PROTECTION DES DONNÉES PERSONNELLES

Transcription

1 Avril ASSOCIATION FRANÇAISE DES JURISTES D ENTREPRISE DOSSIER SPÉCIAL : PROTECTION DES DONNÉES PERSONNELLES Interview d Alex Turk, Président de la CNIL Protection des données personnelles : une vrai question pour les juristes. ENTRETIEN Haute technicité : la valeur ajoutée des juristes d entreprise Catherine Delhaye, Directrice juridique Accenture

2

3 ÉDITORIAL Que le Juriste d Entreprise Magazine JEM s intéresse au thème de la protection des données personnelles et lui consacre un numéro, voila une chose bien naturelle. S il est en effet un domaine règlementaire en constante mouvance et expansion, c est bien celui de la Privacy. La matière est technique, parfois même ésotérique. C est à juste titre qu elle est perçue comme une discipline de spécialiste. On aurait tort toutefois de laisser aux seuls spécialistes le soin d y prêter attention. Car les questions qu elle pose sont omniprésentes, c est là une de ses caractéristiques essentielles. Avec la globalisation des affaires, le développement de la mobilité internationale, la recherche d optimisation des coûts informatiques via la délocalisation des lieux de traitement des données, rares sont aujourd hui les projets ou transactions de l entreprise qui n impliquent pas un traitement ou une circulation de données personnelles. La vigilance sur ces aspects, et l anticipation des possibles obstacles ou difficultés réglementaires, s imposent donc au juriste, sans considération de spécialité. Par delà ses aspects purement techniques, la protection des données personnelles est un domaine éminemment juridique, eu égard à son caractère strictement règlementé. L ardeur mise par la CNIL, autorité de contrôle, à identifier et dénoncer les risques ainsi qu à poursuivre les infractions vient nous rappeler que notre rôle est, ici comme dans les autres domaines du droit, essentiel. Les juristes spécialisés dans les grands contrats informatiques le savent bien : les clauses relatives à la Data Privacy s avèrent parfois très délicates à mettre en place en raison tout à la fois des aspects de droit international, des questions de responsabilité, de la multiplicité des intervenants (le responsable de traitements, les sous-traitants etc.). L avènement du cloud computing offre en soi au juriste une palette de challenges dont on n a sans doute pas fini de mesurer l étendue. On ajoutera que, non contente d être intrinsèquement juridique, la matière offre bien des attraits à ceux qui cherchent à dépasser l approche strictement réglementaire des problèmes qu elle pose. Elle touche de près aux questions de culture et d éthique des affaires. Sans oublier le chapitre important qu elle occupe dans les programmes de conformité. Et surtout, la discipline est extraordinairement mouvante. Il lui faut s adapter au progrès technologique, si possible l anticiper. En cela, elle implique chez le juriste une vision de l avenir : vision au sein de l entreprise, certes, mais aussi vision globale tenant compte de l arrivée de technologies nouvelles, avec ce que celles-ci comportent de risque d utilisation incontrôlée des données personnelles. Anticiper la poussée technologique et savoir résister à la légitime fascination qu elle peut susciter, tout en évitant de jouer les Cassandre, là se situe notre challenge. Par son caractère à la fois réglementé et foncièrement vivant, la protection des données personnelles a acquis ses lettres de noblesse et constitue aujourd hui une discipline juridique à part entière. Puissent les contributions, analyses et témoignages qui figurent dans ce numéro en convaincre ceux qui en douteraient encore. 3 Jean-Charles Savouré Président de l AFJE

4 En octobre 1985, Coluche eut l idée de lancer un appel à toutes les bonnes volontés pour distribuer des repas aux plus démunis. Les Restos du Cœur étaient nés. Sans cet artiste, et sa persévérance qui l a amené à plaider cette cause devant le Parlement Européen, les Restos n existeraient pas. Depuis, des dizaines de milliers de bénévoles participent chaque année à ce grand élan de générosité qui a permis en 2009/2010 de servir plus de 100 millions de repas et de faire face à une hausse constante du nombre d inscrits, tout en amplifiant les actions d insertion. Aujourd hui, Coluche n est plus là mais l idée de lutter contre l exclusion en donnant nourriture, chaleur et réconfort est plus que jamais d actualité. Il est de notre responsabilité de la faire vivre. Envoyez vos dons aux Restaurants du Cœur, Paris Cedex 15 ou Les Restos du Cœur remercient vivement ce titre de presse de s associer à leur action en leur offrant cet espace. b[3]d Boulogne

