Typologie des relations avec les autorités de protection des données

Cet article est le résumé d’un article publié dans :

ROSSI, Julien. « Les quatre modèles de Data Protection Officers en Europe », in RASLE, Bruno (dir.), Correspondant informatique et libertés : bien plus qu’un métier, Paris:AFCDP, 2015, pp. 27-42 (le livre est disponible à la vente en ligne)


1. Que sont les délégués à la protection des données ?

La directive 95/46/CE mentionne la possibilité pour les Etats membres de prévoir des dispositions relatives aux « personnes détachées à la protection des données », notamment à ses articles 18 et 20. Le considérant 49 précise lui, au préalable, que : «des exonérations ou simplifications peuvent […] être prévues par les États membres dès lors qu’une personne désignée par le responsable du traitement de données s’assure que les traitements effectués ne sont pas susceptibles de porter atteinte aux droits et libertés des personnes concernées; que la personne ainsi détachée à la protection des données, employée ou non du responsable du traitement de données, doit être en mesure d’exercer ses fonctions en toute indépendance ».

Ces personnes détachées à la protection des données, dont le rôle devrait considérablement évoluer avec l’entrée en vigueur prévue en 2018 du règlement général de protection des données, y sont appelées des « délégués à la protection des données ». En France, la loi 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés parle à son article 22-III de « correspondant à la protection des données à caractère personnel », plus communément dénommés « correspondants informatique et libertés » (CIL). Enfin, l’appellation la plus courante en anglais est celle de « Data Protection Officer » (DPO). A des fins de facilité de lecture, le terme de CIL sera employé dans cet article pour désigner la profession, indépendamment du pays où celle-ci est exercée.

L’objectif de l’article résumé ci-dessous était d’étudier les différentes façons dont, selon les pays et les législations en vigueur, les CIL participent au sous-système de politique publique de protection des données à caractère personnel [1]Voir à ce sujet la théorie des coalitions de cause : Sabatier, Paul. « The Advocacy Coalition Framework: revisions and relevance for Europe », Journal of European Public Policy, 5:1, 1998, pp. … Continue reading, au travers notamment de leurs relations avec les autorités nationales de protection des données à caractère personnel.

  1. Introduction

L’Allemagne a été le premier pays à institutionnaliser le rôle de CIL, en 1977 [2]Gesetz zum Schutz vor Mißbrauch personenbezogener Daten bei der Datenverarbeitung, vom 27. Januar 1977, in der Fassung der Bekanntmachung vom 1. Februar 1977 (BGBl. I Nr. 7 S. 201). In Kraft ab 1. … Continue reading. La France n’a suivi qu’en 2004, sous l’impulsion d’Alex Türk, alors depuis peu président de la Commission nationale informatique et libertés (CNIL) [3]loi n° 2004-801 du 6 août 2004 relative à la protection des personnes physiques à l’égard des traitements de données à caractère personnel et modifiant la loi n° 78-17 du 6 janvier … Continue reading.

Des associations professionnelles regroupant les CIL existent dans plusieurs Etats membres de l’Union européenne (UE). Certains sont désormais regroupées au sein d’une fédération européenne dénommée Confederation of European Data Protection Organisations (CEDPO), fondée en 2009. L’article ici résumé se fonde à la fois sur une enquête juridique menée par cette organisation en 2012 [4]CEDPO, Comparative Analysis of Data Protection Officials. Role and Status in the EU and More, 2012. Disponible en-ligne (page consultée le 10 mars 2016) : … Continue reading et les résultats d’une enquête menée pour le compte de l’Autorité nationale pour la protection des données et la liberté de l’information (NAIH) en Hongrie[5]Dossier NAIH-610/2014/H[6]NB : cet article n’engage que son auteur et non la NAIH.

Ce travail a permis de dégager une typologie de quatre modèles de relation entre autorités de protection des données et CIL, en étudiant les pays suivants : Allemagne, Belgique, Espagne, Estonie, France, Hongrie, Irlande, Lettonie, Lituanie, Luxembourg, Malte, Pays-Bas, Royaume-Uni, Slovaquie, Suède et Suisse.

