le correspondant informatique et libertés : un nouvel outil de

Le correspondant informatique et libertés : un nouvel outil de régulation pour la protection des données à caractère personnel

1

Université de Lille 2 – Droit et Santé

Faculté des sciences juridiques, politiques et sociales

Le correspondant Informatique et Libertés :

un nouvel outil de régulation pour la protection

des données à caractère personnel

Mémoire de Master professionnel Mention Droit du cyberespace présenté par

Cédric CREPIN

Sous la direction de Monsieur le Professeur LAVENUE

Année universitaire 2004-2005

Ce document provient du site www.DROIT-TIC.com - Auteur : C. CREPIN


2

« On commence par dire : cela est impossible

pour se dispenser de le faire, et cela devient

impossible, en effet, parce qu’on ne le tente pas »

Charles Fourier, Théorie des 4 mouvements, 1808

« Vous ne sauriez croire avec quelle facilité

l’impossible se fait dès qu’il est nécessaire »

Anatole France (1844 - 1924)



3

Remerciements

Je tiens à remercier le M. Professeur Jean-Jacques LAVENUE de m’avoir permis de choisir

ce sujet de façon précoce, et pour l’apport de son expérience dans la conduite de ce mémoire.

A travers lui, j’exprime ma gratitude à l’ensemble des intervenants au sein du Master droit du

Cyberespace qui ont su me transmettre une partie de leur savoir, mais aussi de leur passion.

Mes remerciements sont aussi destinés à tous les agents de la Commission Nationale de

l’Informatique et des Libertés, en particulier à Mme Nathalie METALLINOS, sans qui ce

mémoire n’aurait pu être rédigé. Leur chaleureux accueil, leur compétence, leur sympathie et

leur grande patience ont été des atouts majeurs dans la conduite de la rédaction.

Je remercie en outre M. Eude CHIGE de m’avoir fait l’honneur de m’accueillir au sein de la

prestigieuse bibliothèque de la Cour de cassation, ainsi que M. le Professeur Jean Emmanuel

RAY pour son entrain et ses précieuses indications.

Enfin, toute ma gratitude va à ma famille pour son soutien durant ces longues années

d’études, ainsi qu’à tous les étudiants de la promotion 2004 du master droit du cyberespace

pour ce qui fut une très bonne année d’études (mais pas seulement). J’adresse une attention

particulière à Jennifer pour son écoute toujours attentive, et son éternelle bonne humeur,

indispensable dans les moments difficiles.



4

Sommaire

�� .......................................................................................................p. 10

��

�� ......................................................................p. 15

� � � � �� .........p.16��

� � � ��

� �� .................................................................................................p. 32

��

��....................................................................................................................p. 49

Chapitre I : Le CIL, un choix pour l’autorégulation ......................p. 50

� � � �� .....................................................................p. 50�

� � � � �� ........................................................p. 56�

� � � � �� ................................p. 74

Chapitre II : La concurrence des autres mode de régulation .....p. 84

� � � �� ...................p. 84�

� � � � �� .............................................................p. 89�



5

��

�� .......................................................................p. 91

Chapitre I : Le statut du CIL ................................................................p. 92

� � � �� ....................................................................p. 92�

� � � � �� ................................................................p. 102�

Chapitre II : Le régime de la responsabilité du CIL.......................p. 111

� � � �� ..................................................................p. 111�

� � � � �� ..................................................p. 119�

��....................................................................................................................p. 145



6

Table des abréviations

AFCDP Association française des correspondants à la protection des

données à caractère personnel

aff. affaire

al. alinéa

art. article

art. L. article, partie législative

Ass. plén. arrêt de l’assemblée plénière de la Cour de cassation

Banque Revue Banque et droit

BDSG Bundesdatenschutzgesetz

Bull. Bulletin des arrêts de la Cour de cassation

Bull. civ. Bulletin des arrêts de la Cour de cassation, chambres civiles

Bull. crim. Bulletin des arrêts de la Cour de cassation, chambres criminelles

Cass. civ. arrêt d’une chambre civile de la Cour de cassation

Cass. crim. arrêt de la chambre criminelle de la Cour de cassation

Cass. soc. arrêt de la chambre sociale de la Cour de cassation

C. c. e. Juris-Classeur périodique, édition Communication, commerce

électronique

CCI Chambre de Commerce et d’Industrie



7

CFDT Confédération Française Démocratique du Travail

CHSCT comité d’hygiène, de sécurité et des conditions de travail

CIL correspondant Informatique et Libertés

CJCE Cour de Justice des Communautés Européennes

CLIL Commission Locale Informatique et Libertés

CMF Conseil des Marchés Financiers

CNIE Carte Nationale d’Identité Electronique

CNIL Commission Nationale de l’Informatique et des Libertés

comm. commentaire

cons. considérant

Cons. const. décision du Conseil constitutionnel

Corp. Corporation

CPO Chief Privacy Officer

CRBF Comité de la Réglementation Bancaire et Financière

CSA Conseil Supérieur de l’Audiovisuel

D. Recueil Dalloz-Sirey

DART Dynamic Advertising reporting and Targeting

dec. décision

DGCCRF Direction générale de la concurrence, de la consommation et de

la répression des fraudes

Doc. fr. la Documentation française



8

Doctr. doctrine

DRH Direction ou directeur des ressources humaines

Dr. Soc. Revue de Droit Social

DSB Datenschutzbeauftragter

EPIC Electronic Privacy Information Center

Ex. exemple

Expertises Expertises des systèmes d’information

FEDMA Fédération européenne de marketing direct

FG functionaris gegevenbesherming

GDD Gesellschaft für Datenschutz und Datensicherung

GIE Groupement d’intérêt économique

GRC Gestion de la relation client (ou en anglais CRM pour Customer

Relationship Management)

Ibid. ibidem, précité à la note précédente

INES Identité nationale électronique sécurisée

IP Internet Protocol

JCP Juris-Classeur périodique, édition générale

JOCE Journal officiel des Communautés européennes

JORF Journal officiel de la République française

JOUE Journal officiel de l’Union Européenne

MEDEF Mouvement des entreprises de France



9

n° numéro

NIR Numéro d’Inscription au Répertoire

obs. observation

op. cit. opere citatum, précédemment cité

p. p.

P.A. Petites Affiches

PC personal computer

PDR personal data representative

Rec. recueil de la jurisprudence de la Cour de justice des

Communautés européennes

RJDA revue de jurisprudence du droit des affaires

s. et suivants

SAFARI Système Automatisé pour les Fichiers Administratifs et le

Répertoire des Individus

SESAM-VITALE Système Electronique de Saisie de l’Assurance Maladie

SNCF Société Nationale des Chemins de Fer

STIC Système de Traitement des Infractions Constatées

TGI tribunal de grande instance

TIC technologies de l’information et de la communication

UFMD Union Française de Marketing Direct



10

Introduction

Encore inconnue il y a une dizaine d’années, l’économie numérique est en marche. La

société de l’information est appelée de tous vœux à supplanter les schémas traditionnels de

commerce, de communications, d’échanges, qu’ils soient horizontaux c’est à dire entre

individus, entre commerçants, entre institutions, mais aussi verticaux avec par exemple le

développement de l’administration électronique1. On peut parler d’une révolution numérique

tout comme il y a eu au XIXème siècle une révolution industrielle. S’il semble que l’internet,

réseau des réseaux, supplante le reste, il n’est pourtant que l’un des aspects de cette évolution

sociale. En effet, l’informatique dans sa globalité entre dans ce processus d’accélération de

l’échange des données, facilité par une standardisation des fichiers, leur interopérabilité, mais

surtout l’accroissement de la dimension commerciale des informations.

Lors de la révolution industrielle, c’était le bien qui était le fondement même de la

marche en avant, avec la révolution numérique, c’est l’information. Un progrès n’est pourtant

jamais sans conséquence néfaste : l’industrialisation a apporté la pollution de

l’environnement, l’électronique fait craindre une destruction de la vie privée. En France, la

prise de conscience a eu lieu au milieu des années 70 avec la révélation du projet SAFARI2 du

Gouvernement, ce qui a fait naître le spectre du « Big Brother », cauchemar orwellien3. La

crainte du totalitarisme étatique ne doit pas occulter un autre risque, et qui réside dans l’attrait

marchand que peuvent revêtir les données des individus, qu’ils soient des clients, des

partenaires, des salariés, des abonnés. Profiling, webmarketing, GRC4 et bien d’autres sont

1 Pour un aperçu des projets en cours dans ce domaine, consulter le site de l’Agence pour le Développement de l’Administration Electronique (ADAE) www.adae.gouv.fr 2 Boucher P., Safari ou la chasse aux Français, le Monde, 21 mars 1974. Voir pour étude sur cette question Stezycki J., Le projet SAFARI, 2005, disponible sur le site : www.membres.lycos.fr/mastercyberespace/cours/Expos/admin/stezycki_safari.pdf 3 Orwell G., 1984, Gallimard, Folio n° 822, 1949 4 GRC : gestion de la relation client, connue aussi sous le terme anglophone de Customer Relationship Management. Pour plus de renseignements sur ce procédé, voir l’art. de l’encyclopédie informatique libre disponible à cette adresse : www.commentcamarche.net/entreprise/crm.php3 ainsi que les art. de Dupin L., Les dirigeants d’entreprise redécouvrent la relation client, www.zdnet.fr, 3 et 11 août 2005



11

aujourd’hui implantés dans les stratégies et les projets de développement, chez les acteurs

économiques bien sûr, mais aussi dans le service public. L’administré tend à devenir un

client5 plus qu’un individu, une personnalité qu’il faut pouvoir satisfaire6. C’est aujourd’hui

cette donne qu’il convient de prendre en considération : l’économie numérique, qu’elle soit

privée ou publique, repose sur le postulat de fidélisation et de personnalisation : l’individu

souhaite être reconnu et pouvoir disposer de services propres à sa personnalité. On peut ainsi

parler d’une économie de masse personnalisée. Il y a donc un aspect clientèle qui entre en

compte et qui est primordial : l’individu appelé à devenir client donne des informations en

l’échange d’une « reconnaissance » qui passe par le biais d’une personnalisation de l’offre.

Ceci est vu par le prisme d’une rationalité économique mais le même schéma peut s’appliquer

au service public qui par principe n’est pas mercantile. Certains craignent7 que par la

recherche d’une personnalisation des services offerts à « l’administré – client »8, une

simplification des démarches - notamment par les projets de Carte Nationale d’Identité

Electronique (CNIE)9 ou de Carte SESAM - VITALE 210 qui pourront par exemple permettre

une identification grâce à la signature électronique - se cachent en réalité la constitution de

base de données permettant de suivre au plus près les individus.

L’information et le client sont donc des données clés de l’ère numérique. Le danger est

toutefois en filigrane : c’est celui d’une réduction du champ de la vie privée et la remise en

cause du droit à l’anonymat et au droit d’être tranquille, tel qu’on peut le tirer de l’article 2 de

5 Voir le communiqué du 24 avril 2002 d’Accenture pour qui « une des clés du succès de l’Administration en ligne repose sur la gestion de la relation client (GRC), qui place les usagers au coeur du processus, considère les citoyens et les entreprises comme des clients à part entière en leur offrant des services adaptés à leurs besoins plutôt qu’imposés par les rigidités des structures des administrations », www.accenture.com/fr 6 Voir le portail mon.service-public.fr dont la mission est d’être « structuré en fonction des sujets de préoccupation des usagers et non à partir de l’organisation administrative » www.service-public.fr/info.missions.html 7 Voir par exemple la pétition lancée par la Ligue des Droits de l’Homme contre le projet CNIE pour qui il y a « une volonté un outil de contrôle policier sous couvert de prétendus bienfaits pour ses détenteurs » www.ldh-france.org/media/actualites/petit_ines.pdf 8 Voir Marchand J., La carte d’identité électronique et l’égalité de traitement de l’usager, 2005, http://droit.univ-lille2.fr/eadministration/colloque/IMG/doc/expo2.doc 9 Voir pour une présentation du projet www.foruminternet.org/telechargement/forum/pres-prog-ines-20050301.pdf 10 Le dispositif est présenté sur le site : www.sesam-vitale.fr



12

la Déclaration des Droits de l’Homme du 26 août 1789. Aux origines de l’internet basé sur un

échange d’informations pour le bien de tous, et notamment celui des communautés

scientifique et universitaire, s’est substitué un attrait économique de l’information. C’est pour

combattre ces effets néfastes que les Etats ont tour à tour adopté dans leur législation des

dispositions protégeant les données personnelles ou nominatives. En Europe, l’Allemagne et

la France ont fait preuve de précocité au milieu des années 70. La loi du 6 janvier 197811 en

France est la pierre angulaire de cette recherche de protection des individus contre les

traitements de leurs données personnelles, et la création de la CNIL, autorité administrative

indépendante12, marque le bras exécutif de ce texte. Son rôle a été renforcé par la loi du 6 août

200413 qui lui donne davantage de moyens d’action et de coercition, notamment par ses

nouveaux pouvoirs de sanction et d’investigation.

Au-delà de la coercition et de la sanction, la volonté du législateur est de pouvoir

assurer une protection plus efficace des données à caractère personnel. L’élargissement du

champ d’application de la loi14 se conjugue avec une complexification et une accélération des

moyens informatiques, et donc des techniques de traitements. Conscience ayant été prise que

la centralisation a ses limites, une réflexion a été menée afin d’assurer une application

conforme de la loi au plus près des acteurs. La traduction de cette conduite d’idées se trouve

en l’art. 22 III de la loi du 6 janvier 1978. Elle assure au responsable de traitement une

dispense de déclarations dans l’hypothèse où il aurait « désigné un correspondant à la

protection des données à caractère personnel chargé d’assurer, d’une manière indépendante,

le respect des obligations prévues dans la présente loi ».

A l’évidence, l’instauration d’un régime dérogatoire bouleverse les mentalités. Alors

que la CNIL assure depuis 25 ans un contrôle a priori des traitements mis en œuvre par les

11 Loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, JORF du 7 janvier 1978 p. 227, consultable sur www.legifrance.gouv.fr/imagesJO/1978/002/JO197800227.pdf 12 Le site de la CNIL est disponible à l’adresse www.cnil.fr 13 Loi n° 2004-801 du 6 août 2004 relative à la protection des personnes physiques à l’égard des traitements de données à caractère personnel, JORF n° 182 du 7 août 2004 p. 14063, consultable sur www.legifrance.gouv.fr:imagesJOE/2004/0807/joe_20040807_0182_0002.pdf 14 Initialement, la loi du 6 janvier 1978 s’appliquait aux données personnelles. La réforme élargit cette application aux données à caractère personnel, ce qui couvre un champ bien plus vaste de traitements



13

organismes publics, est ici créé un personnage permettant d’assurer en interne une mise en

conformité des traitements, sans avoir à passer par l’autorité de contrôle. Cette novation en

matière de droit n’est pourtant qu’issue de la directive 95/46 CE du 25 octobre 199515. La

mise en place effective est soumise à la publication d’un décret d’application16. D’autres pays

connaissent cependant déjà ce système : on peut citer l’Allemagne, pionnière en la matière,

les Pays Bas, la Suède ou encore le Luxembourg. Outre Atlantique, un autre rôle est à

envisager : celui de CPO pour Chief Privacy Officer. Ces fonctions sont nouvelles et méritent

d’être définies mais aussi délimitées dans leur champ d’action et dans leur pouvoir. L’enjeu

est d’importance car la gestion de fichiers clients ou de fichiers faisant apparaître des données

à caractère personnel est l’objet de convoitise et de concurrence entre les divers acteurs, car

c’est aujourd’hui une source de profits. Par exemple, lors de la fusion entre Vivendi et

Universal, la base de données des clients de Canal + représentait 4,5 millions de nouveaux

clients potentiels pour les services de téléphonie et de musique en ligne du groupe ainsi créé17.

L’information des individus rapporte donc de l’argent aux entreprises, des

renseignements précis à l’Etat, aux assurances, aux banquiers etc. La marchandisation des

données personnelles est donc un enjeu économique et juridique incontestable que la création

d’une fonction telle que celle de correspondant aux données à caractère personnel vise à

encadrer. L’individu ne pouvant contrôler au plus près le devenir de ses données, du fait de la

multiplicité des données transmises, au jour le jour mais aussi de l’ignorance parfois de la

communication d’informations, c’est donc à ce correspondant qu’incombe la tâche de réguler

le traitement de ces données et ainsi d’empêcher toute dérive. Il s’agit donc de défendre la vie

privée des individus et ne pas laisser des droits fondamentaux être substitués par un droit des

contrats. La notion de correspondant a donc une connotation éthique puisque pour assurer sa

tâche, il se doit d’être indépendant, ce que souligne d’ailleurs la loi du 6 août 2004.

15 Directive n° 95/46 CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, JOCE n° L 281, p. 31, consultable à l’adresse : http://europa.eu.int/eur-lex/lex/LexUriServ/LexUriServ.do?uri=CELEX:31995L0046:FR:HTML 16 Lors de la rédaction de ce mémoire le décret n’est pas publié. Il sera néanmoins fait ici référence au projet de décret 17 Voir en ce sens Baudry C., Expertise – La fusion Vivendi-Seagram-Canal +, www.humanite.fr, 9 décembre 2001



14

Cette nouvelle fonction, que l’on pourra trouver au sein d’organismes privé ou

publics, est donc au coeur de contraintes a priori antagonistes : récolter des informations, les

utiliser et en tirer un profit sans pour autant violer le droit à la vie privée et le droit à

l’anonymat. Le correspondant est aussi au croisement des divers acteurs impliqués en la

matière : d’une part, le responsable du traitement qui l’emploie, d’autre part l’autorité de

contrôle, la CNIL pour se limiter au cas français, qui peut toujours intervenir, et enfin

l’individu, le client, l’administré dont les données sont l’objet d’un traitement dont il veut

connaître la finalité et la respectabilité.

Quelle est donc la place, la mission, du correspondant qui semble devoir répondre à

des directives divergentes ? Quelle pourra être son efficacité dans le domaine de la protection

des données ? Comment peut-on analyser cette nouvelle fonction dans le paysage juridique ?

La notion ne cesse de soulever des interrogations et suscite un intérêt grandissant. Révolution

juridique ou idéal impossible, l’étude du CIL nécessite avant tout d’être replacé dans un

contexte, le pourquoi de la création de cette fonction (Titre préliminaire). A la demande de

besoins se veut une adjonction de moyens. Mais de quels moyens dispose le CIL ? Est-il celui

par qui tout se fera, cet « œil de Moscou » contrôlant et régissant tout, ou est-il un

« méthodologue » solutionnant des problèmes experts ? Il faut donc comprendre quelles sont

les missions du CIL (Titre I). Ce faisant, la fonction doit trouver une place dans le paysage

juridique : l’originalité ne permet pas tout. La question du statut du CIL doit alors être

appréhendée (Titre II).



15

��

��

Véritable novation juridique, le correspondant à la protection des données à caractère

personnel, encore nommé correspondant Informatique et Libertés (CIL)18, est un véritable

choix législatif. Saisissant une option laissée par le droit communautaire, le législateur

français et la CNIL ont voulu faire de cette fonction un nouveau bastion dans la lutte menée

pour la protection des données à caractère personnel. Pourquoi parler de lutte ? Véritable

manne financière, la donnée concernant un individu fait l’objet d’enjeux commerciaux et

politiques importants. Si la loi veille à assurer des niveaux de protection et de sécurité les plus

élevés possibles, afin de préserver le droit à la vie privée, un constat négatif doit être établi : la

marchandisation des données, si elle n’est pas répréhensible en soi, conduit néanmoins à des

abus que le développement technologique permet d’accélérer (Section I). Pour autant, il faut

constater que les moyens législatifs mis en œuvre jusqu’alors n’ont pas parus suffisants pour

répondre aux ambitions d’un respect absolu des libertés individuelles (Section II).

18 Cette terminologie est issue de la vision officielle de la CNIL consultable à l’adresse suivante : http://www.cnil.fr/index.php?id=1707&print=http%3A%2F%2Fmembers.lycos.co.uk%2Fb0xz14%2Fdb%2Fcat.txt%3F%23



16

��

La donnée nominative fait aujourd’hui l’objet d’une nouvelle économie tels que l’e-

commerce et l’économie de l’information, entre autres. A cela, rien de surprenant puisque la

donnée peut faire l’objet d’une marchandisation. C’est le contexte dans lequel cette dernière

est effectuée qui doit ici être mis en avant : l’information d’un client apporte de l’argent aux

entreprises19, mais comment ces informations leur parviennent ? Quelles sont les stratégies

mises en places pour obtenir « l’or numérique » qu’est la donnée ?

Il faut donc envisager les menaces qui pèsent sur la vie privée (§ 1) illustrées de

quelques affaires retentissantes (§ 2) pour comprendre que le choix législatif d’inviter à la

désignation de correspondants s’inscrit dans un contexte de relatif échec face à ces menaces.

§ 1 - LA DYNAMIQUE DES MENACES EXISTANTES

Dresser un panorama exhaustif des menaces existantes et potentielles demanderait un

exposé à part entière. On se contentera ici de dresser un aperçu de ces menaces. Pour ce faire,

il conviendra de différencier celles présentes lors de la collecte (A) de celles liées à la

destination et à l’utilisation faite des données (B).

� � ��

L’entreprise, l’administration ou le particulier disposent de deux possibilités pour

obtenir une information sur leur client, leur partenaire ou un quelconque individu dont on

19 Voir Clément M., Exploitation des bases de données, Banque n° 595, septembre 1998, p. 61 qui parlant des traitements de données à caractère personnel rappelle que « l’objectif était que leur utilisation et leur analyse permettent de répondre à la problématique fondamentale : comment vendre mieux, au bon client au bon moment tout en minimisant les risques bancaires et en augmentant la valeur globale du client ? »



17

voudrait vider le compte en banque par exemple20 : ils peuvent solliciter et obtenir de manière

consentie ces informations (1) ou faire preuve davantage de malice en les extorquant (2).

! ��

Lorsque l’on commande une pizza en qualité de client habitué, le livreur n’a plus à

demander nos coordonnées : grâce à la reconnaissance automatique du numéro de téléphone

et la gestion d’une base de données clientèle, nom, adresse et préférences sont conservées. Cet

état de fait est applicable à l’internet : les sites tendent à personnaliser au maximum leur

interface afin de s’adapter à leur visiteur. Il y a une tendance actuelle à bénéficier d’une offre

et d’un service personnalisés, reflétant la personnalité, la qualité même de l’usager. Cette

personnalisation fait l’objet du marketing one to one, initié par Don Peppers et Martha

Rogers21, dont l’objet est une personnalisation du service offert par la collecte d’informations

auprès du client lui-même22. On peut ainsi dire que si collecte il y a, c’est que le client l’a

voulu. Ce constat est réducteur. L’intérêt d’une personnalisation est avant tout une question

pratique : les cookies, fichiers inscrits sur le disque dur par un serveur internet, permettent

par exemple de ne pas avoir à retaper les données de type identifiant et mot de passe à chaque

ouverture de session. De même sur les sites d’achat en ligne, on peut concevoir qu’il serait

fastidieux à chaque nouvelle acquisition de devoir redonner le nom, l’adresse et le pays du

destinataire. Pour le commerçant ou l’administration, rendre son client satisfait, c’est

apprendre à le fidéliser.

Un autre vecteur peut être envisagé : celui de la gratuité. En l’échange de quelques

informations personnelles de type nom, âge, adresse, préférences de consommation, les

individus se voient souvent proposer des services à titre gratuits, de types bons d’achats,

échantillons de produits, ou encore essai gratuit d’un progiciel. Le concept de gratuité, dans

20 C’est l’exemple du phishing, qui consiste en l'obtention d'informations confidentielles (comme les mots de passe ou d'autres informations privées), en se faisant passer auprès des victimes pour quelqu'un digne de confiance ayant un besoin légitime de l'information demandée (source : www.wikipedia.fr). Pour de plus amples informations, voir par exemple www.antiphishing.org/ ainsi que Martin D., Phishing, la pêche aux données personnelles, www.01net.com, 4 avril 2005. 21 Voir leur site www.1to1.com 22 Kaufman H., Marketing one to one et marketing bancaire, Banque n° 588, janvier 1998, p. 60s



18

les relations de consommation principalement, s’il ne fait pas l’objet d’une étude spécifique

ici, est néanmoins à envisager car fondateur de la nouvelle économie. Sous couvert d’offrir à

titre gracieux un service ou un produit, le commerçant cherche là encore à fidéliser un

individu qui deviendra un client porteur de données à caractère personnel commercialisables.

" ! ��

Les outils techniques contemporains permettent de passer outre le consentement de

l’individu pour collecter des données le concernant. L’approche de cette méthode étant

technique, elle concerne d’avantage les TIC et l’internet. L’utilisation d’un PC pour naviguer

sur le réseau des réseaux induit un risque pour la vie privée, ce dont la CNIL s’est rapidement

alarmée23. Sans être exhaustif, le paysage des menaces existantes peut ainsi être peint :

• les logs des serveurs web stockent les données de connexion ; à chaque

connexion sur internet, le navigateur communique avec les serveurs web par

l’envoi de requêtes auxquels ils répondent. Le contenu de chaque requête est

mémorisé par le serveur dans un journal : il contient l’adresse IP de l’internaute,

le navigateur utilisé, le type de transaction, le langage utilisé, la p. appelante, la

date de connexion, le système d’exploitation utilisé par l’individu… Ces

données, une fois rendues intelligibles, peuvent être exploitées par les sociétés

de marketing et les commerciaux. De manière concrète, lorsqu’un individu tape

un mot clé dans un moteur de recherche, celui-ci permet aux publicitaires

d’afficher par la suite des bannières personnalisées à l’internaute puisque ces

centres d’intérêts seront connus.

• les spywares, francisés sous le terme d’ « espiogiciels », sont des programmes

permettant de collecter des informations sur l’internaute à l’insu de ce dernier.

Ils sont généralement « cachés » au sein d’autres progiciels en téléchargement

gratuits. Les informations collectées (adresse IP, sites visités…) sont envoyées à

des régies publicitaires qui personnalisent leurs offres en fonction du

23 CNIL, 17ème rapport d’activité 1996, Doc. fr., 1997, p. 62s



19

comportement de l’individu. L’internaute est ainsi « pisté » sans en avoir

conscience : ses habitudes, ses goûts et centres d’intérêt sont collectés, analysés

et transformés en matière publicitaire. Le respect de la vie privée est ici

confronté à une logique marchande qui pour l’heure y trouve une source

inépuisable de bénéfices. Des sociétés comme Gator24 ou Microsoft ont utilisé ce

vecteur technique pour collecter des informations et établir un profil

d’utilisateurs.

Une fois collectées, les données personnelles permettent l’établissement d’un profil,

une mise à jour des sites web en fonction des parties les plus visitées, des temps de

connexion, du nombre de visiteurs, une aide à la gestion de la relation client ou GRC, etc. Des

abus sont néanmoins possibles ne serait-ce que par la personnalisation des services. Par

exemple, un individu achète un livre sur le thème de l’homosexualité et une autre personne

utilise le même ordinateur par la suite. Si les offres publicitaires ont été personnalisées par la

reconnaissance de l’adresse IP, le second utilisateur se verra proposer des publicités sur le

thème de l’homosexualité, ce qui peut être offensant, voire réprimé si l’individu tiers est un

mineur. Ce type de risque s’est renforcé voire accentué lorsque l’observation se porte sur la

problématique de l’utilisation faite de ces données, c’est à dire de leur finalité.

� � ��

Les données collectées doivent servir un intérêt, strictement et précisément défini.

Dans le cas inverse, la loyauté serait mise à mal25. La finalité d’un traitement peut donc être

source de danger pour la vie privée et on peut ici l’envisager dans deux exemples : celui de

l’interopérabilité des données (1) et celui du risque de rupture entre les individus à travers

l’exemple du scoring (2).

24 Dumout E., Le spyware de Gator ne cesse d’attirer les critiques, www.zdnet.fr, 5 juillet 2002 25 En ce sens, l’art. 6 2° de la loi Informatique et Libertés dispose en substance que les données « sont collectées pour des finalités déterminées, explicites et légitimes et ne sont pas traitées ultérieurement de manière incompatible avec ces finalités »



20

! � ��

L’interopérabilité est définie par une directive européenne de mai 199126 comme « la

capacité d’échanger des informations et d’utiliser mutuellement les informations

échangées »27. Elle permet un partage rapide de l’information entre divers agents par une mise

en réseau des données. C’est cet avantage indéniable qui est aujourd’hui pris en compte pour

le passage à une administration électronique28 et plus spécifiquement « d’une administration

en silos à une administration en réseau »29. Les interconnexions de fichiers ne sont pas

prohibées par la loi française, mais soumises à une autorisation de la CNIL pour les

« traitements automatisés ayant pour objet :

- l’interconnexion de fichiers relevant d’une ou de plusieurs personnes morales

gérant un service public et dont les finalités correspondent à des intérêts publics

différents ;

- l’interconnexion de fichiers relevant d’autres personnes et dont les finalités

principales sont différentes. » 30

Le risque inhérent à l’interopérabilité des fichiers est la création de profils et

d’identifiants uniques. Cette crainte est légitime puisqu’à l’origine de la création de la CNIL

suite à l’affaire SAFARI, dont la révélation31 avait fait prendre conscience des dangers des

traitements de données sur le respect de la vie privée. Il serait encore ici réducteur de se

limiter à la vision d’un « Big Brother » étatique même si cette image a longtemps couru au

milieu des années 70 suite au scandale du projet SAFARI. L’interopérabilité retrouve

26 Directive 91/250 CEE du Conseil du 14 mai 1991 concernant la protection juridique des programmes d’ordinateur, JOUE n° L 122 du 17/05/1991 p. 42, disponible à l’adresse suivante : http://europa.eu.int/servlet/portail/RenderServlet?search=DocNumber&lg=fr&nb_docs=25&domain=Legislation&coll=&in_force=NO&an_doc=1991&nu_doc=250&type_doc=Directive 27 Ibid, cons. 12 28 Voir le programme ADELE lancé en mars 2004 www.adele.gouv.fr 29 Carcenac T., Pour une administration électronique citoyenne : méthodes et moyens, Rapport au Premier Ministre, Doc. fr., 2001, consultable à l’adresse : http://lesrapports.ladocumentationfrancaise.fr/BRP/014000291/0000.pdf 30 Voir art. 25-I 5° de la loi Informatique et Libertés du 6 janvier 1978 31 Voir Boucher P., op. cit.



21

aujourd’hui une actualité dans le droit au respect de la vie privée avec la mise en réseau des

fichiers administratifs et les projets en cours de développement : carte d’identité électronique

(projet INES), dossier médical personnalisé (projet SESAM-VITALE 2) qui attirent les

entrepreneurs économiques par l’importance des données possédées par l’administration.

Ainsi, dans un livre blanc publié en 2004, le MEDEF souhaitait « que l’Administration

organise ses relations avec les acteurs privés pour qu’il puisse exister des acteurs qui

valorisent les informations du domaine public, pour en faire des informations à valeur

ajoutée qu’ils peuvent ensuite commercialiser. »32 La venue de Bill Gates en février 2005 pour

soutenir la carte d’identité électronique belge va dans le même sens.33 Des questions d’éthique

se posent donc en la matière afin de ne pas aboutir à une privatisation rampante de

l’administration, le danger étant une commercialisation de tout type de données par « des

milliers de Big Brother privés »34. La vie privée de l’individu serait alors réduite à peau de

chagrin.

La crainte d’une interopérabilité trop forte est accompagnée de celles sur les bases de

données. Recueil organisé d’informations, la base de donnée si elle était ouverte à tous, ne

préserverait plus aucune finalité et porterait atteinte à la vie privée. Personne ne désire que

son assureur connaisse le détail des consultations médicales effectuées ces dernières années.

Sans aller jusqu’à ce paroxysme, des dérives sont déjà venues illustrées la dangerosité d’une

base de données.

Tout fichier de grande dimension engendre des erreurs : c’est en ce sens que les bases

de données présentent des menaces sur la vie privée et l’égalité entre individus. Dans son

rapport d’activité pour l’année 200435, la CNIL émet des recommandations face aux dérives

32 MEDEF, Livre blanc - Propositions et Recommandations du MEDEF en matière d’Administration Electronique, janvier 2004, p. 23, www.medef.fr 33 Voir par exemple Alix C.,Pour chater, veuillez présenter votre carte d’identité, Libération, 5 février 2005 34 Türk A., Rapport n° 218 relatif à la protection des personnes physiques à l’égard des traitements de données à caractère personnel et modifiant la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, 19 mars 2003, p. 21 http://www.senat.fr/rap/l02-218/l02-2181.pdf 35 CNIL, 25ème rapport d’activité 2004, Doc. fr., 2005, consultable sur : http://lesrapports.ladocumentationfrancaise.fr/BRP/054000256/0000.pdf



22

constatées dans STIC36. Ce fichier informatique central enregistre les informations recueillies

par la Police Nationale lors d’enquêtes judiciaires. La base de données permet de recouper les

informations stockées avec celles utilisées lors d’enquêtes en cours. La consultation est aussi

autorisée pour des fins d’enquêtes administratives, notamment dans les procédures

d’embauche et d’accès aux emplois touchant aux activités de surveillance et de gardiennage,

ainsi que le disposent les lois du 15 novembre 200137 dite sur la sécurité quotidienne et la loi

du 18 mars 200338. Ces investigations permises par le législateur ont conduit à une

augmentation du nombre de consultations des fichiers STIC. L’infaillibilité du système est

rarement mise en cause par les employeurs. Les données sont réputées exactes par l’individu

qui les consulte alors que de nombreuses s’avèrent obsolètes ou incorrectes. Cela engendre de

graves répercussions puisque un emploi peut être refusé à un individu à cause des données

récupérées sur le STIC concernant cette personne. La confiance inspirée par les fichiers STIC

se traduit dans les faits à une absence de vérification des informations récupérées. Ainsi une

personne dans une situation précaire s’est vue refuser toute embauche en tant qu’agent de

sécurité. Elle était en effet signalée dans le STIC de façon erronée pour deux affaires de vol

simple et de violences volontaires légères. Après intervention de la CNIL, ce signalement a

été supprimé, la personne n’était pas mise en cause après vérification39.

La technique peut donc poser des problèmes au regard du droit et des libertés. Dans

d’autres cas, ce sont les méthodologies d’études, de prospections, d’analyses qui peuvent

conduire à de tels obstacles. Que ce soit en matière commerciale ou en terme de services

publics, il peut arriver que l’égalité soit mise à mal car face à des situations a priori

semblables, on observe des traitements différents.

36 STIC pour Système de Traitement des Infractions Constatées 37 Loi n° 2001-1062 du 15 novembre 2001 relative à la sécurité quotidienne, JORF n° 266 du 16 novembre 2001 p. 18215, http://www.legifrance.gouv.fr/WAspad/Visu?cid=560760&indice=2&table=JORF&ligneDeb=1 38 Loi n° 2003-239 du 18 mars 2003 pour la sécurité intérieure, JORF n° 66 du 19 mars 2003 p. 4761, http://www.legifrance.gouv.fr/WAspad/Visu?cid=601623&indice=1&table=JORF&ligneDeb=1 39 Pour d’autres exemples, Ibid, p. 12



23

" ! ��

Soucieuses de limiter leurs risques financiers, les banques et organismes financiers

utilisent en grande majorité une analyse statistique baptisée « scoring »40 afin d’accorder un

crédit. Cette outil décisionnel « prédit » si un emprunteur sera un bon ou un mauvais payeur,

et ce en se basant sur un fichier rassemblant des données fondées du l’observation du passé,

sur l’expérience en quelque sorte. Ainsi, si l’on prend le cas des particuliers, l’âge, la

profession, le statut matrimonial, le fait d’être ou non propriétaire entre autres constituent des

qualités permettant une notation traduite en une probabilité du risque encouru. Les données

personnelles, combinées à des pondérations issues de données statistiques, permettent donc de

qualifier de manière numérique la qualité de bon ou mauvais payeur d’un individu.

Concrètement, les outils de scores sont des logiciels automatisés41 qui quantifient le risque, au

regard des données collectées, et le pondèrent. Si le seuil d’acceptation est atteint, le crédit est

automatiquement accordé.

Le risque est évident : que se passe-t-il si le seuil n’est pas atteint ? La motivation de la

décision d’accorder ou non un crédit basé uniquement sur le calcul statistique et automatisé

est attentatoire à l’égalité de traitement. L’art. 10 al. 2 de la loi du 6 janvier 1978 dispose en

ce sens qu’ « aucune décision produisant des effets juridiques à l’égard des personnes ne peut

être prise sur le fondement d’un traitement automatisé de données destiné à définir le profil

de l’intéressé ou à évaluer certains aspects de sa personnalité ». La CNIL s’était prononcée

sur cette problématique dès 1988. Dans une délibération du 5 juillet 198842, la Commission

constatant que la technique du score a pour finalité la constitution d’un profil de l’emprunteur,

rappelle « que conformément à l’article 2 de la loi du 6 janvier 197843, aucune décision

accordant ou refusant un crédit ne peut avoir pour seul fondement un traitement automatisé

40 Pour une approche statistique du sujet, voir Saporta G., La notation statistique des emprunteurs ou scoring » 2002, http://www.eduscol.education.fr/D0015/ann_stat_6.pdf 41 Pour un panorama complet des logiciels existants, voir http://data.mining.free.fr/cours/Logiciels.pdf 42 Délibération n° 88-83 du 5 juillet 1988 portant adoption d’une recommandation relative à la gestion des crédits ou des prêts consentis à des personnes physiques par les établissements de crédit, JORF du 11 août 1988, p. 10254, également disponible à l’adresse suivante : http://www.legifrance.gouv.fr/imagesJO/1988/102/JO198810254.pdf 43 L’art. 2 est devenue l’art. 10 depuis la réforme du 6 août 2004



24

d’informations donnant une définition du profil ou de la personnalité de l’intéressé ». Si des

accords ont été trouvés, avec par exemple l’examen systématique et individualisé des dossiers

lorsque le seuil d’acceptation n’est pas atteint par un opérateur personne physique, la pratique

du score s’est étendue et développée, ne se limitant plus au secteur des finances : ainsi des

organismes d’assurances utilisent ces méthodes pour détecter les conducteurs à risque.

Le choix des variables à la base de l’évaluation est déterminant : on parle aujourd’hui

de « scoring prénom »44, consistant en un rapprochement entre le prénom et une tranche d’âge

afin de personnaliser une offre. Des dérives peuvent donc avoir lieu : l’une d’elles consistent

en l’application d’une variable fondée sur la nationalité. Dans une délibération du 22

décembre 199845, la Commission recommande de ne plus considérer comme pertinente ce

type de variable, préférant prendre en compte la stabilité de résidence sur le territoire français.

Cette délibération sera annulée en 2001 par le Conseil d’Etat dans une affaire dite Association

des sociétés financières et autres46, la Haute juridiction administrative considérant l’utilisation

et la combinaison de la nationalité pour l’octroi d’un crédit comme une donnée « pertinente,

adéquate et non excessive », ce qui signifie a contrario qu’elle est proportionnée. Cette

décision est a priori contestable et d’ailleurs contestée 47 : il ne semble pas que le critère de

proportionnalité soit ici justifié puisqu’il apparaît que l’atteinte qui pourrait être portée à un

individu, c’est à dire le refus d’un crédit en raison, entre autres, de sa nationalité, n’est pas

motivé par un intérêt légitime.

