Articles 10 et 22 (Délégué à la protection des données)

< Délibération CNIL >

A titre liminaire, la Commission relève que le délégué à la protection des données est abordé dans deux articles du projet de loi, qu’elle entend examiner ensemble : à l’article 10 (article 23 nouveau de la loi du 6 janvier 1978 modifiée) qui figure dans le titre premier, commun au Règlement et à la Directive, mais également à l’article 22 (article 70-15 nouveau de la même loi) qui est propre à la Directive.

_ Sur l’article 10 du projet de loi (article 23 nouveau de la loi du 6 janvier 1978) _

L’article 10 du projet de loi vise à introduire la fonction de délégué à la protection des données. En faisant référence dans le premier alinéa de l’article 23 nouveau de la loi du 6 janvier 1978 aux dispositions de la section 4 du chapitre IV du Règlement, le projet de loi reprend les conditions de désignation et d’exercice des missions du délégué telles que prévues par le Règlement et ne prévoit pas de cas de désignation obligatoire supplémentaires. La Commission souscrit à l’orientation générale de cet alinéa qui fait référence aux dispositions du Règlement et garantit ainsi une bonne lisibilité des obligations sur ce point. Elle appelle cependant l’attention sur les points suivants.

- Au deuxième alinéa de l’article 23 nouveau, sont reprises inchangées les dispositions actuelles relatives à l’information des instances représentatives du personnel de la désignation du correspondant. Or cette information, dont l’opportunité n’est pas contestable, n’est pas prévue par le Règlement, qui ne comporte pas de marge de manœuvre sur ce point, et qui prévoit en tout état de cause une obligation de publication, plus large, des coordonnées du délégué.

- Le troisième alinéa de l’article 23 (nouveau) maintient le principe, initialement consacré par la loi Informatique et Libertés , de l’interdiction de sanctionner le délégué à raison de l’accomplissement de ses missions. Mais la rédaction de la loi nationale diffère sur plusieurs points de la rédaction du Règlement – à titre d’illustration, la protection est opposable en droit national à l’employeur , tandis que le Règlement repose sur les notions de responsable de traitement et de sous-traitant, au-delà du seul lien d’employeur à salarié. La coexistence de ces deux niveaux de lecture est de nature à complexifier la compréhension des obligations. Le renvoi au Règlement apparaîtrait dès lors suffisant dans un souci de clarté.

Le projet de loi maintient la possibilité pour le délégué de saisir la Cnil en cas de difficultés rencontrées dans l’exercice de ses missions . Or le Règlement ne prévoit pas cette faculté, alors qu’il édicte précisément les pouvoirs et missions de ce délégué, qui doivent être harmonisés pour tous les responsables de traitement quelle que soit leur localisation sur le territoire européen. Elle ne semble dès lors pas nécessaire à la Commission, qui rappelle en outre que le Règlement prévoit que le délégué coopère avec l’autorité et fait office de point de contact , ce qui permettra au délégué de pouvoir contacter la Commission pour toute question.

Enfin, le projet prévoit la possibilité pour le délégué de communiquer la liste des traitements effectués à toute personne qui lui en fait la demande. Or, d’une part, le projet ne précise pas les conséquences d’un refus de communication tant vis-à-vis du délégué et de son responsable que des personnes qui en font la demande. Cette ambiguïté est de nature à créer une source d’insécurité juridique et à décourager dans ce cadre les désignations volontaires de délégué. D’autre part, si le Règlement permet à chaque responsable de traitement de compléter le socle minimal des missions des délégués, il ne prévoit pas une telle obligation de manière systématique.

_ Sur l’article 70-15 introduit dans la loi du 6 janvier 1978 par l’article 22 du projet _

L’article 70-15 nouveau a pour objet de transposer les dispositions des articles 32, 33 et 34 de la Directive.

- La Commission observe que le projet de loi entend exclure la désignation d’un délégué pour les juridictions dans l’exercice de leur fonction juridictionnelle. L’article 32 de la Directive permet en effet aux Etats membres, de même que le a) du 1 de l’article 37 du Règlement, de prévoir une telle exclusion. Pour autant, la Commission rappelle que les traitements mis en œuvre par les juridictions peuvent relever d’autres domaines que l’exercice de leurs fonctions juridictionnelles (par exemple, pour assurer la sécurité des locaux ou informatique ou pour la gestion d’activités non juridictionnelles), ce qui induira en tout état de cause une obligation de disposer d’un délégué du fait de leur nature d’organisme public. Par ailleurs, une extension du périmètre de la désignation des délégués, sous réserve de l’adaptation de leurs missions, ne pourrait que contribuer à une meilleure gestion globale des traitements de données à caractère personnel en France.

- S’agissant des missions du délégué à la protection des données telles que prévues à l’article 70-15.I (nouveau) de la loi du 6 janvier 1978, la Commission relève que le projet de loi procède à une transposition incomplète de la Directive, à deux égards.

En premier lieu, les deux premières missions du délégué à la protection des données (information et conseil du responsable de traitement et contrôle du respect des textes visés au 1° et 2° du projet d’article 70-15.III de la loi) ne visent que la présente loi et non pas, comme l’indique la Directive d’autres dispositions du droit de l’Union ou du droit des Etats membres en matière de protection des données (futur Règlement dit e-privacy , code du patrimoine, code de la sécurité intérieure, par exemple).

En second lieu, s’agissant de la dernière mission du délégué à la protection des données visée au 5° du projet d’article 70-15. III de la loi, la mission de mener des consultations, le cas échéant, sur tout autre sujet figurant à l’article 34.e) de la Directive n’a pas été reprise. Il convient donc de l’ajouter.

< Délibération CNIL >