2. Panorama des principales dispositions législatives

La directive 95/46/CE laisse pratiquement toute latitude aux Etats membres pour qu’ils réglementent comme il leur semble la profession de CIL. Le présent chapitre a pour objectif de montrer certaines des dispositions législatives les plus fréquentes à leur égard.

Concernant leur nomination, lorsque – et ce n’est pas le cas partout – la fonction de CIL est encadrée par la Loi, deux possibilités existent : soit la désignation d’un CIL est obligatoire[7]En Allemagne, la nomination d’un CIL est presque toujours obligatoire : voir la section 4f de la Bundesdatenschutzgesetz de 2003 consolidée. C’est également le cas en Slovaquie (voir … Continue reading). L’obligation peut être quasi-générale, ou circonscrite à certaines catégories de responsables de traitement[8]En Hongrie, seuls sont soumis à l’obligation de désigner un CIL les organismes publics d’État, les institution financières, les fournisseurs de services de télécommunication et les … Continue reading).

La France a fait le choix, à l’inverse, de ne faire qu’inciter à la désignation d’un CIL. Ainsi, les organismes ayant désigné un CIL auprès de la CNIL bénéficient de certaines exemptions, notamment en matière de déclaration préalable de leurs traitements de données auprès de la CNIL. Les Pays-Bas sont un autre exemple de pays ayant retenu un modèle incitatif.

Les CIL sont soumis, lorsque leur profession est réglementée, à un certain nombre d’obligations. Ils sont généralement tenus de tenir un registre des traitements de données effectués par le responsable de traitement les ayant désignés, et agissent comme point de contact au sein d’un organisme pour gérer les requêtes et les plaintes en rapport avec la protection des données personnelles. Ils doivent s’assurer de la légalité des traitements effectués par l’organisme, ce qui implique notamment d’organiser en interne la sensibilisation et la formation à ces questions.

Lorsqu’un CIL a un doute sur la légalité d’une opération de traitement, il est souvent dans l’obligation de consulter l’autorité de supervision auprès de laquelle il a été désigné[9]Voir par exemple : art. 8 de la loi suédoise portant protection des données personnelles, ou l’article 31-2 de la loi XXVI de 2001 de Malte. En Slovaquie, un CIL ne se soumettant pas sans délai à cette obligation est passible d’une amende dépassant les 3000 euros [10]CEDPO, 2012. Les Pays-Bas font exception en adoptant la démarche inverse : un accord de 2005 entre l’association regroupant les CIL néerlandais[11]Nederlands Genootschap van Functionarissen voor de Gegevensbescherming – NGFG : voir leur site Internet www.ngfg.nl et l’autorité nationale néerlandaise de protection des données acte le fait qu’un CIL n’a pas vocation à servir d’informateur, d’œil du régulateur. Nous verrons un peu plus loin comment se structure le modèle néerlandais original de relations entre autorité de supervision et CIL.

Dans le cadre de la réglementation de leur profession, les CIL peuvent aussi être soumis à des obligations de formation. Si, en France, seule des notions de « qualification requise » ou de « qualification suffisante » préalable à la désignation sont indiquées dans les textes[12]Article 22-III de la loi Informatique et Libertés (France) – Article 43 du décret du 20 octobre 2005 (France) – Article 63-1 de la loi portant protection des données personnelles … Continue reading), le Luxembourg, par exemple, prévoit des obligations de formation continue une fois par an au minimum sous peine de perdre leur agréement [13]Règlement grand-ducal du 27 novembre 2004 concernant le chargé à la protection des données et portant exécution de l’article 40, paragraphe (10) de la loi relative à la protection des … Continue reading).

