Cette question m’était venue suite à une discussion entre professionnels. Et nous n’étions pas forcément d’accord sur la réponse. Oui ? Non ? Appartenir à une chambre syndicale ou pas joue-t-il ? Qu’en est-il exactement ? Essayons de trouver des éléments de réponse. CIL est le sigle pour désigner un Correspondant Informatique et Libertés. Peut-être qu’une définition de celui-ci serait nécessaire. Le Correspondant Informatique et Libertés a vocation à être un interlocuteur spécialisé en matière de protection de données à caractère personnel que dans les rapports avec la CNIL. Le CIL occupe ainsi une place centrale dans le développement maîtrisé des nouvelles technologies de l’information et de la communication. La fonction de correspondant répond à un double objectif : Elle emporte un allègement considérable des formalités auprès de la CNIL. Sa désignation permet en effet d’être exonéré de l’obligation de déclaration préalable des traitements ordinaires et courants. Seuls les traitements identifiés comme sensibles dans la loi demeurent soumis à autorisations et continuent à faire l’objet de formalités. Le Correspondant Informatique et Libertés apporte une aide précieuse en contribuant à une meilleure application de la loi et réduit ainsi les risques juridiques pesant sur l’organisme concerné. Il a un rôle de conseil, de veille et d’alerte en matière de déploiement des projets informatiques au sein de l’organisme. Il joue également un rôle essentiel dans la formation et la sensibilisation des personnels de l’établissement aux principes « Informatique et Libertés ». Le CIL peut être un employé de l’établissement ou une personne externe (comme par exemple, un consultant, un avocat…). La loi a fixé des seuils pour déterminer les cas dans lesquels il est possible de choisir un CIL interne ou externe à l’établissement. Ainsi, il existe une liberté de choix lorsque moins de 50 personnes sont chargées de la mise en oeuvre des traitements ou qui y ont directement accès. Le choix est limité lorsque plus de 50 personnes sont chargées de la mise en oeuvre des traitements ou y ont directement accès. En pratique, pour connaître le seuil applicable, il convient de déterminer le nombre de personnels qui sont chargés : du développement et de la maintenance des applications tel que, par exemple, le service informatique ; de la saisie des données ou de la consultation (ex. : service juridique, comptable, ou des ressources humaines). Le nombre de 50 personnes est apprécié au regard de l’ensemble des applications informatiques mises en œuvre. La plupart des correspondants ont une formation informatique mais ce n’est pas une obligation légale. L’important est qu’il puisse, si nécessaire, bénéficier d’une formation tant technique que juridique, qui soit adaptée à la taille de l’établissement. S’il n’est pas prévu d’agrément par la CNIL, celle-ci doit néanmoins enregistrer la désignation et notifier celle-ci au responsable du traitement. Qu’en est-il pour le généalogiste professionnel ? Pour son site-vitrine, sa comptabilité générale et la conservation de ses archives, il est dispensé de toute déclaration préalable à la CNIL. Qu’en est-il s’il possède des fichiers de données personnelles ? Là encore, une définition s’impose. Voici celle donnée par Me Thiébaut Devergranne, docteur en droit, spécialiste du droit des nouvelles technologies depuis plus de 10 ans dont six au sein des services du Premier Ministre. Une donnée personnelle peut se définir comme toute donnée permettant d’identifier directement ou indirectement une personne physique. Par exemple, le carnet d’adresses d’entreprise constitue un traitement de données personnelles et devra faire l’objet d’un processus de mise en conformité. En fait il faut distinguer deux types de données personnelles : celles qui sont directement personnelles, et celles qui le sont indirectement. Commençons par les premières, ce sont les plus faciles à appréhender. Celles auxquelles on pense le plus souvent immédiatement sont évidemment le nom et le prénom d’une personne, son numéro de téléphone, son adresse e-mail. On peut également ajouter son image (photos ou vidéos permettant de l’identifier directement). On