La réforme du 6 août 2004 a modifié le régime du scoring : l’art. 25 I 4° dispose en

effet que « les traitements automatisés susceptibles, du fait de leur nature, de leur portée ou

de leurs finalités, d’exclure des personnes du bénéfice d’un droit, d’une prestation ou d’un

44 Voir Razemon O., Les agences de marketing repèrent les plus de 60 ans, grâce à leur prénom, Le Monde, 11 juin 2005 45 Délibération n° 98-101 du 22 décembre 1998 portant modification de la d’une recommandation relative à la gestion des crédits ou des prêts consentis à des personnes physiques par les établissements de crédit, JORF 27 janvier 1999, p. 1411, également disponible à l’adresse suivante : http://www.legifrance.gouv.fr/imagesJOALL/1999/014/JO199901411ALL.pdf 46 CE, Association des sociétés financières et autres, 30 octobre 2001, http://www.conseil-etat.fr/ce/jurispd/index_ac_ld0118.shtml 47 Voir Sombetzki-Lengagne D., JCP, II 10140, 18 septembre 2002, Rozenfeld S., La nationalité : une donnée pertinente et non discriminatoire, Expertises, décembre 2001, p. 409



25

contrat en l’absence de toute disposition législative ou réglementaire » sont mis en ouvre

après autorisation de la Commission Nationale et Libertés48. Les traitements de scoring sont

désormais soumis à autorisation préalable ce qui permet un contrôle a priori.

Le développement technique dans l’approche décisionnelle semble donc faire peser un

risque sur l’égalité de traitement et peut amener à des discriminations. Le débat est

aujourd’hui de nouveau d’actualité49 avec la question de l’introduction des centrales positives

en France, système présent aux Etats-Unis, Pays Bas, en Allemagne, Italie, Autriche, Irlande,

Portugal, Suède et Belgique. Ces centrales sont des fichiers centraux regroupant des

informations sur l’état d’endettement d’une personne, ses incidents de paiement, etc. Tout

comme pour le STIC, le danger de ces systèmes est une ouverture trop grande et une

mauvaise alimentation des données collectées.

§ 2 - LA GESTION NON MAITRISEE DES DONNEES : ILLUSTRATIONS

Le développement des TIC a permis une prise de conscience plus large au sein de la

population des risques sur la vie privée et de la nécessité de faire preuve de vigilance. Cette

prise de conscience progressive, quoique encore relative, a eu pour origine divers scandales

quant à l’utilisation faite de données à caractère personnel collectées. On peut ici relater

l’affaire DoubleClick, présentée comme catalyseur de l’apparition de délégués à la protection

des données au sein des entreprises (A) mais cette affaire n’est qu’une partie visible d’un

ensemble de dérives et de négligences ayant conduit à une mauvaise utilisation de données

(B).

48 Sur le nouveau régime d’autorisation introduit par la réforme du 6 août 2004, voir Narbonne S., Régimes d’autorisations pour le secteur privé, C.c.e., février 2005, p. 14 49 Voir CNIL, 25ème rapport d’activité 2005, op. cit., p. 83



26

� � �� ! �

L’affaire DoubleClick se place dans le contexte de l’avènement de l’internet, avec le

lancement de nombreuses sociétés sur le marché du cybermarketing. DoubleClick50, créée en

1996 à Atlanta, est une société qui offre des prestations publicitaires sur l’internet51, ce qui

regroupe le profilage one to one, l’analyse d’impact, etc. Grâce à une méthode statistique

complexe mais permettant un ciblage précis, DoubleClick a connu un rapide succès qui lui a

permis de se constituer un réseau de clients composé d’environ 1 000 enseignes représentant

11 500 sites52 dont certains à haut niveau de fréquentation comme par exemple le moteur de

recherche Altavista53, l’un des plus visités à l’époque des faits54. La société utilisait un produit

nommé DART55 qui permettait une relation dynamique et instantanée entre l’internaute, son

navigateur et les publicités affichées pendant la navigation de l’individu. DoubleClick ciblait

les individus et pouvait suivre leur navigation en adaptant la publicité sur les sites clients de

manière instantanée en fonction de l’attitude de l’individu. Grâce à un hyperlien invisible,

DoubleClick est prévenue de la requête d’un individu qui clique sur une bannière publicitaire,

l’identification se faisant au moyen d’un cookie56. DoubleClick affirmait néanmoins rendre

anonyme les données collectées en individualisant les internautes par un identifiant unique.

50 Pour visiter le site de la société : www.doubleclick.com 51 Kevin O’Conner, CEO de la société Double Click, justifie la hausse du nombre d’entreprises publicitaires sur l’internet à la fin des années 90 ainsi : « There are some people on the Internet who want to go back to the old days when there was no advertising and it was government-controlled […] we believe that this is a tremendous thing and that it should be free. That means it is going to be funded by advertising. » in Martinson J., DoubleClick repels ‘piracy of privacy’ assault, The Guardian, 25 février 2000 52 Berst J, Why we’re losing the privacy war, www.zdnet.com, 31 janvier 2000 53 Parody E., Altavista s’ouvre à la publicité contextuelle, www.zdnet.fr, 17 avril 1999 54 On dénombrait en mars 2000 1,3 millions de visiteurs par jour pour 2 à 4 millions de p.s vus par jour (chiffres consultables sur http://www.enfin.fr/entretiens/p-paperon.php) 55 Pour une présentation du Dynamic Advertising Reporting and Targeting, voir Bissé A., Double Click : le taux de clics ne suffit plus ! , http://solutions.journaldunet.com , 11 juillet 2000 56 Pour un aperçu technique de la méthode utilisée par DoubleClick, voir Dinant J.-M., Les traitements invisibles sur internet, http://www.droit.fundp.ac.be/crid/eclip/luxembourg.html



27

L’anonymat était selon DoubleClick respecté par la méconnaissance du nom, de

l’adresse, de l’e-mail, du numéro de téléphone et de l’adresse postale des internautes fichés57.

A cet identifiant était toutefois liés l’adresse IP, le pays, l’Etat, le code postal, le titre et la

fonction dans l’entreprise, le type de browser utilisé, le système d’exploitation, en surplus de

la collecte des sites visités, de l’analyse des comportements de navigation et des temps de

connexion. Certes le nom n’était pas collecté, mais le ciblage était si fin que l’on ne peut

parler d’anonymat et de respect de la vie privée. Afin de faire taire les critiques, un système

d’opt-out58 inhibant la lecture des cookies par les serveurs est mis en place sur le site de

DoubleClick59.

Le scandale éclate lorsque en 1999, DoubleClick fusionne avec l’Abacus Direct Corp.,

société américaine de marketing direct dont le cœur de métier est le profilage des

consommateurs américains. Abacus possédait alors une banque de données colossale : 88

millions de personnes étaient fichées, soit 2 milliards d’achats60. Le risque d’interconnexion

de fichiers est alors craint61 d’autant que DoubleClick modifie sa privacy policy pour

permettre cette interconnexion62 engendrant un risque pour l’anonymat et l’intimité des

usagers : l’association d’une adresse e-mail avec un cookie ou un profil « anonyme » dans le

57 Gauthronet S. et Nathan F., Les services en ligne et la protection des données, Commission des Communautés Européennes, Office des Publications Européennes, Luxembourg, 1998, p. 92 58 Une collecte opt-out repose sur l'idée que l'internaute donne automatiquement son consentement pour recevoir des messages publicitaires, l’individu pouvant se désinscrire a posteriori de la collecte pour donner son refus de voir ses données collectées. 59 Voir sur le site http://www.doubleclick.com/us/about_doubleclick/privacy/ 60 Léonard T., E-commerce et protection des données à caractère personnel : quelques considérations sur la licéité des pratiques nouvelles de marketing sur internet, février 2000, www.droit.fundp.ac.be/Textes/Leonard1.pdf 61 Thorel J., Publicité en ligne : DoubleClick rachète NetGravity, www.zdnet.fr, 16 juillet 1999 62 Au 4 février 2000, on pouvait lire dans le Privacy Policy “Name and address information volunteered by a user on an Abacus Alliance Web site is associated by Abacus through the use of a match code and the DoubleClick cookie with other information about that individual. Information in the Abacus Online database includes he users name, address, retail, catalog and online purchase history, and demographic data. The database also includes the users non-personally-identifiable information collected by Web sites and other businesses with which DoubleClick does business. Unless specifically disclosed to the contrary in a Web site's privacy policy, most non-personally-identifiable information collected by DoubleClick from Web sites on the DoubleClick Network is included in the Abacus Online Database(...)”



28

sens où le nom de la personne n’apparaît pas est techniquement possible63. Ces craintes seront

portées devant la Federal Trade Commission, équivalent français de la DGCCRF, par une

association de consommateur, l’EPIC64, réclamant qu’une enquête soit ouverte sur les activités

de la société en matière de gestion des données à caractère personnel65.

L’enquête de la Federal Trade Commission aboutit a un compromis : DoubleClick

s’engage à établir une politique de confidentialité claire et à permettre aux internautes

d’exprimer leur consentement avant que leurs données personnelles ne soient liées à

l’historique du navigateur. Les bases de données ne furent pas interconnectées et DoubleClick

décida de nommer un Chief Privacy Officer ou CPO en la personne de Jules Polonetsky66,

imitée par d’autres sociétés américaines comme IBM ou Microsoft67, dont la tâche est de

sensibiliser le personnel aux questions touchant la protection et l’intégrité des données

personnelles.

L’affaire DoubleClick a eu un triple impact : d’une part, elle a favorisé une prise de

conscience des individus de la nécessité de protéger leur données personnelles, corollaire de

leur vie privée, face aux attraits marchands. D’autre part elle a mis en lumière que la

problématique du profilage oppose l’industrie aux pouvoirs publics, et non aux individus eux-

mêmes. Les consommateurs s’impliquent rarement personnellement, n’ayant la plupart du

temps aucune idée de l’existence du profilage effectué à leur encontre. Enfin elle a permis une

prise de conscience des entreprises du risque d’une mauvaise gestion des données à caractère

personnel sur l’image et la crédibilité de l’organisme. Si l’affaire DoubleClick a servi de

détonateur, d’autres affaires sont venues renforcer les craintes face aux dérives et aux

négligences quant à l’utilisation de données personnelles.

63 Thorel J., DoubleClick accusé de violer le droit à l’anonymat, www.zdnet.fr, 12 février 2000 64 EPIC : Electronic Privacy Information Center . Leur site est consultable à l’adresse www.epic.org 65 Voir la requête déposée par l’EPIC consultable http://www.epic.org/privacy/internet/ftc/DCLK_complaint.pdf 66 Boucq I., La protection de la vie privée devient une priorité, www.01net.com, 11 décembre 2000 67 Voir Purcell R., « Microsoft et la protection des données personnelles : une journée de la vie d’un « Chief Privacy Officer », 23ème conférence internationale des commissaires à la protection des données « Vie privée, - Droits de l’Homme », Doc. fr., 2001, p. 505



29

� � �� "�� "��

Le management des données personnelles concerne tous les milieux qu’ils soient

économiques, financiers, bancaires, associatifs ou publics. Dès lors, le risque est multiplié par

le nombre de secteurs gérant des fichiers contenant des données à caractère personnel, mais

aussi par la diversité des méthodes pour lesquelles les données sont collectées : biométrie,

identification, authentification, suivi, localisation, offre de service… Les technologies offrent

un panel de moyens permettant une intrusion toujours plus importante dans la vie des

individus. Malgré la vigilance et l’encadrement, l’affaire DoubleClick ne fait pas exception.

De nombreuses dérives voient le jour dont on peut citer quelques exemples.

Les données personnelles faisant l’objet d’un management sont source de richesse

pour de nombreuses entreprises. Comme toute valeur, la donnée attire les convoitises et peut

faire l’objet de vol. Qu’elles aient pour origines une erreur humaine ou un défaut dans le

système de sécurité mis en place, les usurpations de données ne sont pas rares.

• En février 2005, Bank of America, troisième banque des Etats-Unis, déclare avoir

perdu des bandes informatiques portant sur les numéros de compte, les noms, adresses,

etc. d’environ 1,2 millions d’employés du gouvernement des Etats-Unis68.

• Le même mois, ChoicePoint, service de renseignement sur les individus et leur

situation bancaire qui renseigne les organismes de crédit, agences gouvernementales,

et acteurs de l'économie sur leur santé financière, notamment par des données de type

identité, adresse des individus, numéro de sécurité sociale, numéros de téléphone et e-

mails, ainsi des indications sur leur état d'endettement, avoue avoir vendu par erreur

une partie de son fichier représentant 145 000 consommateurs69.

• On peut aussi citer l’éditeur juridique Lexis-Nexis qui s’est vu dérober des données

personnelles (de type là encore nom, adresse, numéro de sécurité sociale et licence de

conduite) de plus de 32 000 personnes figurant dans ses bases de données70, et ce suite

68 Chicheportiche O., USA, encore un fichier client dans la nature ! , www.silicon.fr, 28 février 2005 69 Grandmontagne Y., L’Amérique victime d’une gigantesque usurpation par fraude d’identité, www.silicon.fr, 21 février 2005 70 Grandmontagne Y., USA : nouveau scandale à l’usurpation d’identité, www.silicon.fr, 10 mars 2005



30

à une fusion avec les bases de données d’un autre groupe, Seisint, développeur du

projet Matrix71.

• En avril 2005, l’hôpital de San Jose constate le vol de deux ordinateurs, contenant des

données médicales et les numéros de sécurité sociale de 185 000 patients72. La même

mésaventure s’est produite dans une université où le vol d’un ordinateur portable a

engendré la perte de coordonnées sociales de 100 000 universitaires73.

• Dans le secteur bancaire, une récente affaire a révélé l’impact mondial que ce type de

vol pouvait engendrer : une faille de sécurité chez CardSystems Solutions, prestataire

américain chargé d'assurer la sécurité des transactions par carte bancaire, aboutit à la

perte de 40 millions de numéros de cartes bancaires, dont 812 000 appartenant à des

Européens, dont 70 000 français74. Cette attaque est aujourd’hui considérée comme

l’une des plus importantes de l’histoire75.

Dans ces espèces, c’est bien la sécurité qui est mise à mal. Il est donc impératif,

lorsque des données personnelles sont collectées et traitées, d’associer à une politique de

protection de ces données une approche sécuritaire des moyens techniques et informatiques

mis en œuvre. C’est d’ailleurs une obligation que l’art. 34 de la loi Informatique et Libertés

fait peser sur le responsable de traitement76. Ces exemples, loin d’être exhaustifs, démontrent

l’absence de dialogue entre services ainsi qu’une prise de conscience faible de la part des

71 Matrix est un programme dédié à la lutte anti-terroriste qui dispose de la capacité de recouper des informations à partir d'une gigantesque base de données qui cumule 20 milliards d'entrées. Pour plus d’informations, voir Charley V., L’exploitation des bases de données personnelles aux Etats-Unis dans le cadre de la lutte anti-terroriste, 2004, http://droit.univ-lille2.fr/eadministration/colloque/art.blab.html?id_art.=18 72 Grandmontagne Y., USA : les dossiers de 185000 patients dans la nature, www.silicon.fr, 11 avril 2005 73 Grandmontagne Y., USA : l’identité de 100000 universitaires dans la nature, www.silicon.fr, 29 mars 2005 74 Puel H., Des milliers de Français victimes du vol de leur numéro de carte bancaire, www.01net.com, 21 juin 2005 75 Pour l’analyste J. Van Dyke, « En termes de chiffres, il s'agit probablement de la plus grande intrusion de sécurité jamais perpétrée », propos recueillis par Evers J., Plus de 40 millions de numéros de cartes Mastercard et Eurocard piratés, www.01net.com, 20 juin 2005 76 L’art. 34 dispose en son al. 1 que « le responsable du traitement est tenu de prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu’elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès »



31

responsables de traitement qui peuvent générer des risques importants sur la vie privée

d’individus77.

Si la négligence et l’inattention sont des facteurs importants de dérive, la volonté du

responsable de traitement de défier l’honnêteté de la collecte peut aussi jouer.

• La société Effia Services, filiale de la SNCF, avait mis en place un système de

décompte du temps de travail basé sur la biométrie. En pratique, l’empreinte digitale

du salarié était mémorisée sur une carte à puce, dont la lecture est assurée par une

badgeuse. Cette lecture est validée par l'application simultanée du doigt sur un lecteur.

Par jugement en date du 19 avril 200578, le tribunal de grande instance de Paris interdit

l’utilisation d’un tel système79, motivant sa décision sur le fondement de l’atteinte aux

libertés individuelles. En effet, la finalité du dispositif n’était pas justifiée par un

aspect de sécurité ou de protection de l’activité exercée.

• La CNIL, usant des nouveaux pouvoirs dont elle bénéficie depuis la réforme du 6 août

200480, a adressé à 6 banques des avertissements pour « des commentaires plus que

douteux sur la clientèle »81 portant sur l’état psychologique et la situation sociale

d’individus, voire la confession. Ces commentaires ne répondent à aucune finalité et

s’écartent de toute objectivité. Violant l’article 8 I de la loi Informatique et Libertés

qui dispose qu’ « il est interdit de collecter ou de traiter des données à caractère

personnel qui font apparaître, directement ou indirectement, les origines raciales ou

ethniques, les opinions politiques, philosophiques ou religieuses ou l’appartenance

syndicale des personnes, ou qui sont relatives à la santé ou à la vie sexuelle de celles-

ci », la Commission a pu sanctionner ces dérives.

77 Voir Martin P., Protection des données : seuls les paranoïaques…, www.01net.com, 19 août 2005 78 Pour consulter ce jugement, http://www.juriscom.net/documents/tgiparis20050419.pdf 79 Solovieff K., La biométrie déraille chez Effia Services, www.01net.com, 19 mai 2005 80 Dufour O., L’exercice du pouvoir de sanction est une révolution culturelle pour la CNIL – Entretien avec C. Pallez, secrétaire général de la CNIL, PA n° 195, 29 septembre 2004, p. 3 81 Voir sur le site de la CNIL : http://www.cnil.fr/index.php?id=1815&encryptionKey=&news[uid]=255&print=1&cHash=db64f1fc10



32

Ces quelques exemples soulignent les préjudices potentiels pesant sur chaque individu

dont les données sont collectées. Ils caractérisent l’insuffisance des moyens législatifs mis en

place jusqu’alors. Si les dangers ne sont pas rares ni les solutions pour les contrecarrer,

manque une certaine prise de conscience, y compris du législateur français.

�� # �� " ��

�� $� ��

La loi du 6 août 2004 transpose la directive « Protection des données » du 24 octobre

1995 : il aura fallu 9 ans pour y parvenir, ce qui n’est pas conforme aux promesses de

transpositions rapides qui avaient pu être formulées82. Pourtant, l’art. 32 de la directive

indiquait que « les Etats membres mettent en vigueur les dispositions législatives,

réglementaires et administratives nécessaires pour se conformer à la présente directive au

plus tard à l’issue d’une période de trois ans à compter de son adoption », soit au plus tard le

24 octobre 199883. Outre le risque de recours en manquement auquel la France s’est exposé

pour défaut de transposition, cette prescription du délai imposé souligne les difficultés du

législateur à trouver une réponse adaptée aux exigences techniques et juridiques de la matière.

C’est la motivation du législateur qui peut ainsi être mise en cause (§ 1) alors que d’autres

82 Rozenfeld S., Protection des données personnelles : Lionel Jospin promet une transposition rapide, Expertises, juin 2000 83 Sur la question des retards constants de la France en matière de transpositions des directives européennes, voir Haenel H., Rapport d’information n° 182 fait au nom de la délégation pour l'Union européenne sur la transposition des directives communautaires, 11 janvier 2001, http://www.senat.fr/rap/r00-182/r00-1821.pdf qui traitant de la transposition de la directive 95/46 CE s’interroge : « Faut-il rappeler aussi l’exemple, non moins surprenant, de la directive 95/46 sur la protection des données personnelles ? L’initiative en revient à la France, à la suite d’un travail de lobbying intensif de la CNIL qui, voulant prôner et diffuser le modèle français, réussit à convaincre les autorités politiques de notre pays de la nécessité d’une directive à ce sujet. Mais, comme c’est souvent le cas, les négociations ont finalement conduit à une directive dont les dispositions sont non seulement incompatibles avec notre propre législation mais posent, là encore, de redoutables problèmes juridiques. A-t-on réellement, là aussi, envisagé clairement, lors de la négociation, les difficultés de transposition ? Personne ne peut reprocher à nos diplomates de rechercher des compromis. Mais qu’au moins ils soient suffisamment informés que, sur tel ou tel point, une transposition risque de poser problème sans quoi ils risquent fort d’accepter des compromis qui, par la suite, se révéleront impraticables à l’échelon national. » p. 20



33

Etats ont depuis de nombreuses années effectué des choix, dont celui du correspondant aux

données personnelles ainsi que la directive le permet (§ 2)

§ 1 - LE MANQUE D’INTERET DU LEGISLATEUR FRANÇAIS

La question de la protection des données personnelles n’est pas dénuée de difficultés :

elle aborde des débats techniques sur les moyens informatiques mettant à mal le respect dû à

la vie privée des individus et nécessite de trouver des réponses urgentes mais à vocation

pérenne. La transposition de la directive 95/46 CE n’a pas pour autant été frappé du sceau de

la célérité (A) et si les réponses peuvent apparaîtrent prometteuses, encore convient-il de

fournir les moyens nécessaires à la CNIL pour en assurer l’effectivité (B).

� � �� $�� # ��

Tenue par ses engagements communautaires, la France a pourtant tardé à introduire

dans le droit positif la directive « Protection des données ». Si d’autres Etats n’ont pas

transposés dans les temps le texte communautaire, à savoir l’Espagne par une loi du 14

décembre 199984, le Danemark par une loi du 31 mai 200085, les Pays-Bas par une loi du 6

juillet 200086, l’Allemagne par une loi du 18 mai 200187, l’Irlande par une loi du 18 février

200088 et le Luxembourg du 2 août 200289, la France a toutefois été le dernier Etat a effectuer

84 Ley orgánica 15/1999 de protección de datos de carácter personal , 13 décembre 1999, https://www.agpd.es/upload/Canal_Documentacion/legislacion/Estatal/Ley%2015_99.pdf 85 Lov nr. 429 af 31 maj 2000 som ændret ved lov nr. 280 af 25. april 2001, http://www.datatilsynet.dk/lovgivning/personoplysninger/indhold.asp, disponible en version anglaise http://www.datatilsynet.dk/eng/index.html 86 Wet besherming persoonsgegevens n° 25892, 23 novembre 1999 disponible en anglais http://www.dutchdpa.nl/downloads_wetten/wbp.pdf?refer=true&theme=purple 87 Bundes-Datenschutzgesetz du 18 mai 2001 (BGBI IS 904), ayant modifié la BDSG du 20 décembre 1990 http://www.bfd.bund.de/information/BDSG.pdf 88 Data protection Bill 2002, http://www.dataprivacy.ie/documents/legal/dpbill2002.pdf 89 Loi du 2 août 2002 relative à la protection des personnes à l'égard du traitement des données à caractère personnel, Mémorial A N° 91 du 13 août 2002, http://www.etat.lu/memorial/memorial/a/2002/a0911308.pdf



34

cette transposition. Cette lenteur législative est susceptible de porter atteinte à la sécurité

juridique. Dans un rapport remis à l’Assemblée Nationale, Guy Geoffroy souligne que de ce

retard excessif découle une « image européenne de la France, mauvais élève de l'Union, […]

fragilisée »90. En effet, la France a été l’un des premiers Etats à se doter d’une loi relative à

l’informatique et à la protection des données personnelles et de la vie privée. Elle a aussi été à

l’initiative de l’adoption de la directive 95/46 CE91. Ne pas transposer dans les temps impartis

un texte auquel on a largement contribué relève du paradoxe.

A ce constat politique s’ajoute une problématique juridique : dans tous les cas où des

dispositions d’une directive apparaissent, du point de vue de leur contenu, inconditionnelles et

suffisamment précises, les particuliers sont fondés à les invoquer devant le juge national à

l’encontre de l’État, soit lorsque celui-ci s’abstient de transposer dans les délais la directive en

droit national, soit lorsqu’il en fait une transposition incorrecte92, ce qui était ici le cas

puisqu’on peut valablement considérer que le législateur s’était abstenu d’implémenter la

directive dans le droit positif français.

La réforme du 6 août 2004 maintient la loi Informatique et Libertés du 6 janvier 1978,

afin de conserver le caractère historique et symbolique de cette dernière. Ce choix entraîne

une certaine confusion puisque la réforme suit l’ordre des dispositions de la directive mais le

principe demeure : « L'informatique doit être au service de chaque citoyen. Son

développement doit s'opérer dans le cadre de la coopération internationale. Elle ne doit

porter atteinte ni à l'identité humaine, ni aux droits de l'homme, ni à la vie privée, ni aux

libertés individuelles ou publiques »93. La transposition de la directive en droit français illustre

une adaptation du droit aux nouvelles exigences nécessaires afin de protéger les individus

contre les risques induits par l’informatique sur leur vie privée. Ce remaniement était

impératif puisqu’à l’essor technologique se sont accentuées les faiblesses de la loi.

90 Geoffroy G., Rapport n° 1456 sur le projet de loi portant habilitation du Gouvernement à transposer, par ordonnances, des directives communautaires et à mettre en œuvre certaines dispositions du droit communautaire, 25 février 2004, p. 12, http://www.assemblee-nationale.fr/12/pdf/rapports/r1456.pdf 91 Haenel H., Rapport d’information n° 182 fait au nom de la délégation pour l'Union européenne sur la transposition des directives communautaires, op. cit. p. 20 92 CJCE, Van Duyn, 4 décembre 1974, aff. 41/74, Rec. 1974, p. 1337 93 Art. 1 de la loi du 6 janvier 1978



35

Innovante en 1978, la loi Informatique et Libertés a été l’une des premières94 à

encadrer les risques sur les libertés publiques du fait du développement de l’informatique. Le

système mis en place a su rapidement révéler ses faiblesses. L’une des principales est

soulignée par le rapport de Guy Braibant95 par l’absence d’effectivité des dispositions légales.

En ce sens, la CNIL n’a pas eu connaissance de tous les traitements mis en œuvre96 et « on

peut avancer sans grand risque d'exagération que quelques millions de traitements ont

échappé à son contrôle. Ces traitements ne sont sans doute pas ".clandestins.", mais ils sont

en tout cas ".irréguliers " »97. Il y a donc un déficit de sensibilisation des responsables de

traitements face aux exigences de respect de la vie privée posée par la loi Informatique et

Libertés. L’ignorance des textes est dans une large mesure à l’origine de cette opacité. Cette

effectivité défaillante de la loi est en outre illustrée par l’exercice du pouvoir répressif de la

Commission : depuis 1978, seules 36 dénonciations ont été faites au parquet, 61

avertissements ont été adressés98. Pour la seule année 2004, 3591 plaintes ont pourtant été

déposées, ce qui laisse un taux de transformation extrêmement faible et fait de l’autorité une

institution peu répressive99. Si le contenu de la loi Informatique et Libertés a pu être pris

comme modèle, c’est donc le problème de l’application effective des dispositions législatives

qui met à mal une protection efficace de la vie privée et qui a fait de la CNIL, organe exécutif

de la loi du 6 janvier 1978, l’objet de vives critiques. Alors que le prestige de l’institution est

déclinant, il n’en est pas moins vrai que la CNIL ne possède pas les moyens suffisants pour

assurer ses missions.

94 La France n’est pas le premier Etat a avoir adopté une législation spécifique à l’informatique et aux libertés : le Land de Hesse en 1970, suivi par les Etats-Unis qui adopteront en 1974 un Privacy Act pour les fichiers détenus par l’administration fédérale, puis la Suède en 1976, en disposaient déjà 95 Afin de transposer la directive 95/46 CE dans le droit français, Lionel Jospin confie en 1997 à Guy Braibant, Président de section honoraire au Conseil d’Etat, le soin de rédiger un rapport qui sera rendu en 1998. 96 La CNIL affiche un total d’environ un million de traitements déclarés, alors que plus de trois millions d’entreprises sont dotés de traitements entrant dans le cadre de la loi du 6 janvier 1978 97 Braibant G., Données personnelles et société de l’information, Rapport au Premier Ministre, Doc. fr., 1998, p. 53 http://lesrapports.ladocumentationfrancaise.fr/BRP/984000836/0000.pdf 98 CNIL, 25ème rapport d’activité 2004, op. cit. p. 14 99 Voir Belleil A., E-privacy – Le marché des données personnelles : protection de la vie privée à l’âge d’internet, Dunod, Paris, 2001, p. 69s



36

� � �%�� & � �'�

« La réalité c’est qu’aujourd’hui la CNIL est pauvre »100. Tel est le constat dressé lors

du 25ème anniversaire de la CNIL par son président, Alex Türk. Il est vrai qu’au fil des ans, le

budget de l’autorité administrative indépendante s’est érodé au point d’en faire une des

autorités de protection les plus modestes d’Europe, après avoir été un organisme modèle. A

titre de comparaison, le budget d’une autre autorité administrative indépendante, le CSA, est

cinq fois plus élevé101. L’effectif est aujourd’hui insuffisant pour assurer les missions confiées

par la loi du 6 août 2004 : 80 agents en France, plus de 400 en Allemagne. La question est

donc de savoir comment assurer l’effectivité des dispositions légales, contrôler les dérives,

donner suite aux plaintes avec un personnel insuffisant ? La loi du 6 août 2004 offre de

nouveaux pouvoirs à l’institution afin d’assurer un haut niveau de protection (pouvoirs de

sanctions pénales et civiles, l’instauration d’un régime d’autorisation et de demande avis…)

mais les moyens manquent. On parle de « nouvelle CNIL »102 pour souligner cette révolution

culturelle qu’est l’exercice du pouvoir de sanction par la CNIL. Une nouvelle CNIL pour

effacer les vicissitudes de « l’ancienne CNIL » ? On peut néanmoins douter d’un tel

renouveau aux vues du budget réclamé, environ le double de celui actuellement pourvu. Il

pourrait néanmoins être fait grief au sénateur Türk, président de la Commission et membre

depuis 1995, d’avoir rapporté lui-même le projet de loi devant le Sénat103 sans avoir mesuré

l’incidence des mesures envisagées au regard des moyens dont dispose la CNIL104. Placé dans

un contexte d’allègement administratif, la nouvelle loi a étendu son domaine d’intervention en

passant des informations nominatives aux données à caractère personnel. En passant à un

régime d’autorisations et de demandes d’avis des traitements de données considérées comme

sensibles, la pratique ne semble pas faire montre d’un allègement, le champ d’intervention des

100 Crouzillacq P., Interview d’Alex Türk, www.01net.com, 21 avril 2005 101 Dumout E., La CNlL réclame un doublement de son budget sur quatre ans, www.zdnet.fr, 20 avril 2005 102 Vulliet-Tavernier S., Après la loi du 6 août 2004 : nouvelle loi Informatique et Libertés, nouvelle CNIL ? , Dr. Soc., décembre 2004, p. 1055 103 Türk A., Rapport n° 218 relatif à la protection des personnes physiques à l’égard des traitements de données à caractère personnel, op. cit. 104 Rozenfeld S., Alex Türk réclame 7 millions d’euros au gouvernement, Expertises, juin 2005, p. 205



37

données sensibles étant large et d’application courante (NIR et biométrie). On peut donc

constater que la CNIL est au centre d’intérêts divergents105.

La centralisation de la CNIL, uniquement présente à Paris, conjuguée au manque de

moyens, limite donc les effets de la loi du 6 août 2004. L’autorité doit donc essayer de

simplifier ses tâches afin de dégrossir sa masse de travail. C’est l’idée du CIL, qui doit

permettre de déconcentrer l’activité de la CNIL, ainsi que l’attestent les expériences

étrangères.

§ 2 - LE CHOIX DU CIL EN EUROPE ET DANS LE MONDE

L’introduction de la notion de correspondant informatique et libertés dans le champ du

droit français est certes une novation, mais la réflexion n’est pas nouvelle en France (A). Le

choix du législateur français n’est que la consécration du choix laissé par la directive 95/46

CE. Il est donc possible de s’appuyer et de s’inspirer des systèmes existants que ce soit en

Europe (B), mais aussi dans les pays anglo-saxons ou une fonction similaire est connue (C).

� � �� ( �� ) ��

Parler du CIL comme d’une réflexion absolument originale en France est en partie

faux. Des idées du même type ont déjà pu être avancées, que ce soit pour le secteur privé (1)

afin de faire face aux problématique posées par les TIC notamment dans l’entreprise, mais

aussi dans le secteur public où la fonction est déjà présente (2).

! # � � ��

Transposition de la directive 95/46 CE, la loi du 6 août 2004 opte pour le choix du

correspondant Informatique et Libertés ainsi que le permet le texte communautaire, disposant

en son art. 18 § 2 d’un « détaché à la protection des données ». Si l’introduction de cette

105 Ledieu M.-A. et Staub A., La CNIL au carrefour de ses contradictions, C.c.e., février 2005, p. 4



38

fonction dans le droit est récente, la réflexion ne l’est pas pour autant. La CNIL avait déjà

envisagé cette fonction et ce dès 1995. A l’époque, la Commission de la rue Saint Guillaume

devait décider du régime applicable aux systèmes rédactionnels automatisés des organismes

de presse écrite et audiovisuelle. La problématique de ce dossier résidait en l’articulation de la

loi Informatique et Libertés et de la loi de 1881 garantissant la liberté de la presse106.

Lors de la séance du 24 janvier 1995107, la Commission recommande afin de dénouer

cette difficulté que dans chaque organisme de presse écrite ou audiovisuelle mettant en œuvre

à des fins journalistiques et rédactionnelles des traitements de données nominatives, soit

désignée une personne, correspondant de la CNIL, pour les questions relatives à l’application

de cette recommandation108. Cette première approche place donc la fonction comme un

correspondant « de » la CNIL, ce qui laisse sous-entendre que c’est un agent de la CNIL, ou

une personne attachée à l’autorité, qui pourrait exercer cette fonction. On peut penser que

c’est cet aspect qui a engendré une absence d’application concrète de cette recommandation.

La spécificité de la presse est aujourd’hui encore de mise puisque un chapitre spécifique de la

loi du 6 janvier 1978 a été introduit par la loi d’août 2004. Le nouveau chapitre 9, relatif aux

traitements de données à caractère personnel aux fins de journalisme et d’expression littéraire

et artistique, comportant un article unique 67, permet la désignation d’un « correspondant à la

protection des données appartenant à un organisme de la presse écrite ou audiovisuelle »

chargé de tenir un registre des traitements mis en œuvre.

Cette idée d’un correspondant sera reprise en février 2002 lors de débats sur la

cybersurveillance des salariés au sein des entreprises. La CNIL y recommande la désignation

« d’un délégué à la protection des donnés »109 qui est considéré comme pouvant devenir un

correspondant informatique et libertés dans l’entreprise, soit un an avant l’adoption par le

106 Il y avait un risque de censure dans l’hypothèse ou des particuliers demanderaient à avoir accès aux art.s rédigés sur support informatique avant publication 107 Délibération 95-012 du 24 janvier 1995 portant recommandation relative aux données personnelles traitées ou utilisées par des organismes ou utilisées par des organismes de presse écrite ou audiovisuelle à des fins journalistiques et rédactionnelles 108 Il est intéressant de noter que c’est A. Türk, alors jeune commissaire de la CNIL, qui rapportait ce dossier 109 Bouchet H., La cybersurveillance sur les lieux de travail – Partie III : Conclusions, Rapport adopté par la CNIL dans sa séance du 5 février 2002, p. 5, http://mi.cnrs-orleans.fr/News/Cnil/cyber_conclusions.pdf



39

Sénat des amendements présentés par Alex Türk110 concernant le dispositif desdits

correspondants111. Paradoxalement, la CNIL considère à la même époque que la nomination

au sein d’entreprises de « directeurs de l’intimité » chargé de faire respecter une certaine

éthique respectueuse de la vie privée comme un « effet de mode »112.

La loi du 6 août 2004 permet donc une consécration d’une réflexion déjà ancienne de

la Commission. Il faut donc considérer que la France n’a pas simplement saisi une option

offerte par la directive mais a mûri une réflexion afin de sensibiliser les responsables de

traitements aux obligations posées par la loi Informatique et Libertés, et d’assurer un respect

de ces obligations au plus près du terrain. On peut aussi souligner l’initiative prise dans

l’académie de Toulouse par un lycée qui a mis en place une Commission Locale Informatique

et Libertés (CLIL)113 dès 1994 afin de mener une réflexion sur l’incidence des nouvelles

technologies sur la vie lycéenne et diffuser une culture de la protection des données. Cette

Commission déconcentrée réunit représentants des élèves, de l’administration et experts. Plus

que de reprendre le rôle de la CNIL, cette expérience se rapproche de celle du CIL de par sa

volonté pédagogique.

Si le monde de l’entreprise n’a pas encore généralisé la présence d’une fonction

originale comme celle du CIL, même de manière informelle, rien de tel dans le secteur public

où l’on connaît des correspondants depuis plus de deux décennies.

110 Türk A., Rapport n° 218 relatif à la protection des personnes physiques à l’égard des traitements de données à caractère personnel et modifiant la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, op. cit. 111 Pour une liste complète des amendements et des débats, voir http://ameli.senat.fr/amendements/2001-2002/203/accueil.html 112 Latrive L., A client fiché, « directeur d’intimité », Libération, 27 janvier 2001, p. 6 113 Cette initiative du lycée Charles de Gaulle à Muret a été récompensée en 2004 par la CNIL http://www.cyberlycee.net/index_flash.htm



40

" ! ��

Le choix français du CIL a en vérité une double origine : une origine européenne avec

la directive 95/46 CE, mais aussi une origine française avec une circulaire du 12 mars 1993

dite circulaire Bérégovoy114. Ce texte, qui remplace et abroge une circulaire du 30 juillet 1982

prise sous l’ère Mauroy, organise la désignation, dans chaque ministère, d’un haut

fonctionnaire comme correspondant du Commissaire du Gouvernement auprès de la CNIL.

Le retour d’expérience de ce dispositif, qui a aujourd’hui plus de 20 ans, est positif. Ces

correspondants sont les portes d’entrée et de sortie des ministères et coordonnent l’instruction

des dossiers. A noter qu’il n’y a pas d’externalisation : la correspondant appartient à son

administration, ce qui pose le problème de la formation puisqu’il faut « éduquer » un agent

déjà en place. Néanmoins, il a pu être constaté un allègement du contrôle avec saisine du

Commissaire du Gouvernement uniquement quand il y a besoin d’une expertise. De plus,

l’expérience a permis un ajustement du profil du correspondant. En effet, les relations

hiérarchiques posaient un problème de dialogue. Aujourd’hui, les correspondants sont au

même rang hiérarchique que les directeurs des services juridique ou informatique. Il y a aussi

des correspondants suppléants pour assurer les liens entre les différentes directions (ce sont

eux les opérationnels). Enfin, l’aspect politique n’est pas absent au sein des ministères : des

dossiers peuvent avoir des impacts médiatiques. Il y a des responsables au niveau des cabinets

pour parer à l’urgence. On peut donc mettre en place deux correspondants, l’un plus

« juridique » qui s’occupe au quotidien des données, l’autre plus « politique », qui aurait

plusieurs casquettes. La circulaire Mauroy de 1982 pose un correspondant par service et un

correspondant par cabinet, principe repris par la circulaire de 1993. L’expérience

administrative a su trouver un dosage subtil entre préservation de la vie privée, respect de la

loi et maîtrise de l’image médiatique.