Les dispositions relatives au CIL, lorsqu’elles existent, ne sont pas uniquement là pour lui imposer des obligations, mais aussi pour protéger son indépendance au sein de la hiérarchie de l’organisme l’ayant désigné. Un CIL français peut ainsi saisir la CNIL « des difficultés qu’il rencontre dans l’exercice de ses missions » [14]loi 78-17 du 6 janvier 1978, art. 22-III (France). Toujours en France, lorsque le responsable de traitement souhaite mettre fin aux fonctions d’un CIL pour manquement aux devoirs dans le cadre de sa mission, il doit saisir la CNIL pour avis[15]art. 53 du décret n°2005-1309 du 20 octobre 2005 pris pour l’application de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés.

  1. Typologie : les quatre modèles du CIL en Europe

Les modèles présentés ci-dessous proviennent des résultats de l’étude publiée dans l’article dont celui-ci est le résumé.

2.a. Le CIL : un agent déconcentré de l’autorité de protection des données (modèle de la double-affiliation)

La plupart des législations étudiées conçoivent la fonction du CIL comme une forme d’organe déconcentré de l’autorité de supervision, agissant sein de l’organisme l’ayant désigné pour le compte de cette dernière. Dans ce modèle, une double tutelle est exercée sur le CIL : s’il demeure l’employé du responsable de traitement, il est également soumis à des obligations et parfois au contrôle de l’autorité de protection des données. Comme nous l’avons vu dans un paragraphe précédent, il peut par exemple se trouver dans l’obligation d’information l’autorité de supervision des manquements qu’il constate chez les responsable de traitement qui l’emploie, et doit souvent lui faire parvenir un rapport annuel.

Les modalités de la double-affiliation peuvent varier. Si la France a choisi un modèle qui, comme nous l’avons vu plus haut, est protecteur vis-à-vis des CIL, la Slovaquie prévoit elle des sanctions à l’égard de ceux d’entre eux qui manqueraient à leurs obligations. La loi hongroise prévoit elle un dispositif original. En effet, comme indiqué en introduction, il existe dans de nombreux pays européens des associations professionnelles regroupant les CIL ; or, en Hongrie, c’est à l’Autorité nationale pour la protection des données et la liberté de l’information qu’il convient d’organiser, au moins une fois par an et en pratique deux fois par an, la Conférence des CIL [16]art. 25 de la loi CXII de 2011 (Hongrie). Ces conférences suivent une approche très top-down, et il n’existe pour l’instant pas d’association professionnelle indépendante regroupant les CIL dans ce pays.

L’existence d’une telle association n’est donc pas une caractéristique essentielle du modèle de la double-affiliation, mais son existence n’est pas exclue : il existe en effet de telles associations en France, au Luxembourg ou encore en Allemagne.

2.b. Le modèle de co-régulation

Le modèle de la co-régulation correspond en réalité uniquement, sur l’échantillon de pays étudiés, à celui qui prévaut aux Pays-Bas. Bien qu’il ne corresponde qu’à ce pays, il a été considéré comme une catégorie à part de la présente typologie en raison de son originalité qui empêche son classement parmi les autres catégories.Il date d’un accord conclu en 2005 entre le College Bescherming Persoonsgegevens (CBP)[17]Depuis la publication de l’article, en janvier 2016, le CBP a changé de nom pour s’appeler l’Autorité des données personnelles : Autoriteit Persoonsgegevens. Le présent … Continue reading et l’association regroupant les CIL du pays (Nederlands Genootschap van Functionarissen voor de Gegevensberscherming) [18]NGFG (Nederlands Genootschap van Functionarissen voor de Gegevensbescherming). Avril 2005 Informatieblad – Relatie FG – CBP.

L’accord, qui n’est pas contraignant juridiquement, délimite les tâches des CIL et du CBP selon le principe de la « coopération souple » (soepele samenspel), et celui affirmant que « le fonctionnaire à la protection des données n’est pas le bras du CBP »[19]NGFG 2005, p. 1. La raison invoquée d’un tel principe est d’améliorer la confiance des responsables de traitement dans l’institution des CIL, et favoriser ainsi leur nomination.