pense moins souvent aux données biométriques (empreinte digitale, image de la rétine, réseau veineux de la main…), mais ces données sont bel et bien des données directement personnelles. Ensuite, les données indirectement personnelles : ce sont des informations qui permettent d’identifier une personne indirectement, c’est-à-dire par référence à un numéro d’identification (ce qui implique nécessairement une table de correspondance). Un des meilleurs exemples que l’on puisse prendre est le numéro de sécurité sociale. Mais on peut également penser au numéro client, ou au numéro d’employé. La question de savoir si l’adresse IP est une donnée personnelle a également suscité beaucoup de discussions. Dès lors que vous traitez une de ces données, la loi s’applique et vous devrez mettre en œuvre un processus de mise en conformité. Pourquoi déclarer un fichier de données personnelles ? Plusieurs raisons à cela : 1/La sécurité, que ce soit celle des locaux, des systèmes d’information ou l’adaptation à la nature des données et aux risques présentés par le traitement. En cas de manquement, c’est l’article 226-17 du code pénal qui s’applique. 2/La confidentialité des données. Seules les personnes autorisées peuvent y accéder. Les destinataires doivent donc être explicitement désignés pour en obtenir régulièrement communication. Les tiers autorisés doivent avoir qualité pour les recevoir de façon ponctuelle et motivée (comme par exemple le fisc). En cas contraire, c’est l’article 226-22 du code pénal qui s’applique. 3/La durée de conservation des informations. Une date de péremption, raisonnable en fonction de l’objectif du fichier, doit être décidée. Dans le cas où cela ne serait pas, c’est l’article 226-20 du code pénal qui s’applique. 4/ L’information des personnes directement concernées, à qui l’on doit communiquer les points suivants : identité, finalité du traitement, caractère des réponses (obligatoire ou facultative), les destinataires des informations, l’existence de droits, les transmissions envisagées. Sinon, l’article 131-13 du code pénal s’applique : 1500 euros par infraction constatée, le double en cas de récidive. 5/La finalité des traitements. Il doit y avoir un objectif précis, cohérent. Les données personnelles récoltées ne peuvent pas être réutilisées de manière incompatible avec la finalité de leur collecte. Sinon, l’article 226-21 du code pénal s’applique. Enfin, s’il n’y a pas autorisation de la CNIL avant mise en œuvre, nous sommes sous le joug de l’article 226-16 du code pénal. Je ne vous ai pas mis à chaque fois les peines encourues car ce sont toutes les mêmes : 5 ans d’emprisonnement et 300 000 euros d’amende. S’il y a divulgation par imprudence ou négligence des données, la peine n’est que de 3 ans d’emprisonnement et 100 000 euros d’amende. Le cadre juridique étant posé, essayons de répondre à la question. Il me semble que, quelle que soit notre spécialité, familial ou successoral, du moment que nous avons ne serait-ce qu’un fichier contenant des fichiers personnelles, nous nous devons de déclarer celui-ci à la CNIL. De même pour nos chambres syndicales. Pour autant, qui a besoin d’un CIL ? A mon sens, peu d’entreprises du secteur. Pour des entreprises telles que Coutot-Roehrig, Andriveau, Guenifey, Maillard ou autre Bovyn-Deschnik, bref pour tous les grands cabinets de généalogie successorale (je dois en avoir oublier dans ma liste), ayant parfois des dizaines d’établissements en France ou des dizaines d’employés, cela me semble une évidence. Mais pour un familial qui travaille chez lui, seul, ou un successoral se trouvant dans le même cas, travaillant seul ? Nommer un CIL est-il nécessaire ? A mon sens, non. La déclaration à la CNIL n’est pas si compliquée pour qu’il ne puisse pas la faire seul. J’ai posé quand même la question à mon avocate, spécialiste en droit des nouvelles technologies, pour être complètement sûr de mon analyse. Sa réponse à ce sujet fut claire : non, nommer un CNIL n’est pas nécessaire, de même que n’est pas nécessaire pour elle d’en prendre un en commun, du moment que le seuil de 50 personnes n’est pas atteint. Elle ne voit pas l’intérêt d’aller pour le moment au-delà de la loi.