Si le CIL de l’art. 22 III doit être encadré et définit, il n’en reste pas moins que la

question d’une régulation par l’interne est menée depuis plus de 10 ans par la Commission, ce

114 Circulaire du 12 mars 1993 relative à la protection de la vie privée en matière de traitements automatisés : application aux administrations et à l’ensemble du secteur public de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés ; rôle des ministères et coordination par le commissaire du Gouvernement auprès de la Commission Nationale de l’informatique et des liberté, JORF du 17 mars 1993, p. 4137, disponible à l’adresse http://www.legifrance.gouv.fr/imagesJO/1993/041/JO199304137.pdf



41

qui prouve son pragmatisme tout en soulignant son manque d’auditeurs, les mesures ayant été

peu appliquées. Pour autant, le CIL français, même s’il s’inscrit dans une logique menée par

la CNIL, peut s’appuyer sur les expériences menées à l’étranger pour connaître un statut avec

de solides bases, la fonction étant pour l’heure sujette à cautions et à interrogations.

L’existence de personnes exerçant les fonctions de détachés à la protection des données se

retrouve en effet dans plusieurs pays en Europe. Les pays anglo-saxons connaissent également

un système d’autorégulation qui peut être apporté à la réflexion sur le CIL.

� � �* ��* � ��

Plusieurs systèmes déjà mis en place peuvent inspirer le CIL à la française. En premier

lieu, on peut considérer les délégués européens (1) et le dispositif allemand (2) sont des

modèles du genre. Pourtant, les correspondant mis en place aux Pays-Bas (3), en Suède (4) et

dernièrement au Luxembourg (5) font preuve de spécificité dont l’étude s’avère instructive à

l’heure de la mise en œuvre du correspondant Informatique et Libertés, de même que les

systèmes approchants connus au sein de pays membres de l’Union européenne (6).

! �� $ � ��

� � ��

Mesure incitative ou séduites par le projet de la directive « Protection des données »,

les Communautés européennes connaissent une fonction de régulation pour leurs traitements

de données. Elles s’en sont dotées par un règlement du 18 décembre 2000115, dont le régime

est défini par une décision du Conseil du 13 septembre 2004116. L’art. 24 du règlement dispose

que « Chaque institution et organe communautaire désigne au moins une personne comme

115 Règlement (CE) n° 45/2001 du Parlement et du Conseil du 18 décembre 2000 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les institutions et organes communautaires et à la libre circulation de ces données, JOCE L 8 du 12 janvier 2001, p. 1 http://europa.eu.int/eur-lex/pr§ 1 -fr/oj/dat/2001/l_008/l_00820010112fr00010022.pdf 116 Décision 2004/644/CE du Conseil du 13 septembre 2004 portant adoption des dispositions d’application en ce qui concerne le règlement (CE) n° 45/2001, JOUE L 196 du 21 septembre 2004 p. 16 http://europa.eu.int/eur-lex/pr§ 1 -fr/oj/dat/2004/l_296/l_29620040921fr00160022.pdf rectifiée le 14 octobre 2004, JOUE L 315 p. 54 http://europa.eu.int/eur-lex/pr§ 1 -fr/oj/dat/2004/l_315/l_31520041014fr00540054.pdf



42

délégué à la protection des données » et ce pour un mandat de deux à cinq ans renouvelable

dans la limite de 10 ans, afin d’assurer une indépendance. Ces délégués doivent être notifiés

au Contrôleur européen à la protection des données117, institution prévue à l’art. 286 CE118, et

dont le rôle a été défini par une décision du 1er juillet 2002119. Ce Contrôleur joue en quelque

le rôle de « CNIL » au sein des Communautés européennes.

Les délégués veillent eux à ce que les responsables de traitement et les personnes

concernées soient informés de leurs droits et obligations et assurent l’application interne de

ces obligations. Ils ont un devoir de coopération avec le Contrôleur européen et doivent lui

notifier tous les traitements présentant des risques. A cette activité de contrôle est associée

une mission de conseil auprès des responsables de traitement, pouvant être saisis directement

sur toute question relative à la protection des données. Leurs activités font en outre l’objet

d’un rapport annuel.

" ! �� % � �� &� � � � ��

C’est à la demande expresse de l’Allemagne qu’un détaché à la protection des données

a été aménagé par la directive 95/46 CE. L’Allemagne tenait à conserver une institution qui

lui donne satisfaction, le Datenshutzbeauftragter (DSB) ou détaché à la protection des

données. Le DSB est très répandu dans le secteur privé où il existe depuis 1977. Sa

désignation est obligatoire pour toute entreprise employant plus de cinq personnes pour

traiter, collecter et utiliser les données à caractère personnel120. Il est aussi présent dans le

secteur public. L’Allemagne connaît pourtant une déconcentration de l’autorité de contrôle

117 A la date de juin 2004, le poste de Contrôleur était occupé par Peter Johan Hustinx, http://www.edps.eu.int/ 112 L’art. 286 CE dispose qu’avant le 1er janvier 1999 « le Conseil, statuant conformément à la procédure visée à l'art. 251, institue un organe indépendant de contrôle chargé de surveiller l'application desdits actes communautaires aux institutions et organes communautaires, et adopte, le cas échéant, toute autre disposition utile. » 119 Décision n° 1247/2002/CE du Parlement européen, du Conseil et de la Commission du 1er juillet 2002 relative au statut et aux conditions générales d'exercice des fonctions de contrôleur européen de la protection des données, JOUE n° L 183 du 12 juillet 2002, http://europa.eu.int/eur-lex/pr§ 1 -fr/oj/dat/2002/l_183/l_18320020712fr00010002.pdf 120 Le seuil est de vingt personnes lorsque le traitement des données est manuel



43

puisque aux côtés de l’autorité fédérale, il existe une autorité par Land. C’est le DSB qui a

fortement contribué à l’intégration des règles par ceux censés les mettre en œuvre, le détaché

étant de par sa proximité un interlocuteur privilégié et facilement accessible pour la personne

souhaitant faire valoir ces droits. Ce succès allemand, dont la directive s’inspire fortement, se

fonde principalement sur une culture de la cogestion, inconnue en France ce qui peut laisser

penser que cette solution se heurte en France à de sérieuses difficultés, tenant pour partie à

l’indépendance du CIL. Le rapport Braibant proposait d’ailleurs que cette institution ne soit

pas transplantée en France121. Le DSB est l’exemple même de l’autorégulation puisque

l’autorité de contrôle n’a pas un rôle majeur dans le réseau des DSB. Des groupes se sont

créés, comme le GDD122, association des DSB, pour établir des codes de bonnes pratiques.

' ! ��

Les Pays-Bas ont effectué une importante refonte de leur loi relative à la protection

des données en 1999123 lorsqu’ils ont transposés la directive 95/46 CE. La désignation d’un

détaché à la protection des données, localement nommé functionaris gegevenbesherming

(FG), a été rendue possible pour les entreprises privées comme publiques. Le FG a pour

mission générale de tenir un registre et de contrôler l’application de la loi sur la protection des

données à caractère personnel, ce qui ne le différencie pas du DSB allemand. Dans le

dispositif hollandais, le FG est placé à l’égal de l’autorité de contrôle : les déclarations

existent toujours mais sont envoyés au FG, en lieu et place de la « CNIL » locale. Il y a de la

sorte un autocontrôle, ce qui va au-delà de la régulation par soi-même. L’autorité retrouve

néanmoins une place plus importante dans l’animation d’un réseau des FG. Un recensement

des personnes désignées est ainsi disponible sur le site de l’autorité de contrôle124.

121 Braibant G., Données personnelles et société de l’information, op. cit. p. 72 122 Pour consulter leur site : www.gdd.de 123 Wet besherming persoonsgegevens n° 25892, 23 novembre 1999, op. cit.



44

( ! �� $ ��

La loi du 2 août 2002125 permet la désignation par les responsables d’entreprises,

professionnels, associations et administrations opérant des traitements de données à caractère

personnel de désigner un chargé de la protection des données126 dont le régime juridique est

fixé par le règlement grand-ducal du 27 novembre 2004127. Ce chargé a une double

particularité. Il est obligatoirement extérieur à l’organisme mais cette externalisation nécessite

d’être agréé par la Commission nationale pour la protection des données. Le chargé ainsi

accrédité a pour mission de tenir une liste des traitements à la charge du responsable en

contrepartie d’une dispense de déclaration. Une liste de ces chargés est disponible pour le

public128. L’agrément posé par la Commission afin de vérifier l’aptitude des candidats au

poste de chargé de la protection des données fait jouer à l’autorité un rôle important dans la

mise en place de ce dispositif. Il y a ici un véritable « ménage à trois » qui ne semble pas

avoir dissuadé les responsables de traitements.

) ! �� # � ��

Le Personuppgiftsombud, que l’on peut traduire comme étant le représentant aux

données personnelles, est une fonction créée par la loi du 29 avril 1998129 transposant la

directive 95/46 CE. La personne exerçant cette fonction dispose d’un pouvoir de saisine de

l’autorité de contrôle suédoise en cas de doute sur un dossier ou lorsqu’elle suspecte le

124 Pour consulter cette liste : http://www.cbpweb.nl/indexen/ind_reg_fgreg.stm?refer=true&theme=purple 125 Loi du 2 août 2002 relative à la protection des personnes à l'égard du traitement des données à caractère personnel, op. cit. 126 Voir art. 12 (3) (a) et 40 127 Règlement grand-ducal du 27 novembre 2004 concernant le chargé de la protection des données et portant exécution de l’art. 40, paragraphe (10) de la loi du 2 août 2002 relative à la protection des personnes à l’égard du traitement des données à caractère personnel, Mémorial A-2004-200 du 20 décembre 2004, p. 2956, http://www.legilux.public.lu/leg/a/archives/2004/2002012/2002012.pdf 128 Disposition prévue à l’art. 2 (1) du règlement grand-ducal précité. La liste est consultable avec ce lien http://www.cnpd.lu/chargesagrees.pdf 129 Personuppgiftslag (1998 : 204), disponible en anglais à l’adresse suivante : http://www.datainspektionen.se/pdf/ovrigt/pul-eng.pdf



45

responsable de traitement de contrevenir à la loi et de ne pas rectifier ces abus. Elle doit

pouvoir exercer sa fonction en toute indépendance, et dans le cadre de bonnes pratiques. Il y a

donc un aspect déontologique inscrit dans la loi. La Datainspektionen, organe de contrôle

suédois, offre de surcroît des formations et un contact unique pour chaque

personuppgiftsombud.

* ! �� + � �� , � ��

La République de Malte a dû amender sa législation afin d’intégrer l’Union

Européenne en 2004130. Le Data Protection Act de 2001131 permet au responsable de

traitement de nommer un personal data representative (PDR) dont le statut est fixé aux points

30 à 35, en tant qu’exemption aux formalités préalables. A l’instar du Personuppgiftsombud

suédois, le PDR peut saisir l’autorité maltaise lorsque le responsable de traitement semble

contrevenir à ses obligations légales à l’égard de la protection des données. Dans les deux cas,

suédoises et maltaises, on a donc l’impression que le délégué à la protection des données a un

rôle de délateur, un ”oeil de Moscou” au sein de l’organisme. C’est la raison pour laquelle la

Commission à la protection des données de Malte réfléchit à l’établissemnent d’un guide des

bonnes pratiques et à l’orientation à donner quant aux qualifications dont le PDR devrait être

doté132.

D’autres Etats connaissent des fonctions voisines. Ainsi en est-il de la Slovaquie qui

s’est dotée d’une loi relative à la protection des données à caractère personnel en 2002133. Le

paragraphe 19 pose le principe d’un zodpovená que l’on peut traduire comme étant un officier

à la protection des données. Cette fonction est envisagée comme un outil de surveillance et de

sécurité pour les données traitées – le paragraphe 19 étant incrit dans le chapitre 2 de la loi

130 Malte a intégré l’Union européenne le 1er mai 2004 aux côtés de 9 autres Etats d’Europe centrale et de l’Est 131 Data protection Act, Chapter 440 of the laws of Malta, Act XXVI of 2001, http://www.dataprotection.gov.mt/filebank/documents/DataProtectionAct.pdf 132 http://www.dataprotection.gov.mt/p..asp?p=1392&l=1 133 Zákon �. 428/2002 Z. z. o ochrane osobných údajov http://www.dataprotection.gov.sk/buxus/docs/Uplne_znenie_428_2002_uplne_znenie.pdf consultable en anglais http://www.dataprotection.gov.sk/buxus/docs/act_428.pdf



46

traitant de la sécurité des données – et dont tout responsable de traitement peut se doter si cinq

personnes au minimum sont employées134. Le responsable de traitement doit pouvoir justifer

auprès de l’Office à la protection des données, l’autorité de contrôle slovaque, de la

compténce de la personne qu’il nomme pour remplir la fonction de zodpovená. De plus, il faut

noter la particularité de la législation slovaque et de l’aspect sécuritaire de la fonction puisque

l’art. 19 (12) impose que la personne exerçant cette fonction de suveillance fasse preuve de

son intégrité en soumettant à l’Office un extrait du registre criminel.

Des fonctions voisines de celle de détaché à la protection des données existent au delà

des frontières de l’Union européenne, avec parfois même plus de précocité. C’est le cas dans

les pays anglo-saxons.

� �� +� �� # �� ,��

La directive 95/46 CE a permis le déploiement au sein de l’espace communautaire de

la fonction de détaché à la protection des données dont le CIL est la dernière illustration

actuellement. Des similitudes peuvent être soulignées avec le poste de Chief Privacy Officer

(CPO) présent dans les organismes anglo-saxons, mais la formule est différente. D’une part,

les législations n’abordent pas ces fonctions : elles sont nées de la pratique, de la nécessité de

garantir un niveau minimum de sécurité quant aux données à caractère personnel traitées.

D’autre part, là où les pays européens recherchent une protection efficace des données

traitées, le CPO a une finalité plus déontologique et publicitaire. Sa présence a pour but de

rassurer les consommateurs suite aux divers scandales à l’instar de celui ayant touché

DoubleClick. La privacy135 n’est pas alors une nécessité morale ou éthique, mais économique

puisqu’elle permet de mieux vendre136 et de fidéliser le consommateur.

134 Voir l’art. 19 (2) 135 La privacy est une notion complexe à définir. Elle peut être formulée ainsi : « Privacy is the ability of an individual or group to stop information about themselves from becoming known to people other than those they choose to give the information to. » (source : http://en.wikipedia.org/wiki/Privacy). Pour un regard prospectif sur la définition de la privacy, voir Privacilla’s two part definition of privacy disponible à l’adresse : http://www.privacilla.org/fundamentals/privacydefinition.html 136 Pierson H., Privacy is good for business, interview dans laquelle la CPO de la société IBM donne son avis sur l’introduction de la notion de privacy dans les entreprises : “businesses need to go out of their way to establish trusted relationships with consumers. A strong, clearly communicated privacy policy is an effective way to win that trust. And maintaining that policy over time allows companies to build trust into long-term relationships”



47

La profession de CPO date de 1999 lorsque Ray Everett-Church137 se présente comme

exerçant cette fonction au sein d’une société nommée AllAdvantage.com138. Le CPO est alors

défini comme le membre d’une équipe chargé d’assurer que les attentes des usagers à propos

des pratiques de protection de la vie privée soit honorées. La forte médiatisation de l’affaire

DoubleClick et surtout la symbolique qu’elle construit autour des menaces sur la vie privée

des internautes et des consommateurs amènent à une émergence des CPO comme outil de

gestions des risques au sein de l’entreprise139. Le CPO est surtout présent dans les

multinationales : l’absence d’encadrement légal ou de code de bonne conduite le relègue plus

vers un avantage commercial et un renforcement de la compétitivité que de sauvegarde

effective de la vie privée et de pédagogie autour des notions de protection des données

traitées. Néanmoins, la profession permet de centraliser les questions relatives à la gestion des

données à caractère personnel afin de maîtriser les risques et éviter toute action en justice de

la part d’un individu lésé.

Alors que la France met en place son CIL, la pluralité de modèles existants peut

permettre d’effectuer des choix dans l’orientation à donner à cette nouvelle fonction. Dans le

cadre des pays européens, on observe une modulation de la fonction aux spécificités de

chaque pays, la transposition de la directive 95/46 CE ayant donné lieu à interprétations de la

part des législateurs nationaux. Pouvant se décliner du conseil au surveillant au sein de

l’organisme, la multiplicité des rôles pouvant être attachés à la fonction nécessite un

encadrement. La réflexion autour du CIL français doit pouvoir se nourrir utilement des

expériences étrangères afin d’être mis en place efficacement. A ce titre, la rédaction du décret

d’application de la loi du 6 août 2004 fait montre de prudence puisque plus d’un an aura été

http://www.306.ibm.com/e-business/ondemand/us/customerloyalty/harriet_pearson_interview.shtml 137 Ray Everett-Church revendique toujours être le premier CPO au monde notamment sur son site www.everett.org 138 AllAdvantage était une société spécialisée dans le profilage d’internautes ; en l’échange de données personnelles qui étaient achetées par des sociétés tierces, AllAdvantage reversait aux internautes une indemnité pécuniaire. L’internaute profilé voyait des bandeaux publicitaires apparaître sur son écran en fonction de son profil. Pour plus de renseignements, voir Grenier F., Le surf rémunéré ne paye plus, www.01net.com, 13 octobre 2000 139 Sur le déploiement des CPO, voir Garnier F., L’émergence des Chief Privacy Officer, www.cecurity.com, juillet 2004



48

nécessaire pour publier le texte. Néanmoins ce texte ne saurait répondre à toutes les

interrogations et un regard prospectif autour de la notion de CIL doit être envisagé.



49

��

��

La directive du 24 octobre 1995 et la loi Informatique et Libertés ont un point

commun : elles ont pour philosophie que la protection des données à caractère personnel,

donc le droit à la vie privée140, est un droit fondamental141. Or, par manque de flexibilité, le

modèle traditionnel de législation à portée générale ne trouve pas à s’appliquer à des

problèmes et des contextes spécifiques, ce qui ne permet pas aux législateurs de répondre à

des questions circonstanciées142. C’est un souci d’efficacité, de pragmatisme et d’effectivité

qui est ici en cause. Il n’est pourtant pas envisageable de modifier la loi à chaque apparition

de nouvelle technique. D’où le recours à de nouveaux modes de régulation comme le CIL.

L’énoncé de grands principes ne suffisant plus, le CIL fait partie d’une nouvelle approche

régulatrice consistant en la prise en compte de la spécificité des réseaux et des moyens

informatiques. La loi n’y apparaît plus comme imposant un dispositif, mais comme offrant

des possibilités de réponse, afin d’accompagner et de faire participer les acteurs dans un sens

unique, celui de la protection des données à caractère personnel.

Cet encadrement, non plus par le haut mais en commun, est le signe d’une

autorégulation à laquelle le CIL vient apporter un soutien important (Chapitre I). Limiter ce

processus à la fonction issue de l’art. 22 de la loi Informatique et Libertés serait être

minimaliste : le CIL coexiste avec d’autres instruments, ce qui le place dans un contexte

concurrentiel (Chapitre II).

140 Pour un contour de la notion, voir Dreyer E., Le respect de la vie privée, objet d’un droit fondamental, C.c.e, mai 2005, p. 21 ainsi que Maitrot de la Motte A., La réforme de la loi Informatique et Libertés et le droit au respect de la vie privée, AJDA, 29 novembre 2004, p. 2269 141 Rappelons que l’art. 1 de la loi du 6 janvier 1978, qui n’a pas été modifié par la loi du 6 août 2004, dispose que « l’informatique doit être au service de chaque citoyen. (…) Elle ne doit porter atteinte ni à l’identité humaine, ni aux droits de l’homme, ni à la vie privée, ni aux libertés individuelles ou publiques ». Outre Atlantique, le positionnement n’est pas le même puisque la privacy est considérée comme un droit moral, mais pas fondamental. En ce sens, voir Privacy : a right or something else ? , disponible sur le site http://www.privacilla.org/fundamentals/privacyright.html 142 Voir supra p. 33 s.



50

� �!��"#��#��$%&� '�(!'%"�)�%�'"#*%��'&

L’encadrement de la protection des données à caractère personnel par les parties elles-

mêmes n’est conçu pour l’heure que comme une alternative. Si le droit a pour charge de

réguler et non d’entraver, la rapidité de l’évolution des techniques oblige à une prise en

considération des aspirations des parties issues de la pratique. Les volontés particulières ne

peuvent pourtant l’emporter sur toutes, le CIL demeure la traduction d’un choix et d’une

volonté (Section I). Si l’alternative à la régulation législative apparaît comme intéressante,

encore convient-il de s’assurer de la teneur des attributions placées entre les mains du CIL.

Est-il un bras armé venant renforcer le contrôle ou un véritable organe de simplification ? Il

s’agit donc de dessiner le contour de ses missions (Section II). Dans toutes les hypothèses, il

ne représente qu’une alternative. En ce sens, le CIL doit trouver une articulation tangible avec

ce qui demeure le principe à savoir le contrôle exercé par la CNIL (Section III).

�� , ��

La mise en place du dispositif de correspondant Informatique et Liberté traduit

l’appropriation d’une option. Ce choix est alors la traduction d’un opportunisme dans la

régulation des données (§ 1). Néanmoins, une fois désigné, encore convient-il de lui assigner

une place par rapport à l’organisme (§ 2).

§ 1 - L’OPPORTUNISME DE LA DESIGNATION D’UN CIL

Placée sous le signe d’un renforcement de l’application des règles légales et d’un

anéantissement des risques potentiels susceptibles d’effrayer les individus, la désignation d’un

CIL est sujette à une importante souplesse : elle est à la fois facultative (A) et largement

ouverte (B).



51

� � �- ��

Désigner un CIL, c’est en faire le choix : seuls les organismes désireux de procéder à

une autorégulation peuvent se doter d’un correspondant. Il appartient ainsi à chaque

responsable de traitement de savoir s’il a besoin ou non d’un CIL. Le choix d’une désignation

optionnelle est présent dans les autres législations sauf en Allemagne, dispositif phare en la

matière, qui rend la désignation d’un DSB obligatoire, suivant certains seuils en ce qui

concerne le secteur privé143. Si la désignation obligatoire a l’avantage de créer un maillage de

correspondants propre à répondre au plus près aux problématiques concernant le traitement

des données à caractère personnel, il est aussi source d’inconvénients puisqu’il est parfois

plus difficile de retrouver une volonté de satisfaire à une effectivité du contrôle et du respect à

la vie privée, plutôt que de répondre à une désignation formelle obligatoire144.

L’option et la liberté de choix laissées aux organismes ont donc pour avantage de

laisser s’affirmer l’esprit d’ouverture et la sensibilisation aux questions touchant à la

protection des données à caractère personnel. A la liberté de choix doit coïncider qualité du

travail des CIL, et donc une protection renforcée du respect des obligations posées par la loi

Informatique et Libertés. Reste à déterminer qui peut désigner un CIL.

� � �- �� , �� "�� +� �� $��# � ��

La philosophie de la loi du 6 août 2004 est de limiter la distinction entre les

traitements du secteur public et ceux du secteur privé, même si certaines le sont par la force

des choses, l’Etat ayant des prérogatives de puissance publique marquant une spécificité dont

la loi Informatique et Libertés doit tenir compte. Néanmoins, la frontière entre public et privé

tend à s’estomper, le CIL en étant un exemple convaincant. La désignation est ouverte à tout

responsable de traitement de données à caractère personnel, défini comme « la personne,

143 Voir supra p. 42 144 Voir Métallinos N., La fonction de « détaché à la protection des données » en Allemagne et aux Pays Bas, Dr. Soc., n° 12, décembre 2004, p. 1066



52

l’autorité publique, le service ou l’organisme qui détermine »145 les finalités et moyens du

traitement. La désignation est donc ouverte aux entreprises, collectivités, associations, etc.

Cette ouverture est connue des autres systèmes mis en œuvre en Europe. Si elle est

souhaitable, est-elle pour autant réaliste ? En France, on a pu voir que les ministères disposent

déjà de leurs correspondants placés sous le contrôle du Commissaire au Gouvernement

attaché à la CNIL. Il n’est pas certain que ces correspondants déjà en place voient leur statut

évoluer vers celui de CIL. Quant aux collectivités, leur manque de moyens ne laissent pas

entrevoir la possibilité pour elles de se doter d’un CIL dont le coût financier devrait être

important. Il exige en effet la mise en place d’un service et donc d’une réorganisation en

interne, et son salaire devrait s’avérer important. Sauf à mutualiser les compétences, il faut

donc entrevoir la position du CIL par rapport à l’organisme pour dégager des solutions face à

ces interrogations.

§ 2 - LE POSITIONNEMENT DU CIL PAR RAPPORT A L’ORGANISME

La question du positionnement du CIL par rapport à l’organisme l’ayant désigné est

d’importance puisqu’elle peut être déterminante dans le succès du CIL. Aux réponses

apportées pourront découler un panel de solutions pour les organismes voulant faire le choix

du CIL. Si la personne désignée peut être un salarié de l’organisme (A), la question porte

surtout sur le fait de savoir si ses prestations peuvent être externalisées dans un processus de

mutualisation des compétences (B).

� � �� .��

A la lecture de la directive 95/46 CE et de la loi du 6 août 2004, il semble que le CIL

soit par principe un salarié du responsable de traitement. L’art. 22 III dispose même en son al.

3 que le CIL « ne peut faire l’objet d’aucune sanction de la part de l’employeur du fait de

l’accomplissement de ses missions ». Parler d’employeur, c’est faire référence à un contrat de

travail, de même que l’usage de sanction, ou plutôt de l’absence de sanction en l’occurence,

145 Art. 3 de la loi du 6 janvier 1978 op.cit.



53

qui est caractéristique du pouvoir hiérarchique, donc l’existence d’un lien de subordination,

élément fondamental de l’existence d’un contrat de travail. Il est à noter que la fonction ne fait

pas l’objet d’une protection autre que celle d’une absence de sanction. En d’autres termes, le

CIL n’est pas un salarié protégé, comme peuvent l’être les délégués du personnel, les

membres du CHSCT, etc. Ce refus peut s’expliquer par la volonté de respecter l’esprit de

simplification qui anime le dispositif de CIL. Doter le CIL du statut de salarié protégé, c’est

réglementer une nouvelle profession, ce qui alourdit le dispositif.

La présomption de salarié tirée des textes pour l’exercice de la fonction de CIL est de

bon sens. Chargé de l’application des dispositions légales au cœur de l’organisme, sa

connaissance du milieu professionnel au sein duquel il évolue, des us et méthodes du

responsable de traitement, qui sont indispensables à une bonne conduite d’une protection des

données à caractère personnel, sont plus facilement envisageables avec un CIL salarié. A

l’inverse, il pourrait être souligné que la rémunération d’un tel spécialiste n’est pas à la portée

de tous, notamment s’agissant des petites structures, publiques ou privées. La question des

compétences est également en jeu146. L’expérience allemande, ou l’externalisation est

possible, prouve même que l’apport d’un point de vue extérieur à l’entreprise ou à la

collectivité est souvent mieux reçu, car considéré par tous comme plus neutre. Le statut à

donner au CIL a donc une répercussion sur le dialogue d’entreprise qui n’est pas un point

négligeable puisque catalyseur du succès ou du déclin du CIL.

� � �� , ��

En l’espèce, l’appel à un prestataire externe répond à une condition de seuil maximal

(1) même si des dérogations correspondant à des particularismes sont à envisager (2).

1. ��

Le CIL peut-il être externalisé ? Force est de le constater, la volonté d’augmenter les

marges peut conduire à externaliser certaines tâches, notamment lorsqu’il s’agit d’un domaine

146 Voir infra p. 101 s.



54

expert ou le niveau de spécialisation élevé exige le recours à des initiés147. Cette méthode peut

poser certaines difficultés : suivant la taille de l’organisme, l’effectivité du travail du CIL ne

sera pas la même. En ce sens, si les petites structures auraient la possibilité d’y recourir, la

solution ne semble pas opportune pour les grandes entreprises, dont on peut supposer que le

nombre de traitements est plus important, ce qui exige une implication plus forte. De plus,

laisser le soin à un tiers d’accéder à des données confidentielles mises en œuvre peut susciter

les craintes du dirigeant148. L’information représente en effet la richesse de l’entreprise.

L’appel à un spécialiste extérieur, à l’instar du commissaire aux comptes, représente un

surcoût important et peut freiner les appels à ce type de prestation. Il s’agit donc de

déterminer avec précision la balance des coûts avantages. De plus, la loi, comme on vient de

le voir, fait d’abord référence à un salarié.

Pour autant, le projet de décret prévoit l’externalisation de la fonction de CIL, mais

sous conditions de seuil. Ainsi, le CIL pourrait être une personne morale ce qui laisse

entrevoir la création de nouveaux emplois dans ce secteur. L’externalisation serait alors

ouverte à des sociétés spécialisées en la matière, mais aussi à des cabinets d’avocats,

d’experts comptables, d’informaticiens par exemple. Le risque de ce type d’externalisation est

la perte de visibilité pour la CNIL qui n’aurait plus comme point de contact qu’une personne

morale, et non une personne physique identifiée, ce qui ne va pas dans le sens du dialogue, tel

que souhaité par le législateur. Le projet de décret limite cette externalisation : « lorsque plus

de cinquante personnes sont chargées de la mise en oeuvre ou ont directement accès aux

traitements ou catégories de traitements automatisés pour lesquels le responsable entend

désigner un correspondant à la protection des données à caractère personnel, seul peut être

désigné un correspondant exclusivement attaché au service de la personne, de l’autorité

publique ou de l’organisme, ou appartenant au service, qui met en œuvre ces traitements ».

L’importance des moyens humains est ici prise en compte dans la définition d’un seuil

limite à l’externalisation. La définition d’un seuil a pour but de rendre le travail du CIL le

plus effectif possible. De plus, on peut imaginer que cette mesure est incitative pour les petites

147 Voir Barthélémy J.et Quélin B., L’externalisation stratégique, www.lesechos.fr, 2005 148 Sur les dangers de l’externalisation en général, voir Billet F. et Jarrige A.-S., Externalisation : attention danger, Le Point, 9 septembre 2004, p. 84



55

structures qui ont ainsi la possibilité de recourir aux services d’un expert sans engager de frais

autres que celui de la prestation.

2. ��

Des hypothèses intermédiaires posent néanmoins problèmes : quid des groupes de

sociétés, des communautés de communes ou des groupements d’intérêt économique ? Dans

les groupes de sociétés, on peut envisager qu’un correspondant soit nommé pour le groupe

entier ou qu’il faille un correspondant par filiale. La question se pose dans les mêmes termes

pour les collectivités. En Allemagne, les plus petites d’entre elles ont la possibilité de se

regrouper pour désigner un détaché commun. Cette idée pourrait être reprise dans le système

français pour aider les plus petites collectivités à respecter les obligations légales149 aux côtés

d’un expert. L’esprit de la loi et de la directive étant en faveur de la souplesse, la pratique

devrait pouvoir permettre des réponses favorables à de tels « montages ».

Le projet de décret évoque néanmoins ces questions, mais dans le cadre d’un

dérogation au seuil limitant l’externalisation de la fonction précédemment évoquée. Les

solutions envisagent les hypothèses de groupe de sociétés, tel qu’entendu par l’art. L. 233-3

du code de commerce, les groupements d’intérêt économique mais aussi les organismes

professionnels. Dans ces trois hypothèses, et sans condition de seuil, un CIL peut être désigné

sans être salarié du responsable lui-même s’il appartient au « groupe ». La dernière hypothèse

permet par exemple à des professionnels de recourir à un CIL mandaté par une CCI auquel

l’organisme appartiendrait. Il y ici une prédominance du secteur privé dans les aménagements

apportés. Les collectivités publiques semblent une nouvelle fois lésées par une absence

d’identification de leurs difficultés, et donc de solutions, même si la troisième hypothèse peut

leur être appliquée.

149 Voir Marquis J.-C., Expériences et évaluation des politiques menées par les collectivités locales, témoignage d'un maire, colloque « Administration électronique et qualité des prestations administratives : Analyses des processus concrets d'adaptation du service public » Université de Lille 2, disponible à l’adresse suivante : http://droit.univ-lille2.fr/eadministration/colloque/IMG/doc/marquis.doc



56

Si le CIL est une question d’opportunisme, le libre choix est toutefois assorti d’une

mesure incitative : le CIL est vecteur d’une simplification administrative et d’un recul de la

bureaucratie. Reste à déterminer dans quelles conditions et sous quelles formes.

��

La directive 95/46 CE inscrit le CIL dans une démarche de simplification et

d’exonérations de certaines formalités déclaratives150. En disant cela, on ne dit rien. Le CIL

n’est-il qu’une niche à exonération ou sa tâche est-elle plus vaste et importante dans le

paysage de la protection des données à caractère personnel (§ 1) ? Quelles sont les garanties

de transparence apportées pour assurer une protection efficace de ces données dans le passage

à l’autorégulation (§ 2) ?

§ 1 - LES MISSIONS DU CIL

A la lecture des textes, le CIL emporte dispense de certaines formalités préalables à la

mise en œuvre de traitements. Si cette tâche bouleverse les mentalités, elle ne présente que

peu d’avancées pour le responsable de traitement (A). Il faut aller au-delà du texte pour

envisager le rôle du CIL dans la protection des libertés individuelles (B), ce qui laisse

entrevoir que la fonction a un champ d’action extensible, plus ouvert à la pratique qu’à la

rigueur d’un encadrement textuel (C).

150 Voir l’étude de droit comparé du G29 sur l’obligation de notification et les dispenses mises en place, Article 29 Working Party report on the obligation to notify the national supervisory authorities, the best use of exceptions and simplification and the role of the data protection officers in the European Union, 18 janvier 2005, disponible à l’adresse : http://europa.eu.int/comm/justice_home/fsj/privacy/docs/wpdocs/2005/wp106_en.pdf



57

� � �- �� $� ��

La directive « Protection des données » définit en termes très généraux la mission du

détaché. Ce dernier est en effet chargé de veiller à l’application des dispositions nationales

prises en application de la directive. L’article 18 de la directive 95/46 CE dispose que les

États membres peuvent prévoir une simplification de l’obligation de notification ou une

dérogation à cette obligation lorsque le responsable de traitement désigne un « détaché à la

protection des données à caractère personnel chargé notamment d’assurer, d’une manière

indépendante, l’application interne des dispositions nationales prises en application de la

présente directive, de tenir un registre des traitements effectués par le responsable du

traitement, et garantissant de la sorte que les traitements ne sont pas susceptibles de porter

atteinte aux droits et libertés des personnes concernées ». L’action du CIL s’inscrit donc dans

une démarche de dispense et de simplification (1) compensée par la tenue d’un registre (2).

Toutefois, la définition de ses fonctions peut être formulée de façon négative puisque ce

champ d’action est limité (3).

! ��

Le dispositif d’autorégulation qui peut être mis en place par la désignation d’un

correspondant poursuit un objectif d’allégement des formalités. C’est d’ailleurs cette mission

qui est reprise dans la loi du 6 août 2004. Ce qui peut paraître pour un avantage n’est en fait

qu’un apport bien maigre. Ainsi, pour Alain Bensoussan, l’intérêt premier du CIL est que sa

désignation emporte dispense des frais postaux liés à l’envois des déclarations à la CNIL151. Il

est vrai qu’au premier abord, le CIL n’augure pas d’un intérêt fourni. Les régimes

d’autorisations préalables et de demandes d’avis ne pouvant être soumis à dispense, on peut

s’interroger sur l’utilité pour l’organisme de ne pas avoir à déclarer ses traitements auprès de

la CNIL. Or, limiter l’action du CIL à la dispense de l’accomplissement des formalités

préalables n’est qu’entrevoir une partie de ses missions. Le système de protection des données

à caractère personnel est plus vaste. De nombreuses obligations pèsent sur le responsable de

151 Propos tenus lors des premières assises de l’AFCDP à l’Ecole Nationale de la Magistrature à Paris le 21 avril 2005.



58

traitement : assurer la sécurité des données, un droit d’accès, de rectification, de suppression

ou d’opposition, informer sur les traitements mis en œuvre, assurer le respect de la finalité du

traitement et de la durée de conservation des données. Ces devoirs sont pénalement

sanctionnés s’ils ne sont pas respectés. La CNIL possède à ce titre un pouvoir de sanction

pécuniaire important depuis la réforme du 6 août 2004, et affiche une volonté d’y recourir.

La mise en place d’une politique de protection des données à caractère personnel au

sein d’un organisme ne va donc pas de soi. Il faut mener une réflexion sur les usages des

données qui sont mis en place et la méthode à suivre pour assurer un respect des obligations

légales en la matière. Il faut donc envisager le CIL non comme un outil mais comme un acteur

de l’organisme, un « Monsieur Informatique et Libertés » pourrait-on dire, capable, par ses

conseils et ses recommandations, d’éclairer l’organisme pour lequel il travaille en matière de

protection des données à caractère personnel.

" ! ��

Si l’organisme ayant fait le choix de désigner un CIL est dispensé de déclarations, il

serait pourtant faux de croire que cela autorise la triche en matière de respect de la loi du 6

janvier 1978. L’art. 22 prévoit en effet que le CIL a une obligation de rendre compte de son

activité. Pour se faire, il doit établir une liste des traitements mis en œuvre par le responsable

de traitement et qui sont à sa charge, et la rendre immédiatement accessible à toute personne

en faisant la demande, sans qu’aucune motivation ne soit à formuler, et ce à titre gratuit. La

loi assure donc une transparence du dispositif : si la CNIL perd en quelque sorte la main sur

les traitements mis en œuvre, un suivi peut être effectué par la mise en place de cette liste.

Le projet de décret établit la liste des indications devant être portés sur cette liste :

• Les noms et adresse du responsable de traitement et, le cas échéant, de son

représentant ;

• La ou les finalités de traitement ;

• Le ou les services chargés de le mettre en œuvre ;

• La fonction de la personne ou le service auprès duquel s’exerce le droit d’accès et de

rectification ainsi que leurs coordonnées ;



59

• Une description des catégories de données traitées ainsi que les catégories de

personnes concernées par le traitement ;

• Les destinataires ou catégories de destinataires habilités à recevoir communication des

données ;

• La durée de conservation des données traitées.

Une transparence est établie par la tenue de cette liste qui reprend les éléments d’une

déclaration. Cette liste doit en outre être établie dans les 3 mois suivant la désignation du CIL.

Ce délai imposé par la loi a pour but d’éviter que le CIL ne devienne un faire valoir au service

de l’image de l’entreprise. Au contraire, le CIL a une réelle mission de protection des données

qui doit être assimilée et respectée par le responsable des traitements désignant une personne

pour exercer cette fonction. Le mission ne peut pourtant porter sur tout : des limites sont alors

fixées.

