La profession des ARP, s'est résolument engagée depuis plusieurs années dans une démarche de reconnaissance accrue auprès des pouvoirs publics et une professionnalisation importante de ses membres par la mise en place de qualification désormais obligatoire pour accéder à la profession.

Malgré ce mouvement, la profession se retrouve de plus en plus mise en difficulté d'exercer l'ensemble de ses activités par les restrictions tous les jours plus grandes d'accès à des sources d'informations indispensables à la pratique de la recherche.

Cet accroissement des restrictions est notamment dû à l'application de plus en plus rigoureuse de la loi « Informatique et Liberté » du 6 janvier 1978 modifiée et actualisée par la loi du 6 août 2006 dont les décrets d'application sont parus au JO le 20 octobre 2005.

La CNDEPvient de faire nommer un Correspondant extérieur juriste , interlocuteur direct de la CNIL qui sera le mieux à même de faire connaître les souhaits de la profession de faire évoluer l'accès à des informations qui ne sont plus ouvertes librement.

Etant mieux à même de présenter les conditions dans lesquelles tel ou tel fichier est utilisé, dans quel cadre strict il est réalisé et déclaré, la profession a toutes les chances de voir évoluer son image et inverser la tendance quant à l'accès à certaines données et bénéficier ainsi de meilleurs conditions réglementaires dans l'exercice de son activité.

Vu l'importance du nombre des cabinets d'ARP, et du nombre de syndicats et d'association, chacun étant une petite structure, l'intérêt de la profession est de se doter, à partir de la Confédération ( seule possibilité légale), d'un Correspondant pouvant répondre à l'ensemble des exigences professionnelles des ARP et d'avoir un lien direct avec la CNIL .

Par ailleurs, ce Correspondant désigné par la DEP offre les services permanent d'un avocat, d'un ingénieur informatique et d'un spécialiste en méthodologie de traitement des données et des relations auprès de la CNIL. Ainsi, c'est toute une série de services dont chaque ARP pourrait bénéficier allant de la consultation juridique permanente et l'appui et le conseil lors de procédures aux services et fournitures techniques en informatique ( programmes, applications) répondant aux exigences de la CNIL en matière de sécurisation des systèmes et assurant une veille permanente permettant l'actualisation des équipements et usages.

Cette désignation paraît propre à mettre définitivement à l'abri les ARP des sanctions qui aujourd'hui menace toute une profession et offre enfin la possibilité d'entrer directement en relation avec la CNIL, seule autorité administrative susceptible d'ouvrir à nouveau des conditions d'accès à des données indispensables à l'exercice de la profession d'ARP... (Les réunions sont prévus dans les prochains mois)

Les pouvoirs de la Commission Nationale Informatique et Liberté ( CNIL) se sont ainsi retrouvés considérablement renforcés tant dans sa mission d »élaboration des textes réglementaires que dans sa capacité à réprimer directement tout manquement au respect de la Loi : « Le fait, y compris par négligence, de procéder ou de faire procéder à des traitements de données à caractère personnel sans qu'aient été respectées les formalités préalables à leur mise en ouvre prévues par la loi est puni de cinq ans d'emprisonnement et de 300 000 euros d'amende, »

Cette loi du 6 août 2006, qui s'applique à tous les « fichiers » de données nominatives qu'elles soient sur support électronique ou non, concerne ensemble des administrations, entreprises privées, organismes. qu'elle que soit sa taille et son importance.

Une des contrainte majeur concerne la « déclaration préalable » qui consiste à demander l'autorisation à la CNIL de créer un fichier de donn ées nominatives en suivant une procédure complexe et très stricte et devant répondre à des conditions non moins rigoureuses ( Cette obligation existe depuis 1978.).

C'est peu dire que chacun se retrouve dans la plus complète illégalité.

Ainsi convient-il d'agir car il n'est plus envisageable de maintenir la profession, déjà fragilisée dans l'exercice de son activité, dans une situation telle que cette épée de Damoclès puisse à chaque instant s'abattre sur l'un de ses membres.

Cette loi rénovée met aussi en place la possibilité de désigner, à l'intérieur de l'entreprise ou groupement d'entreprises, un « Correspondant à la protection des données » ( CPD) chargé de mettre en conformité, de veiller et de conseiller sur l'ensemble des traitements réalisés par l'ensemble des membres du groupement. Il est, en quelque sorte, le représentant de la CNIL au sein du « Groupement professionnel» et agit pour chacun de ses membres auprès de la CNIL pour laquelle il tient le registre mis en conformité de tous les traitements réalisés par l'ensemble de ses membres.

Pourquoi désigner un correspondant ?

