Meeting

RGPD | CIL et DPO, ce n’est pas (vraiment) la même chose !

Le Correspondant Informatique et Libertés, référent sur les questions de protection des données personnelles au sein de l’organisme qui l’a désigné, semble être l’équivalent du DPO. Or, le second serait plutôt le successeur naturel du premier. Explications.

CIL, qui es-tu ?

Chargé des questions liées à la protection des données, le CIL (Correspondant informatique et libertés) a plusieurs missions :

  • Garantir la conformité de son entreprise à la loi Informatique et Libertés ;
  • Veiller à la sécurité des données utilisées par son employeur ;
  • Centraliser les traitements des données…

De telles responsabilités rappellent forcément celles qui incomberont, à partir de du 25 mai 2018, au DPO. Les deux fonctions ne sont cependant pas exactement les mêmes.

Plus d’exigences…

Le Règlement général sur la protection des données précise en effet que de nouvelles exigences s’imposent au DPO s’agissant de ses qualifications et de ses connaissances. Il doit notamment — nous y reviendrons — posséder certains savoirs en matière de droit et de pratiques. Et il doit veiller à entretenir ces connaissances spécifiques, via un programme de formation continue. Autant d’impératifs qui ne concernaient pas vraiment le CIL, dont le rôle se limitait finalement à rassurer les clients de l’entreprise, les fournisseurs, les partenaires potentiels, le personnel… et les autorités de contrôle, la CNIL en premier lieu !

… et plus de responsabilités

On estime qu’il existe, aujourd’hui, environ 4 000 Correspondants informatique et libertés en activité. Ils vivent sans doute leurs dernières heures avec l’entrée en fonction des DPO. « Les CIL et les DPO ne cohabiteront pas, confirmait ainsi, début 2016 lors de la 10ème université de l’Association Française des Correspondants à la protection des Données à caractère Personnel (AFCDP), Edouard Geffray, secrétaire général de la CNIL. Il y aura une conversion de l’un vers l’autre mais les modalités restent à fixer. Et le titre actuel de CIL ne donnera pas lieu automatiquement au titre de DPO. »

Car le DPO doit faire face à plus de responsabilités que le CIL. Sa désignation étant obligatoire dans de nombreux cas, c’est à lui de répondre en cas de contrôle opéré par la CNIL — ou par tout autre organisme de contrôle européen, la CNIL pouvant être « remplacée » par un autre si l’entreprise concernée opère principalement à l’extérieur de nos frontières. De lourdes amendes pouvant être prononcées en cas de défauts constatés, l’impact du DPO sur le destin de l’entreprise est donc incontestable !

Tous les CIL ne deviendront pas, en mai 2018, des DPO. Ces derniers doivent en effet posséder un solide bagage technique et légal pour mener à bien leurs missions. Ils n’ont pas, de plus, un simple rôle consultatif comme le CIL. Mais quel est leur profil ? Réponse dans un prochain article !