' ! ��

Le CIL n’est donc pas qu’une fonction permettant de réduire les frais postaux. Il est au

contraire une aide dans l’obligation qu’ont les responsables de traitements de respecter les

dispositions de la loi Informatique et Libertés. Si le CIL est beaucoup, il n’est pas tout. A ce

titre, il ne peut emporter dispense des traitements soumis à autorisation et ceux mettant en

œuvre un transfert de données à caractère personnel à destination d’un État non membre de la

Communauté européenne. Or, ce champ d’exclusion n’est pas minime. En effet, dans les

entreprises multinationales, les flux transfrontières de données sont courants : la globalisation

et la réduction des coûts conduisent à une délocalisation de certaines prestation vers des pays

moins onéreux comme l’Inde ou le Maroc, pays hors Union Européenne. C’est par exemple le

cas pour les centres d’appels152 dont les fichiers correspondants au le démarchage et à la

prospection commerciale sont transmis dans les pays dits « offshore »153. De même, la

globalisation conduit les groupes d’entreprises à recruter du personnel dans de nombreux pays

hors Union Européenne ce qui entraîne une centralisation intra-groupe de la base de données

152 Dumout E., La délocalisation des centres d’appel fait le succès de Webhelp, www.zdnet.fr, 28 janvier 2004 153 Fayart L. L’offshore, mais jusqu’où ?, www.01net.com, 4 mars 2003



60

de gestion des ressources humaines constitutive d’un transfert transfrontières de données154.

Les exemples en la matière ne manque pas155.

La globalisation des activités des entreprises constitue donc un obstacle majeur à la

désignation d’un CIL au sein d’une entreprise ayant délocalisé ses activités, ce qui n’est pas

uniquement l’apanage des grosses multinationales. De même, l’absence de dispense pour les

traitements faisant l’objet d’une autorisation ou d’une demande d’avis recouvre un champ

d’intervention conséquent : données génétiques, NIR, biométrie… Si ces traitements sont

sensibles, ils n’en sont pas moins courants, notamment dans des secteurs particuliers telle que

la recherche médicale.

La dispense de déclaration ne doit donc pas être envisagée comme l’unique intérêt du

CIL. La personne exerçant cette fonction, au-delà d’une gestion en interne des traitements

courants pouvant faire l’objet d’une dispense, saura être un conseil pour l’ensemble des

obligations relevant de la loi Informatique et Libertés156, dont la nouvelle mouture est jugée

complexe et difficile d’accès157. Si la loi ne lui ouvre qu’une intervention sur certains

traitements, il peut formuler des recommandations et être un expert auprès du responsable de

traitement. On se rapproche ici de l’idée que le CIL est un « conseil CNIL » au sein de

l’organisme. Alors que le rôle du CIL s’inscrit dans une démarche de dispense des

déclarations, il y a bien en filigrane une volonté de rendre plus effective la protection des

données, et donc le respect des libertés individuelles, par une prise en mains des difficultés sur

le terrain.

� � ��

154 Poullet Y., Flux transfrontières de données : vie privée et groupes d’entreprises, www.droit-technologie.org, 5 janvier 2003 155 Voir sur ce sujet le guide pratique élaboré par la CNIL, disponible sur le site de la Commission : http://www.cnil.fr/fileadmin/documents/approfondir/dossier/international/Guide-tranfertdedonnees.pdf 156 Voir Türk A., Loi du 6 août 2004 – Présentation générale de la loi, C.c.e., février 2005, p. 12 157 La loi du 6 août 2004 a fait l’objet d’un recours devant le Conseil constitutionnel, avec pour grief une absence d’intelligibilité de la loi. Si le Conseil a essuyé l’argument, la mise en pratique de la loi semble toutefois soulever des difficultés.



61

L’inscription des missions du correspondant dans le champs du respect des libertés se

traduit en pratique par un rôle de médiation de part une réception des plaintes et demandes

émanant des individus (1). En interne, le rôle est plus pédagogique et il incombe au CIL de

sensibiliser aux obligations nées de la loi Informatique et Libertés (2). Ce point de contact

entre respect des libertés et liberté d’action de l’organisme dans sa conduite de traitements des

données est particulièrement visible s’agissant du « CIL presse » (3).

! - � � ��

Le CIL est chargé comme on vient de le voir de tenir une liste des traitements

effectués et mis à sa charge. La tenue de cette liste est assortie d’une autre mission par le

projet de décret. Le CIL reçoit les demandes et réclamations des personnes intéressées

relatives aux traitements figurant sur la liste dont il a la charge, ou, le cas échéant, les

transmet au responsable des traitements lorsque les demandes ne relèvent pas de sa

responsabilité, tout en en avisant les intéressés. Cette mission s’apparente à celle de médiateur

entre l’organisme et les personnes dont les données sont traitées. Ceci répond aux exigences

de la directive 95/46 CE qui, en son article 18, précise que la tenue d’un registre doit

permettre de garantir « que les traitements ne sont pas susceptibles de porter atteinte aux

droits et libertés des personnes concernées ». Le texte n’organise pas la procédure qui devrait

être suivie par le CIL afin de répondre aux personnes requérantes. Néanmoins, les expériences

étrangères existantes connaissent déjà ce type de mesure en interne. L’expérience allemande

montre toutefois que la liste des traitements mis en œuvre par l’organisme n’est que très

rarement demandé par les individus.

Le règlement en interne des plaintes est un apport positif pour les organismes qui

peuvent ainsi éviter toute publicité néfaste à leur image. Pour autant, les individus ne doivent

pas être lésés : la Commission peut toujours être saisie et conserve un droit de regard sur les

méthodes employées par l’organisme. Il appartient donc aux acteurs internes à l’organisme de

s’approprier les règles et la philosophie issues de la loi Informatique et Libertés, ce qui est

rendu possible par le biais du CIL.



62

" ! # � � � � � � ��

Dans son 25ème rapport d’activité, la CNIL analyse la diffusion de la culture

« Informatique et Libertés » comme l’intérêt essentiel du CIL. Qu’est-ce à dire ? Même si la

CNIL a augmenté sa capacité d’intervention et d’information, elle n’a pas les moyens de

diffuser auprès de chaque entreprise, collectivités, associations, son message. C’est donc au

CIL que revient cette tâche pédagogique au sein de l’organisme l’ayant désigné. Par ce biais,

le but est de faire comprendre où résident les problématiques liant respect de la vie privée et

traitement informatique de données, ainsi que les risques de dérapage.158. A terme, le CIL a

pour but de devenir l’interlocuteur privilégié entre l’organisme et la CNIL. Ce principe peut

faire l’objet de scénarii négatifs. Vecteur de diffusion de la culture « Informatique et

Libertés », le CIL pourrait être craint des organismes qui y verraient plus qu’un contact de la

CNIL, mais un relais du message de la Commission, toujours prêt à diffuser une position très

orientée. A l’inverse, la fonction pourrait tomber dans une technicité plus marketing que

juridique : la fonction deviendrait alors l’apanage d’experts chargés de faire respecter les

apparences, c'est-à-dire de faire en sorte que l’organisme respecte a première vue la

législation, mais sans que les moyens soient mis en œuvre pour en respecter l’esprit. Le CIL

serait alors une simple adaptation du CPO anglo-saxon159.

Le législateur semble faire le pari que la désignation de CIL constituera un réseau

d’interlocuteurs favorisant un partage et une diffusion de l’information auprès des

responsables des traitements et des salariés. Ce maillage doit permettre la structuration et

l’application de bonnes pratiques, à l’instar des codes de déontologie, offrant la publicité

d’une attitude exemplaire. Il faut y voir un avantage concurrentiel qui devrait inciter les autres

organismes à désigner eux-mêmes un CIL. Cette mission pédagogique, si elle est inscrite

entre les lignes dans le texte français, est clairement identifiée en Allemagne où le DSB a pour

fonction de familiariser, grâce à des mesures appropriées, les personnes affectées au

traitement de données à caractère personnel160. Cette pédagogie doit permettre à terme une

158 Voir Cotteret J.-M., Communication et simplification à la CNIL, Expertises, janvier 2005, p. 10 159 Voir infra p. 109 160 § 4g point 2 BDSG op.cit.



63

articulation aisée de deux principes que sont la liberté d’entreprendre et le respect du à la vie

privée. C’est toute la problématique du « CIL presse ».

' ! �� .�� /�

L’art. 67 de la loi du 6 janvier 1978 prend en considération la spécificité des

traitements de données à caractère personnel aux fins de journalisme. La loi aménage les

obligations posées, notamment en matière de déclarations et d’autorisations, afin de protéger

la liberté d’expression. Si la directive 95/46 CE oblige les Etats à de telles « pondérations

entre les droits fondamentaux »161, la CNIL avait déjà préconisé des conciliations, notamment

dans une délibération de 1995162. Ainsi, l’art. 67 dispose que les journalistes n’ont pas à

informer au préalable les personnes recensées dans leurs fichiers ou ceux de la rédaction. Ces

dernières ne peuvent pas accéder ou rectifier les informations qui y sont enregistrées,

autrement que par l’exercice du droit de réponse163. Les fichiers peuvent contenir des données

sensibles ou relatives à des infractions ou condamnations sans qu’il soit nécessaire de

recueillir le consentement des personnes concernées. Les journalistes ne sont pas soumis à

l’interdiction de transférer des informations vers des États n’appartenant pas à l’Union

européenne et les informations peuvent être conservées sans limitation de durée. Enfin ces

traitements n’ont pas à être déclarés à la CNIL. Cette dispense de formalités n’est possible

pour l’exercice à titre professionnel de l’activité de journaliste que dans le cadre d’une

désignation d’un correspondant à la protection des données, « appartenant à un organisme de

presse écrite ou audiovisuelle »164, alors qu’elle est de droit en matière d’expression littéraire

et artistique.

161 Considérant 37 de la directive 95/46 CE, op. cit. 162 Délibération 95-012 du 24 janvier 1995, op. cit. 163 Le droit de réponse est une obligation pesant sur les directeurs de publication en application de l’art. 13 de la loi du 29 juillet 1881 sur la liberté de la presse. Il a été jugé que le droit de réponse est un principe général et absolu dès lors qu’une personne est mise en cause dans un article. Voir Cass. Civ. 2ème, 27 janvier 1993, consultable à l’adresse : http://www.legifrance.gouv.fr/WAspad/LeRtf?cid=72488&table=CASS 164 Art. 67 2° al. 2



64

Le projet de décret, suivant l’avis de la CNIL rendu le 24 mars 2005, précise que ce

système doit être mis en œuvre pour les traitements concernant l’organisme de presse, et non

le seul journaliste. Dans la seconde hypothèse, le journaliste aurait eu à se déclarer

correspondant de son propre traitement, ce qui aurait été absurde. Le correspondant presse a

pour mission de tenir une liste des traitements mis en œuvre et de veiller à l’application de la

loi Informatique et Libertés, sans préjudice des disposition du code civil, des lois relatives à la

presse écrite ou audiovisuelle et du code pénal, et ce afin d’assurer un droit de réponse comme

susmentionné. Il faut noter que la jurisprudence, rendue sous l’empire de « l’ancienne loi »

Informatique et Libertés, fait preuve de rigueur quant à la qualité de journaliste professionnel.

Ainsi, la diffusion sur un site internet non déclaré à la CNIL par un particulier d’articles de

presse faisant mention d’un individu et de ses idées religieuses est pénalement sanctionnée165.

De manière générale, la référence à des personnes identifiées sur un site internet est

constitutive d’un traitement de données à caractère personnel166 devant faire l’objet de

formalités de déclarations, sauf pour les organes de presse. Cette rigueur du juge permet

d’éviter toute dérive quant à l’utilisation faite des exceptions légalement prévues. C’est une

garantie d’un bon exercice de la liberté d’expression et du respect dû à la vie privée des

individus.

A l’évidence, l’action du CIL n’est pas minime et son apport en matière de protection

des libertés est un point clé du dispositif. Pour autant, l’alternative que représente le CIL et sa

dimension pratique permettent de moduler le champ d’action du correspondant, qui, en

fonction des circonstances, pourra jouer sur plusieurs tableaux.

� �- �� $� ��, ��

Deux pistes peuvent être explorées pour souligner la latitude laissée quant à l’action

du CIL. Son rôle peut être classiquement plus ou moins étendu par convention (1). C’est

165 TGI de Villefranche sur Saône, 18 février 2003, Philippe A. / Roger G. Voir les comm. de Drouard E., Presse, informatique et libertés, Expertises, mai 2003, p. 184 166 Voir en ce sens CJCE, 6 novembre 2003, Bodil Lindqvist, Rec. 2003, p. I-12971, commenté par de Terwangne C., Affaire Lindqvist ou quand la Cour de Justice des Communautés européennes prend position en matière de protection des données personnelles, Revue du droit des technologies de l’information, n° 19/2004, p. 67



65

néanmoins en son for intérieur que le CIL dispose d’une marge de manœuvre, en étant doté de

plusieurs casquettes, qui, sans être expressément identifiées par la loi, verront le jour lors de la

mise en pratique de la fonction (2).

! ��

La désignation d’un CIL entraîne dispense des formalités de déclarations des

traitements mis en œuvre par le responsable. Mais de quels traitements s’agit-il ? La rédaction

de l’art. 22 III al. 1 pose en effet une distinction. « Les traitements pour lesquels le

responsable a désigné un correspondant à la protection des données à caractère personnel »

sont ceux dispensés de formalités préalables. « Pour lesquels » semble souligner que le CIL

peut être désigné pour certains traitements, mais non pour tous. Or, ni la directive ni les

transpositions existantes à l’étranger n’instaurent une telle distinction. A la veille de la

publication du décret d’application de la loi, ce point doit être tranché. N’y a-t-il là qu’une

faute de rédaction ou faut-il y comprendre la possibilité d’un panachage des compétences du

CIL ? En ce sens, on peut envisager qu’un même responsable désigne plusieurs CIL pour

plusieurs traitements, ou qu’un CIL ait à sa charge un ou plusieurs d’entre eux, les autres

continuant d’être déclarés auprès de la CNIL. La seconde hypothèse ne semble pas être dotée

d’un quelconque intérêt mais le texte semble le permettre.

Le projet de décret fait le choix de ne pas ignorer cette distinction. Au contraire, est

posé comme principe que le CIL n’a a sa charge que certains traitements et par exception

l’ensemble des traitements du responsable l’ayant désigné. Dans ce dernier cas, le CIL doit

expressément accepter que lui soit confié la totalité des traitements qui dépendent du

responsable. Cet accord doit être mentionné dans le formulaire de désignation qui s’apparente

dès lors davantage à un contrat, lieu de rencontre de volontés. On peut s’interroger sur

l’opportunité d’un tel panachage. Il semble que cela vise à protéger le CIL puisque son accord

est requis en certaines circonstances. Peut être faut-il y discerner une crainte du législateur de

voir le CIL soumis à de fortes contraintes en cas de prise en charge de la totalité des

traitements et d’une impossibilité d’exercer pleinement ses missions. Il est vrai que pour de

nombreux responsables, les obligations posées par la loi Informatique et Libertés sont



66

perçues comme un frein à l’activité167 et le CIL pourrait être un moyen de se défausser de ces

contraintes. Cela correspond à un scénario qui ferait du CIL une fonction marginalisée, fuite

de tous, et qui ne serait qu’un moyen de court-circuiter les obligations légales. Si la prudence

du projet de décret est louable, elle met à mal les moyens de contrôle offerts, afin de suivre

l’activité du CIL et sa compétence, en ne leur accordant pas une pleine confiance. En outre,

alors que le CIL s’inscrit dans une démarche de simplification et d’allègements des

procédures, la désignation d’une multitude de CIL pour un même responsable de traitement

ne fait que brouiller les cartes, pour les intéressés mais aussi pour la CNIL qui peut ne plus

retrouver un interlocuteur unique auprès d’un organisme.

" ! �� 0 ��

Alors que l’instauration du CIL est voulue comme un succès168, ce dernier dépend du

rôle qui lui sera confié. La dispense de formalité préalable offerte aux responsables de

traitements ayant désigné un CIL n’est que la carotte incitative à une telle déclaration. Par

conséquent, elle n’est qu’une des faces de l’action possible du CIL. Rapidement présenté

comme « un mouton à cinq pattes »169, le CIL mène une action destinée à être multiple.

L’apport des expériences étrangères est ici un retour précieux puisqu’il permet d’anticiper la

pratique qui sera faite, d’encadrer les abus possibles et d’éclairer au mieux les responsables

voulant désigner à leur côté un CIL.

Afin de mener une action efficace sur le terrain, garantie d’une protection effective des

libertés, le CIL doit donc endosser une multitude de rôles. Il est d’abord un conseil et un

167 Voir Drouard E. et Goussu G., Les entreprises sont les grandes perdantes de la réforme, PA, 16 février 2005, n° 33, p. 5. La réforme est pour les auteurs « un luxe de complexité dont la nécessité laisse perplexe » 168 Voir par exemple l’interview de C. Pallez, secrétaire général de la CNIL par Devillard A. au cours de laquelle M. Pallez déclare que « le système qui nous intéresse le plus [dans la réforme de la loi du 6 janvier 1978],ce pourrait être la création du correspondant à la protection des données à caractère personnel dans l’entreprise », www.01net.com, 19 avril 2004. Il convient aussi de rappeler que c’est A. Türk qui a proposé au Sénat l’instauration des correspondants dans le corpus législatif français lors des débats parlementaires, alors qu’il était sénateur et membre de la CNIL et qu’il en est aujourd’hui président. M. Türk affirme même que la possibilité du CIL a été offerte suite à un compromis entre lui et le Garde des Sceaux D. Perben (propos tenus lors des 1res assises de l’AFCDP le 21 avril 2005) 169 Ray J.-E., Le nouveau correspondant aux données personnelles, Semaine sociale Lamy, 27 septembre 2004, n° 1183, p. 6



67

expert en matière de droit à la vie privée, capable de formuler des recommandations au

responsable de traitement. A cette fin, le projet de décret prévoit que le CIL est préalablement

consulté avant la mise en œuvre de nouveaux traitements appelés à figurer sur la liste dont il a

la charge. Il est aussi de son ressort d’alerter le responsable du risque de contravention d’un

traitement à la législation nationale. Ce rôle a pour conséquence logique que le CIL est un

pédagogue au sein de l’organisme l’ayant désigné : il doit savoir concilier des intérêts

divergents, sensibiliser tous les membres de l’organisme, du dirigeant au salarié, pour

permettre une protection efficace des données à caractère personnel. On peut envisager que le

CIL favorise l’élaboration de charte de bonne conduite ou de code éthique, notamment dans le

cadre de la cybersurveillance des salariés. Le correspondant « exerce une fonction qui

s’apparente à la médiation : ni juge ni partie, il lui revient de conseiller et de contrôler »170.

Médiation lorsqu’il reçoit les demandes et réclamations des personnes intéressés par les

traitements, mais aussi dans le dialogue instauré entre la CNIL et l’organisme auquel il

appartient.

Le CIL n’a donc pas une mission minime. Au contraire, son champ d’action semble

étendu ce qui a pu susciter des craintes de voir la fonction devenir omnipotente et

envahissante. C’est la raison pour laquelle la loi aménage une transparence dans la mise en

place du dispositif afin d’assurer un niveau équivalent de sécurité pour l’individu et le respect

des libertés individuelles.

§ 2 - LA TRANSPARENCE DU DISPOSITIF

Le texte de la loi fixe les conditions et les moyens de la transparence de la mise en

place du CIL. La désignation doit être notifiée (A) et au préalable les instances représentatives

du personnel bénéficient d’une information (B). La transparence est poursuivie lorsque le CIL

est en action puisqu’il a une obligation de rendre compte (C).

� � ��

170 Cotteret J.-M., Communication et simplification à la CNIL , op. cit.



68

La mise en place du dispositif du CIL induit une perte de visibilité puisque la CNIL

n’aura plus une connaissance a priori des traitements mis en œuvre par les organismes ayant

fait le choix d’un correspondant. Cela porte à croire que la mise en place des correspondants

Informatique et Libertés est à connotation liberticide171. Pour compenser ce déficit

d’information, la loi instaure une obligation de notification de la désignation d’un

correspondant auprès de la CNIL. Cette procédure est mise en place par les autres pays ayant

saisi l’option laissée par l’art. 18§2 de la directive 95/46 CE, à l’exception de l’Allemagne où

la désignation n’a pas à être portée à la connaissance de l’autorité de contrôle du Land. C’est

le décret qui précisera les modalités de ce formulaire, qui devra faire l’objet d’une lettre

recommandée avec accusé de réception. La dématérialisation des procédures devrait amener

également à ce que ce formulaire puisse être rempli et envoyé électroniquement. Le projet de

décret mentionne les informations devant être portées sur cette notification. Ainsi, seront

connues de la CNIL les coordonnées et dénominations du responsable de traitement, de la

personne désignée à la fonction de CIL, le périmètre d’intervention du CIL (c'est-à-dire si la

désignation porte pour totalité ou non des traitements mis en œuvre par le responsable), le

statut du CIL par rapport à l’organisme (salarié ou prestataire)172. Une référence aux

compétences de la personne désignée et des moyens mis en œuvre par le responsable pour

assurer le bon exercice des missions du CIL devrait également être portée à la connaissance

de la Commission.

Cette information auprès de l’autorité de contrôle permet d’une part d’officialiser les

rapports entre le correspondant et la CNIL, mais aussi de fixer le point de départ de la

dispense accordée à l’organisme désignant. En ce sens, le projet de décret donne plein effet à

171 Voir les craintes du parti socialiste et de certains anciens membres de la CNIL à propos du CIL : « un étonnant amendement parlementaire prévoit d'exonérer purement et simplement de toute formalité les responsables de fichiers qui désigneraient en leur sein - juge et partie - un "correspondant à la protection des données" dont les attributions et les garanties d'indépendance sont entourées d'un flou juridique inquiétant. A l'évidence, cette niche à exonérations risque d'être fort attractive pour de nombreuses entreprises face à une Commission désormais tenue dans l'ignorance de la création de milliers de fichiers. Elle favorisera les grands groupes auxquels est ainsi offerte la possibilité légale d'échapper au contrôle de la CNIL Quant aux petites entreprises, bien moins "redoutables", elles seront défavorisées, car elles ne pourront que difficilement satisfaire aux conditions de qualification ou d'indépendance d'un "correspondant" à choisir au sein d'un effectif réduit . » in Alvergnat C., Canevet S., Cadoux L., Forni R., Iteanu O., Joinet L., Il faut sauver la loi Informatique et Libertés, Le Monde, 14 juillet 2004, également disponible à l’adresse suivante : http://www.parti-socialiste.fr/tic/spip_tic/article.php3?id_article=130 172 Voir supra p. 51



69

la notification un mois après la date de réception de cette dernière. Ce délai laisse le temps à

l’autorité de contrôle d’instruire la désignation et à la personne désignée de s’imprégner de

l’organisme pour le compte duquel il va exercer ses fonctions. La notification permet

également une effectivité du dispositif dans l’hypothèse où elle comporte un acte

d’engagement et d’acceptation des fonctions de la part du futur CIL. Elle se rapproche alors

d’un contrat en étant le lieu de rencontre de volontés.

Enfin, la notification pourrait permettre l’information des tiers. On peut supposer qu’à

l’instar des systèmes luxembourgeois ou hollandais, la CNIL tienne une liste ou un registre

des organismes ayant fait le choix d’un CIL. Le contenu de ce registre est consultable

gratuitement sur les sites des autorités de protection hollandaise173 et luxembourgeoise174 et

précise le nom et l’adresse de l’organisme, le nom du correspondant et, spécificité

luxembourgeoise, le métier du correspondant175. L’information du public est ainsi garantie ce

qui est un apport supplémentaire à la fois pour la protection des données et de la vie privée

mais aussi pour une simplification des tâches puisque les personnes concernées ont ainsi la

possibilité de directement saisir l’organisme ou le CIL de leur requête, plutôt que l’autorité de

contrôle. C’est cependant exposer le CIL à des prospections afin qu’il rejoigne d’autres

organismes, mais aussi pour lui proposer des solutions, des formations ou autres coopérations

devant l’aider dans la conduite de sa mission. Cette mise en avant du nom du CIL, si elle est

d’un intérêt indéniable pour les individus qui souhaitent agir, met paradoxalement le CIL lui-

même dans une position inconfortable par un tel traitement de ses données. Leur accord

préalable à la diffusion de leur nom est nécessaire quoi qu’il en soi.

� � �� $�� "��

Si la loi française prévoit une publicité « externe » de la désignation, elle n’oublie pas

l’information due en « interne », au sein de l’organisme, notamment dans le secteur privé.

173 Voir à l’adresse : http://www.cbpweb.nl/indexen/ind_reg_fgreg.stm?refer=true&theme=purple 174 Egalement consultable à l’adresse suivante : http://www.cnpd.lu/chargesagrees.pdf 175 L’étude du registre des correspondants luxembourgeois démontre ainsi que la majorité d’entre eux est avocat ou expert-comptable



70

L’information du personnel est organisée par l’art 22 III en son deuxième alinéa176. Elle

contribue, via les instances représentatives, à nouer le dialogue entre salariés et CIL. Cette

officialisation permet de faire connaître aux salariés leurs droits mais aussi leurs devoirs en

matière de protection des données à caractère personnel. Elle offre en outre au CIL une

possibilité pour se faire connaître, préciser son rôle et ses missions et se situer au sein de

l’organigramme de l’entreprise ou de la collectivité,. Là encore, le segment pédagogique est à

envisager.

On peut supposer que cette information due aux instances représentatives du personnel

(IRP) a aussi pour but de rassurer ces dernières. Elles craignent en effet que le CIL ne soit une

nouvelle forme de « Big Brother » doté de pouvoirs d’investigation et de contrôle réduisant le

champ de vie privée sur le lieu de travail177. De plus, le Code du travail instaure en son art.

422-1-1178 une procédure rapide d’enquête et de suppression des atteintes aux libertés

individuelles dont pourraient être victimes les salariés. Cette procédure, qui n’appartient

qu’aux délégués du personnel, s’organise autour d’une enquête conjointe avec l’employeur et

le cas échéant, d’une saisine immédiate du juge prud’homal statuant en urgence et au fond. Le

délégué du personnel est garant du respect des libertés individuelles au sein de l’entreprise, y

compris de la protection de la vie privée et donc de l’application de la loi du 6 janvier 1978.

De même, le comité d’entreprise dispose d’un droit de regard sur l’introduction de systèmes

176 Pour rappel, le texte dispose que la désignation du correspondant « est portée à la connaissance des instances représentatives du personnel » 177 Voir Figarol N., Big Brother est-il dans l’entreprise ? , 22 mars 2005, http://www.cfdt.fr/actualite/societe/ntic/ntic_0015.htm 178 L’art 422-1-1 du Code du travail dispose que « Si un délégué du personnel constate, notamment par l'intermédiaire d'un salarié, qu'il existe une atteinte aux droits des personnes, à leur santé physique et mentale ou aux libertés individuelles dans l'entreprise qui ne serait pas justifiée par la nature de la tâche à accomplir ni proportionnée au but recherché, il en saisit immédiatement l'employeur. Cette atteinte aux droits des personnes, à leur santé physique et mentale ou aux libertés individuelles peut notamment résulter de toute mesure discriminatoire en matière d'embauche, de rémunération, de formation, de reclassement, d'affectation, de classification, de qualification, de promotion professionnelle, de mutation, de renouvellement de contrat, de sanction ou de licenciement. L'employeur ou son représentant est tenu de procéder sans délai à une enquête avec le délégué et de prendre les dispositions nécessaires pour remédier à cette situation. En cas de carence de l'employeur ou de divergence sur la réalité de cette atteinte et à défaut de solution trouvée avec l'employeur, le salarié, ou le délégué si le salarié concerné averti par écrit ne s'y oppose pas, saisit le bureau de jugement du conseil de prud'hommes qui statue selon les formes applicables au référé. Le juge peut ordonner toutes mesures propres à faire cesser cette atteinte et assortir sa décision d'une astreinte qui sera liquidée au profit du Trésor. »



71

automatisés au sein de l’entreprise, et, plus généralement, il doit être informé de toute mesure

impliquant l’usage des TIC. Ce droit à l’information est garanti par les art. 432-2 et 432-2-1

du Code du travail179. L’introduction du dispositif du CIL, qui dispose dans ses missions de

prérogatives se recoupant avec celles des IRP, peut faire craindre une perte des garanties

prévues par le code du travail afin de sauvegarder les intérêts des employés. Pouvant être un

salarié, et donc recevoir des instructions de la part de son employeur, il serait contraire aux

missions du CIL que celui-ci devienne un « espion » au sein de l’organisme180. Il conviendra

donc de développer des chartes éthiques au sein des entreprises notamment pour garantir le

plein exercice des dispositions du Code du travail au profit des IRP181.

Ni la loi ni le projet de décret ne prévoient en revanche de sanction ou d’invalidation

de la désignation dans l’hypothèse où les IRP ne seraient pas informés de la nomination d’un

CIL, ou en cas d’information tardive puisque à la lecture de l’art. 22 III les IRP doivent être

informés avant que le formulaire de notification ne soit envoyé à la CNIL. Il faut alors se

demander si cette lacune du responsable peut permettre d’engager une action au titre de l’art.

422-2-1 notamment, et ainsi permettre de faire constater la nullité de la désignation. Nul doute

que les IRP seront vigilantes face au dispositif du CIL qui pourrait amener à une nouvelle

forme de dialogue au sein de l’entreprise notamment par l’introduction d’un nouvel

interlocuteur plus neutre, davantage dans la médiation que la prise de position.

179 L’art. 432-2 dispose en substance que « le comité d'entreprise est informé et consulté, préalablement à tout projet important d'introduction de nouvelles technologies, lorsque celles-ci sont susceptibles d'avoir des conséquences sur l'emploi, la qualification, la rémunération, la formation ou les conditions de travail du personnel ». L’art 432-2-1 précise quant à lui que « le comité d'entreprise est informé, préalablement à leur utilisation, sur les méthodes ou techniques d'aide au recrutement des candidats à un emploi ainsi que sur toute modification de ceux-ci. Il est aussi informé, préalablement à leur introduction dans l'entreprise, sur les traitements automatisés de gestion du personnel et sur toute modification de ceux-ci. Le comité d'entreprise est informé et consulté, préalablement à la décision de mise en oeuvre dans l'entreprise, sur les moyens ou les techniques permettant un contrôle de l'activité des salariés » 180 Hubert Bouchet, membre de la CNIL et secrétaire général de l’Union cadre et ingénieurs estime que s’agissant du CIL, il est « difficile d’avoir les coudées franches s’il existe un lien de subordination entre le correspondant et son patron » in Carasso J., Un correspondant informatique et libertés au cœur de l’entreprise, Le Monde, 14 juin 2005, p. 8 181 A l’instar des 12 propositions de la CFDT s’agissant de l’utilisation des technologies de l’information et de la communication au sein des entreprises et des administrations disponibles sur le site www.cadre-plus.net



72

� �� $�� # � ��

L’un des moyens d’assurer la transparence du dispositif est l’établissement d’un

rapport d’activité. Si cette mesure n’est pas retenue par la loi du 6 août 2004, elle a en

revanche une place dans le projet de décret. La présentation d’un bilan annuel des activités du

CIL permet au responsable des traitements ainsi qu’à la CNIL de connaître à la fois

l’effectivité des missions menées, mais aussi les difficultés rencontrées. Elle peut aussi servir

de base à la CNIL en cas de contrôle a posteriori. Cette solution est retenue par le système des

Pays Bas182 mais aussi par la décision du Conseil du 13 septembre 2004 s’agissant du délégué

européen à la protection des données183. A noter la particularité des FG hollandais qui doivent

annoter dans leur rapport leurs activités mais aussi leurs « découvertes », sans que l’on sache

précisément à quoi cela corresponde184. Cela souligne tout l’intérêt de la pratique dans

l’encadrement à apporter au CIL français, puisque la législation néerlandaise ne développe

pas les missions du FG, préférant la pratique pour réguler la fonction et définir les standards.

� � �� $� � � �� .�� +� �( ��'��

La question du secret professionnel est importante lorsqu’il s’agit de comprendre le

CIL. A ce titre, la loi ne l’impose pas, pas plus que le projet de décret. Pour autant, il est

loisible de penser que la personne exerçant la fonction de CIL doit faire preuve d’une réserve

plus importante que tout autre salarié. Ayant la possibilité d’accéder à tout ou partie des

traitements mis en œuvre par l’organisme, le CIL aura dans le cadre de ses missions la

possibilité d’accéder à des données sensibles concernant l’entreprise, les salariés, ou encore

les partenaires commerciaux.

Le secret professionnel est retenu par la plupart des législations étrangères :

182 Voir art. 63 point 5 de la Wet besherming persoonsgegevens, op. cit. 183 L’art. 5 e) dispose que le délégué « présente au secrétaire général adjoint du Conseil un rapport annuel sur ses activités, qu’il rend accessible au personnel » 184 Le FG hollandais étant plus un contrôleur qu’un conseil, on peut supposer que ces « découvertes » couvrent les irrégularités qui pourraient être dévoilées de par l’activité du correspondant.



73

• l’art. 4f al. 4 de la BDSG tient le DSB à un devoir de secret sur l’identité de la

personne concernée par le traitement ainsi que sur les circonstances permettant de tirer

des conclusions sur cet individu, dans la mesure où il n’a pas été libéré de cette

obligation par celui-ci.

• L’art 63 point 4 de la loi hollandaise pose quant à elle le principe que le FG a une

obligation de traiter comme confidentielle toute information qui lui serait révélée par

une plainte ou une enquête, sauf là encore si la personne la libère de cette réserve.

• L’art 24 (1) de la loi du 2 août 2002 soumet le chargé à la protection des données

luxembourgeois au secret professionnel, et ce même après la cessation de ses

fonctions.

• L’art. 45 du règlement n° 45/2001 dispose que « le contrôleur européen de la

protection des données et son personnel sont, pendant la durée de leur fonctions et

après la cessation de celles-ci, tenus au secret professionnel en ce qui concerne toute

information confidentielle dont ils ont eu connaissance dans l’exercice de leur

fonction ». De même l’art. 5 de la décision du Conseil du 13 septembre 2004 soumet le

délégué à la protection des données et son personnel à une absence de divulgation des

informations et documents obtenus dans l’exercice de leurs fonctions. Le secret

professionnel est ici au plus fort puisque le personnel y est aussi soumis, et ce même

après la fin des fonctions.

Le dispositif français du CIL ne devrait pas contrevenir à cette pratique généralisée

dans les autres pays, sauf à vouloir faire exception. Si le secret n’est pas retenu, il faut

envisager que les contrats de travail ou de prestation de services feront état d’une clause de

confidentialité importante. Le fait que le CIL ne soit pas tenu au secret professionnel au

regard du projet de décret peut être expliqué par les dispositions de l’art. 22 III al. 4 qui

permettent au CIL de saisir la CNIL dans l’hypothèse ou celui-ci rencontre des difficultés

dans l’exercice de ses missions185. Cette faculté de dénonciation, on peut a priori l’analyser

comme telle, est contraire en effet à l’application d’un secret professionnel. Qui plus est, le

Conseil constitutionnel a reconnu que ce dernier était opposable à la CNIL, sous certaines

185 Voir infra p. 75 s.



74

conditions186. Se pose alors la question de savoir si le CIL peut être un avocat. La profession

d’avocat est en effet soumise au secret professionnel, ce qui empêcherait une dénonciation

auprès de la CNIL sur un plan juridique. De plus, cela heurterait un aspect déontologique

puisque le rôle d’un avocat est de défendre et de conseiller, et non de dénoncer187. Pourtant,

« les avocats doivent y voir un nouveau marché » selon les propres termes du président

Türk188, à propos de la fonction de CIL.

Il y a donc une nébuleuse éthique et déontologique qui se développe autour de la

notion de CIL. Si la loi fixe les missions et fonctions de ce nouveau personnage dans le

champ Informatique et Libertés, la pratique aura certainement raison de l’établissement de

standards de base dans l’exercice de la fonction. C’est en outre ce qui ressort des expériences

étrangères. La régulation de la pratique incombe à l’autorité de contrôle qui ne souhaite pas

voir se dissiper ses prérogatives, d’autant plus que la loi du 6 août 2004 renforce son rôle. Il

s’agit donc de déterminer l’articulation qui peut être envisagée entre l’action du CIL et celle

de la CNIL.

�� & � ��

Alors que la nouvelle mouture de la loi Informatique et Libertés renforce la CNIL dans

son pouvoir de sanctions et d’investigations, le passage à un contrôle a posteriori voit aussi le

jour dans une quête de simplification pour les organismes mettant en œuvre des traitements.

Dans le prisme du CIL, la loi offre à la CNIL un pouvoir de contrôle particulier (I) même si la

volonté d’ouvrir et d’entretenir un dialogue ne peut se faire en brandissant les armes : la CNIL

tend alors à devenir un espace de dialogue et de médiation, à l’instar de certaines ses

homologues étrangères (II).

186 Cons. Const, 29 juilllet 2004, décision n° 2004-99 DC 187 Voir Rozenfeld S., Huit spécialistes en quête du correspondant, Expertises, octobre 2004, p. 323 188 Propos tenus lors des rencontres régionales de la CNIL à Toulouse le 23 juin 2005



75

§ 1 - LA CONSERVATION D’UN POUVOIR DE CONTROLE

La présence plus ou moins forte de la CNIL dans le dispositif du CIL est source de

nombreuses inquiétudes. Entre abandon complet d’un contrôle de l’organisme sur ses activités

et craintes d’un interventionnisme renforcé par l’intermédiaire du bras armé que serait le CIL,

le flou entoure cette question. Pour autant, les réponses sont dès à présent données. Si la

CNIL laisse au responsable le libre choix de désigner le CIL (A), la CNIL dispose d’un

contrôle spécifique pour suivre le travail mené par ce CIL et le respect des engagements pris

par le responsable de traitement (B). De plus, CIL ou pas, la CNIL conserve des pouvoirs qui

lui sont propres et que la désignation d’un CIL n’entrave pas (C).

� � �� $� � � �� $� � � ��

La notification portant désignation d’un CIL, si elle est transmise dans le respect des

formalités d’usage, n’est pas soumise à approbation de l’autorité. C’est là encore un gage de

souplesse puisque une confiance est accordée au responsable de traitement dans le choix de la

personne qu’il entend nommer en tant que CIL. Le dispositif mis en place en France ne

reprend donc pas celui instauré au Luxembourg. Ce dernier fait en effet l’objet d’un

agrément189 intervenant dans les 3 mois suivant la réception de la demande. Cette approbation

peut s’expliquer par le fait que le Luxembourg ne connaît que l’externalisation dans le

dispositif de chargé à la protection des données mis en place. Pour éviter de faire de la

fonction une niche à exonération, l’autorité de contrôle procède à un examen des candidats

pour vérifier leur aptitude à l’exercice des missions. Ce système est également rendu possible

de part la taille réduite du Luxembourg.

Cette absence d’agrément signifie-t-il une absence d’action ? Que se passe-t-il si une

désignation paraît vraisemblablement incompatible avec les dispositions légales ? On peut en

effet imaginer qu’une désignation fasse du CIL l’objet d’un conflit d’intérêts à l’avenir

(désignation du DRH ou de l’épouse du responsable de traitement par exemple), ou que la

189 Art 1 du règlement grand-ducal du 27 novembre 2004, op. cit. : « Le chargé à la protection des données n’exerce ses fonctions qu’après avoir été agréé par la Commission nationale »



76

personne désignée ne satisfait pas aux exigences pratiques imposées pour l’occupation de

cette fonction. La CNIL se contentera-elle d’instruire le dossier et de pratiquer une position de

« wait and see » ? L’esprit de la mesure étant à la souplesse, il est envisageable que l’autorité

de la rue Saint Guillaume laisse faire les choses. Le but étant une protection renforcée des

données à caractère personnel, un interventionnisme a minima impose de voir ce qu’il en est

après un certain temps. Si la CNIL ne pose pas d’agrément, elle dispose de par la loi d’un

pouvoir d’intervention : l’autorégulation n’est pas l’autocontrôle.

