Tant attendu le décret pour l’application de la loi n°78-17 du 6 janvier 1978 (relative à l’informatique, aux fichiers et aux libertés modifiée par la loi du 6 août 2004) a été publié au Journal officiel du 22 octobre 2005 (décret n°2005-1309 du 20 octobre 2005, NOR : JUSC0520586D). Le Titre III est entièrement consacré au correspondant aux données personnelles.

1) Son statut :

Le correspondant à la protection des données à caractère personnel peut être :

- une personne physique, ou

- une personne morale.

2) Sa désignation :

- Notification : la désignation du correspondant à la protection des données à caractère personnel est notifiée soit : par lettre recommandée avec accusé de réception, ou par remise au secrétariat de la CNIL contre reçu, ou enfin par voie électronique. L’article 43 du décret précise les renseignements devant accompagner cette notification.

- Prise d’effet de la désignation : un mois à compter de la date de réception de la notification par la CNIL.

- Externalisation : elle est réservée aux petites et moyennes entreprises puisque lorsque plus de cinquante personnes sont chargées de la mise en œuvre ou ont accès aux traitements ou catégories de traitements automatisés , seul peut être désigné un correspondant exclusivement attaché au service de la personne, de l’autorité publique ou de l’organisme, ou appartenant au service de la société qui met en œuvre ces traitements.

Exceptions :

- Si le responsable des traitements est une société qui contrôle ou qui est contrôlée, le correspondant peut être désigné parmi les personnes au service de la société qui contrôle ou de l’une des sociétés contrôlées.

- Si le responsable des traitements est membre d’un groupement d’intérêt économique, le correspondant peut être désigné parmi les personnes de ce groupement.

- Si le responsable des traitements fait partie d’un organisme professionnel ou regroupant des responsables de traitements d’un même secteur d’activité, il peut désigner un correspondant mandaté à cette fin par cet organisme.

Concernant les organismes de presse écrite ou audiovisuelle : le correspondant est désigné parmi les personnes de cet organisme.

3) Ses missions :

- Dans les trois mois de sa désignation, il dresse une liste des traitements automatisés et en délivre une copie à toute personne qui en fait le demande.

- Il veille au respect des obligations prévues par la loi du 6 janvier 1978, pour ce faire :

~ Il peut faire des recommandations au responsable des traitements.

~ Il est consulté avant la mise en œuvre de tout traitement.

~ Il reçoit les demandes et réclamations des personnes concernées par le traitement.

~ Il informe le responsable des traitements de tout manquement avant de saisir la CNIL.

~ Il réalise un bilan annuel de ses activités qu’il présente au responsable des traitements et tient à la disposition de la CNIL.

Le responsable des traitements a l’obligation de fournir au correspondant tous les éléments lui permettant d’établir et d’actualiser régulièrement une liste des traitements automatisés mis en œuvre au sein de l’établissement, du service ou de l’organisme au sein duquel il a été désigné.

Le correspondant a la faculté de saisir la CNIL concernant toute difficulté rencontrée dans l’exercice de ses missions.

4) Modalités d’exercice de ses missions :

- Le correspondant exerce sa mission directement auprès du responsable du traitement et en toute indépendance (il ne reçoit aucune instruction).

- Les activités qu’il exerce en parallèle ne doivent pas entrer en conflit avec l’exercice de sa mission.

5) Sa révocation :

- Les causes : Le correspondant peut être révoqué s’il a manqué aux devoirs de ses missions.

- La procédure :

~ Si la procédure est à l’initiative de la CNIL : lorsque la CNIL constate un manquement, le correspondant est d’abord entendu par cette dernière. Ensuite, la CNIL demande au responsable du traitement de la décharger de ses fonctions.

~ Si la procédure est à l’initiative du responsable du traitement : ce dernier saisit la CNIL pour avis par lettre recommandée avec accusé de réception en précisant les faits reprochés au correspondant. Le saisine de la CNIL est notifiée par le responsable du traitement au correspondant par lettre recommandée avec accusé de réception. Enfin, la CNIL fait connaître son avis au responsable des traitements dans un délai d’un mois à compter de la réception de sa saisine.

Remarques :

- Le profil professionnel du correspondant est libre qu’il soit correspondant externalisé ou interne à l’entreprise, puisque le décret n’impose aucun niveau d’étude, ni aucune formation spécifique pour devenir correspondant. Néanmoins, la loi du 6 janvier 1978 modifiée par la loi du 6 août 2004 précise que le correspondant doit disposer « des qualifications requises pour exercer ses missions ». De toute évidence, le correspondant à la protection des données à caractère personnel sera fort d’un savant alliage de compétences juridiques et informatiques. La seule restriction apportée par le texte de l’article 46 est l’incompatibilité avec des fonctions ou activités susceptible d’entrer en conflit avec les missions de correspondant. Aucune précision n’étant apportée sur le type d’activité concerné par l’incompatibilité, il serait intéressant que la CNIL vienne éclairer ce point car le débat reste ouvert pour certaines catégories de fonctions.

- Par ailleurs, le décret ne fait aucune référence à un statut spécifique du correspondant salarié dans l’entreprise : il n’est donc pas salarié protégé.

Rappel:

- Au sens de l’article 2 de la loi du 6 janvier 1978 modifiée par la loi du 6 août 2004, « Constitue un traitement de données à caractère personnel toute opération ou tout ensemble d’opérations portant sur de telles données, quelque soit le procédé utilisé, et notamment la collecte, l’enregistrement, l’organisation, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, ainsi que le verrouillage, l’effacement ou la destruction ».

- Au sens de l’article 3 I de la loi du 6 janvier 1978 modifiée par la loi du 6 août 2004, « Le responsable d’un traitement de données à caractère personnel est, sauf désignation expresse par les dispositions législatives ou réglementaires relatives à ce traitement, la personne, l’autorité publique, le service ou l’organisme qui détermine ses finalités et ses moyens ».