5 SOMMAIRE N 9 Avril e Année Publication trimestrielle Numéro tiré à exemplaires Editeur : Association Française des Juristes d Entreprise Association Loi , rue du Faubourg Poissonnière Paris Tél. : fax : Directeur de la publication : Jean-Charles Savouré Rédactrice en chef : Anne Laure Paulet Secrétaire de rédaction : Gaëlle Touffette Journaliste : Emmanuel Bonzé Responsable technique : Sophie Rigal Ont collaboré à ce numéro : Philippe Coen Rémy Sainte Fare Garnot Jean-David Sichel Eric Croizet Luc Athlan Catherine Roux Maquette : Laetitia Langlois Photographie : Gettyimages Edition et Régie Publicitaire : FFE 18 av. Parmentier Paris Isabelle De La Redonda Tél. : i.redonda@ffe.fr Imprimeur : Chirat-42 P. 3 ÉDITORIAL Jean-Charles Savouré P. 6 ENTRETIEN Haute technicité : la valeur ajoutée des juristes d entreprise Entretien avec Catherine Delhaye P. 10 PROTECTION DES DONNÉES PERSONNELLES P. 32 POINT DE VUE AFJE Mission PRADA : où en sommes-nous? P. 35 INITIATIVE AFJE Le droit des affaires et le management ont leur web TV : TVDMA.org P. 36 POINT DE VUE Féminisation des organes de direction des grandes entreprises Audrey Faussurier, Secrétaire générale de la Rédaction, Lamy sociétés commerciales P. 38 CULTURE JURIDIQUE La culture juridique de Michelin Philippe Legrez Rubrique suivie par Christophe Roquilly, professeur à EDHEC Business School et Rémy Sainte Fare Garnot P. 40 LA PAROLE EST DONNÉE À La Chambre de Commerce Internationale : une organisation mondiale au service des entreprises françaises P. 42 L ACTUALITÉ EN RÉGION : NORD-PAS DE CALAIS Aider au dialogue entre les professionnels du Droit Entretien avec Éric Bossuyt P. 50 CULTURE Film Livres P. 54 ACTUALITÉS DE L AFJE Les Achats Responsables Compte rendu de la Première Conférence Internationale sur la performance et la culture juridique d entreprise Présentation et enjeux du métier de juriste Visite au Tribunal de Commerce de Paris P. 62 AGENDA Programme des ateliers AFJE Les évènements que l AFJE organise pour vous! 5

6 ENTRETIEN Haute technicité : la valeur ajoutée des juristes d entreprise Entretien avec Catherine Delhaye, Directrice juridique, Groupe Accenture Lorsqu il s agit de l exercer au sein de sociétés implantées à travers le monde entier, le métier de directeur juridique peut devenir un challenge phénoménal, impliquant une expertise, un sens du leadership et un investissement personnel exceptionnels. Exemple avec la directrice juridique d Accenture Europe-Amérique Latine-Afrique, Catherine Delhaye. Catherine Delhaye 6 d européens que d américains et les marchés émergents sont également parfaitement représentés. High performance. Delivered. Pouvez-vous nous présenter la société Accenture en quelques mots? Avec collaborateurs ( en Inde, aux Etats-Unis, en France ) qui opèrent dans plus de 120 pays, nous sommes une société phare sur le marché du conseil en organisation. Nous œuvrons à l optimisation de la stratégie et de l organisation des entreprises et proposons en outre des services et prestations informatiques et d externalisation. Notre chiffre d affaires a atteint l an dernier 21,6 milliards de dollars. Vous travaillez donc au sein d une entreprise extrêmement internationale En effet. Notre mode opératoire reflète d ailleurs bien la dimension internationale d Accenture : l équipe de management est dirigée par un français ; son comité de direction compte autant Nous sommes qui plus est organisés par industries et par domaines d expertise technique ; nos compétences sont mondiales et nos équipes sont constituées en fonction des besoins des clients, non de leur pays d origine ou de celui des consultants. C est notre ancrage géographique qui permet d adapter notre expertise sectorielle aux enjeux locaux que nous rencontrons. Quant aux prises de décisions, qu elles soient stratégiques, commerciales ou opérationnelles, elles sont prises de manière collégiale et concertée, par de multiples instances de décision. C est ce qui permet à toute l entreprise, ses filiales, ses collaborateurs de s aligner très rapidement sur les nouvelles orientations ou instructions et de fonctionner dans le même sens, au même moment. Tout se fait très vite. Quelle place occupent les valeurs dans cette organisation? La culture d Accenture s appuie sur des valeurs très fortes qui régissent les collaborateurs où qu ils soient dans le monde. Ces valeurs se matérialisent dans un Code de conduite des affaires qui met également en évidence les très