� � �� $��"��

Si la CNIL n’intervient pas en amont de la désignation d’un correspondant, elle

dispose en revanche d’un pouvoir d’intervention que ce soit pendant (1) ou en fin (2) de

mission.

1. ��

La désignation d’un CIL n’a pas pour effet de priver la CNIL de pouvoirs propres

attachés à son rôle de contrôle. La loi organise un pouvoir spécifique de régulation du

dispositif du CIL. Ce dernier « peut saisir la Commission nationale de l’informatique et des

libertés des difficultés qu’il rencontre dans l’exercice de ses missions »190. Cet disposition

s’avère être à double tranchant. D’une part, elle suppose que le CIL peut requérir l’avis de la

CNIL lorsqu’une question afférente à l’exercice de ses missions lui paraît trop complexe,

préférant alors requérir l’avis « officiel » sur cette question. Cette hypothèse entre dans le

cadre du dialogue entre le CIL et l’autorité de contrôle, et il ne semble pas qu’une disposition

particulière soit nécessaire pour le rappeler, sauf à souligner l’importance de cette relation.

D’autre part, elle peut s’analyser comme d’un moyen de délation du CIL à l’encontre du

responsable de traitement qui met en œuvre des traitements illégaux, alors même que le CIL

s’y oppose, ou qui ne fait pas bénéficier le correspondant de moyens propres à l’exercice de sa

fonction, tels que posés par la loi.

190 Art. 22 III al. 3 de la loi du 6 janvier 1978, op. cit.



77

La délation, pour des raisons historiques, n’est pas caractéristique des méthodes

françaises. Le projet de décret aménage cette saisine de la CNIL en mettant en œuvre une

procédure égalitaire : allant plus loin que les dispositions légales, le projet ouvre cette

possibilité de saisine au responsable de traitement. Cela paraît étonnant car il y a peu

d’hypothèses où le responsable serait à ce point débordé par la situation qu’il ait recours à la

Commission. De plus, l’auteur de la saisine devrait justifier qu’il en a informé l’autre partie,

le CIL ou le responsable suivant le cas. La CNIL se réserverait quant à elle le soin de

recueillir les observations nécessaires.

Cette disposition relève d’un intérêt particulier puisqu’elle va directement à l’encontre

des positions prises par la Commission. Deux délibérations prises en mai 2005 concernant les

sociétés Mac Donald’s191 et la Compagnie européenne d’accumulateurs192 se sont opposées à

des demandes de mise en place de « lignes éthiques », c'est-à-dire de procédures internes

ayant pour objet de permettre aux salariés d’alerter leur direction en cas de comportements

fautifs de la part de leurs collègues. Devaient ainsi être portée à la connaissance des dirigeants

toute violation des codes éthiques et déontologiques propres à chaque organisme. Ces lignes

éthiques ou whistle blowing, ont été rendus obligatoires par le Sarbanes Oxley Act of 2002193,

loi adoptée en 2002 pour lutter contre les dérives observées lors du scandale Enron. Le refus

de la CNIL se fonde sur une disproportion de la mesure au regard de l’objectif poursuivi,

estimant que le dispositif engendrait un risque de dériver vers un système de délation

professionnelle194. Pourtant, il est difficile de différencier ces lignes éthiques des dispositions

de l’art. 22 III concernant la saisine de la CNIL. La distinction s’établit peut être sur le plan

des méthodes : alerte anonyme auprès de l’employeur d’un côté, saisine d’une plainte d’un

191 Délibération n°2005-110 du 26 mai 2005 relative à une demande d’autorisation de Mac Donald’s France pour la mise en œuvre d’un dispositif d’intégrité professionnelle, disponible à l’adresse suivante : http://www.cnil.fr/index.php?id=1833&print=1&delib[uid]=73&cHash=8acf0dc7c0 192 Délibération n°2005-111 du 26 mai 2005 relative une demande d’autorisation de la Compagnie européenne d’accumulateurs pour la mise en œuvre d’un dispositif de «ligne éthique», disponible à l’adresse suivante : http://www.cnil.fr/index.php?id=1834&delib[uid]=74&encryptionKey=&print=1&cHash=2f8acc9e59 193 Disponible à l’adresse http://news.findlaw.com/hdocs/docs/gwbush/sarbanesoxley072302.pdf Voir en particulier la Section 806 concernant le whistle blowing 194 Voir Dufour O., La CNIL s’oppose aux lignes éthiques, PA, 26 juillet 2005, n° 147, p. 4



78

tiers, encadrée par une procédure et identifiée, de l’autre. Il y a ici pourtant un réajustement

des positions nécessaires pour que la CNIL ne se trouve pas décrédibilisée.

L’art. 22 III al. 4 dispose quant à lui qu’ « en cas de non respect des dispositions de la

loi, le responsable de traitement est enjoint par la Commission nationale de l’informatique et

des libertés de procéder aux formalités prévues aux articles 23 et 24 ». On peut s’interroger

sur la pertinence de cette disposition. La traduction en pratique serait qu’un responsable ne

mettant pas en œuvre les moyens nécessaires à un plein exercice des missions du CIL195, ce

dont la CNIL aurait connaissance, pourrait conduire cette dernière à pénaliser le responsable

de traitement en ne lui permettant plus de bénéficier de la dispense des formalités de

déclarations. On peut supposer que la CNIL pourrait en avoir connaissance par le biais de la

saisine de l’al. 3 précédemment vue. Or, si le responsable doit revenir aux obligations

déclaratives, que devient le CIL ? Car si ce dernier dispose de plusieurs casquettes en

pratique, l’établissement d’un registre en lieu et place des déclarations est sa mission

principale, du moins celle légalement prévue. En sanctionnant de la sorte le responsable, il y a

lieu de se demander si ce n’est pas le CIL la principale victime, d’autant plus s’il exerce la

fonction à plein temps.

Un CIL y réfléchira peut être à deux fois avant de saisir la CNIL pour dénoncer

l’attitude de son employeur, préférant régler lui-même les difficultés. Cela amène de nouveau

à des scénarii moroses pour la fonction, car il y a là une porte ouverte à la possibilité de faire

du CIL un épouvantail sans pouvoir. Certes l’organisme qui triche risque d’être sanctionné,

mais la protection des données à caractère personnel n’aura pu être assurée pendant ce laps de

temps. La sanction peut aussi ne viser que certains traitements, ce qui ne fait que diluer la

tâche du CIL. Pourtant, la question de l’absence de respect des obligations par le responsable

de ses obligations n’est pas alors réglée. Si les moyens manquent, rien n’indique qu’il n’en

sera pas de même à l’avenir si la sanction n’est que partielle.

195 Si l’on considère que les dispositions de la loi dont il est fait référence à cet art. concernent seulement celles relatives à la mise en place du CIL



79

2. ��

« En cas de manquement constaté à ses devoirs, le correspondant est déchargé de ses

fonctions sur demande, ou après consultation, de la Commission nationale de l’informatique

et des libertés »196. Cette disposition institue un « ménage à trois » entre le responsable de

traitement, le CIL et la CNIL. Lorsqu’une faute est directement imputable au CIL, témoin de

son incompétence, la CNIL peut de son propre chef, ou après saisine du responsable de

traitement, enjoindre ledit responsable à révoquer le CIL en place. Si la décharge à la

demande de la CNIL est concevable, la protection des données étant en jeu, le rôle du

responsable est plus difficile à cerner. En effet, la consultation qu’il peut être amené à

effectuer n’est assortie d’aucune obligation. Dès lors, est-il contraint de collaborer avec la

CNIL pour pouvoir remplacer un CIL défaillant ? Ou n’y a-t-il là qu’une faculté offerte au

responsable ? Si cette seconde hypothèse l’emporte, il y a peu de chances qu’elle fasse l’objet

d’une mise en pratique. Quel responsable aimerait faire connaître qu’un de ses salariés ou

prestataires a commis une faute telle que la décharge est envisagée ? Si défaillance il y a, c’est

que les missions n’ont pas été correctement menées. Cela risque d’avoir des répercussions

négatives sur l’image de l’organisme.

Le projet de décret organise ces procédures. Il distingue d’une part la décharge

d’office initiée par la CNIL elle-même ; le principe d’un contradictoire est maintenu puisque

le CIL a la possibilité de formuler des observations. D’autre part, lorsque le responsable

envisage de mettre un terme aux fonctions du CIL, dans le cadre d’une mesure de sanction, la

saisine de la CNIL est obligatoire, accompagnée d’un détail des griefs allégués. En parallèle,

le CIL est averti de cette saisine, en l’informant qu’il peut formuler ses recommandations à

l’autorité de contrôle. Là encore, un contradictoire est préservé afin de respecter le droit à la

défense. La CNIL doit en outre faire connaître son avis dans le délai d’un mois, renouvelable

une fois sur décision motivée du président de la Commission. Pendant ce laps de temps, le

CIL ne peut être déchargé de sa mission, ce qui présente un risque pour la protection des

données en cas de CIL incompétent. Que se passe-t-il en cas d’omission de cette procédure ?

La décharge peut-elle être invalidée pour vice de forme ?

196 Art. 22 III al. 4 in fine de la loi du 6 janvier 1978 op. cit.



80

Enfin, lorsque le CIL est démissionnaire ou que sa fonction arrive à son terme, la

CNIL doit là encore en être informée par le responsable de traitement. Le motif de cette

décharge ou démission doit alors être précisée. Le responsable de traitement doit alors

nommer un nouveau CIL, dans le respect des formalités légalement prévues (notification,

information des IRP), ou revenir à un système de déclarations préalables.

Le contrôle de la CNIL s’avère donc important. Son droit de regard sur les

compétences du CIL, sur l’opportunité de décharger ou non la personne exerçant cette

fonction, n’est pas sans rappeler le rôle de l’inspecteur du travail pour les salariés protégés.

On peut néanmoins regretter la lourdeur administrative que cela représente, et surtout

l’opportunité de cet interventionnisme. Si le responsable de traitement peut désigner qui bon

lui semble, il ne peut pourtant s’en séparer aisément. Le parallélisme des procédures n’est pas

total ici ce qui peut laisser perplexe quant au succès du CIL. Facile d’accès, contraignant pour

s’en dégager, il n’est pas certain que ce droit de regard sur la qualité du recrutement effectué

par l’organisme satisfasse les esprits. Cela est d’autant plus vrai que ces prérogatives

spécifiques au CIL se conjuguent à celles « classiques » de le CNIL.

� �� # � ��"��

La désignation d’un CIL n’a pas pour effet de priver la CNIL de ses pouvoirs propres

valables en toutes circonstances. La loi du 6 août 2004 renforce les pouvoirs de l’institution,

et le dispositif du CIL n’exempte par l’organisme de ses « menaces ». Succinctement, la

CNIL peut mener des investigations sur place, le CIL servant alors d’interlocuteur privilégié,

mettre en demeure l’organisme de se conformer à la loi ou user de son pouvoir de sanctions,

notamment pécuniaires. Elle peut en outre dresser des avertissements et transmettre des

plaintes au parquet. Le panel de ces prérogatives est donc vaste, la CNIL affichant une

volonté d’y recourir, « la sanction pouvant être pédagogique »197 ainsi que l’affirme le

président de l’institution de la rue Saint Guillaume.

197 Propos tenus lors des assises de l’AFCDP en avril 2005



81

§ 2 - L’OUVERTURE A UNE MEDIATION : LA CNIL COMME ESPACE DE DIALOGUE

La conservation d’un pouvoir de contrôle ne doit pas occulter la philosophie du

dispositif du CIL, celle d’une diffusion de la culture « Informatique et Libertés ». Si la

désignation d’un CIL amène à une autorégulation sous la vigilance de l’autorité, le principe

demeure que le CIL est un vecteur de pédagogie autour des notions de protection des données

à caractère personnel et de respect de la vie privée. Cet acteur de terrain, ce « casque bleu » de

la défense des libertés individuelles se trouverait diminué sans un soutien externe. Cette aide

indispensable incombe à la CNIL. La désignation de correspondants pourrait permettre de

créer un maillage d’interlocuteurs réguliers pour la Commission tout en permettant de régler

les difficultés liées à l’exercice des missions, et ce de manière « informelle ». C’est le pari

engagé puisque une cellule « CIL » devrait voir le jour au sein de la CNIL. Ce service dédié à

la fonction de correspondants permettra aux CIL désignés de trouver un ou plusieurs

interlocuteurs réguliers. A terme, la volonté affichée est d’aboutir à la création et l’animation

d’un réseau des correspondants Informatique et Libertés. La tenue de réunions de CIL, l’accès

à une information privilégiée, le partage d’expériences et la recherche commune de solutions

sont envisagées, ce qui constitue les mesures pratiques incitatives à la désignation de CIL.

Cette animation existe à l’étranger mais sous diverses formes. Le Luxembourg tient ainsi

diverses réunions pluriannuelles avec les chargés à la protection des données qu’elle a

agrémenté. Ces réunions visent essentiellement à la définition de standards professionnels, à

la définition d’un socle commun de bonnes pratiques.

En Allemagne, l’animation d’un tel réseau est difficile pour les autorités, et ce pour

différentes raisons. La désignation étant obligatoire, elle est souvent perçue comme une

contrainte bureaucratique. De plus, cette désignation n’a pas à être notifiée à l’autorité de

contrôle, que ce soit au niveau du Land ou au niveau fédéral, d’où l’impossibilité d’avoir une

connaissance exhaustive des DSB en place, ce qui amène à une prise de contact difficile, voire

impossible. Enfin, la structure excessivement complexe des autorités de protection des

données en Allemagne (distinction secteurs public/privé ; fédéral/Länder) constitue une autre

barrière à la constitution d’un réseau resserré.



82

En Suède et aux Pays-Bas, le système connaît un franc succès. Les autorités de

protection de ces Etats sont en charge de l’animation du réseau, ce qui nécessite une définition

précise des besoins et des attentes. A ce titre, l’on peut mentionner les initiatives suivantes :

• organisation par l’autorité de journées de rencontre, de séminaires et de conférences au

bénéfice exclusif des CPD ; plus généralement, l’autorité doit mettre en place un

système de formation continue pour ceux-ci (en Allemagne, il existe un système de

cours optionnels) ;

• suivi des personnes désignées : quand l’autorité néerlandaise est informée d’une

nouvelle désignation, elle appelle la personne au bout de quelque temps pour juger de

la qualité du travail effectué (en posant des questions sur la société, son

fonctionnement, les traitements mis en œuvre, etc.) ;

• une partie du site Web de l’autorité, en mode d’accès restreint, est réservé aux CPD ;

le système offre toutes sortes d’informations mais également des groupes de

discussion ;

• une newsletter électronique et un journal d’information spécifique sont envoyés très

régulièrement aux CPD pour les tenir au courant des évolutions législatives en la

matière et des décisions de l’autorité ;

• création au sein de l’autorité d’une « hotline » et d’un centre d’appels téléphoniques

dédiés aux CPD ;

• un agent est spécialement désignée au sein de l’autorité pour être la personne de

contact pour les CPD et est employée à plein temps à cette activité198.

Ce type de partenariat permet aux correspondants désignés de se sentir appuyés et

confortés dans leur prise de décision, parfois rejetées de toutes part. Un tel réseau a

néanmoins un coût en termes de personnel et de finances. La CNIL ne semble pas avoir les

moyens de ses ambitions, ce qui laisse à penser que le CIL devra faire preuve d’une

autonomie importante. Néanmoins, tout semble indiquer à la lumière des expériences

étrangères que le succès du dispositif soit fonction des possibilités offertes pas l’autorité de

198 Voir Delattre F., Rapport n° 1537 fait au nom de la Commission des lois relatif à la protection des personnes physiques à l’égard des traitements de données à caractère personnel et modifiant la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, 13 avril 2004, p. 27 s., disponible à l’adresse : www.assemblee-nationale.fr/12/pdf/rapports/r1535.pdf



83

contrôle locale. Il y donc tout lieu de penser que le CIL français ne devrait connaître qu’un

succès lent, à la mesure des moyens dont disposera la Commission.

Une autre hypothèse est toutefois à envisager. Si l’autorité de contrôle fait défaut, les

CIL pourraient se regrouper entre eux et fonder leur propre organisation. C’est l’ambition déjà

affichée par l’AFCDP199, prenant modèle sur les syndicats de correspondants existants à

l’étranger dont l’influence n’est pas mineure200. Les FG hollandais ont ainsi créé leur propre

syndicat professionnel, qui a établi ses propres standards que les FG sont tenus d’appliquer

dans leurs organisations. Le syndicat est devenu un interlocuteur quotidien de l’autorité de

protection des données. Idem en Allemagne où le GDD établi des guides de bonnes pratiques,

et constitue un interlocuteur important pour les DSB mais aussi pour les autorités. Cette

« tutelle » associative est toutefois risquée puisqu’elle peut amener à une transformation du

dispositif. Le CIL est un instrument parmi d’autres, ce qui le place dans un contexte de

concurrence pouvant conduire à l’établissement de dérivés, sans que l’apport de garanties soit

assuré.

199 Pour visiter le site de l’Association française des correspondants à la protection des données à caractère personnel : www.afcdp.org 200 Voir d’Herceville H., Interview de Xavier Leclerc de l’AFCDP, www.01net.com, 21 juin 2005



84

� �!��"#��'&�%""#&�#+#,�%�"#,�'+#+#

"#*%��'&

La volonté affichée par le législateur de permettre aux acteurs de se réguler par eux-

mêmes, sous la bienveillance de garde-fou comme la CNIL, est le signe d’une recherche

d’applicabilité de la norme. L’autorégulation permise par le CIL n’est pourtant qu’un aspect

visible en ce domaine. La recherche de modes de régulation alternatifs est historiquement

attachée à la mise en place de solutions techniques, liées notamment aux réseaux. La mise en

avant du CIL ne le détache pas d’un contexte de concurrence face à ces autres méthodes

régulatrices. Ne serait-ce que pour l’autorégulation, d’autres systèmes existent et cherchent à

se développer (Section I). La mise en place du CIL peut être vecteur de mutation dans ces

modes de régulations, ce qui pourrait donner naissance à de nouveaux instruments (Section

II).

�

�� $� � �� # � �� .� �� ( ��

L’autorégulation ne se limite pas au correspondant Informatique et Libertés. Elle

dispose d’une histoire et d’un développement propre, le CIL n’en étant qu’un aspect (§ 1). Cet

essor et cette pérennité peuvent s’expliquer par l’intérêt que représente cette forme de

régulation qui implique les acteurs (§ 2).

§ 1 - LA DIVERSITE DE FORMES

Il est impossible ici d’évoquer tous les instruments se rapportant à l’autorégulation.

Afin de présenter brièvement les plus courants, on pourra évoquer les usages et les codes (A)

pour ensuite envisager le label (B).



85

� � �� # ��

Netiquette, code de déontologie, charte ou encore pratiques, les instruments

d’autorégulation ne manquent pas. L’autorégulation consiste « en l’élaboration et le respect,

par les acteurs eux-mêmes, de règles qu’ils ont formulées (sous la forme par exemple, de

codes de bonne conduite ou de bonnes pratiques) et dont ils assurent eux-mêmes

l’application. »201 Historiquement, ces formes de régulation par l’interne sont apparues avec le

développement de l’internet. La netiquette est une de ces formes : elle est un code de

conduite, élaboré à l’aube du développement du réseau des réseaux et appelé à régir les

relations « inter-individuelles » en ligne202 : écrire un courrier électronique, se comporter dans

des discussions de groupe, etc. La communauté peut strictement sanctionner les contrevenants

à la netiquette, en les excluant d’un groupe par exemple. Ce code moral, regroupant les règles

éthiques propres à la communauté des internautes, semble aujourd’hui appartenir au passé :

l’afflux de nouveaux utilisateurs, le développement de l’arrosage et de la publicité ne

permettent plus de considérer la netiquette comme une coutume généralisée. Ainsi que le

relève le député Christian Paul, « plus l’on s’éloigne du domaine technique, moins

l’autorégulation communautaire semble fonctionner »203.

Les usages sont issus du Code civil. L’art. 1135 dispose en effet que « les conventions

obligent non seulement à ce qui y est exprimé mais encore à toutes les suites que l’équité,

l’usage ou la loi donnent à l’obligation d’après sa nature ». La référence à l’usage appliqué à

l’ère électronique souligne donc le développement d’une lex electronica, sœur jumelle de la

lex mercatoria qui reprend les usages commerciaux et contractuels dont le droit du commerce

international fait application. Cependant, comme pour la netiquette, l’absence de pouvoir

coercitif et de support écrit ne permet pas une effectivité des règles énoncées.

201 Du Marais B., Auto régulation, régulation et corégulation des réseaux, Colloque international « Droit international : approches européennes et internationales », 19-20 novembre 2001, Assemblée nationale, Paris, p. 3 202 La netiquette a été formalisée en 1995 dans le RFC 1855, http://www.faqs.org/ftp/rfc/pdf/rfc1855.txt.pdf 203 Paul C., Du droit et des libertés sur l’internet – La corégulation, contribution française à la régulation mondiale, Rapport au Premier Ministre, 2000, Doc. fr., p. 46, http://lesrapports.ladocumentationfrancaise.fr/BRP/004001056/0000.pdf



86

Il n’en va pas ainsi avec les codes de bonne conduite. Cette forme d’autorégulation se

retrouve entre entreprises appartenant à une même profession. On peut par exemple citer le

Code de déontologie des professionnels du marketing direct vis-à-vis de la protection des

données à caractère personnel élaboré sous l’égide de l’UFMD204 en 1993. Y Sont énoncées

des règles destinées à toutes les entreprises ou associations pour l’ensemble de leurs

opérations de marketing direct. On y parle d’ailleurs déjà de « responsable informatique et

libertés » mais la fonction est laissée à l’appréciation de l’entreprise. Il y a une reprise de cette

notion dans le code européen du marketing direct205 de la FEDMA206 avec l’idée de

« coordinateur »207. Le CIL, dont le rôle se rapproche de celui du responsable ou du

coordinateur décrits dans ces codes, a donc un aspect déontologique et éthique. La

déontologie dégagée par la FEDMA a d’ailleurs été approuvé par le G29208 le 13 juin 2003209.

Il ne possède néanmoins aucune valeur juridique. C’est sa notoriété et le fait qu’il provienne

204 Union française du marketing direct, www.ufmd.com 205 Le code est consultable à l’adresse : http://www.cnil.fr/fileadmin/documents/approfondir/textes/deontologie/FEDMA-europeen.pdf 206 Fédération européenne de marketing direct, www.fedma.org 207 L’art. 3 de ce code de déontologie dispose ainsi : « 3.4.1 Les responsables de traitements désigneront un coordinateur chargé de la protection des données au sein de leur organisation afin que celui-ci puisse agir en tant que point de contact pour les questions pertinentes de protection des données. 3.4.2 Les fonctions du coordinateur chargé de la protection des données devront au minimum comprendre : • �le contrôle, seul ou avec une autre personne, de la conformité des pratiques de l'organisation en matière de protection des données par rapport à la législation applicable et aux dispositions de ce code. • agir en tant qu'interlocuteur auprès des autorités de protection des données compétentes. 3.4.3 Les DMA nationales pourront recueillir les noms des coordinateurs chargés de la protection des données de leurs membres en vue de les transmettre aux autorités de protection des données compétentes. » 208 Créé par l’article 29 de la directive européenne de 1995 sur la protection des données personnelles, ce groupe, à caractère consultatif, est composé des représentants des autorités nationales de contrôle. Pour consulter le site du groupe de travail : http://europa.eu.int/comm/justice_home/fsj/privacy/index_fr.htm 209 Avis 3/2003 sur le code de conduite européen «FEDMA» relatif à l’exploitation de données à caractère personnel dans le cadre d’opérations de marketing direct, disponible à l’adresse : http://europa.eu.int/comm/justice_home/fsj/privacy/docs/wpdocs/2003/wp77_fr.pdf



87

des acteurs eux-mêmes qui lui donnent une assise auprès des professionnels210. La démarche

est différente avec un autre instrument d’autorégulation : le label.

� � ��

Les labels ont pour objet de fournir un étiquetage certifiant le respect de certaines

règles et pratiques prédéfinies. Sur les sites internet, ils se manifestent par de petits logos

affichés sur le page d’accueil. Les labels sont surtout utilisés sur les réseaux, notamment aux

Etats-Unis211, avec des certificateurs comme Webtrust212, TRUSTe213 ou BBBOnline214. Ces

initiatives ont trouvé une réponse aux niveaux communautaire et national avec par exemple

L@belsite215, qui présente un niveau de respect de la vie privée plus élevé de par l’imposition

de la législation communautaire en la matière, dont la directive 95/46 CE. Les labels sont

limités dans leur utilisation aux sites internet216, chacun d’entre eux protégeant un aspect

particulier des usages pouvant être fait de la navigation (protection des mineurs, protection de

la vie privée, protection des achats en ligne…). De plus, ils ne sont pas encadrés par la loi.

Néanmoins, leur intérêt n’est pas limité puisque certaines législations accordent des avantages

aux sites labellisés217. La démarche par rapport aux usages et codes est différente puisque le

label peut être imposé, ce qui oblige le prestataire à s’adapter en fonction des garanties

210 Voir Karayan R., Le marketing direct adopte un code professionnel européen, 30 juin 2003, www.journaldunet.com 211 Le « label » correspond à une terminologie française. Aux Etats-Unis, on parle plus d’ « electronic seals » ou sceaux électroniques 212 Le site de Webtrust est accessible à l’adresse : www.cpawebtrust.org. Opérant depuis 1997, il est relayé en France par les experts comptables et les commissaires aux comptes et bénéficie du soutien de la CNIL. 213 Le site de TRUTe est accessible à l’adresse : www.truste.org. Lancé en 1997, TRUSTe s’occupe uniquement de la protection de la vie privée et s’occupe de l’information de l’internaute en lui offrant des ressources et une assistance. 214 Le site de BBBOnline est accessible à l’adresse : www.bbbonline.org 215 Voir à l’adresse : www.labelsite.org 216 Voir Poidevin B., La labellisation des sites internet, 7 août 2001, www.jurisexpert.com 217 La loi belge lève ainsi l’interdiction faite au vendeur d’exiger un acompte ou paiement du consommateur avant la fin du délai de renonciation de sept jours lorsque le site est labellisé



88

exigées. Quels qu’ils soient, ces instruments font tous preuve d’un intérêt lié à leur mode de

création et d’application.

§ 2 - L’INTERET D’UNE REGULATION PAR LE BAS

Dans un domaine en perpétuelle mutation, l’autorégulation a ceci de positif qu’elle

permet une formalisation de règles déontologiques et éthiques en amont du droit. Elles ont

alors valeur de « test » pour la création de normes juridiques. Cette mise en pratique permet

de réduire le fossé entre théorie et pratique, et ainsi de renforcer l’effectivité et le

pragmatisme des normes. C’est pourquoi dans la vision anglo-saxonne l’autorégulation

supplante l’Etat, en témoigne les CPO, acteurs de l’autorégulation, nés et encadrés par la

pratique. Cette régulation qui offre des solutions précises à des problèmes ciblés permet de

rendre confiance aux individus. Comme pour le CIL, on peut croire que la démarche

volontaire de se conformer à des règles produites en interne est signe de bonne volonté, et du

désir de résoudre les difficultés.

Pourtant, force est de le reconnaître, l’autorégulation s’inscrit souvent dans une

démarche commerciale et marketing. Si les risques de retrait du label ou du groupe

déontologique existent, l’apport est suffisant pour pouvoir tenter de jouer avec les règles,

n’ayant aucune force contraignante. La diversité de l’offre en matière de label en témoigne :

le marché est en pleine expansion, ce qui en va pas forcément de pair avec une amélioration

des protections218. Entre volonté de se démarquer et désir de profiter d’un avantage

substantiel, il n’y a qu’un pas. Le CIL pourrait le franchir.

218 Voir Levallois-Barth C., La protection des données à caractère personnel et de la vie privée dans le cadre des réseaux et services de communication électroniques, 2003, thèse de l’Université de Rennes 1. Selon elle, « Le rôle joué par l’instrument d’autorégulation dépend également du soutien et de l’assistance qu’il offre aux personnes concernées. [L’entité] doit être impartiale, indépendante et dotée des pouvoirs nécessaires d’instruction. »



89

��/�� .�� "��

Le CIL comme nouvelle forme d’autorégulation devra se trouver une place au sein des

instruments existants. Pour autant, ce placement n’est pas sans risque puisque l’instrument,

pratique par définition, pourrait être transformé, adjoint à d’autres, et déboucher sur un dérivé.

Cette hypothèse est à envisager avec la possibilité d’un label (§ 1). Il faut alors prendre garde

à ne pas confondre « dérivé » et « dérives » (§ 2).

§ 1 - D’UN « LABEL CIL »

L’art. 11 3° de la loi Informatique et Libertés dispose en substance que la CNIL peut

délivrer « un label à des produits ou à des procédures tendant à la protection des personnes à

l’égard du traitement des données à caractère personnel, après qu’elles les a reconnus

conformes aux dispositions de la présente loi ». Cette faculté de la CNIL peut-elle être

appliquée au CIL ? En ce sens, le CIL peut être perçu comme une procédure pouvant être

accrédités par la CNIL. On ne peut le penser puisque la loi institue un régime de désignation

et un rôle précis au CIL. Néanmoins, il est loisible de penser qu’un marché du label CIL voit

le jour. Celui de la formation par exemple, avec des séminaires pour les futurs CIL auxquels

la CNIL aurait fourni une appréciation positive, voire un label. Il est aussi à craindre que ne se

développent des « labels parasites », délivrés par des organismes profitant de l’intérêt donné à

la notion pour se déclarer certificateurs, et qui ne répondraient à aucune légitimité, puisque la

loi organise comme seul moyen de contrôle le droit de regard de la Commission sur

l’effectivité des missions du CIL.

On peut toutefois imaginer que les CIL définissent eux-mêmes leurs standards et leur

propre code de déontologie. La fonction étant sensible, ce serait même une mesure

souhaitable. Ce code pourrait faire l’objet d’un examen en Commission, qui faisant

application de l’art. 11 3°, pourrait le labelliser. Ainsi, tout organisme ayant désigné un CIL

respectant le code ou la charte édictés recevrait un « label CIL » délivré par la CNIL.

L’apparition de « produits dérivés » du CIL ne doit cependant pas faire occulter les risques

induits par ce genre de mutations. Une transformation du régime ne doit pas déboucher sur un



90

affaiblissement du dispositif, dont le rôle s’inscrit dans la protection des données à caractère

personnel.

§ 2 - ASPECTS NEGATIFS

Le « label CIL » apparaît comme un avantage indiscutable : l’organisme qui en

bénéficierait posséderait un avantage concurrentiel certain219. Il lui fournirait une aura de

protection des données à caractère personnel dont on peut imaginer qu’elle ferait publicité.

Néanmoins, cette solution est-elle opportune pour les individus ? La question qui se pose est

celle des garanties offertes par le labellisateur. Que ce soit la CNIL ou un organisme certifié,

il y aurait deux procédures de contrôle parallèles : d’une part celle de la CNIL, offerte par

l’art. 22 III, et d’autre part celle concernant le respect du code de bonne conduite des CIL. Si

la CNIL dispose d’un pouvoir de sanction envers le responsable de traitement ou le CIL

contrevant, qu’en serait-il à l’égard de ceux violant les dispositions éthiques ? On peut même

imaginer que la CNIL sanctionnerait un responsable de traitement ne respectant pas la ses

obligations, lui ordonnant de revenir à un système déclaratoire par exemple, mais qu’en

parallèle ce dernier bénéficie toujours d’un « label CIL », les conséquences étant alors

minimes.

Missionnaire de l’application des principes de la loi Informatique et Libertés au sein

des organismes, le CIL dispose de plusieurs atouts pour réaliser ses missions. Cette fonction

régulatrice est appelée à devenir un maillon important dans la chaîne de protection des

données à caractère personnel. Ses missions, son rôle et son implication viennent d’être

définis. Reste à les traduire en terme de statut et de régime juridique afin d’aménager

juridiquement l’apparition du CIL.

219 Voir Samarcq N., Le correspondant CNIL, nouveau label pour les entreprises respectueuses de la vie privée, www.brmavocats.com, 28 mars 2003



91

��

� ��

L’adoption par la loi d’une nouvelle fonction spécifique à la protection des données à

caractère personnel doit s’accompagner d’un aménagement juridique. Intervenant au cœur de

l’organisme l’ayant désigné, sans en être nécessairement un salarié, que ce soit à plein temps

ou à temps partiel, le CIL est l’acteur d’une multitude de possibilités. L’élaboration d’un

contrat le liant à l’organisme doit donc faire l’objet de précautions particulières. Le CIL a

d’une part accès à des informations dont on sait qu’elles constituent la richesse de l’entreprise.

Ces données attisent les tentations des concurrents, cependant, le CIL n’est pas soumis au

secret professionnel, ce qui constitue un risque à encadrer. D’autre part, on a pu voir que la

CNIL dispose d’un pouvoir de destitution de la personne désignée en qualité de CIL. Le

responsable doit donc tout mettre en œuvre pour s’assurer que le CIL exerce efficacement et

consciencieusement ses missions, au risque de se faire pénaliser.

Lors de la négociation du contrat, deux axes doivent donc être pris en compte. Celui

du statut du CIL d’abord, afin de lui accorder un plein exercice de sa fonction et de son rôle.

Cette jouissance doit toutefois respecter un principe de spécialité et se limiter à des objectifs

précisément définis (Chapitre I). Nul n’étant infaillible, le CIL peut être à la source d’erreurs,

volontaires ou non, engageant l’organisme pour le compte duquel il exerce sur le plan

juridique et en terme d’image. Le régime de la responsabilité du CIL doit donc être analysé

dans une optique d’anticipation et de gestion des risques (Chapitre 2).



92

��

� Si la fonction de CIL est placée sous le signe de la novation, c’est bien par

l’autorégulation qu’elle apporte. En découle une position stratégique mais fragile au sein de

l’organisme. Qu’il soit salarié ou prestataire, le CIL bénéficie d’un statut non pas protecteur

mais privilégié de par la loi. L’art. 22 III pose en effet une double exigence au regard du

statut. Le CIL est tenu d’exercer sa mission « d’une manière indépendante ». Si le principe a

de quoi faire grincer les dents, il demeure néanmoins une obligation due à la personne en

charge de la fonction (Section I). L’indépendance est toutefois assortie d’une seconde

condition. Le CIL doit bénéficier « des qualifications requises pour exercer ses missions ». A

n’en pas douter, si cette preuve de capacité est un gage de confiance, elle constitue en partie

une charge pour le responsable qui doit trouver mais aussi maintenir à niveau une personne

présentant les garanties suffisantes (Section II).�

�� $��

Afin de mener à bien ses missions, le CIL doit faire preuve d’une indépendance. Ce

principe, inscrit dans la loi, est largement controversé. Générateur de scepticisme et de doute

quant à la viabilité du dispositif, cette indépendance est toutefois entourée de garanties de par

la loi (I). Pourtant, cette sauvegarde du texte ne saurait être suffisante : elle doit être

prolongée par la pratique qui concourra à la fixation de l’étendue de cette indépendance (II).

§ 1 - LES GARANTIES LEGALES

Dispositif novateur dans le paysage juridique par le bouleversement de méthodes qu’il

apporte, le CIL a fait l’objet d’un examen de constitutionnalité afin de vérifier que cet apport

ne constituait pas un recul des garanties liées à la protection de la vie privée (A). Si au regard

des textes l’indépendance semble assurée, elle n’est pas sans poser des difficultés dont la

traduction en pratique s’avérerait gênante pour la propagation du dispositif du CIL (B).



93

� � ��

Soumis à l’examen du Conseil constitutionnel, le dispositif du CIL faisait l’objet de

griefs de la part d’une frange de parlementaires sceptiques (1). La position des 9 sages220 offre

pourtant au CIL une constitutionnalité qui renforce sa position au sein du champ juridique

relatif à la protection des données à caractère personnel (2).

1. ��

Saisi en vertu de l’art 61 de la Constitution, le Conseil constitutionnel a du statuer sur

la loi relative à la protection des personnes physiques à l’égard des traitements de données à

caractère personnel, modifiant la loi du 6 janvier 1978. Cette dernière, monument législatif,

sans avoir valeur constitutionnelle, voyait ses dispositions former un corpus de garanties

légales essentielles pour la protection de plusieurs exigences constitutionnelles221. Sensibles à

la modification d’un texte à l’importance soulignée, plusieurs parlementaires ont, le 20 juillet

2004, déposé deux saisines222 contre plusieurs dispositions de la future loi du 6 août 2004,

certains de ces griefs étant dirigés contre le dispositif du CIL.

Les auteurs de la saisine, députés comme sénateurs, y voient d’abord un recul des

garanties légales posées par la loi du 6 janvier 1978 lorsque le législateur traduit sous formes

de dispositions légales des options ouvertes par la directive 95/46 CE, qui ne sont donc pas

obligatoires. Au titre de celles-ci figure les articles relatifs au CIL. La mise en œuvre de ce

dispositif serait ainsi une réduction du « contrôle minimal qui pouvait s’exercer sur la

connaissance des traitements »223. L’expression de son indépendance n’est pas perçue comme

une garantie puisque les auteurs de la saisine soulignent qu’en pratique celle-ci est impossible.

220 On peut même parler des 10 sages puisque l’ancien Président de la République Valéry Giscard d’Estaing est membre de droit de l’institution 221 Voir en ce sens Cons. const., 13 août 1993, déc. n° 93-325 DC, disponible sur http://www.conseil-constitutionnel.fr/decision/1993/93325dc.htm et Cons. const., 13 mars 2003, déc. n° 2003-467 DC, consultable sur http://www.conseil-constitutionnel.fr/decision/2003/2003467/2003467dc.pdf 222 La saisine des députés est disponible sur www.conseil-constitutionnel.fr/decision/2004/200499/saisine1.pdf et celle des sénateurs sur www.conseil-constitutionnel.fr/decision/2004/200499/saisine2.pdf 223 Ibid. p. 9



94

Au titre d’une simplification, le législateur aurait privé de garantie légale le droit à la vie

privée et à la liberté individuelle, violant l’art. 34 de la Constitution pour incompétence

négative.

Dans ses observations en date du 23 juillet 2004224, le Gouvernement prend la défense

du dispositif et souligne que le choix de retenir l’option du CIL a été fait en plein accord avec

la CNIL. Cet argument d’autorité renforce ainsi la légitimité du dispositif au regard de la

protection des données à caractère personnel. Qui plus est, la seule conséquence de la

désignation d’un correspondant est la dispense de déclaration, compensée par la tenue d’une

liste accessible au public et par le maintien de l’ensemble des prérogatives de la CNIL. Le

CIL jouit en outre d’une indépendance assortie de garanties suffisantes pour ne pas doter le

CIL du statut de salarié protégé. Le Conseil ne se détache pas de ses arguments dans la

décision qu’il prend.