Introduit en 2004 à l'occasion de la refonte de la loi Informatique et Libertés du 6 janvier 1978, le correspondant à la protection des données à caractère personnel est désormais un personnage incontournable dans le paysage de la protection des données à caractère personnel.

Tous les responsables de traitements (Chefs d'Entreprises, Directeurs, Elus, Présidents) et de fichiers peuvent procéder à sa désignation qu'ils soient publics ou privés, qu'ils aient le statut d'associations, de collectivités locales ou de grandes administrations de l'Etat, qu'il s'agisse de PME-PMI ou d'entreprises multinationales.

1.. Alléger les formalités

La désignation d'un correspondant a pour effet d'exonérer les responsables des traitements de l'accomplissement de tout ou partie des formalités préalables leur incombant :

A/ Tenir la liste des traitements

           a) Le contenu de la liste

           b) La mise à jour de la liste

c) La publicité de la liste

B/ Veiller à l'application de la loi

           a) Rôle de conseil et de recommandation

           b) Rôle de médiation

           c) Rôle d'alerte

           d) Rendre compte de son action

2.. Assurer une meilleure application de la loi

La désignation du correspondant permet au responsable de traitements de mieux assurer les obligations qui lui incombent en application de la loi.

Le responsable des traitements est notamment tenu d'assurer le respect des droits des personnes concernées (droit d'accès, droit de rectification et de radiation, droit d'opposition.) : il doit ainsi leur fournir une information suffisante sur les traitements mis en ouvre. Il doit aussi veiller à ce que les données traitées ne soient utilisées qu'aux seules fins pour lesquelles elles sont collectées. Il doit enfin faire respecter la sécurité et la confidentialité de ces informations ; ainsi les informations traitées ne doivent pas être communiquées à des personnes n'ayant aucune raison de les connaître.

Ces obligations impliquent une réflexion sur l'usage qui sera fait des données, une définition des besoins tenant compte des droits garantis aux personnes. Elles doivent ensuite se traduire par des mesures d'applications concrètes et pratiques adaptées à l'activité professionnelle. Les choix effectués en matière de systèmes d'informations doivent tenir compte de ces droits et obligations.

En l'absence de correspondant, ces tâches sont souvent négligées alors qu'elles sont essentielles au regard de la protection des droits des personnes.

Le temps libéré du fait de la dispense de déclaration peut désormais être consacré à l'application pratique de la loi Informatique et Libertés et ce autant que de lourdes sanctions sont encourues en cas de non-respect de ces obligations. Dès lors, en recourant à ce mécanisme, le responsable de traitement dispose en la personne du correspondant d'un interlocuteur spécialisé à même de la conseiller dans ses choix.

Quelles sont les missions du correspondant ?

1.. Tenir la liste des traitements

Dans les trois mois suivant sa désignation, le correspondant doit dresser une liste des traitements automatisés pour lesquels il a été désigné. Cette liste peut bien entendu être tenu de manière informatisée.

a)      Le contenu de la liste

b)      La mise à jour de la liste

c)      La publicité de la liste

2.. Veiller à l'application de la loi

a)      Rôle de conseil et de recommandation

b)      Rôle de médiation

c)      Rôle d'alerte

d)      Rendre compte de son action

Les compétences développées par le Correspondant devront lui permettre de remplir les missions liées à sa nouvelle fonction, en particulier :

Connaître la législation en vigueur et la jurisprudence

Connaître les règles concernant les contenus informationnels

Connaître la responsabilité du chef d'entreprise quant à son activité sur l'Internet

Mettre en oeuvre des moyens appropriés à la confidentialité des données

Contrôler l'accès aux données et applications

Sécuriser les échanges

Former le personnel à la Loi Elaborer une charte d'utilisation

Mettre en oeuvre une politique de sauvegarde et un plan de sauvegarde

Mettre en place les procédures de sauvegarde

Mettre en oeuvre des moyens de défense minimums

Bloquer les attaques automatisées

Limiter les brèches ouvertes : se protéger des vulnérabilités

Limiter la prolifération virale : les anti-virus

Détecter les anomalies

Etablir une barrière de sécurité entre les données externes et internes

Gérer et maintenir la politique de sécurité

Les risques liés au changement

Mettre en place les outils d'une maintenance minimum

Le Correspondant, agrée et répertorié nominativement auprès de la CNIL, devient, dès sa désignation, son interlocuteur direct et privilégié pour toute la profession : il répond à toute demande de précision et contentieux concernant l'un quelconque de ses membres.

Les « déclarations préalables » se font désormais auprès du Correspondant et non plus auprès de la CNIL. Outre la mise en conformité de tous les traitements, la désignation du Correspondant donne un gage supplémentaire à la CNIL de la part de la profession de sa volonté d'agir en toute transparence et dans le strict respect de la réglementation dans tous les actes de son activité.

Yves CONVERSANO