Les responsables de traitement désignant un CIL aux Pays-Bas bénéficient d’allègements administratifs, doublé de l’engagement de la part du CBP de n’intervenir qu’avec « réserve » lors de contrôles les visant. Ainsi, si le CBP reçoit une plainte relative à un organisme ayant désigné officiellement un CIL, la plainte sera d’abord transmise au CIL. Le CBP n’intervient donc, avec l’ensemble de ses pouvoirs d’investigation et de sanction, qu’en cas d’incapacité du CIL à régler le problème, ou de manquement de sa part. De plus, les CIL ne sont plus tenus, aux Pays-Bas, d’envoyer un rapport annuel au CBP.

Enfin, le terme de « co-régulation » pour désigner le modèle néerlandais est justifié par l’existence d’une série de codes de conduite sectoriels conclus entre le CBP et le NGFG représentant les CIL. L’association des CIL est donc un élément important du sous-système de politique publique néerlandais de protection des données, jouant un rôle actif dans le processus décisionnel.

2.c. Irlande et Royaume-Uni : la coopération informelle

L’Irlande et le Royaume-Uni sont les deux Etats de notre échantillon à ne pas disposer de dispositions législatives ou réglementaires sur les CIL. Cela n’empêche bien entendu pas la profession d’exister dans la pratique, mais cela signifie par exemple qu’il n’existe pas de registre des CIL tenu par l’autorité de supervision, ni d’obligations des CIL vis-à-vis d’elle.

Bien que le site de l’Information Commissioner’s Office (ICO – autorité de supervision britannique) ne dispose pas[20]Information vérifiée au moment de la parution de l’article dont le résumé est ici publié, soit mars 2015 de rubrique dédiée aux CIL, le Strategic Liaison Office est chargé de maintenir les relations avec les responsables de traitement et, le cas échéant, avec les CIL.

Il existe au Royaume-Uni deux organisations professionnelles : la National Association of Data Protection Officers (NADPO) et le Data Protection Forum (DPF). Si l’ICO encourage les CIL à adhérer à ces associations, sa position officielle est de considérer qu’une entreprise est libre de nommer ou non un CIL[21]Voir : NAIH-610/2014/H.

L’Irlande suit un modèle similaire, avec une seule organisation professionnelle cependant : the Association of Data Protecion Officers[22]www.dpo.ie.

2.d. Le modèle privilégiant le réseau des responsables de sécurité des systèmes d’information

En Belgique, il existe quelques cas particuliers où la Loi prévoit l’obligation de nommer un CIL, mais ces cas sont exceptionnels. Dans ce pays comme en Espagne, l’accent est mis sur l’importance de la sécurisation des données, lequel est l’intérêt commun du responsable de traitement et des personnes concernées.

Il existe en Espagne un réseau de responsables de seguridad dont la responsabilité est confiée à l’Agence espagnole de protection des données. A partir du niveau 2 de sécurité exigeable selon les dispositions du décret royal n° 1720/2007 (qui comporte trois niveaux), la nomination d’un tel responsable par le responsable de traitement est obligatoire.

En Belgique, un arrêté royal [23]Arrêté royal du 17 mars 2013 relatif aux conseillers en sécurité institués par la loi du 15 août 2012 relative à la création et à l’organisation d’un intégrateur de services … Continue reading fixe les dispositions relatives aux conseillers en sécurité de l’information dans le secteur public, lesquels doivent être communiqués aux comités sectoriels compétents de l’autorité belge de protection des données. Ces conseillers sont protégés dans leur indépendance.

A noter que si ces deux pays ne disposent pas d’une législation concernant les CIL comme les Etats des deux premières catégories de notre typologie, cela n’empêche pas la création d’organisations professionnelles de CIL comme l’APEP[24]Asociación Profesional Española de Privacidad espagnole.

  1. Conclusion

L’article résumé ci-dessus avait pour objectif de décrire sommairement la typologie de relations CIL-autorités de protection des données en Europe, et de mieux comprendre par ce biais les mécanismes de participation de cette profession nouvellement structurée dans le sous-système de politique publique de la protection des données. Les modalités de cette participation devraient cependant évoluer rapidement avec l’entrée en vigueur du règlement général de protection des données[25]COM 2012-011 prévue pour 2018, qui prévoit d’harmoniser au niveau de l’UE les dispositions relatives aux CIL.