2. ��

Dans sa décision 2004-99 du 29 juillet 2004225, le Conseil constitutionnel considère

que le correspondant n’emporte qu’une dispense de formalités déclaratives226, que son identité

est notifiée à la CNIL et que son indépendance est entourée de sauvegardes, notamment d’une

saisine possible de la CNIL en cas de difficultés dans l’exercice de ses missions. Dès lors, il

« considère que, compte tenu de l’ensemble des précautions ainsi prises, s’agissant en

particulier de la qualification, du rôle et de l’indépendance du correspondant, la dispense de

déclaration résultant de sa désignation ne prive de garantie légale aucune exigence

constitutionnelle »227. Cette analyse du Conseil est linéaire et plutôt succincte. Cependant elle

ne fait que répondre aux griefs d’incompétence négative de la disposition relative au CIL. Là

224 Ces observations sont disponibles sur www.conseil-cinstitutionnel.fr/decision/2004/200499/obs.pdf 225 Cons. const, 29 juillet 2004, déc. n° 2004-99 DC, http://www.conseil-constitutionnel.fr/decision/2004/2004499/2004499dc.pdf 226 Ibid., cons. 21 227 Ibid., cons. 23



95

où les requérants y voient un recul des garanties légales, les membres du Conseil répondent

que tous les risques sont entourés par des garanties propres à effacer toute dérive.

Si le texte pose des garanties suffisantes pour assurer l’indépendance du CIL et un

niveau au moins équivalent par rapport aux dispositions originales de la loi du 6 janvier 1978,

l’indépendance est une notion de fait qui ne va pas sans poser de sérieuses difficultés.

� � �� $��

En l’absence du statut de salarié protégé, l’indépendance dont doit pouvoir jouir le

CIL paraît difficile à saisir. Si des précautions sont prises sur la personne en charge de la

fonction, sa capacité de saisir la CNIL et son immunité face aux sanctions possibles, le CIL

demeure rémunéré par l’organisme qui l’engage, voire subordonné au pouvoir hiérarchique

lorsqu’il est salarié du responsable de traitement. Il y a là une problématique a priori

insoluble. Il est d’ailleurs à noter que le projet de loi avait d’abord limité l’étendue du

dispositif de CIL au seul secteur de la presse, et ce pour entériner les solutions posées en 1995

au regard de la problématique de conciliation de deux libertés contradictoires228. La crainte du

législateur à l’aube de la réflexion lors de la rédaction de la loi du 6 août 2004 était d’aboutir à

un système plus complexe que simplificateur. L’indépendance semble donc impossible à

atteindre, aussi bien sur le plan éthique que pratique. Il ne peut s’agir toutefois que de faux

semblants car la loi ne pose aucune définition de cette notion d’indépendance. C’est à la

pratique qu’il revient de traduire cette exigence d’indépendance.

§ 2 - L’INDEPENDANCE IN CONCRETO

L’indépendance posée par la loi ne relève pas de la philosophie ou d’un absolu

idéologique. « L’indépendance n’existe pas, pour personne » souligne d’ailleurs le président

Türk229. Dans le prisme du CIL, elle évoque une liberté d’expression dont les contours sont à

228 Voir supra p. 62 229 Propos soutenus en avril 2005 lors des assises de l’AFCDP



96

définir (A). La mise en œuvre pratique doit cependant être confortée par des moyens propres à

en assurer l’effectivité (B).

� � � ��

L’indépendance du CIL est l’un des points les plus évoqués depuis la parution de la

loi. A raison puisque cette indépendance doit se traduire dans les faits par une absence de

sanctions de la part de l’employeur du fait de l’accomplissement des missions du CIL. Or

c’est un principe de base du droit du travail : tout salarié est sous le pouvoir hiérarchique de

l’employeur et peut donc faire l’objet de sanction. Qui plus est, le CIL demeure rémunéré par

l’organisme l’ayant désigné. Difficile dès lors et a priori de dégager une indépendance pure et

parfaite. La question est pourtant d’importance puisqu’elle conditionne l’efficacité et la

pertinence du dispositif, le statut de salarié protégé n’étant pas retenu. La question se pose

surtout dans l’hypothèse où le CIL est salarié. L’externalisation auprès d’un professionnel est

un modèle qui existe déjà pour la certification des comptes avec les commissaires aux

comptes et les difficultés sont alors moindres230. Que faut-il donc entendre par cette

indépendance ? Doit-on la considérer comme pure et parfaite mais incompatible avec les

réglementations du droit du travail ? Là encore, les expériences étrangères permettent

d’éclairer ces points obscurs.

L’esprit de la directive, et de la loi française, n’est pas de faire de la personne exerçant

les fonctions de CIL un électron libre au sein de l’organisme, un « puissant » ayant un droit de

regard sur tout, à tout moment. Le CIL est avant tout un conseil et un pédagogue. C’est en ce

sens que l’indépendance doit semble-t-il être envisagée. Les meilleures recommandations,

c'est-à-dire celles favorisant au maximum une bonne application des obligations légales,

seront celles offerts en toute neutralité. L’indépendance visée par la loi est une liberté d’esprit,

et non une indépendance de statut. Ce qui explique peut être le refus du statut de salarié

protégé au CIL.

230 Voir Belleil A. et Levallois-Barth C., Le correspondant « Informatique et Libertés » : une fonction en attente de clarifications, Expertises, juillet 2004, p. 256



97

Ainsi, le correspondant, tout en étant soumis à un pouvoir hiérarchique, doit pouvoir

formuler en toute liberté les conseils et recommandations lui semblant adéquats. Cette liberté

de parole implique sans doute la mise en place d’éléments pour pouvoir l’assurer. La tâche

s’avère délicate : capable de prendre position tout en faisant l’objet d’un devoir de réserve

renforcée, le CIL doit trouver un équilibre subtil pour remplir sa fonction.

� � �� +�� $��

A la lumière des expériences étrangères et de l’existant, plusieurs éléments sont à

souligner dans la recherche des moyens de l’indépendance. Il s’agit d’abord du rang

hiérarchique donné au CIL (1), conditionnant sa liberté d’action (2). L’indépendance doit

également trouver une traduction dans les moyens matériels mis à disposition (3). Enfin, une

politique de turn-over apparaît indispensable afin de garantir une certaine neutralité (4), le

CIL devant être protégé des conflit d’intérêts pendant l’exercice de sa fonction (5).

1. ��

L’indépendance peut d’abord être recherchée dans la position hiérarchique du CIL.

L’efficacité de sa fonction est conditionnée par sa possibilité de se faire entendre. Il faut donc

qu’il y ait le moins d’intermédiaires possibles entre lui et le responsable de traitement. La

législation allemande prévoit en ce sens que le détaché à la protection des données doit être

directement placé sous l’autorité du directeur de l’organisme public ou privé, étant libre de

toute instruction dans l’exercice de ses compétences dans le domaine de la protection des

données231. Ce rattachement direct du DSB à la direction générale permet à ce dernier de

porter son message sans passer par l’encadrement intermédiaire, ce qui est vecteur

d’indépendance.

Si la loi du 6 août 2004 ne prévoit rien en ce sens, le projet de décret dispose quant à

lui que le CIL exerce sa mission directement auprès du responsable de traitement. Ce lien

231 § 4f al. 3 BDSG, op. cit.



98

direct place donc le CIL à un haut niveau dans l’organigramme, plus précisément au même

grade que les dirigeants. L’absence d’intermédiaires permet également de ne pas multiplier les

possibilités d’instructions envers le CIL, dans le cadre de ses missions. Car si le CIL est un

salarié, il peut recevoir toute instruction dans le cadre de son travail : ses conseils et

recommandations ne peuvent en revanche être influencées par un ordre d’un supérieur.

2. ��

Chargé de régulariser les traitements mis en œuvre, le CIL doit pouvoir jouir d’une

liberté d’accès aux locaux et aux traitements lorsque l’exercice de ses missions l’exige. Cette

liberté de déplacement peut être comparée à celle dont bénéficient les délégués du personnel.

L’art. L. 424-3 du Code du travail reconnaît à ces délégués le droit de circuler librement dans

l’entreprise pendant leurs heures de délégations ou en dehors de leur temps de travail232. Ces

dispositions pourraient inspirer la mise en œuvre du dispositif du CIL. Le correspondant ne

peut valablement pas exercer sa fonction sans une liberté d’accès à tous les locaux de

l’entreprise.

Dans le même sens, on peut se demander si le CIL dispose d’une liberté d’affichage à

l’instar de celle dont disposent les délégués du personnel en vertu de l’art. L. 424-2 du Code

du travail233. Ayant aussi pour rôle la diffusion de la culture « Informatique et Libertés », le

CIL doit avoir la possibilité d’informer les autres salariés de son rôle et de porter à leur

connaissance des informations relatives à la protection des données. Cet affichage devrait

alors se limiter au cadre de la mission dévolue au CIL. La loi ne fixe rien en ce sens, ce sera

232 L’art. L. 424-3 du Code du travail dispose que « Pour l'exercice de leurs fonctions, les délégués du personnel peuvent, durant les heures de délégation, se déplacer hors de l'entreprise ; ils peuvent également, tant durant les heures de délégation qu'en dehors de leurs heures habituelles de travail, circuler librement dans l'entreprise et y prendre tous contacts nécessaires à l'accomplissement de leur mission, notamment auprès d'un salarié à son poste de travail, sous réserve de ne pas apporter de gêne importante à l'accomplissement du travail des salariés. » 233 L’art. L. 424-2 du Code du travail dispose que « Le chef d'établissement est tenu de mettre à la disposition des délégués du personnel le local nécessaire pour leur permettre de remplir leur mission, et, notamment, de se réunir.

Les délégués peuvent faire afficher les renseignements qu'ils ont pour rôle de porter à la connaissance du personnel sur des emplacements obligatoirement prévus et destinés aux communications syndicales, et aux portes d'entrée des lieux de travail. »



99

donc à la pratique de régler ces questions d’espèce. Il semble utile que les responsables de

traitements et les CIL réfléchissent à ces interrogations propres aux missions pédagogiques.

3. �� $ �� 1� � � ��

L’indépendance du CIL se poursuit par les moyens dont il pourra bénéficier. Sa liberté

d’action ne peut se concevoir sans une autonomie de moyens. La loi allemande assure cette

dernière aux DSB puisque les organismes publics et privés doivent soutenir le détaché à la

protection des données et en particulier dans la mesure où cela est nécessaire à

l’accomplissement de ses fonctions, mettre à sa disposition du personnel auxiliaire ainsi que

des locaux, du matériel, des appareils et d’autres moyens234. Pareillement, le délégué européen

à la protection des données jouit d’une indépendance de moyens et se voit alloué des

personnels propres235. Si le bénéfice d’une telle liberté représente un coût important pour

l’organisme, elle est aussi un vecteur de neutralité. On peut là encore s’inspirer des délégués

du personnel pour constater que leur autonomie est assurée par la mise à disposition de locaux

propres afin de leur permettre de remplir leur mission, et notamment de se réunir et de

recevoir du personnel, ainsi que le dispose l’art. L. 424-2 du Code du travail. La loi fait même

une obligation à l’employeur de fournir au comité d’entreprise le matériel nécessaire à

l’exercice de ses fonctions.

Ces parallèles avec les systèmes existants de délégués du personnel et du comité

d’entreprise permettent d’envisager que l’indépendance du CIL n’est pas un absolu

impossible à atteindre. Si le silence de la loi et du projet de décret, contrairement aux

législations étrangères et notamment allemande, est à regretter, il est toutefois possible de

s’inspirer de l’existant afin de construire la pratique de la fonction de CIL. Si la désignation

est un signe de bonne volonté, on peut supposer que les moyens suivront pour assurer à la

personne en charge de la fonction un plein effet de ses prérogatives.

234 § 4f al. 5, BDSG, op. cit 235 Art. 7 décision 2004/644/ CE du Conseil du 13 septembre 2004, op. cit.



100

( ! ��

Alors que le CIL prestataire est lié par un contrat de prestations de services à durée

limitée, comment positionner la fonction du CIL lorsqu’il est salarié de l’organisme ? Un

parallèle avec les mandats sociaux peut là encore être envisagé. Le CIL étant une fonction,

elle fait l’objet d’un contrat de travail lorsqu’elle est occupée à plein temps. Par contre, si elle

ne nécessite qu’une occupation à temps partiel, elle peut faire l’objet d’un mandat du même

type que celui dont bénéficient les délégués du personnel. Emportant suspension du contrat de

travail lorsqu’elle la personne effectue ses missions de CIL, le mandat permet d’exercer la

fonction sans voir le contrat de travail rompu. Ainsi, lorsqu’il se verrait démettre de sa

fonction, il pourrait retrouver son emploi habituel. Néanmoins, pour assurer une

indépendance, il semble nécessaire de limiter dans le temps ce mandat. Qu’ils soient

politiques ou sociaux, nombre d’entre eux sont à durée limitée ce qui assure une indépendance

et un renouvellement nécessaire pour apporter un point de vue toujours plus neutre, sur les

questions de protection de la vie privée en l’occurrence. Les correspondants des ministères

déjà en place depuis près de 20 ans sont renouvelés en moyenne tous les 3 ans en raison des

mutations et évolutions de carrière. De même, les délégués européens à la protection des

données sont nommés pour un mandat de deux à cinq ans renouvelable dans la limite de 10

ans.

) ! �� 2 ��

En disposant que le CIL est désigné par le responsable de traitement, la loi sous entend

que ces deux personnes sont forcément distinctes. Si cette distinction est subtile dans le texte,

elle apparaît nécessaire d’un point de vue éthique. L’indépendance qui se veut en partie une

liberté d’esprit ne permet pas à la personne régissant l’organisation des traitements de

données, fixant leur finalité, durée de conservation, etc., de contrôler leur régularité vis-à-vis

des obligations légales afin de bénéficier d’une dispense de déclarations. Ce serait alors faire

du CIL une niche à dispenses. Le CIL doit donc, de par son indépendance, être à l’abri de tout

conflit d’intérêts afin de ne pas voir son jugement altéré de par l’exercice d’autres fonctions

exercées en parallèle. L’exemple allemand est une nouvelle fois éclairant. La notion de conflit

d’intérêts s’y apprécie au cas par cas. En ont été déduites des incompatibilités entre les



101

fonctions de DSB et de direction de l’organisme, mais aussi avec les fonctions ayant trait à la

gestion des ressources humaines, à l’administration des systèmes d’information, ou à la mise

en œuvre de données sensibles ou « de grande envergure » (comme le marketing)236. Dans ces

exemples, la fonction de DSB entre en conflit lorsqu’elle est exercée en parallèle avec une

autre fonction qui touche à la détermination des traitements. L’indépendance d’esprit du

correspondant est à la base même du bon exercice de ses missions.

Le projet de décret d’application de la loi du 6 janvier 1978 modifiée par la loi du 6

août 2004 établit une incompatibilité entre les fonctions de responsable des traitements et

CIL, disposant par la suite que le CIL ne doit pas exercer de fonctions parallèles susceptibles

de provoquer un conflit d’intérêts avec l’exercice de sa mission. Il semble donc que le

législateur français agisse également au cas par cas, posant juste une incompatibilité de base

pour empêcher le responsable des traitements de s’autoréguler. Néanmoins, il est possible de

déterminer quelles pourraient être ces fonctions impliquant un conflit d’intérêts.

Dès lors qu’elles engagent une délégation de fait ou de droit des pouvoirs propres au

responsable de traitement, dans la détermination des objectifs et des moyens propres aux

traitements, ou dès qu’elles induisent une altération du point de vue et de l’objectivité

indispensable pour permettre une mise en conformité des traitements avec les dispositions

légales, le conflit d’intérêts apparaît comme patent. Ceci semble donc exclure de la fonction

de CIL le responsable des ressources humaines.

Parmi les incompatibilités potentielles, le cumul des fonctions de CIL et de

représentant du personnel est également à envisager. Le CIL peut-il devenir représentant du

personnel, ou à l’inverse, un salarié déjà représentant du personnel peut-il être désigné pour

cette fonction ? L’art. L. 423-8 dispose s’agissant des délégués du personnel que « sont

éligibles, à l'exception des conjoints, ascendants, descendants, frères, sœurs et alliés au même

degré du chef d'entreprise, les électeurs âgés de dix huit ans accomplis, et ayant travaillé

dans l'entreprise sans interruption depuis un an au moins ». Aucune incompatibilité ne

semble donc être relevée entre les fonctions de CIL et de délégué du personnel. Or, il semble

que l’indépendance du CIL soit une liberté d’esprit. S’agissant des délégués syndicaux, sont

seuls éligibles les salariés appartenant à une organisation syndicale. Cette fonction qui

236 Métallinos N., La fonction de « détaché à la protection des données » en Allemagne et aux Pays Bas, op. cit.



102

implique une prise de position partisane semble incompatible avec la fonction de CIL. De

même, le délégué du personnel a pour mission de présenter au chef d’entreprise toute

réclamation individuelle ou collective relative à l’application du Code de travail. En outre,

l’art. L. 422-1-1 organise à leur bénéfice une procédure d’enquête et de suppression des

atteintes aux libertés individuelles dont pourraient être victimes les salariés237. Ni juge ni

partie, le CIL ne semble pouvoir associer sa fonction avec celle de délégué du personnel, ce

qui induirait un cumul de procédures auprès du chef d’entreprise, qui, si elles n’ont pas les

mêmes objectifs, recouvrent des domaines communs. Le délégué du personnel ayant en

charge la défense du personnel ne peut semble-t-il pas exercer la fonction de CIL qui oblige à

plus de neutralité, notamment en interne.

Enfin, et en s’inspirant de l’art. L 423-8 du Code du travail, on peut s’interroger sur la

possibilité pour un membre de la famille proche du responsable de traitement de devenir CIL.

Cette hypothèse peut par exemple se présenter dans les entreprises familiales. Si une

incompatibilité est fixée s’agissant des délégués du personnel en application de l’art. L 423-8

du Code du travail, il n’est pas certain qu’il faille la retenir pour la fonction de CIL.

L’appartenance à la même famille n’induit pas une altération automatique du point de vue.

L’indépendance du CIL est suffisamment entourée de précautions, notamment par la

vérification de la CNIL, pour pouvoir envisager une liberté et une souplesse dans ce type de

situations. La CNIL ne posant aucun agrément, et la loi ne disposant rien en ce sens, ce serait

faire une interprétation trop stricte du texte que de refuser a priori une désignation de ce type.

Et quel serait le fondement de cet interventionnisme trop important de la CNIL ?

L’allègement et la simplification n’ont pas vocation a ajouter du contrôle a celui déjà existant.

Qui plus est, le CIL, au-delà de son indépendance, doit être capable d’assumer sa fonction. Si

aucun examen n’est exercé a priori, des compétences particulières sont toutefois exigées pour

pouvoir assumer l’exercice des missions.

237 Voir supra p. 69



103

��

L’exigence de qualifications est l’expression d’une demande de garanties envers la

personne prenant en charge la fonction de CIL. Elle impose donc au responsable de traitement

de vérifier les capacités de l’individu ou de la structure appelé à la prise en charge de la

fonction. Ces compétences ne sont pourtant pas l’objet d’une demande stricte de la part de la

loi. Un pragmatisme est de rigueur en la matière (§ 1). Ce n’est pourtant pas un saut dans

l’inconnu puisque nombre de fonctions constituent un existant dont le CIL peut habilement

s’inspirer afin de se construire (§ 2).

§ 1 - UN NECESSAIRE PRAGMATISME

Confronté dans l’exercice de sa fonction à des situations conflictuelles, capable de

toujours faire prévaloir les principes de la protection des données à caractère personnel et

surtout de comprendre et d’anticiper tous les risques, le CIL est une personne devant

bénéficier de compétences particulières et faire preuve d’autonomie pour assurer son

indépendance. C’est pourquoi les législations attendent de cet individu diverses qualités (A).

Pourtant, c’est encore la pratique qui déterminera les standards de la fonction afin de pouvoir

la rendre accessible (B).

� � ��

La demande de qualification posée par la législation française (2) n’est pas isolée

puisque les systèmes étrangers en font aussi une demande plus ou moins forte selon les Etats

(1).



104

1. 3 ��

Selon la législation allemande, n’ont la possibilité de devenir DSB que les personnes

possédant les qualités et capacités nécessaires pour pouvoir remplir la fonction238. La

législation hollandaise va plus loin puisqu’il est exigé du FG qu’il soit digne de confiance et

qu’il possède les connaissances adéquates pour remplir ses devoirs239. Si les textes ne fixent

pas les minima de connaissances dont doivent pouvoir faire montre les détachés à la

protection des données, c’est pour une ouverture plus grande sur la pratique. Aucun profil

rigide n’est retenu car tout est fonction des besoins. En posant une exigence de confiance en la

personne désignée, la loi hollandaise sous entend qu’il doit être connu personnellement du

responsable de traitement. La logique est de mise puisque ce détaché a en charge

l’autocontrôle des traitements mis en œuvre. Chargé d’un devoir de vigilance quant à la

régularité de ceux-ci, cette confiance apparaît comme indispensable. C’est pourquoi les

législations germanique et hollandaise disposent que le DSB et le FG doivent nécessairement

être une personne physique, un rapport intuitu personae étant alors instauré lors de la

désignation. Cette relation est absente de la législation luxembourgeoise puisque c’est

l’autorité de contrôle qui juge elle-même des capacités du chargé à la protection des données.

2. , � �4 ��

L’art. 22 III de la loi du 6 janvier 1978 est plus laconique que les dispositions

allemandes et néerlandaises. Le CIL y « est une personne bénéficiant des qualités requises

pour exercer ses missions ». Le projet de décret retient quant à lui que le CIL doit bénéficier

de qualifications ou de références professionnelles. Contrairement au FG et au DSB, le CIL

n’est pas uniquement une personne physique puisqu’une personne morale peut exercer la

fonction. Alors que le rapport de personne à personne est gage de confiance à l’étranger, le

dispositif français amène à une absence de transparence en permettant de désigner une

personne morale, quand bien même elle bénéficierait de références professionnelles (un

cabinet d’avocat spécialisé de longue date en droit des nouvelles technologies par exemple).

238 § 4f al. 2, BDSG, op. cit.



105

Pour autant, les dispositions françaises font preuve de la même souplesse que leurs

homologues étrangers. Il s’agit donc de déterminer ce que signifient ces « qualités requises

pour exercer ces missions » afin de donner un visage au CIL.

� � �- ��

Chargé de la protection des données à caractère personnel, le CIL est à la croisée du

droit et de l’informatique. Des connaissances juridiques semblent donc indispensables,

notamment celles relevant des problématiques Informatique et Libertés. Suivant le secteur

d’activité, ces exigences peuvent être modulées. On peut imaginer qu’un CIL désigné par un

laboratoire de recherche épidémiologique aurait aussi à connaître en plus la loi du 6 août 2004

sur la bioéthique240. Quant aux connaissances des techniques de l’information et de la

communication, elles relèvent du secteur dont dépendra le CIL, même si les bases de

l’informatique semblent indispensables.

Au-delà de ces aspects de premier niveau, le CIL doit faire preuve d’une connaissance

organisationnelle de l’entreprise afin d’entrevoir les acteurs internes à l’organisme avec

lesquels il doit nouer un dialogue. En outre, la compréhension des processus commerciaux

effectués par l’organisme est indispensable pour envisager la protection des données. Juriste,

informaticien, apte à communiquer, diriger, gérer les conflits et représenter l’organisme à

l’extérieur, à sensibiliser, motiver et à faire preuve d’initiative personnelle, on peut se

demander qui est cet individu, ce « mouton à cinq pattes »241 ou comment peut-il le devenir ?

A l’impossible nul n’étant tenu, le CIL n’est pas cet idéal impossible à atteindre,

même si les exigences sont fortes. Le choix d’un CIL externe est en cela une bonne

opportunité puisqu’il n’est pas toujours possible de trouver ces compétences dans le personnel

existant. L’expérience est certainement un critère important pour un bon exercice de la

fonction. Les correspondants du secteur public existants doivent ainsi exercer en moyenne

239 Art. 63 1., Wet besherming persoonsgegevens, op. cit. 240 Loi n° 2004-600 du 6 août 2004 relative à la bioéthique, JORF n° 182 du 7 août 2004, p. 14040, consultable sur : www.legifrance.gouv.fr/imagesJOE/2004/0807/joe_20040807_0182_0001.pdf 241 Voir J.-E. Ray, Le nouveau correspondant aux données personnelles, op. cit.



106

deux ans pour trouver une dynamique d’efficacité242. La formation continue trouve ici une

place importante. La mise à niveau régulière des CIL apparaît fondamentale et est d’ailleurs

retenue par des systèmes étrangers. Le chargé à la protection des données luxembourgeois

« doit parfaire ses connaissances en la matière au moins une fois par an et en fournir la

preuve à la Commission nationale, sous peine du retrait de l’agrément accordé »243. Cette

formation continue sera peut être prise en charge par la CNIL via le réseau des CIL qu’elle

désire mettre en œuvre, ou par des associations de correspondants à l’instar du GDD en

Allemagne244. Le contenu de cet apprentissage reste toutefois à définir mais il peut s’inspirer

des fonctions voisines de celle du CIL qui, par leurs analogies ou même leurs différences,

peuvent apporter un point d’ancrage quant à la définition des qualifications nécessaires à la

conduite des missions.

§ 2 - LE CIL : FONCTION NOVATRICE OU SUCCEDANE DE L’EXISTANT ?

La question peut paraître farfelue tant la novation qu’est le CIL a pu être soulignée.

Pourtant, d’autres fonctions s’apparentent en d’autres matières à celle du correspondant

Informatique et Libertés (A). Ces postes présentent d’ailleurs plus de points communs avec le

CIL que celui présenté comme l’inspirateur : le CPO (B).

A/ Les postes approchants

Le CIL peut d’abord apparaître comme un agent de la qualité (1) mais c’est

essentiellement dans le milieu bancaire et financier que l’on trouve des fonctions voisines, la

gestion des risques y étant une priorité. Il faut dès lors comparer la fonction de l’art. 22 avec

celle de déontologue (2) et de compliance officer (3).

242 Cette estimation a été livrée par C.-M. Pittrat, Commissaire du Gouvernement auprès de la CNIL et en charge du réseau de correspondants au sein des ministères, lors des assises de l’AFCDP en avril 2005 243 Art. 1 al. 2 du règlement grand-ducal du 27 novembre 2004, op. cit. 244 Voir l’intervention et les propositions de thèmes de formations de Büllesbach A., 23ème conférence internationale des commissaires à la protection des données « Vie privée, - Droits de l’Homme », Doc. fr., 2001.



107

! ��

Parce qu’il est « chargé d’assurer (…) le respect des obligations prévues » dans la loi

du 6 janvier 1978, la fonction de CIL s’apparente à celle d’une qualiticien. En ce sens, il a en

charge la qualité de la protection des données à caractère personnel sans être responsable des

traitements de ces données. Le qualiticien doit établir des protocoles, des normes, visant a

assurer au produit en bout de chaîne une qualité répondant aux exigences légales et de la

firme. Le CIL peut être assimilé dans ce type de tâches au qualiticien, devant établir des

procédures permettant une mise en conformité des traitements avec la loi. Cette analogie dans

les missions peut être éclairante pour une définition des responsabilités.

" ! ��

Le déontologue est issu du Titre III du Règlement général du Conseil des Marchés

Financiers245, notamment en ses art. 3-1-4 à 3-1-7 qui imposent cette fonction chez les

établissements prestataires de services d’investissement depuis 1998. Ses missions sont

définies à l’art. 533-4 du Code monétaire et financier246. Il a ainsi en charge la définition et

245 Le Titre III du Règlement général du CMF est disponible sur http://www.cmf-france.org/docpdf/regltgen/RGCMFIII.pdf 246 L’art L. 533-4 dispose en substance que les missions du déontologue sont : « 1. Se comporter avec loyauté et agir avec équité au mieux des intérêts de leurs clients et de l'intégrité du marché ; 2. Exercer leur activité avec la compétence, le soin et la diligence qui s'imposent, au mieux des intérêts de leurs clients et de l'intégrité du marché ; 3. Etre doté des ressources et des procédures nécessaires pour mener à bien leurs activités et mettre en oeuvre ces ressources et procédures avec un souci d'efficacité ; 4. S'enquérir de la situation financière de leurs clients, de leur expérience en matière d'investissement et de leurs objectifs en ce qui concerne les services demandés ; 5. Communiquer, d'une manière appropriée, les informations utiles dans le cadre des négociations avec leurs clients ; 6. S'efforcer d'éviter les conflits d'intérêts et, lorsque ces derniers ne peuvent être évités, veiller à ce que leurs clients soient traités équitablement ; 7. Se conformer à toutes les réglementations applicables à l'exercice de leurs activités de manière à promouvoir au mieux les intérêts de leurs clients et l'intégrité du marché. 8. Pour les sociétés de gestion de portefeuille, exercer les droits attachés aux titres détenus par les organismes de placement collectif en valeurs mobilières qu'elles gèrent, dans l'intérêt exclusif des actionnaires ou des porteurs de parts de ces organismes de placement collectif en valeurs mobilières et rendre compte de leurs pratiques en matière d'exercice des droits de vote dans des conditions fixées par le règlement général de l'Autorité des marchés financiers. En particulier, lorsqu'elles n'exercent pas ces droits de vote, elles expliquent leurs motifs aux porteurs de parts ou actionnaires des organismes de placement collectif en valeurs mobilières.



108

l’application des règles de bonne conduite destinées à garantir la protection des investisseurs

et la régularité des opérations. Pour cela, il doit diffuser l’information déontologique, par le

biais de formations par exemple. Soumis au secret professionnel, il n’a pas de statut de type

salarié protégé. Son indépendance est en revanche assurée par une autonomie décisionnelle,

un rattachement auprès de la Direction générale de sa structure, et la mise à disposition de

moyens humains et matériels. Afin d’assurer le respect des règles déontologiques définies par

la réglementation et déceler les défauts en la matière au sein de l’organisme, il peut mener des

contrôles et des investigations, mais c’est la hiérarchie qui dispose au final d’un pouvoir de

rectification des dysfonctionnements, voire d’un pouvoir de sanction.

Le statut de déontologue est soumis à l’obtention d’une carte professionnelle après

examen. Chaque déontologue doit rédiger un rapport annuel d’activité. Dans la mesure du

possible, cette fonction doit être exercée à temps plein, mais dans tous les cas par une

personne physique.

Cette analogie dans les missions avec le CIL amène à penser que les déontologues sont

particulièrement aptes à l’exercice de la fonction247. Il n’en reste pas moins que cet existant

peut inspirer la mise en place du CIL pour déterminer les règles de fonctionnement futures et

anticiper la pratique de la fonction issue de la loi du 6 janvier 1978.

' ! ��

La fonction de conformité (ou compliance officer) a en charge la maîtrise de non-

conformité au sein des établissement bancaires, c’est à dire le « risque de sanction judiciaire,

administrative ou disciplinaire, de perte financière, d’atteinte à la réputation, du fait de

l’absence de respect des dispositions législatives et réglementaires, des normes et usages

professionnels et déontologiques, propres aux activités des banques »248. Le principe de non-

Les règles énoncées au présent art. doivent être appliquées en tenant compte de la compétence professionnelle, en matière de services d'investissement, de la personne à laquelle le service d'investissement est rendu. » 247 Voir Haas G., Correspondant à la protection des données : une mission pour les déontologues, Expertises, décembre 2004, p. 429 248 Document consultatif du Comité de Bâle du 27 octobre 2003 sur la fonction de conformité dans les banques « Consultative Document on the Compliance Function in Banks », consultable à l’adresse http://www.bis.org/publ/bcbs103.pdf



109

conformité est inscrit dans le règlement n° 97-02 du CRBF relatif au contrôle interne, modifié

par arrêté du 31 mars 2005249. La fonction doit être indépendante des services opérationnels

mais et disposer d’un accès direct à la Direction générale250. Une charte doit être établie par

l’établissement pour dresser les moyens, les compétences et les garanties pour assurer

l’indépendance de la personne en charge de la fonction de conformité. Celle-ci doit avoir un

accès complet à l’ensemble des informations. Il faut noter l’approche mise en place qui

associe étroitement le responsable et la personne en charge de la conformité (établissement de

cartographie des risques, suivi des mesures, information mutuelle…). La fonction doit être

adaptée à la nature de chaque établissement : lorsque la taille de l’entreprise ne justifie de

confier cette fonction à une personne spécialement désignée, l’externalisation est possible

mais les conditions sont alors strictes. Cette dernière comporte en effet des menaces de perte

de maîtrise de la prestation confiée à un tiers, ce qui induit un risque en matière juridique et

stratégique (altération de qualité, de compétence, atteinte à la réputation et à l’image…)251.

Dans une étude menée dans son rapport annuel pour 2003252, la Commission bancaire

dresse le panorama des besoins nécessaires à la mise en œuvre de la fonction de conformité.

Elle l’analyse comme « une contribution générale au renforcement de la culture de

conformité »253, ayant un rôle de conseil et de contrôle ex ante. La similitude avec le CIL est

frappante, même si des différences majeures demeurent. La fonction de conformité est

d’abord obligatoire, et son exercice ne peut être attribué qu’à une personne physique. Que ce

soit en matière de gestion des risques financiers ou de la protection des données personnelles,

le rôle et les moyens de l’indépendance sont sensiblement les mêmes. Le CIL n’apparaît alors

plus comme ce « mouton à cinq pattes » aussi parfait qu’impossible à trouver. Les

249 Arrêté du 31 mars 2005 modifiant le règlement du Comité de la réglementation bancaire et financière n° 97-02 du 21 février 1997 relatif au contrôle interne des établissements de crédit et des entreprises d'investissement, JORF du 9 avril 2005, p. 6418, http://www.legifrance.gouv.fr/imagesJOE/2005/0409/joe_20050409_0083_0031.pdf 250 Bruneau A., Garantir l’indépendance de la fonction, Banque, juillet-août 2005, n° 671, p. 41 251 Voir Nouy D., Présentation des modification du règlement n° 97-02, Banque, n° 671, Juillet-août 2005, p. 26 252 Commission bancaire, Rapport d’activité pour 2003, 2004, www.banque-france.fr/fr/superv§ 1 -telechar/supervi_banc/cb/2003/etude2.pdf 253 Ibid., p. 175



110

établissements financiers et bancaires, dont les solutions sont en avance s’agissant de la

gestion des risques, prouvent que la fonction de CIL n’est pas un absolu. Ceci n’est vrai qu’à

la condition d’inscrire la fonction de CIL dans un segment de gestion des risques. Dans une

telle hypothèse, il n’apparaît pas comme nécessaire aux établissements connaissant déjà la

fonction de conformité de désigner un CIL, leur régulation en interne étant déjà suffisamment

approvisionnée. Sauf à vouloir bénéficier d’une publicité du fait d’une telle désignation.

B/ Les Chief Privacy Officer

Si le rôle des CPO a déjà pu être évoqué, il convient d’y revenir car ils sont souvent

présentés comme inspirateurs du dispositif du CIL254. A y regarder de plus près, il convient de

fixer plusieurs limites importantes entre les deux fonctions. Si elles sont chargées de la

protection des données à caractère personnel au sein de l’organisme l’ayant désigné, le statut

de CPO n’est encadré par aucune législation ou réglementation. Cela pose la question de

l’indépendance de la personne exerçant les fonctions de CPO, de ses moyens et de sa capacité

à se faire entendre en interne.

Les missions semblent elles aussi plus distinctes : le CPO a essentiellement pour rôle

de faire apparaître l’entreprise pour laquelle il travaille comme se conformant aux règles et à

l’éthique de la privacy. En d’autres termes, alors que le CIL a pour rôle de faire appliquer les

dispositions de la loi Informatique et Libertés, le CPO a plus vocation à effectuer des missions

de communication255. Enfin, alors que le CIL peut saisir la CNIL en cas de difficultés, le CPO

n’a aucun soutien du même type, ce qui limite grandement son champ de compétence.

254 Delvoie A., Le correspondant CNIL : une adaptation française du « chief privacy officer » américain ?, Gaz. Pal., 17 au 19 avril 2005, p. 10 255 Voir Purcell R., « Microsoft et la protection des données personnelles : une journée de la vie d’un « Chief Privacy Officer », op. cit.



111

��

La protection des données à caractère personnel est une mission délicate mais

nécessaire. La violation des principes posés par la loi Informatique et Libertés fait l’objet

d’une sanction forte, voire disproportionnée puisque certaines peines sont supérieures à celles

infligée en matière d’homicide involontaire256. La prise en compte du paramètre juridique est

donc fondamentale dans le choix du CIL. Elle s’opère sur le plan pénal et pose en priorité la

question de savoir si la désignation d’un CIL emporte transfert de responsabilité en la matière

(Section I). La responsabilité peut aussi être civile, notamment vis-à-vis des partenaires

commerciaux, et sociale notamment lorsque la destitution de la personne en place est

envisagée (Section II).

��

Objet de toutes les craintes de la part des dirigeants, la responsabilité pénale est à

l’ordre du jour avec le débat mené sur le CIL. Certains y voient en effet une possibilité

L’auteur y résume son activité de la façon suivante : « L’engagement de Microsoft sur la protection des données personnelles et les réactions du public concernant notre programme sont très importants pour nous, nos clients, et les organismes de droit public. (…) Nous faisons très attention à ce que nous déclarons afin d’assurer la cohérence avec nos engagements et de fournir des informations claires sur nos pratiques » 256 Voir Lepage A., Réflexions de droit pénal sur la loi du 6 août 2004 relative à la protection des données à l’égard des traitements de données à caractère personnel, C.c.e, février 2005, p. 13



112

d’opérer un transfert de responsabilité par l’exercice d’une délégation de pouvoir (§ 1).

Qu’elle soit ou non possible, le CIL peut engager sa propre implication dans les hypothèses de

complicité et de défaillance, ce qui laisse un contentieux se tramer (§ 2).

§ 1 - LA DELEGATION DE POUVOIRS

Il convient ici de rappeler les principes soutenant cette forme de transfert de

responsabilité (A) pour l’envisager dans le prisme du CIL (B).

� � �0 � � � ��

La délégation de pouvoirs est un instrument classique permettant au responsable de se

décharger de ses responsabilités. Elle est issue de la jurisprudence (1) qui en dessine d’ailleurs

les éléments fondateurs et les limites (2).

! + � � �� 5� �� 257�

La délégation de pouvoirs est un moyen consacré par la jurisprudence pour permettre à

un chef d’entreprise de s’exonérer de sa responsabilité pénale. En transférant à l’un des

salariés une partie de ses fonctions, le dirigeant délègue aussi sa responsabilité pénale. Le

domaine de la délégation de pouvoirs a ainsi été admis dans plusieurs hypothèses dont :

• l’embauchage de travailleurs étrangers258,

• la circulation routière259,

• la sécurité sociale260,

257 Pour une étude sur la question, voir Renucci J.-F., La délégation de pouvoirs : questions d’actualité, RJDA 8-9/98, p. 679 ainsi que le Lamy Social 2005, § 2048 s. 258 Cass. Crim. 10 janvier 1963, Bull. crim. n° 19 259 Cass. Crim. 11 juillet 1978,



113

• la publicité mensongère261

Alors que le juge a procédé par tâtonnements afin de dégager le principe de la

délégation de pouvoirs, il est parvenu à fixer des principes faisant l’objet d’une jurisprudence

aujourd’hui constante.

" ! �� 5� � � �

Cinq arrêts de la Chambre criminelle de la Cour de cassation en date du 11 mars 1993

sont venus définir le régime actuel de la délégation de pouvoirs : « Hors les cas où la loi en

dispose autrement, le chef d’entreprise qui n’a pas personnellement pris part à la réalisation

de l’infraction peut s’exonérer de sa responsabilité pénale s’il rapporte la preuve qu’il a

délégué ses pouvoirs à une personne pourvue de la compétence, de l’autorité et des moyens

nécessaires »262.

Est ainsi consacrée la présomption de responsabilité du chef d’entreprise. Cette

présomption n’est pas irréfragable puisqu’elle peut être renversée par la démonstration de la

preuve contraire, notamment par l’existence d’une délégation de pouvoirs au sein de

l’entreprise couvrant les agissements reprochés.

