatique et Libertés de poursuivre une formation qualifiée ;
. La création d’un contexte visant à protéger l’indépendance du CIL : La création d’une période minimum de désignation de deux ans reconductible laisse la CEDPO dubitative. Pour garantir au CIL l’indépendance nécessaire à la bonne exécution de sa mission, la CEDPO propose plutôt de lui offrir des protections contre un renvoi injustifié, en s’inspirant de la loi « Informatique et Libertés » actuelle.

Cette première note de position et les propositions formulée ci-avant par la CEDPO seront transmises à la Commission européenne, en espérant que cette dernière prenne compte des remarques formulées par les professionnels en la matière.