1 Voir à ce sujet la théorie des coalitions de cause : Sabatier, Paul. « The Advocacy Coalition Framework: revisions and relevance for Europe », Journal of European Public Policy, 5:1, 1998, pp. 98-130
2 Gesetz zum Schutz vor Mißbrauch personenbezogener Daten bei der Datenverarbeitung, vom 27. Januar 1977, in der Fassung der Bekanntmachung vom 1. Februar 1977 (BGBl. I Nr. 7 S. 201). In Kraft ab 1. Januar 1978
3 loi n° 2004-801 du 6 août 2004 relative à la protection des personnes physiques à l’égard des traitements de données à caractère personnel et modifiant la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, JORF n°182 du 7 août 2004 page 14063
4 CEDPO, Comparative Analysis of Data Protection Officials. Role and Status in the EU and More, 2012. Disponible en-ligne (page consultée le 10 mars 2016) : http://www.afcdp.net/IMG/pdf/European_DPO_Comparative_Analysis_6-feb-2012_AFCDP_CEDPO.pdf
5 Dossier NAIH-610/2014/H
6 NB : cet article n’engage que son auteur et non la NAIH
7 En Allemagne, la nomination d’un CIL est presque toujours obligatoire : voir la section 4f de la Bundesdatenschutzgesetz de 2003 consolidée. C’est également le cas en Slovaquie (voir les art. 19, 25, 29 et 30 de la loi 428 de 2002 sur la protection des données
8 En Hongrie, seuls sont soumis à l’obligation de désigner un CIL les organismes publics d’État, les institution financières, les fournisseurs de services de télécommunication et les opérateurs de services publics. Voir : Article 24 de la loi CXII de 2011 portant droit à l’auto-détermination informationnelle et à la liberté de l’information ( 2011. évi CXII. törvény az információs önrendelkezési jogról és az információszabadságról
9 Voir par exemple : art. 8 de la loi suédoise portant protection des données personnelles, ou l’article 31-2 de la loi XXVI de 2001 de Malte
10 CEDPO, 2012
11 Nederlands Genootschap van Functionarissen voor de Gegevensbescherming – NGFG : voir leur site Internet www.ngfg.nl
12 Article 22-III de la loi Informatique et Libertés (France) – Article 43 du décret du 20 octobre 2005 (France) – Article 63-1 de la loi portant protection des données personnelles (Pays-Bas
13 Règlement grand-ducal du 27 novembre 2004 concernant le chargé à la protection des données et portant exécution de l’article 40, paragraphe (10) de la loi relative à la protection des personnes à l’égard du traitement de données à caractère personnel (Luxembourg
14 loi 78-17 du 6 janvier 1978, art. 22-III (France
15 art. 53 du décret n°2005-1309 du 20 octobre 2005 pris pour l’application de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés
16 art. 25 de la loi CXII de 2011 (Hongrie
17 Depuis la publication de l’article, en janvier 2016, le CBP a changé de nom pour s’appeler l’Autorité des données personnelles : Autoriteit Persoonsgegevens.

Le présent résumé s’appuyant sur une étude réalisée en 2014 et publiée en 2015, elle ne prend pas en compte d’éventuelles évolutions intervenues depuis lors.

18 NGFG (Nederlands Genootschap van Functionarissen voor de Gegevensbescherming). Avril 2005 Informatieblad – Relatie FG – CBP
19 NGFG 2005, p. 1
20 Information vérifiée au moment de la parution de l’article dont le résumé est ici publié, soit mars 2015
21 Voir : NAIH-610/2014/H
22 www.dpo.ie
23 Arrêté royal du 17 mars 2013 relatif aux conseillers en sécurité institués par la loi du 15 août 2012 relative à la création et à l’organisation d’un intégrateur de services fédéral
24 Asociación Profesional Española de Privacidad
25 COM 2012-011