La délégation de pouvoirs se prouve par tous moyens : il n’est pas nécessaire qu’elle

soit écrite mais elle doit être « certaine et exempte d’ambiguïté »263. Ainsi, lorsque le contrat

de travail prévoit expressément que son exécution est exclusive de toute délégation de

260 Cass. Crim. 13 janvier 1972, Bull. crim. n° 23 261 Cass. Crim. 7 décembre 1981, Bull. crim. n° 525 262 Cass. Crim. 11 mars 1993, Bull. crim. n° 112, RJDA 5/93 n° 470 263 Cass. Crim. 27 février 1979



114

pouvoirs, la volonté contractuelle ne pourra être remise en cause même si le poste occupé

revêt toutes les caractéristiques permettant de qualifier la délégation de pouvoirs.

� � ��

Par les arrêts du 11 mars 1993, le juge est venu dégager cinq éléments dont le cumul

conditionne l’existence d’une délégation de pouvoirs. Il s’agit donc de les reprendre et de les

confronter au dispositif du CIL pour déterminer si ce dernier peut être le destinataire d’un tel

transfert de responsabilité.

! ��

La loi du 6 janvier 1978, telle que modifiée par celle du 6 août 2004, n’aborde pas

cette question, pas plus que le décret. La délégation est-elle pour autant interdite ? Il ne peut

être répondu par l’affirmative du seul fait du silence du texte.

" ! ��

En sa qualité de responsable de traitement, par défaut le chef d’entreprise, pourrait

s’exonérer de sa responsabilité pénale par la démonstration d’une absence de participation aux

faits susceptibles d’être sanctionnés au titre des articles 131-13 et 226-16 à -22 du Code pénal.

Sont pénalement sanctionnées les infractions suivantes :

• Le fait de collecter des données à caractère personnel par un moyen frauduleux,

déloyal ou illicite, puni de 5 ans d’emprisonnement et de 300000 euros d’amende ;

• Tout détournement de finalité est également passible de 5 ans de prison et de

300000 euros d’amende ;

• Les mêmes peines s’appliquent lorsque les données sont conservées pour une

durée supérieure à celle qui a été déclarée ;

• Idem en cas de non-respect de l’obligation de sécurité ;



115

• Et en cas de communication d’informations à des personnes non autorisées. La

divulgation commise par imprudence ou négligence est elle punie de 3 ans

d’emprisonnement et de 100000 euros d’amende ;

• Le refus ou l’entrave au bon exercice des droits des personnes est puni de 1500

euros par infraction constatée, l’amende s’élevant à 3000 euros en cas de récidive ;

• Enfin, le non accomplissement des formalités déclaratives est sanctionné de 5 ans

d’emprisonnement et de 300000 euros d’amende.

Ces infractions pèsent sur le responsable de traitement. Il est la seule personne

habilitée à intervenir lorsqu’il a connaissance des agissements du subordonné. La désignation

d’un CIL n’emporte pas le transfert de cette obligation de surveillance et de contrôle de

l’activité des salariés. De plus, c’est le responsable de traitement qui détermine les finalités et

les moyens du traitement. Le projet de décret instaure en ce sens un régime d’incompatibilité

basé sur l’existence d’un conflit d’intérêts entre les fonctions de responsable et de CIL. Il

appert donc que le responsable de traitement ne peut se décharger de sa participation à la

commission de faits par l’invocation d’une délégation de pouvoirs au CIL. On peut

néanmoins l’envisager vers un subordonné de l’entreprise qui ne serait pas le CIL.

' ! ��

L’art. 22 III de la loi du 6 janvier 1978 dispose que « le correspondant est une

personne bénéficiant des qualifications requises pour exercer ses missions ». Le projet de

décret reprend cette exigence par référence à « des qualifications professionnelles ». Dans le

cadre d’une délégation de pouvoirs portant sur l’application de la loi du 6 janvier 1978, il

apparaît que le CIL réponde à l’exigence de compétence requise par le juge.

( ! �� 1� � � �

La fonction de CIL exige une indépendance dans l’exercice des missions confiées.

Pour assurer cette indépendance, le projet de décret précise que le responsable de traitement

doit fournir au correspondant tout élément lui permettant d’établir et d’actualiser

régulièrement une liste de traitements automatisés et doit prendre toute mesure utile en vue de



116

l’accomplissement par le CIL de ses missions en matière de protection des données. A

l’allocation de moyens est donc attachée une finalité. Or, dans le contexte d’une délégation de

pouvoirs, ces moyens ne semblent pas pertinents pour assurer une responsabilité sur les

traitements mis en œuvre, ce qui fait échec à l’exercice d’une délégation de pouvoirs.

) ! ��

La notion d’autorité dans le cadre d’une délégation de pouvoirs est définie en

jurisprudence comme le pouvoir de donner des instructions à un service264. L’art. 22 III de la

loi du 6 janvier 1978 dispose que le correspondant a pour mission d’assurer « le respect des

obligations prévues » par la loi Informatique et Libertés. Faut-il y entendre la faculté de

donner des instructions aux services chargés de traiter les données ? Le projet de décret

souligne que pour veiller à l’application de la loi, le CIL peut effectuer des recommandations

au responsable de traitement. Il faut donc y voir une capacité d’alerte et de conseil, afin que le

responsable de traitement puisse donner des directives aux services chargés des traitements de

données. La fonction de CIL semble donc incompatible avec l’exercice d’une autorité quant à

la mise en œuvre des traitements automatisés. Dès lors, l’absence d’autorité prive la fonction

de CIL d’une des caractéristiques de la délégation de pouvoirs. Cette impossibilité prive la

fonction d’un de ses intérêts à savoir la possibilité pour un dirigeant de se décharger

pénalement de sa responsabilité.

Le CIL ne semble donc pouvoir être destinataire d’une délégation de pouvoirs, ne

cumulant pas l’ensemble des conditions nécessaires à son établissement. Cela va dans le sens

du texte de la loi Informatique et Libertés qui, dans son esprit, ne veut pas faire du CIL un

miroir aux alouettes, en l’entourant de garanties d’indépendance, sans en faire un salarié

protégé. C’est aussi la direction prise par la jurisprudence qui, en posant strictement les

conditions d’existence d’une délégation de pouvoirs, vise à les limiter et à instaurer une

équité265 : à la quête de pouvoirs se conjugue l’exercice de responsabilités. Pour autant, le

CIL n’est pas un « intouchable » aux yeux de la justice. Si lui transférer des responsabilités

264 Cass. Crim., 6 mai 1996 265 De Messiac B., Responsabilité pénale des dirigeants et délégation de pouvoirs, RJDA 11/95, p. 927



117

qui ne sont en définitive pas les siennes est impossible, le correspondant peut parfaitement

engager sa responsabilité propre en certaines circonstances.

§ 2 - LA COMPLICITE ET LA DEFAILLANCE

L’examen des situations dans lesquelles le CIL pourrait voir sa responsabilité pénale

engagée permet d’en relever deux : d’une part celle ou le CIL est le complice d’une infraction

(A) mais aussi celle ou il fait défaut alors que ses missions lui imposaient d’agir (B).

� � ��

Alors que le CIL ne semble pouvoir faire l’objet d’une délégation de pouvoirs dans

l’exercice de sa fonction, il n’en est pas pour autant irresponsable pénalement. D’autres

hypothèses permettent de penser que le CIL pourrait faire l’objet de poursuites pénales. Tel

est le cas en matière de complicité, punit par l’art. 121-6 du Code pénal266. On peut ainsi

envisager le cas où le responsable de traitement violerait les obligations posées par la loi

Informatique et Libertés, et ce avec le CIL qui pourrait aider à la commission de l’infraction,

par action (en effectuant un acte matériel) ou par omission (le CIL sait qu’une infraction est

commise mais ne la signale pas). Dans ce cas de figure, il est nécessaire d’envisager que le

CIL a la conscience et la volonté d’aider à la commission de l’infraction267. De même, la

responsabilité du CIL est à rechercher lorsqu’il confirme des informations mensongères. La

complicité apparaît comme un segment de poursuites pénales envisageables. Ni la loi ni le

projet de décret ne prévoient de dispositions spécifiques relativement à cette hypothèse, le

droit commun étant suffisant.

266 L’art. 121-6 du Code pénal dispose que « Sera puni comme auteur le complice de l'infraction, au sens de l'art. 121-7 » 267 L’art. 121-7 définit en effet le complice ainsi : « Est complice d'un crime ou d'un délit la personne qui sciemment, par aide ou assistance, en a facilité la préparation ou la consommation »



118

� � �� $�,��

L’action est le propre du CIL. Dans le cas inverse, sa responsabilité peut être

recherchée. C’est notamment le cas lorsqu’il garde le silence alors qu’il a connaissance de

pratiques illégales (1), mais aussi lorsqu’il manque de rigueur dans la tenue de la liste des

traitements à sa charge (2).

! ��

Le CIL doit assurer la conformité des traitements mis en œuvre par l’organisme

l’ayant désigné aux obligations posées par la loi du 6 janvier 1978. Conseil et non pas

contrôleur, que se passe-t-il lorsque le CIL constate une irrégularité mais ne formule aucune

recommandation afin de corriger cette défaillance ? Autrement dit, alors que le responsable de

traitement, sous le couvert de la bonne foi, commet une irrégularité, le CIL, en ayant pris

conscience ne la signale pas. Ce n’est plus ici la complicité qui s’applique, car la faute du

responsable, si elle est commise sous l’empire de la négligence ou de l’omission, n’est pas

constitutive d’une infraction. Le silence du CIL peut-il être ici coupable ? Là encore, ni la loi

ni le projet de décret ne prévoient de dispositions spécifiques sur ces questions, et il reviendra

alors à la jurisprudence de trancher. Deux situations sont envisageables. D’une part, le CIL

s’abstient de révéler les faits en temps utiles. La non révélation peut alors être analysée

comme un délit d’abstention, distinct de la complicité. D’autre part, le CIL manifeste

l’intention de ne pas révéler les faits qui est ici coupable, sous couvert de prouver la

connaissance des faits délictueux, car elle constitue la preuve de la volonté de commettre un

délit.

" ! �� 6 ��

L’art. 22 III de la loi du 6 janvier 1978 met à la charge du CIL la tenue d’une liste des

traitements dispensés de déclarations. Que se passe-t-il si cette liste n’est pas tenue, ou de

façon incomplète ? Le non accomplissement des formalités déclaratives est lourdement



119

puni268. Cependant aucune sanction n’est spécialement prévue en cas de liste incomplète. Ce

paradoxe doit-il amener à penser que par parallélisme, la faute portant sur les formalités

déclaratives vaut aussi pour la liste dont le CIL a la charge ? Ou doit-on y voir un oubli du

législateur ? La loi pénale étant d’interprétation stricte, il est impossible d’assimiler la liste

comme l’équivalent des formalités déclaratoires, et donc de sanctionner tout défaut dans sa

tenue par l’art. 226-16 du Code pénal269, punissant de 5 ans d’emprisonnement et de 300 000

euros d’amendes les fautes dans l’établissement des formalités déclaratives.

�� " ��

Le dispositif du CIL ne semble pas permettre une délégation de pouvoirs, ce qui à

l’évidence n’est pas favorable au dirigeant. En droit civil, la question d’un transfert de

responsabilité n’existe pas, puisque le dirigeant est par principe responsable des faits commis

par ceux travaillant pour lui (§ 1). Toutefois, le droit social lui offre des moyens lui

permettant au besoin de rechercher la responsabilité du CIL, soumis à une obligation de

loyauté envers son employeur (§ 2). Dans tous les cas où l’entente ne se ferait plus, il reste à

envisager les conséquences d’une fin de mission anticipée (§ 3).

§ 1 – LA RESPONSABILITE DU DURIGEANT DU FAIT DE SON EMPLOYE

Si le CIL ne dispose que d’une responsabilité pénale limitée, ne pouvant être titulaire

d’une délégation de pouvoir, il convient de souligner qu’à l’égard des tiers, sa responsabilité

civile est aussi limitée puisque l’art. 1384 al. 5 du Code civil instaure un régime de mise en

cause du commettant en cas de faute du préposé270. Encore faut il que la faute du préposé soit

268 Pour rappel, la peine prévue est de 5 ans d’emprisonnement et de 300000 euros d’amende 269 L’art. 226-16 al. 1 du Code pénal dispose que « Le fait, y compris par négligence, de procéder ou de faire procéder à des traitements de données à caractère personnel sans qu'aient été respectées les formalités préalables à leur mise en oeuvre prévues par la loi est puni de cinq ans d'emprisonnement et de 300 000 Euros d'amende. » 270 L’art. 1384 al. 5 du Code civil dispose qu’il y a responsabilité pour « Les maîtres et les commettants, du dommage causé par leurs domestiques et préposés dans les fonctions auxquelles ils les ont employés »



120

commise pendant l’exercice de ses fonctions. Le commettant peut ainsi s’exonérer de sa

responsabilité de principe si son employé a agi hors des missions pour lesquelles il était

engagé, sans autorisation, et à des fins étrangères à ses attributions, comme par exemple la

commission d’un homicide par le salarié sur le lieu de travail. Ce principe a été posé par un

arrêt de la Cour de cassation, rendu par l’Assemblée plénière le 19 mai 1988271. En l'espèce,

un inspecteur d'une compagnie d'assurance chargé de faire souscrire des contrats de

capitalisation à la clientèle avait détourné les fonds remis par cette dernière, la compagnie

d'assurances a été condamnée d'indemniser les victimes car la preuve d'un « abus de fonction

» n'a pas été rapportée, le préposé étant « dans ses fonctions » lors des détournements.

La jurisprudence a eu l’occasion de préciser la portée de ce principe. Par des arrêts du

25 février 2000272 et du 18 mai 2000273. Il est devenu nécessaire de prouver que le préposé, a

dépassé les limites de la mission qui lui était impartie par le commettant. A défaut, la

responsabilité du préposé est écartée, seule la responsabilité du commettant est engagée. La

Cour de cassation se rapproche donc des analyses du droit administratif qui opposent d'une

part « faute de service » et d'autre part « faute personnelle de l'agent » et « faute détachable du

service ». La responsabilité du commettant n'est donc plus une véritable responsabilité du fait

d'autrui. Elle n’est toutefois pas automatique puisque la preuve d'un abus de fonctions du

préposé continue d'écarter l'application des dispositions de l'art. 1384 al. 5 du Code civil. Le

plus souvent, le commettant sera seul tenu d’indemniser les victimes.

§ 2 - L’OBLIGATION DE LOYAUTE DU CIL

Lorsqu’il est soumis à un contrat de travail, le salarié à une obligation de loyauté

envers son employeur. Ce n'est qu'une application de l'art. 1134 al. 3 du Code civil qui précise

que les conventions doivent être exécutées de bonne foi. L’art. L. 121-9 du Code du travail y

271 Ass. plén., 19 mai 1988, Bull. civ. n° 5 272 Ass. plén., 25 février 2000, Bull. civ. n° 2 273 Cass. civ. 2ème, 18 mai 2000, Bull. civ., II, n° 84



121

fait également référence s’agissant du contrat de travail274.L'obligation de loyauté persiste

jusqu'à la rupture du contrat de travail voire au-delà (notamment en cas de concurrence

déloyale). C'est souvent à propos d'activité de concurrence que cette notion est invoquée mais

elle recouvre aussi la confidentialité ou l'abus de la liberté d'expression275. L'obligation de

loyauté, c'est le fait pour le salarié de modérer les critiques publiques qu'il peut faire de son

entreprise, en dehors de son travail. L'abus de sa liberté d'expression peut en constituer une

violation. La saisine de la CNIL offerte au salarié ne semble donc pas constitutive d’un

manquement à l’obligation de loyauté, quand bien même le CIL irait critiquer ouvertement

l’organisme l’employant. L’exercice de cette faculté offerte par la loi n’est donc pas

susceptible de faire l’objet de sanction disciplinaire. Une saisine abusive pourrait être

considérée comme une délation et une rupture de la loyauté. Il est alors à se demander si le

CIL pourrait être révoqué pour manquement à son obligation de loyauté. Un examen

rigoureux de la véracité des faits constatés pèse donc sur le CIL avant de saisir la CNIL.

Parallèlement à l'obligation de loyauté, la Cour de cassation rappelle aussi parfois que

le salarié peut être tenu à un certain devoir de réserve276. C’est le cas avec le CIL puisque ce

dernier a accès à des données sensibles de l’organisme, notamment à des informations

concernant le personnel, les affaires et la sécurité. Ce devoir de réserve incombe à la

responsabilité du CIL. En cas de divulgation d’informations confidentielles, il y aurait un

trouble caractérisé apporté à l’organisme qui pourrait alors rechercher la responsabilité du

CIL.

§ 3 - LES CONSEQUENCES D’UNE FIN DE MISSION ANTICIPEE

Comme on a pu le voir, la fonction de CIL devrait pouvoir faire l’objet d’un mandat,

s’exécutant en parallèle du contrat de travail, dans l’hypothèse d’un CIL salarié. Si le

responsable de traitement demande la révocation du CIL auprès de la CNIL et qu’il l’obtient,

274 Art. L. 121-9 du Code du travail in fine : « Le salarié reste soumis à l'obligation de loyauté à l'égard de son employeur » 275 Cass. soc, 28 avril 1988, aff. Clavaud, Dr. Soc. 1988, p 428 276 Cass. soc., 11 décembre 1991, Bull. n° 564



122

quelle est la conséquence sur le contrat de travail ? En principe, la fin du mandat n’emporte

aucune conséquence sur le contrat de travail, c’est même son principal avantage. Néanmoins,

on peut établir une analogie en la matière avec le débat opposant vie privée et vie

professionnelle. Pour qu'un fait relevant de la vie personnelle du salarié puisse lui être

reproché par l'employeur, la chambre sociale de la Cour de cassation exige que ce fait objectif

ait créé un trouble caractérisé à l'entreprise compte tenu de la nature des fonctions et de la

finalité de l'entreprise277. Autrement dit, si la vie privée a une conséquence sur la vie

professionnelle et cause un trouble au sein de l’organisme, si un lien direct peut être établi, on

peut résilier le contrat de travail.

277 Cass. soc. 17 avril 1991, aff. Painsecq, Bull. n° 201



123

Bibliographie

�

Plan

�/�1 � " �� # �� .�� ........................................................p. 125

1. Ouvrages .............................................................................................................p. 125

2. Articles et chroniques ......................................................................................p. 125

�

�/�2 �, �� # �� ............................................................................................p. 132�

1. Droit complémentaire......................................................................................p. 132

2. Droit national.....................................................................................................p. 132

2.1. Droit français....................................................................................p. 132

2.2. Droit étranger ...................................................................................p. 134

3. Droit communautaire .......................................................................................p. 136

3.1. Avis ..................................................................................................p. 136

3.2. Décision............................................................................................p. 137

3.3. Règlement ........................................................................................p. 137

3.4. Directive ...........................................................................................p. 137

�

�/�3 � � �� ................................................................................................p. 138�

1. Juridictions nationales .....................................................................................p. 138

1.1. Juridiction du fond ...........................................................................p. 138

1.2. .. Cour de cassation .............................................................................p. 138

1.3. .. Conseil d’Etat...................................................................................p. 139

1.4. .. Conseil constitutionnel.....................................................................p. 139



124

2. Juridiction communautaire.............................................................................p. 139

�

%�/�� ......................................................................................................p. 139�

1. Codes et usages .................................................................................................p. 139

2. Rapports ..............................................................................................................p. 140

2.1. .. Rapports d’activité ...........................................................................p. 140

2.2. .. Rapports d’analyse ...........................................................................p. 140

�

%�/�� ......................................................................................................................p. 142�

1. Sites généralistes ...............................................................................................p. 142

1.1. Information générale......................................................................p. 143

1.2. Presse .............................................................................................p. 143

1.3. Société civile..................................................................................p. 143

1.4. Divers.............................................................................................p. 145

2. Sites juridiques ..................................................................................................p. 146

3. Sites officiels......................................................................................................p. 146

3.1. Institutions .....................................................................................p. 146

3.2. Juridictions.....................................................................................p. 146

3.3. Autorités de contrôle......................................................................p. 146

�



125

�/�1 � " �� # �� .��

1. Ouvrages

� Belleil A., E-privacy - Le marché des données personnelles : protection de la vie privée

à l’âge d’internet, Dunod, Paris, 2001

� Orwell G., 1984, Gallimard, Folio n° 822, 1949

2. Articles et chroniques

� Alix C., Pour chater, veuillez présenter votre carte d’identité, Libération, 5 février 2005

� Alvergnat C., Canevet S., Cadoux L., Forni R., Iteanu O., Joinet L., Il faut sauver la

loi Informatique et Libertés, Le Monde, 14 juillet 2004

� Barthélémy J. et Quélin B., L’externalisation stratégique, Les Echos.fr, 2005

� Baudry C., Expertise – La fusion Vivendi-Seagram-Canal +, Le Web de l’Humanité, 9

décembre 2000

� Belleil A. et Levallois-Barth C., Le correspondant « Informatique et Libertés » : une

fonction en attente de clarifications, Expertises, juillet 2004, p. 256

� Berst J, Why we’re losing the privacy war, ZDNet.com, 31 janvier 2000

� Billet F. et Jarrige A.-S., Externalisation : attention danger, Le Point, 9 septembre

2004, p. 84

� Bissé A., Double Click : le taux de clics ne suffit plus ! , Journal du Net, 11 juillet 2000

� Boucher P., Safari ou la chasse aux Français, le Monde, 21 mars 1974

� Boucq I., La protection de la vie privée devient une priorité, 01net, 11 décembre 2000



126

� Bruneau A., Garantir l’indépendance de la fonction, Banque, Juillet-août 2005, n° 671,

p. 41

� Büllesbach A., Compte-rendu d’intervention lors de la 23ème conférence internationale

des commissaires à la protection des données « Vie privée, - Droits de l’Homme », Doc.

fr., 2001

� Carasso J., Un correspondant informatique et libertés au cœur de l’entreprise, Le

Monde, 14 juin 2005, p. 8

� Charley V., L’exploitation des bases de données personnelles aux Etats-Unis dans le

cadre de la lutte anti-terroriste, 2004,

http://droit.univ-lille2.fr/eadministration/colloque/art.blab.html?id_art.=18

� Chicheportiche O., USA, encore un fichier client dans la nature ! , Silicon.fr, 28

février 2005

� Clément M., Exploitation des bases de données, Banque n° 595, septembre 1998, p. 61

� Cotteret J.-M., Communication et simplification à la CNIL, Expertises, janvier 2005, p.

10

� Crouzillacq P., Interview d’Alex Türk, 01net, 21 avril 2005

� Delvoie A., Le correspondant CNIL : une adaptation française du « chief privacy

officer » américain ?, Gaz. Pal., 17 au 19 avril 2005, p. 10

� De Messiac B., Responsabilité pénale des dirigeants et délégation de pouvoirs, RJDA

11/95, p. 927

� Devillard A, Interview de Christophe Pallez, 01net, 19 avril 2004

� Dinant J.-M., Les traitements invisibles sur internet, non daté

http://www.droit.fundp.ac.be/crid/eclip/luxembourg.html

� Dreyer E., Le respect de la vie privée, objet d’un droit fondamental, C.c.e, mai 2005, p.

21



127

� Drouard E. et Goussu G., Les entreprises sont les grandes perdantes de la réforme,

PA, 16 février 2005, n° 33, p. 5

� Dufour O., L’exercice du pouvoir de sanction est une révolution culturelle pour la

CNIL – Entretien avec C. Pallez, secrétaire général de la CNIL, PA n° 195, 29

septembre 2004

� Dufour O., La CNIL s’oppose aux lignes éthiques, PA, 26 juillet 2005, n° 147, p. 4

� Du Marais B., Auto régulation, régulation et corégulation des réseaux, Colloque

international « Droit international : approches européennes et internationales », 19-20

novembre 2001, Assemblée nationale, Paris

� Dumout E., Le spyware de Gator ne cesse d’attirer les critiques, ZDNet.fr, 5 juillet

2002

� Dumout E., La délocalisation des centres d’appel fait le succès de Webhelp, ZDNet.fr,

28 janvier 2004

� Dumout E., La CNlL réclame un doublement de son budget sur quatre ans, ZDNet.fr,

20 avril 2005

� Dupin L., Les dirigeants d’entreprise redécouvrent la relation client, ZDNet.fr, 3 et 11

août 2005

� Evers J., Plus de 40 millions de numéros de cartes Mastercard et Eurocard piratés,

01net, 20 juin 2005

� Fayart L. L’offshore, mais jusqu’où ?, 01net, 4 mars 2003

� Figarol N., Big Brother est-il dans l’entreprise ? , La CFDT.fr, 22 mars 2005

� Garnier F., L’émergence des Chief Privacy Officer, Cecurity.com, juillet 2004

� Gauthronet S. et Nathan F., Les services en ligne et la protection des données,

Commission des Communautés Européennes, Office des Publications Européennes,

Luxembourg, 1998, p. 92



128

� Grandmontagne Y., L’Amérique victime d’une gigantesque usurpation par fraude

d’identité, Silicon.fr, 21 février 2005

� Grandmontagne Y., USA : nouveau scandale à l’usurpation d’identité, Silicon.fr, 10

mars 2005

� Grandmontagne Y., USA : l’identité de 100000 universitaires dans la nature,

Silicon.fr, 29 mars 2005

� Grandmontagne Y., USA : les dossiers de 185000 patients dans la nature, Silicon.fr,

11 avril 2005

� Grenier F., Le surf rémunéré ne paye plus, 01net, 13 octobre 2000

� Haas G., Correspondant à la protection des données : une mission pour les

déontologues, Expertises, décembre 2004, p. 429

� Herceville H. (d’), Interview de Xavier Leclerc de l’AFCDP, www.01net.com, 21 juin

2005

� Karayan R., Le marketing direct adopte un code professionnel européen, Journal du

Net, 30 juin 2003

� Kaufman H., Marketing one to one et marketing bancaire, Banque n° 588, janvier

1998, p. 60s

� Latrive L., A client fiché, « directeur d’intimité », Libération, 27 janvier 2001, p. 6

� Ledieu M.-A. et Staub A., La CNIL au carrefour de ses contradictions, C.c.e., février

2005, p. 4

� Léonard T., E-commerce et protection des données à caractère personnel : quelques

considérations sur la licéité des pratiques nouvelles de marketing sur internet, février

2000, www.droit.fundp.ac.be/Textes/Leonard1.pdf



129

� Lep. A., Réflexions de droit pénal sur la loi du 6 août 2004 relative à la protection des

données à l’égard des traitements de données à caractère personnel, C.c.e, février

2005, p. 13

� Levallois-Barth C., La protection des données à caractère personnel et de la vie privée

dans le cadre des réseaux et services de communication électroniques, 2003, thèse de

l’Université de Rennes 1

� Maitrot de la Motte A., La réforme de la loi informatique et libertés et le droit au

respect de la vie privée, AJDA, 29 novembre 2004, p. 2269.

� Marchand J., La carte d’identité électronique et l’égalité de traitement de l’usager,

2005, http://droit.univ-lille2.fr/eadministration/colloque/IMG/doc/expo2.doc

� Marquis J.-C., Expériences et évaluation des politiques menées par les collectivités

locales, témoignage d'un maire, colloque « Administration électronique et qualité des

prestations administratives : Analyses des processus concrets d'adaptation du service

public » Université de Lille 2,

http://droit.univ-lille2.fr/eadministration/colloque/IMG/doc/marquis.doc

� Martin D., Phishing, la pêche aux données personnelles, 01net, 4 avril 2005

� Martin P., Protection des données : seuls les paranoïaques…, 01net, 19 août 2004

� Martinson J., DoubleClick repels ‘piracy of privacy’ assault, The Guardian, 25 février

2000

� Métallinos N., La fonction de « détaché à la protection des données » en Allemagne et

aux Pays Bas, Dr. Soc., n° 12, décembre 2004, p. 1066

� Narbonne S., Régimes d’autorisations pour le secteur privé, C.c.e., février 2005, p. 14

� Nouy D., Présentation des modification du règlement n° 97-02, Banque, n° 671, Juillet-

août 2005, p. 26

� Parody E., Altavista s’ouvre à la publicité contextuelle, ZDNet.fr, 17 avril 1999



130

� Pierson H., Privacy is good for business, non date http://www-306.ibm.com/e-

business/ondemand/us/customerloyalty/harriet_pearson_interview.shtml

� Poidevin B., La labellisation des sites internet, www.jurisexpert.com, 7 août 2001

� Poullet Y., Flux transfrontières de données : vie privée et groupes d’entreprises, Droit

et Nouvelles Technologies, 5 janvier 2003

� Puel H., Des milliers de Français victimes du vol de leur numéro de carte bancaire,

01net, 21 juin 2005

� Purcell R., « Microsoft et la protection des données personnelles : une journée de la vie

d’un « Chief Privacy Officer », 23ème conférence internationale des commissaires à la

protection des données « Vie privée, - Droits de l’Homme », Paris, Doc. fr., 2001, p.

505

� Ray J.-E., Le nouveau correspondant aux données personnelles, Semaine sociale

Lamy, 27 septembre 2004, n° 1183, p. 6

� Razemon O., Les agences de marketing repèrent les plus de 60 ans, grâce à leur

prénom, Le Monde, 11 juin 2005

� Renucci J.-F., La délégation de pouvoirs : questions d’actualité, RJDA 8-9/98, p. 679

� Rozenfeld S., Protection des données personnelles : Lionel Jospin promet une

transposition rapide, Expertises, juin 2000

� Rozenfeld S., La nationalité : une donnée pertinente et non discriminatoire, Expertises,

décembre 2001, p. 409

� Rozenfeld S., Huit spécialistes en quête du correspondant, Expertises, octobre 2004, p.

323

� Rozenfeld S., Alex Türk réclame 7 millions d’euros au gouvernement, Expertises, juin

2005, p. 205



131

� Samarcq N., Le correspondant CNIL, nouveau label pour les entreprises respectueuses

de la vie privée, www.brmavocats.com, 28 mars 2003

� Saporta G., La notation statistique des emprunteurs ou scoring » 2002,

http://www.eduscol.education.fr/D0015/ann_stat_6.pdf

� Schoettl J.-E., La refonte de la loi sur l’informatique, les fichiers et les libertés devant

le Conseil constitutionnel, PA, n° 160, 11 août 2004, p. 8

� Solovieff K., La biométrie déraille chez Effia Services, 01net, 19 mai 2005

� Sombetzki-Lengagne D., Notes sous l’arrêt du Conseil d’Etat Association des sociétés

finacières et autres, JCP II 10140, 18 septembre 2002

� Stezycki J., Le projet SAFARI, 2005,

www.membres.lycos.fr/mastercyberespace/cours/Expos/admin/stezycki_safara.pdf

� Terwangne C., Affaire Lindqvist ou quand la Cour de Justice des Communautés

européennes prend position en matière de protection des données personnelles, Revue

du droit des technologies de l’information, n° 19/2004, 2004, p. 67

� Thorel J., Publicité en ligne : DoubleClick rachète NetGravity, ZDNet.fr, 16 juillet

1999

� Thorel J., DoubleClick accusé de violer le droit à l’anonymat, ZDNet.fr, 12 février

2000

� Türk A., Loi du 6 août 2004 – Présentation générale de la loi, C.c.e., février 2005, p.

12

� Vulliet-Tavernier S., Après la loi du 6 août 2004 : nouvelle loi Informatique et

Libertés, nouvelle CNIL ? , Dr. Soc., décembre 2004, p. 1055



132

�/�2 �, �� # ��

1. Droit complémentaire

� Règlement général du Conseil des Marchés Financiers

http://www.cmf-france.org/docpdf/regltgen/RGCMFIII.pdf

2. Droit national

2.1. Droit français

" ! ! ! � ��

� Circulaire du 12 mars 1993 relative à la protection de la vie privée en matière de

traitements automatisés : application aux administrations et à l’ensemble du secteur

public de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux

libertés ; rôle des ministères et coordination par le commissaire du Gouvernement

auprès de la Commission Nationale de l’informatique et des liberté, JORF du 17 mars

1993, p. 4137

http://www.legifrance.gouv.fr/imagesJO/1993/041/JO199304137.pdf

" ! !" ! % � �� 7� � �� 8�

� Délibération n° 88-83 du 5 juillet 1988 portant adoption d’une recommandation relative

à la gestion des crédits ou des prêts consentis à des personnes physiques par les

établissements de crédit, JORF du 11 août 1988, p. 10254

http://www.legifrance.gouv.fr/imagesJO/1988/102/JO198810254.pdf



133

� Délibération 95-012 du 24 janvier 1995 portant recommandation relative aux données

personnelles traitées ou utilisées par des organismes ou utilisées par des organismes de

presse écrite ou audiovisuelle à des fins journalistiques et rédactionnelles

� Délibération n° 98-101 du 22 décembre 1998 portant modification de la d’une

recommandation relative à la gestion des crédits ou des prêts consentis à des personnes

physiques par les établissements de crédit, JORF 27 janvier 1999, p. 1411

http://www.legifrance.gouv.fr/imagesJOALL/1999/014/JO199901411ALL.pdf

� Délibération n°2005-110 du 26 mai 2005 relative à une demande d’autorisation de Mac

Donald’s France pour la mise en œuvre d’un dispositif d’intégrité professionnelle

http://www.cnil.fr/index.php?id=1833&print=1&delib[uid]=73&cHash=8acf0dc7c0

� Délibération n°2005-111 du 26 mai 2005 relative une demande d’autorisation de la

Compagnie européenne d’accumulateurs pour la mise en œuvre d’un dispositif de

«ligne éthique» �

http://www.cnil.fr/index.php?id=1834&delib[uid]=74&encryptionKey=&print=1&cHash=2f8ac

c9e59

" ! !' ! 3 ��2 ��

� Arrêté du 31 mars 2005 modifiant le règlement du Comité de la réglementation bancaire

et financière n° 97-02 du 21 février 1997 relatif au contrôle interne des établissements

de crédit et des entreprises d'investissement, JORF du 9 avril 2005, p. 6418

http://www.legifrance.gouv.fr/imagesJOE/2005/0409/joe_20050409_0083_0031.pdf

" ! !( ! �� 7� � �� 8�

� Loi du 29 juillet 1881 sur la liberté de la presse, JORF du 30 juillet 1881, p. 4201

http://www.legifrance.gouv.fr/WAspad/RechercheTC?tc_nature=LOI&tc_jj=29&tc_m

m=07&tc_aa=1881&tc_titre=LOI+SUR+LIBERTE+PRESSE



134

� Loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés,

JORF du 7 janvier 1978 p. 227

www.legifrance.gouv.fr/imagesJO/1978/002/JO197800227.pdf

� Loi n° 2001-1062 du 15 novembre 2001 relative à la sécurité quotidienne, JORF n° 266

du 16 novembre 2001 p. 18215

http://www.legifrance.gouv.fr/WAspad/Visu?cid=560760&indice=2&table=JORF&ligneDeb=1

� Loi n° 2003-239 du 18 mars 2003 pour la sécurité intérieure, JORF n° 66 du 19 mars

2003 p. 4761

http://www.legifrance.gouv.fr/WAspad/Visu?cid=601623&indice=1&table=JORF&ligneDeb=1

� Loi n° 2004-800 du 6 août 2004 relative à la bioéthique, JORF n° 182 du 7 août 2004 p.

14040

www.legifrance.gouv.fr/imagesJOE/2004/0807/joe_20040807_0182_0001.pdf

� Loi n° 2004-801 du 6 août 2004 relative à la protection des personnes physiques à

l’égard des traitements de données à caractère personnel, JORF n° 182 du 7 août 2004

p. 14063

www.legifrance.gouv.fr:imagesJOE/2004/0807/joe_20040807_0182_0002.pdf�

2.2. Droit étranger

" !" ! 3 ��

� Bundes-Datenschutzgesetz du 18 mai 2001 (BGBI IS 904), modifiant la BDSG du 20

décembre 1990�

http://www.bfd.bund.de/information/BDSG.pdf



135

" !" !" % � � � � �9 �

� Lov nr. 429 af 31 maj 2000 som ændret ved lov nr. 280 af 25. april 2001,

http://www.datatilsynet.dk/eng/index.html�

" !" !' , � � � � � � �

� Ley orgánica 15/1999, de pretocción de datos de carácter personal, 13 décembre 1999

https://www.agpd.es/upload/Canal_Documentacion/legislacion/Estatal/Ley%2015_99.p

df�

" !" !( , �� :+ � �� 3 � ��

� Sarbanes Oxley Act of 2002

http://news.findlaw.com/hdocs/docs/gwbush/sarbanesoxley072302.pdf�

" !" !) ��

� Data protection Bill 2002

http://www.dataprivacy.ie/documents/legal/dpbill2002.pdf�

" !" !* ��

� Loi du 2 août 2002 relative à la protection des personnes à l'égard du traitement des

données à caractère personnel, Mémorial A N° 91 du 13 août 2002,

http://www.etat.lu/memorial/memorial/a/2002/a0911308.pdf

� Règlement grand-ducal du 27 novembre 2004 concernant le chargé de la protection

des données et portant exécution de l’art. 40, paragraphe (10) de la loi du 2 août 2002



136

relative à la protection des personnes à l’égard du traitement des données à caractère

personnel, Mémorial A-2004-200 du 20 décembre 2004, p. 2956,

http://www.legilux.public.lu/leg/a/archives/2004/2002012/2002012.pdf�

" !" !; - � ��

� Data protection Act, Chapter 440 of the laws of Malta, Act XXVI of 2001,

http://www.dataprotection.gov.mt/filebank/documents/DataProtectionAct.pdf�

" !" !< # � 1� := � � �

� Wet besherming persoonsgegevens n° 25892, 23 novembre 1999

http://www.dutchdpa.nl/downloads_wetten/wbp.pdf?refer=true&theme=purple�

" !" !> � ��

� Zákon �. 428/2002 Z. z. o ochrane osobných údajov

http://www.dataprotection.gov.sk/buxus/docs/act_428.pdf�

" !" ! ? � � 6 � � �

� Personuppgiftslag (1998 : 204)

http://www.datainspektionen.se/pdf/ovrigt/pul-eng.pdf�

3. Droit communautaire

3.1. Avis

� Avis 3/2003 du G29 sur le code de conduite européen «FEDMA» relatif à l’exploitation

de données à caractère personnel dans le cadre d’opérations de marketing direct

http://europa.eu.int/comm/justice_home/fsj/privacy/docs/wpdocs/2003/wp77_fr.pdf



137

3.2. Décision (par ordre chronologique)

� Décision 2004/644/CE du Conseil du 13 septembre 2004 portant adoption des

dispositions d’application en ce qui concerne le règlement (CE) n° 45/2001, JOUE L

196 du 21 septembre 2004 p. 16

http://europa.eu.int/eur-lex/pr§ 1 -fr/oj/dat/2004/l_296/l_29620040921fr00160022.pdf

� Décision n° 1247/2002/CE du Parlement européen, du Conseil et de la Commission du

1er juillet 2002 relative au statut et aux conditions générales d'exercice des fonctions de

contrôleur européen de la protection des données, JOUE n° L 183 du 12 juillet 2002


3.3. Règlement

� Règlement (CE) n° 45/2001 du Parlement et du Conseil du 18 décembre 2000 relatif à

la protection des personnes physiques à l’égard du traitement des données à caractère

personnel par les institutions et organes communautaires et à la libre circulation de ces

données, JOCE L 8 du 12 janvier 2001, p. 1


3.4. Directive (par ordre chronologique)

� Directive 91/250 CEE du Conseil du 14 mai 1991 concernant la protection juridique

des programmes d’ordinateur, JOCE n° L 122 du 17/05/1991 p. 42

http://europa.eu.int/servlet/portail/RenderServlet?search=DocNumber&lg=fr&nb_docs=25&do

main=Legislation&coll=&in_force=NO&an_doc=1991&nu_doc=250&type_doc=Directive

� Directive n° 95/46 CE du Parlement européen et du Conseil du 24 octobre 1995 relative

à la protection des personnes physiques à l'égard du traitement des données à caractère

personnel et à la libre circulation de ces données, JOCE n° L 281, p. 31

http://europa.eu.int/eur-lex/lex/LexUriServ/LexUriServ.do?uri=CELEX:31995L0046:FR:HTML



138

�/�3 � � ��

1. Juridictions nationales

1.1. Juridiction du fond

� TGI de Villefranche sur Saône, 18 février 2003, Philippe A. / Roger G.

1.2. Cour de cassation (par ordre chronologique)

� Cass. Crim. 10 janvier 1963, Bull. crim. n° 19

� Cass. Crim. 13 janvier 1972, Bull. crim. n° 23

� Cass. Crim. 11 juillet 1978

� Cass. Crim. 27 février 1979

� Cass. Crim. 7 décembre 1981, Bull. crim. n° 525

� Cass. soc, 28 avril 1988, aff. Clavaud

� Ass. plén., 19 mai 1988, Bull. civ. n° 5

� Cass. soc. 17 avril 1991, aff. Painsecq, Bull. n° 201

� Cass. soc., 11 décembre 1991, Bull. n° 564

� Cass. Civ. 2ème, 27 janvier 1993

� Cass. Crim. 11 mars 1993, Bull. crim. n° 112

� Cass. Crim., 6 mai 1996

� Ass. plén., 25 février 2000, Bull. civ. n° 2



139

� Cass. civ. 2ème, 18 mai 2000, Bull. civ., II, n° 84

1.3. Conseil d’Etat

� CE, Association des sociétés financières et autres, 30 octobre 2001

http://www.conseil-etat.fr/ce/jurispd/index_ac_ld0118.shtml

1.4. Conseil constitutionnel (par ordre chronologique)

� Cons. const., 13 août 1993, déc. n° 93-325 DC

http://www.conseil-constitutionnel.fr/decision/1993/93325dc.htm

� Cons. const., 13 mars 2003, déc. n° 2003-467 DC

http://www.conseil-constitutionnel.fr/decision/2003/2003467/2003467dc.pdf

� Cons. const, 29 juillet 2004, déc. n° 2004-99 DC

http://www.conseil-constitutionnel.fr/decision/2004/2004499/2004499dc.pdf

2. Juridiction communautaire (par ordre chronologique)

� CJCE, Van Duyn, 4 décembre 1974, aff. 41/74, Rec. 1974, p. 1337

� CJCE, 6 novembre 2003, Bodil Lindqvist, Rec. 2003, p. I-12971

%�/��

1. Codes et usages

� Netiquette formalisée en 1995 dans le RFC 1855

http://www.faqs.org/ftp/rfc/pdf/rfc1855.txt.pdf



140

� Code de déontologie des professionnels du marketing direct vis-à-vis de la protection

des données à caractère personnel élaboré sous l’égide de l’UFMD

� Code européen du marketing direct de la FEDMA

http://www.cnil.fr/fileadmin/documents/approfondir/textes/deontologie/FEDMA-europeen.pdf

2. Rapports

2.1. Rapport d’activité

" ! ! !� � � ��

� CNIL, 17ème rapport d’activité 1996, Doc. fr., 1997

� CNIL, 25ème rapport d’activité 2004, Doc. fr., 2005

http://lesrapports.ladocumentationfrancaise.fr/BRP/054000256/0000.pdf�

� " ! !" � 3 � ��

� Commission bancaire, Rapport d’activité pour 2003, 2004

www.banque-france.fr/fr/superv§ 1 -telechar/supervi_banc/cb/2003/etude2.pdf

2.2. Rapports d’analyse

" !" ! !� � � � ��

� MEDEF, Livre blanc - Propositions et Recommandations du MEDEF en matière

d’Administration Electronique, janvier 2004,

http://www.medef.fr



141

� CFDT, 12 propositions s’agissant de l’utilisation des technologies de l’information et

de la communication au sein des entreprises et des administrations, 2001,

www.cadre-plus.net

� Comité de Bâle, Consultative Document on the Compliance Function in Banks, 27

octobre 2003 �

http://www.bis.org/publ/bcbs103.pdf�

� " !" !" !� @ � � � � ��

� Rapport d’information n° 182 fait au nom de la délégation pour l'Union européenne sur

la transposition des directives communautaires, présenté par Haenel H., 11 janvier 2001

http://www.senat.fr/rap/r00-182/r00-1821.pdf

� Rapport n° 218 relatif à la protection des personnes physiques à l’égard des traitements

de données à caractère personnel et modifiant la loi n° 78-17 du 6 janvier 1978 relative

à l’informatique, aux fichiers et aux libertés, présenté par Türk A., 19 mars 2003

http://www.senat.fr/rap/l02-218/l02-2181.pdf

� Rapport n° 1456 sur le projet de loi portant habilitation du Gouvernement à transposer,

par ordonnances, des directives communautaires et à mettre en œuvre certaines

dispositions du droit communautaire, présenté par Geoffroy G., 25 février 2004

http://www.assemblee-nationale.fr/12/pdf/rapports/r1456.pdf

� Rapport n° 1537 fait au nom de la Commission des lois relatif à la protection des

personnes physiques à l’égard des traitements de données à caractère personnel et

modifiant la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux

libertés, présenté par Delattre F., 13 avril 2004

www.assemblee-nationale.fr/12/pdf/rapports/r1535.pdf



142

" !" !' ! @ � � � � ��

� Braibant G., Données personnelles et société de l’information, Rapport au Premier

Ministre, Doc. fr., 1998

http://lesrapports.ladocumentationfrancaise.fr/BRP/984000836/0000.pdf

� Carcenac T., Pour une administration électronique citoyenne : méthodes et moyens,

Rapport au Premier Ministre, Doc. fr., 2001


� CNIL, La cybersurveillance sur les lieux de travail – Partie III : Conclusions, présenté

par Bouchet H., 5 février 2002

� Paul C., Du droit et des libertés sur l’internet – La corégulation, contribution française

à la régulation mondiale, Rapport au Premier Ministre, Doc. fr., 2000


%�/��

1. Sites généralistes

1.1. Information générale

� www.commentcamarche.net Comment ça marche ?, l'encyclopédie informatique

libre

� http://data.mining.free.fr Data Mining, statistique et scoring par Stéphane

Tufféry

� www.faqs.org Internet FAQ achives – Online Education



143

� www.ladocumentationfrancaise.fr La Documentation Francaise

� www.wikipedia.fr Wikipedia, l'encyclopédie libre et gratuite

1.2. Presse

� www.01net.com 01 Net

� www.humanite.fr Le Web de l’Humanité

� www.journaldunet.com Le Journal du Net

� www.lesechos.fr Les Echos

� www.silicon.fr Silicon, l’actualité Technologies et Business

� www.zdnet.com ZDNet, Tech news and white Papers for IT

Professionnals

� www.zdnet.fr ZDNet, Business et solutions IT

1.3. Société civile

!' ! !� � � � ��

� www.1to1.com Pappers & Rogers Group Consulting

� www.accenture.com/fr Accenture

� www.bis.org Bank for International Settlements

� www.cecurity.com Cecurity

� www.doubleclick.com Double Click

� www.enfin.fr Enfin



144

� www.everett.org La page de Ray Everett-Church

� www.ibm.com/us IMB

� www.sesam-vitale.fr GIE SESAM-VITALE

!' !" ! 3 � � � � ��

� www.afcdp.org AFCDP

� www.antiphishing.org Anti-phishing working group

� www.epic.org EPIC

� www.fedma.org FEDMA

� www.gdd.de GDD

� www.ldh-france.org La Ligue des Droits de l’Homme

� www.privacilla.org Privacilla

� www.ufmd.com UFMD �

!' !' ! A �� 1� � ��

� www.cadres-plus.net CFDT cadres

� www.cfdt.fr CFDT

� www.medef.fr MEFEF

� www.parti-socialiste.fr Parti Socialiste



145

1.4. Divers

� www.cyberlycee.net Lycée Charles de Gaulle de Toulouse

2. Sites juridiques

� www.brmavocats.com Cabinet d’avocats BRM

� www.droit.fundp.ac.be Facultés Universitaires de Namur

� droit.univ-lille2.fr/eadministration Page du colloque « Administration électronique et

qualité des prestations administratives Analyses des

processus concrets d’adaptation du service public »

Université de Lille 2

� www.juriscom.net Droit des technologies de l’information

� www.jurisexpert.com Jurisexpert

� www.legifrance.gouv.fr Legifrance

� www.legilux.public.lu Service central de législation du Luxembourg

� membres.lycos.fr/mastercyberespace Portail de la promotion 2004 du Master droit du

cyberespace

� http://mi.cnrs-orleans.fr Réseau des Mardis Informatique du CNRS

d’Orléans

� http://news.findlaw.com Find Law, legal news and commentary



146

3. Sites officiels

3.1. Institutions

� www.adae.gouv.fr Projet ADELE

� www.assemblee-nationale.fr Assemblée Nationale

� www.banque-france.fr/fr Banque de France

� www.cmf-france.org Conseil des Marchés Financiers

� www.eduscol.education.fr EduScol, le site pédagogique du Ministère de

l’Education

� http://europa.eu.int Le site de l’Union européenne

� www.foruminternet.org Le Forum des droits sur l’internet

� www.senat.fr Sénat

� www.service-public.fr Le portail de l’administration française

3.2. Juridictions

� www.conseil-constitutionnel.fr Conseil constitutionnel

� www.conseil-etat.fr Conseil d’Etat

3.3. Autorités de contrôle (par ordre alphabétique)

� www.agpd.es Agencia de Protección de Datos (Espagne)

� www.bfd.bund.de Bundesbeauftragten für den Datenschutz

(Allemagne)



147

� www.cnil.fr Commission Nationale de l’Informatique et des

Libertés (France)

� www.cnpd.lu Commission Nationale pour la Protection des

Données (Luxembourg)

� www.datainspektionen.se Datainspektionen (Suède)

� www.dataprivacy.ie Data Protection Commissioner (Irlande)

� www.dataprotection.gov.mt Data Protection (Malte)

� www.dataprotection.gov.sk Úrad na ochranu osobných údajov (Slovaquie)

� www.datatilsynet.dk Datailsynet (Danemark)

� www.dutchdpa.nl Dutch Data Protection Authority

� www.edps.eu.int Contrôleur européen à la protection des données



148

Annexes

��- : ��

1. La source : la directive 95/46/CE du 24 octobre 1995 ............................. p. 148

2. L’analyse : le rapport Braibant ................................................................. p. 149

3. La transposition : l’art. 22 III de la loi du 6 janvier 1978 ........................... p. 151

��.��

�� ! "�� ! #�$�%&��! '�(��!

��

��

Tableau n° 1 : Dénomination, désignation et moyens ...................................... p. 152

Tableau n° 2 : Les missions.............................................................................. p. 154

Tableau n° 3 : Le statut .................................................................................... p. 155

Tableau n° 4 : Qualités, secret professionnel et obligation de rendre compte..p. 156

�� /� )��

�� *� ��+�*�� ........................ p. 158



149

Annexe 1 : Le correspondant Informatique et Libertés dans les

textes

1. La source : la directive 95/46/CE du 24 octobre 1995

Considérant n° 49 :

(…) considérant que, afin d'éviter des formalités administratives inadéquates, des

exonérations ou des simplifications de la notification peuvent être prévues par les États

membres pour les traitements de données qui ne sont pas susceptibles de porter atteinte aux

droits et libertés des personnes concernées, à condition qu'ils soient conformes à un acte pris

par l'État membre qui en précise les limites; que des exonérations ou simplifications peuvent

pareillement être prévues par les États membres dès lors qu'une personne désignée par le

responsable du traitement de données s'assure que les traitements effectués ne sont pas

susceptibles de porter atteinte aux droits et libertés des personnes concernées; que la personne

ainsi détachée à la protection des données, employée ou non du responsable du traitement de

données, doit être en mesure d'exercer ses fonctions en toute indépendance;

Article 18

B � �� $ ��C� � �� 0 ��

�

1. Les États membres prévoient que le responsable du traitement, ou le cas échéant son

représentant, doit adresser une notification à l'autorité de contrôle visée à l'article 28

préalablement à la mise en oeuvre d'un traitement entièrement ou partiellement automatisé ou

d'un ensemble de tels traitements ayant une même finalité ou des finalités liées.

2. Les États membres ne peuvent prévoir de simplification de la notification ou de dérogation

à cette obligation que dans les cas et aux conditions suivants:



150

� lorsque, pour les catégories de traitement qui, compte tenu des données à traiter, ne

sont pas susceptibles de porter atteinte aux droits et libertés des personnes concernées,

ils précisent les finalités des traitements, les données ou catégories de données traitées,

la ou les catégories de personnes concernées, les destinataires ou catégories de

destinataires auxquels les données sont communiquées et la durée de conservation des

données et/ou

� lorsque le responsable du traitement désigne, conformément au droit national auquel il

est soumis, un détaché à la protection des données à caractère personnel chargé

notamment:

o d'assurer, d'une manière indépendante, l'application interne des dispositions

nationales prises en application de la présente directive,

o de tenir un registre des traitements effectués par le responsable du traitement,

contenant les informations visées à l'article 21 paragraphe 2, et garantissant de

la sorte que les traitements ne sont pas susceptibles de porter atteinte faux

droits et libertés des personnes concernées.

2. L’analyse : le rapport Braibant

Extraits du rapport de Braibant G., Données personnelles et société de

l’information, Rapport au Premier Ministre, Doc. fr., 1998, p. 53 s.

La seconde condition de dérogation, qui, nous l'avons vu, ne se cumule pas nécessairement

avec la première, est au contraire totalement étrangère à la législation française. Il s'agit de

l'institution d'un ".détaché." – nommé aussi ".délégué." par les considérants – ".à la protection

des données.", qui seraient désigné par le responsable du traitement. Il aurait pour missions

d'assurer ".d'une manière indépendante l'application interne des dispositions nationales.", ".de

tenir un registre des traitements." et de ".garantir de la sorte que les traitements ne sont pas

susceptibles de porter atteinte aux droits et libertés des personnes concernées.".



151

Cette disposition a été insérée à la demande expresse� de l'Allemagne, qui tenait à pouvoir

conserver une institution à laquelle elle est habituée et qui lui donne satisfaction. La directive

ne précise pas son statut. Ce pourrait être un salarié de l'entreprise ou une personne exerçant

une profession libérale, un commissaire aux données analogue au commissaire aux comptes,

qui pourrait d'ailleurs cumuler les deux fonctions.

Cette idée n'a pas reçu en France une grande audience. Tout au plus certains l'accepteraient si

elle avait un caractère optionnel, mais on peut se demander s'il n'y aurait pas alors rupture

d'égalité entre ceux qui l'auraient choisie et ceux qui l'auraient refusée. D'autres pensent que

ce serait un bon moyen de sensibiliser les salariés à la protection des données personnelles les

concernant, dont ils ne saisissent pas toujours l'importance. Mais ce moyen, existe déjà :

l'article 432 -2 -1 du code du travail, issu d'une loi du 31 décembre 1992, dispose que le

comité d'entreprise ".est informé, préalablement à leur introduction dans l'entreprise, sur les

traitements informatisés de gestion du personnel et sur toute modification de ceux-ci.". Il

faudrait veiller à l'application de ce texte récent et donner une interprétation large de

l'expression ".gestion du personnel.".

Si elle se rattache en Allemagne à une certaine culture de cogestion, l'institution de ces

délégués se heurterait en France à de sérieuses difficultés. La principale tient à l'indépendance

que la directive exige à juste titre du délégué. Qu'il soit membre du personnel ou extérieur à

l'entreprise, il serait de toute façon rémunéré par celle-ci. La situation n'est sans doute pas

sans précédents – médecins du travail ou experts comptables. Mais il s'agit là de professions

réglementées, protégées par l'existence d'un ordre et par un code de déontologie.; il n'en existe

pas dans notre matière. Le délégué se trouverait sans doute dans une situation inconfortable

face à un ordre du chef d'entreprise qui serait contraire à la loi ou à une norme simplifiée.

Il faut ajouter que ce délégué serait investi d'une véritable mission de contrôle, qu'il exercerait

en lieu et place de la C.N.I.L. puisqu'il serait chargé de veiller à l'application de la loi, de

procéder à l'".examen préalable." des traitements qui y sont soumis, et d'assurer la publicité

des traitements.



152

Pour l'ensemble des raisons qui viennent d'être indiquées, il ne semble pas que cette

institution intéressante puisse être utilement transplantée en France, à une exception près :

dans le cas de la presse, ce pourrait être un moyen de concilier la liberté d'expression et la

protection de la vie privée.

3. La transposition : l’art. 22 III de la loi du 6 janvier 1978

Les traitements pour lesquels le responsable a désigné un correspondant à la protection des

données à caractère personnel chargé d’assurer, d’une manière indépendante, le respect des

obligations prévues dans la présente loi sont dispensés des formalités prévues aux articles 23

et 24 sauf lorsqu’un transfert de données à caractère personnel à destination d’un État non

membre de la Communauté européenne est envisagé.

La désignation du correspondant est notifiée à la Commission nationale de l’informatique et

des libertés. Elle est portée à la connaissance des instances représentatives du personnel.

Le correspondant est une personne bénéficiant des qualifications requises pour exercer ses

missions. Il tient une liste des traitements effectués immédiatement accessible à toute

personne en faisant la demande et ne peut faire l’objet d’aucune sanction de la part de

l’employeur du fait de l’accomplissement de ses missions. Il peut saisir la Commission

nationale de l’informatique et des libertés des difficultés qu’il rencontre dans l’exercice de ses

missions.

En cas de non-respect des dispositions de la loi, le responsable du traitement est enjoint par la

Commission nationale de l’informatique et des libertés de procéder aux formalités prévues

aux articles 23 et 24. En cas de manquement constaté à ses devoirs, le correspondant est

déchargé de ses fonctions sur demande, ou après consultation, de la Commission nationale de

l’informatique et des libertés.



153

Annexe 2 : Tableaux comparatifs des régimes applicables au

détaché à la protection des données en France, Allemagne,

Pays-Bas, Suède, Luxembourg et au délégué à la protection

des données des Communautés européennes

Tableau n° 1 : Dénomination, désignation et moyens

DENOMINATION DESIGNATION MOYENS

France

Correspondant Informatique et

Libertés

� Facultative pour tout responsable de traitement.

� Elle s’effectue par écrit auprès de l’autorité de contrôle.

� Le CIL peut saisir la CNIL en cas de difficultés dans l’exercice de ses missions.

� Le projet de décret prévoit que le responsable lui fournit tous éléments et moyens nécessaires lui permettant de tenir la liste

Allemagne

Datenshutzbeauftragter

� Obligatoire dans les secteurs public et privé.

� Elle s’effectue par écrit au plus tard dans une délai d’un mois à compter du début des activités.

Les organismes doivent soutenir le DSB dans l’accomplissement de ses fonctions et doivent le doter du personnel, des locaux, du matériel, des appareils nécessaires à sa tâche

Pays Bas

Functionaris gegevenbesherming

� Facultative pour tout responsable de traitement ou toute organisation à laquelle sont affiliés des responsables de traitements.

� Elle s’effectue par écrit auprès de l’autorité de contrôle qui l’enregistre dans le registre légal des FG.

� Le responsable doit donner au FG les moyens d’accomplir sa tâche

� Le FG peut consulter l’autorité de contrôle en cas de doute



154

Suède

Personuppgiftsombud

� Facultative pour tout responsable de traitement.

� Elle s’effectue par écrit auprès de l’autorité de contrôle.

Le détaché peut saisir l’autorité de contrôle � lorsque le responsable n’a

pas fait suivre d’effet une recommandation afin de rendre conforme à la législation un traitement

� en cas de doute sur l’application de la loi

Luxembourg

Chargé à la protection

des données

� Facultative pour tout responsables de traitement.

� Elle s’effectue par écrit auprès de l’autorité de contrôle qui pose un agrément pour valider la désignation.

� Le chargé dispose d’un pouvoir d’investigation aux fins de veiller au respect de la loi

� Il peut consulter la Commission en cas de doute sur l’application de la loi

Communautés

européennes Délégué à la

protection des

données

� Obligatoire pour chaque institution ou organe communautaire.

� Le Secrétaire général adjoint du Conseil désigne le délégué et communique son nom au contrôleur européen à la protection des données.

� Le délégué a accès à tout moment aux données traitées et peut faire appel à des audits.

� Il peut dénoncer tout manquement aux obligations

� Il dispose de locaux et de personnels



155

Tableau n° 2 : Les missions

MISSIONS

France � Le CIL a pour charge d’assurer le respect des obligations prévues dans la loi du 6

janvier 1978. � Il tient une liste des traitements effectués directement accessible à toute personne. � Il reçoit les plaintes et demandes des personnes concernées � Il formule des conseils et recommandations, notamment sur la mise en œuvre de

nouveaux traitements

Allemagne � Le DSB surveille la conformité de l’utilisation des programmes de traitements de

données � Il familiarise, grâce à des mesures appropriées, les personnes affectées aux

traitements avec les dispositions de la BDSG � Il effectue des contrôles préalables � Il rend accessible à toute personne en faisant la demande les informations

relatives aux traitements

Pays Bas � Le FG reçoit les déclarations de l’organisme � Il conseille le responsable des traitements sur les mesures appropriées pour la

protection des données � Il participe à l’élaboration de codes éthiques au sein de l’organisme

Suède � Le délégué suédois tient une liste des traitements normalement soumis à notification

� Il aide les personnes à rectifier leurs données lorsqu’elles sont incorrectes ou incomplètes

Luxembourg � Le chargé à la protection des données tient un registre des traitements normalement

soumis à notification � Il formule toute recommandation enjoignant le responsable à se conformer à la loi

Communautés

européennes

� Le délégué à la protection des données informe les responsables de traitement de leurs droits et obligations

� Il coopère avec le contrôleur et répond à ses demandes. Il lui notifie les traitements à risque

� Il assure l’application interne des dispositions du règlement CE n° 45/2001 � Il conseille les responsables de traitements sur l’application des dispositions

relatives à la protection des données � Il examine les faits portés à sa connaissance



156

Tableau n° 3 : Le statut

STATUT

France � La loi ne distingue pas entre salarié et prestataire. Le projet de décret laisse la

possibilité de faire appel à une personne extérieure à l’organisme de mois de 50 salariés.

� Le CIL agit de manière indépendante et ne peut faire l’objet d’aucune sanction de la part de l’employeur du fait de l’accomplissement de ses missions

Allemagne � Par principe, il est salarié de l’organisme. Il est possible de nommer une personne

extérieure. Les organismes publics peuvent avec l’accord de l’autorité de contrôle nommer un agent d’un autre organisme public.

� Le DSB est placé sous l’autorité du directeur de l’organisme public ou privé � Il est libre de toute instruction dans l’exercice de ses compétences dans le domaine

de la protection des données � Il ne doit subir aucune discrimination du fait de sa fonction

Pays Bas � Salarié par principe. Il est possible pour un organisme professionnel ou un

regroupements de responsables de traitement de désigner un seul et même FG � Le FG ne reçoit dans le cadre de l’exercice de ses fonctions, aucune instruction de

la part du responsable de traitement ou de l’organisation qui l’a désigné � Il ne subit aucun inconvénient du fait de l’exercice de ses missions

Suède

� Le détaché agit de manière indépendante

Luxembourg

� Le chargé à la protection des données ne connaît pas de lien de subordination et ne peut être lié par un contrat de travail à l’organisme

� Il agit de manière indépendante vis-à-vis du responsable de traitement l’ayant désigné

Communautés

européennes � Le délégué est nommé pour une période de trois ans renouvelable deux fois. � Dans l’exercice de ses fonctions, il agit de manière indépendante en coopération

avec le contrôleur. � Il ne peut recevoir d’instruction en ce qui concerne l’application interne des

dispositions du règlement CE n° 45/2001



157

Tableau n° 4 : Qualités, secret professionnel et obligation de rendre

compte

QUALITES SECRET PROFESSIONNEL OBLIGATION DE RENDRE COMPTE

France La personne en charge de la fonction doit bénéficier des qualifications requises (qualifications, références professionnelles…)

Aucune disposition en ce sens

Le projet de décret prévoit que le CIL rédige un rapport annuel d’activité

Allemagne

Le DSB doit posséder les qualités et les capacités nécessaires pour pouvoir remplir les fonctions

� Le DSB est tenu au secret sur l’identité des personnes concernées par les traitements ainsi que sur les circonstances permettant de tirer des conclusions sur ces personnes

� Le secret peut être levé avec accord de la personne concernée

Aucune disposition en ce sens

Pays Bas

Les FG ne peuvent être que des personnes physiques disposant de connaissances adéquates au regard des tâches à accomplir et pouvant être regardés comme dignes de confiance

� Le FG a l’obligation de considérer comme confidentielle toute information portée à sa connaissance à l’occasion d’une plainte ou à la demande d’une personne concernée

� Cette obligation tombe si la personne consent au fait de rendre l’information publique

Le délégué doit produire un rapport annuel de ses activités et de ses découvertes

Suède Aucune disposition en ce sens Aucune disposition en ce sens Aucune disposition

en ce sens



158

Luxembourg L’agrément est subordonné :

� à la justification d’une formation universitaire accomplie en droit, économie, gestion d’entreprise, sciences de la nature, ou informatique ainsi que d’assises financières d’une valeur de 20.000 euros.

� à l’inscription dans une profession réglementée : avocat à la Cour, réviseur d'entreprises, expert-comptable, médecin.

� Le chargé doit parfaire ses connaissances une fois par an

Le chargé à la protection des

données est soumis au secret

professionnel pendant et après

l’exercice de ses fonctions

Aucune disposition en

ce sens

Communautés

européennes Le délégué est choisi en fonction de ses qualités personnelles et professionnelles et, en particulier, des ses connaissances spécialisées dans le domaine de la protection des données

Le délégué et son personnel ne divulguent pas les informations ou les documents obtenus dans l’exercice de leurs fonctions

Le délégué présente un rapport annuel d’activités au secrétaire général adjoint du Conseil qu’il rend accessible au personnel



159

Annexe 3 : Description du poste de détaché à la protection des

données au sein de l’entreprise – l’exemple allemand 278

1. La désignation de la fonction

La protection des données

2. Le rang hiérarchique

Le délégué chargé de la protection des données

3. La subordination hiérarchique

Le titulaire du poste est subordonné au :......................... (par ex. : président

du comité de direction).

4. Les tâches

Le titulaire de la fonction doit assurer le au respect de la loi fédérale sur la protection des

données (BDSG) ainsi que des autres dispositions qui concernent la protection des données.

5. L'organisation de la suppléance

Le titulaire de la fonction est suppléé par le titulaire du poste de :.............. (par ex. :

"directeur du service juridique").

6. Le détail des activités

6.1 La surveillance des programmes de traitement des données

Le titulaire de la fonction est chargé de veiller à l'utilisation en bonne et due forme des

programmes de traitement des données, à l'aide desquels des données personnelles sont

traitées.

278 Ces informations proviennent d’un guide de la GDD



160

6.2 Les formations

Le titulaire de la fonction doit familiariser les personnes travaillant au traitement de données

personnelles avec les dispositions de la loi et les autres réglementations sur la protection des

données au moyen de mesures appropriées.

6.3 Les contrôles préliminaires

Le titulaire de la fonction met en oeuvre des contrôles préliminaires dans les cas prévus par la

loi.

Les documents nécessaires sont mis pour cela à disposition.

Le titulaire de la fonction autorise le traitement d'après la conclusion des contrôles

préliminaires. Dans les cas de doute, il s'adresse à la direction de l'entreprise. Pour autant que

les doutes ne puissent pas être levés ici, le délégué chargé de la protection des données

s'adresse en accord avec la direction de l'entreprise aux autorités d'inspection.

6.4 L'aperçu de procédure public

Le titulaire de la fonction tient, conformément à la loi, à la disposition de chacun, sur

demande, l'aperçu des procédures de traitements automatisés des données

personnelles dans l'entreprise (aperçu de procédures public).

6.5 La surveillance et la coordination

Le titulaire de la fonction doit surveiller et coordonner les mesures de protection des données

et de sécurité des données, pour autant que celles-ci aient leur base dans la BDSG.

6.6 L'information et la diffusion de l'information

Le titulaire de la fonction doit participer à l'information et à la diffusion de l'information

conformément aux §§ 33, 34 BDSG.

6.7 La consultation sur les mesures techniques et organisationnelles

Le titulaire de la fonction doit contrôler, si conformément au § 9 BDSG, les mesures

techniques et organisationnelles exigées ont été prises, pour garantir la mise en oeuvre des

dispositions de la BDSG, en particulier dans l'annexe au § 9 BDSG sur les exigences

spécifiées.



161

6.8 Les devoirs de conseil

La transmission de données personnelles en dehors des États de l'UE et de l'EEE ainsi que les

formes de traitement particulières comme les systèmes de scoring, les systèmes de contrôle

vidéo et les cartes à puce sont assujetties à des restrictions particulières. Le conseil visant à

l'observation des normes correspondantes est une tâche du délégué chargé de la protection des

données.

6.9 Les plaintes

Le titulaire de la fonction doit traiter les plaintes en rapport avec la BDSG ou les autres

dispositions réglementaires pour la protection des données. Ceci implique en particulier un

examen précis et complet des circonstances se trouvant à l'origine, ainsi que la délivrance

dans un délai approprié d'un avis adressé au requérant.

6.10 Les directives réglementaires

Le titulaire de la fonction doit rédiger et / ou éventuellement perfectionner les directives de

l'entreprise pour la protection des données.

6.11 Le respect du secret lié aux données

Le titulaire de la fonction doit faire en sorte que les personnes travaillant au traitement de

données personnelles respectent le devoir de discrétion conformément au § 5 BDSG sur le

secret de données.

6.12 La représentation à l'extérieur

Le titulaire de la fonction représente l'entreprise vis à vis des autorités extérieures pour les

questions de protection des données selon la BDSG et gère pour cela tous les contacts

nécessaires.

6.13 Le rapport d'activité

À la fin de l'exercice annuel de l'entreprise, le titulaire de la fonction présente au :

........................... (par ex. : président du comité de direction) un rapport d'activité.



162

7. Les pouvoirs

Le titulaire de la fonction possède un droit d'initiative et d'objection, avec des pouvoirs de

contrôle direct, dans toute l'entreprise.

Lors de l'exercice de ses compétences, il n'a pas à recevoir d'ordres conformément au § 4f al.

3 phrase 2 BDSG.

Il a un droit d'exposé direct à la direction de l'entreprise. Il doit être soutenu par la direction de

l'entreprise lors de la réalisation de ses tâches.

Le titulaire de la fonction est autorisé à exiger que les services responsables concernés

appliquent les directives, les instructions réglementaires et les lois sur la protection des

données.

Dans l'exercice de sa fonction, il a un droit d'accès et de contrôle sans encombre dans toute

l'entreprise. Il est autorisé sur ce point à lire tous les documents.

L'entreprise met à la disposition du titulaire de la fonction un aperçu des procédures de

traitements

automatisés des données personnelles consultable par chacun (aperçu de procédure public)

établi selon les normes.

Des informations à jour sur les traitements effectués dans l'entreprise sont mises à la

disposition du titulaire de la fonction (liste des traitements internes) pour lui permettre de

réaliser ses tâches, selon ses prescriptions.

Le titulaire de la fonction doit être informé à temps des nouveaux projets de traitement

automatisé des données personnelles, avant même la mise en œuvre de leur planification.

En cas de doute, le titulaire de la fonction peut s'adresser conformément au § 4g al. 1 phrase 2

BDSG aux autorités d'inspection compétentes.

8. Le devoir de discrétion

Le titulaire de la fonction a connaissance du fait de son activité de processus au contenu

particulièrement confidentiel.

Il est donc soumis à un devoir de discrétion particulier.

Il est soumis au devoir de discrétion sur l'identité des personnes concernées ainsi que sur les

circonstances qui permettent de retrouver des personnes concernées, tant qu'il n'en a pas été

directement libéré de cette obligation par la personne concernée elle-même (§ 4f al. 4 BDSG).



163

Table des matières

Remerciements .................................................................................................................... 3

Sommaire ............................................................................................................................ 4

Table des abréviations ......................................................................................................... 6

Introduction ......................................................................................................................... 10

Chapitre préliminaire : Management des données et

menaces sur la vie privée ............................................................................ 15

'�� %�� ,16

D � �:�� 1� � �� !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! �16�

A/ Quant à la collecte des données.......................................................................... 16

1.Les collectes consenties............................................................................ 17

2.Les collectes extorquées ........................................................................... 18

B/ Quant à la finalité du traitement des données ..................................................... 19

1.Interopérabilité et base de données........................................................... 20

2.La rupture d’un traitement égalitaire : l’exemple du scoring ................... 23

D �" �:�� E�� !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! �25�

A/ Le cas DoubleClick ............................................................................................ 26

B/ Illustrations de la diversité des dérives ............................................................... 29

'�� %��

��*�� .............................................................................................. 32



164

D � �:�� 2 �� F � �� !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! �33�

A/ L’inertie du législateur ....................................................................................... 33

B/ Vers un déclin de la CNIL ? ............................................................................... 36

D �" �:�� , � �� !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! 37�

A/ Les premières approches en France.................................................................... 37

1.Pour le secteur privé ................................................................................. 37

2.Les correspondants du secteur public ....................................................... 40

B/ En Europe ........................................................................................................... 41

1.Les délégués à la protection des données des Communautés européennes

................................................................................................................................. 41

2.Le Datenshutzbeauftragter allemand ....................................................... 42

3.Le functionaris gegevenbesherming hollandais ....................................... 43

4.Le chargé à la protection des données luxembourgeois ........................... 44

5.Le Personuppgiftsombud suédois ............................................................. 44

6.Les autres dispositifs au sein de l’Union Européenne.............................. 45

C/ Dans les pays anglo-saxons ................................................................................ 46

Titre I : Le recours au correspondant Informatique et

Libertés ........................................................................................................................ 49

Chapitre I : Le CIL, un choix pour l’autorégulation ....................................... 50

'�� %��.......................................................................... 50



165

D � �:�� !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! �50�

A/ Un dispositif optionnel ....................................................................................... 51

B/ Un choix ouvert à tout type d’organisme ........................................................... 51

D �" �:�� $ �� !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! �52�

A/ Le salarié, position de principe posée par la loi ................................................. 52

B/ Le prestataire externe.......................................................................................... 53

1.La condition de seuil................................................................................. 53

2.Les dérogations......................................................................................... 55

'�� %�� ......................................................... 56

D � �:�� !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! 56�

A/ Une approche douteuse de l’utilité du CIL......................................................... 57

1.La dispense des déclarations, un apport a priori faible............................. 57

2.La tenue d’une liste des traitements mis en oeuvre .................................. 58

3.Les limites du champ d’action.................................................................. 59

B/ Le respect des libertés......................................................................................... 60

1.Médiation et réception des demandes des individus ................................ 61

2.Pédagogie et diffusion de la culture « Informatique et Libertés »............ 62

3.Le « CIL presse »...................................................................................... 63

C/ Un champ d’action extensible ............................................................................ 64

1.L’extension par convention expresse ....................................................... 65

2.La multiplicité des rôles ........................................................................... 66



166

D �" �:�� !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! 67�

A/ La notification .................................................................................................... 67

B/ L’information des instances représentatives du personnel ................................. 69

C/ L’obligation de rendre compte............................................................................ 72

D/ L’absence de secret professionnel, lacune du système ?.................................... 72

'�� %��-�� ........................... 74

D � �:�� 0 �� !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! �75�

A/ L’absence d’approbation .................................................................................... 75

B/ L’intervention en cours et fin de mission ........................................................... 76

1.L’intervention en cours de mission .......................................................... 76

2.L’intervention en fin de mission............................................................... 79

C/ Le maintien des prérogatives classiques............................................................. 80

D �" �:�� $ �� !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! �81�

Chapitre II : La concurrence des autres mode de régulation ................... 84

'�� %�*�� !��(�� .........84

D � �:�� !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! �84�

A/ Les usages et les codes ....................................................................................... 85



167

B/ La labellisation.................................................................................................... 87

D �" �:�� 2 �� !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! �88�

'�� +��!� � �� ............... 89

D � �:��% �� .�� / !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! 89�

D �" �:�3 � � � � �� !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! 90�

Titre II : Le régime juridique du correspondant Informatique

et Libertés ..................................................................................................................91

Chapitre I : Le statut du CIL.................................................................................... 92

'�� %�*� �� .......................................................................... 92

D � �:�� !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! �92�

A/ La constitutionnalité du dispositif ...................................................................... 93

1.Les griefs apportés.................................................................................... 93

2.La position du Conseil constitutionnel ..................................................... 94

B/ Les difficultés posées par l’indépendance .......................................................... 95

D �" �:�� !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! �95�

A/ Contours de la notion.......................................................................................... 96

B/ Les moyens de l’indépendance........................................................................... 97



168

1.La position hiérarchique ........................................................................... 97

2.La liberté d’action..................................................................................... 98

3.La mise à disposition de moyens.............................................................. 99

4.Le mandat a durée limitée ........................................................................ 100

5.L’absence de conflit d’intérêts ................................................................. 100

'�� %�� ..................................................................... 103

D � �:�+ � �� !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! �103�

A/ Les attentes de la loi ........................................................................................... 103

1.A l’étranger............................................................................................... 104

2.En France .................................................................................................. 104

B/ Une fonction empreinte de pratique ................................................................... 105

D �" �:�� G !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! �106�

A/ Les postes approchants ....................................................................................... 106

1.Le qualiticien ............................................................................................ 107

2.Le déontologue ......................................................................................... 107

3.La fonction de conformité ........................................................................ 108

B/ Les Chief Privacy Officer ................................................................................... 110

Chapitre II : Le régime de la responsabilité du CIL ...................................... 111

'�� %'�� ........................................................................ 111

D � �:�� !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! �112�



169

A/ Rappel de la notion............................................................................................. 112

1.Une construction jurisprudentielle............................................................ 112

2.Les principes posées par le juge ............................................................... 113

B/ Application au statut du CIL............................................................................... 114

1.La délégation interdite par la loi............................................................... 114

2.La participation aux faits .......................................................................... 114

3.La compétence .......................................................................................... 115

4.Les moyens ............................................................................................... 115

5.L’autorité .................................................................................................. 116

D �" �:�� !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! �117�

A/ La complicité du CIL.......................................................................................... 117

B/ La défaillance dans l’exercice des missions ....................................................... 118

1.La non dénonciation d’agissements illégaux............................................ 118

2.L’absence de sanctions en cas de liste incomplète ................................... 118

'�� %'�� ................................................... 119

D � �:�� 1� !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! �119�

D �" �:�� 1� � �� !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! �120�

D �' �:�� !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! �121�

Bibliographie....................................................................................................................... 123

Annexes............................................................................................................................... 148


le correspondant informatique et libertés : un nouvel outil de

Documents