7 ENTRETIEN 7 nombreuses policies qui structurent l organisation de la société. Ce code a été élaboré par l équipe Ethique et Compliance, au sein de la Direction juridique en concertation avec des représentants de chaque pays, de chaque culture, puis adopté et imposé par la direction mondiale de l entreprise. Chacun doit donc porter ces valeurs, se les approprier, les incarner, quel que soit son niveau dans l entreprise et en particulier s il est un cadre dirigeant. Ce qui à , nécessite une formation très développée et répétée. Quels sont les principaux clients pour lesquels vous travaillez? Majoritairement ce sont des très grandes sociétés (Classements Fortune 500, CAC 40 ). Les projets conduits pour eux sont exigeants et nécessitent pour nous des équipes très spécialisées, entièrement dédiées et le recours à des compétences très diverses et pointues. Comment en êtes-vous arrivée à prendre la direction de ce service juridique? Je suis arrivée en Avocate de formation, j avais beaucoup travaillé sur les grandes problématiques informatiques en entreprises américaines d abord, puis au sein du Cabinet Alain Bensoussan. Après un passage rapide par le secteur automobile en 1994, j ai rejoint Andersen Consulting, devenu quelques années plus tard Accenture, en tant que directeur juridique pour la France et le Benelux. Mon périmètre s est progressivement étendu à l E.A.LA : Europe, Middle East et Afrique, ainsi que l Amérique du Sud avec entretemps la responsabilité du secrétariat général France/Benelux pendant 2 ans. A l heure actuelle, ma principale mission consiste à réorganiser le service juridique dans le cadre de notre expansion géographique gigantesque. Une tâche d une grande complexité. Un vrai challenge. Quels sont les principaux enjeux de cette réorganisation? Nous opérons de plus en plus dans des pays émergents, moins connus, moins maitrisés et plus risqués que nos marchés traditionnels ; nos offres de services sont de plus en plus sophistiquées, avec des problématiques juridiques complexes et diversifiées. Enfin, la Compliance est une dimension très importante, en particulier la lutte contre la corruption et la protection des données clients. Nous devons être plus

8 ENTRETIEN 8 que jamais à la pointe du droit, afin de pouvoir conduire nos affaires dans le cadre d un management de risques très rigoureux, ce qui nous pousse à repenser et à réorganiser le service juridique vers une plus grande spécialisation et automatisation des connaissances. Celui-ci sera désormais séparé en deux grandes fonctions : le contracting (pour tout ce qui relève de la négociation avec les clients) et le reste du support juridique interne, dit non-contracting. Nous y consacrons énormément de temps. Qui dirigez-vous au quotidien? Au sein du non-contracting, j ai sous ma direction trois groupes. Un groupe Geography, dédié à assurer la continuité des opérations dans tous les pays dans lesquels nous sommes installés. Cela inclut par exemple le droit des sociétés, le droit social, et le Data Privacy. Un second groupe traite des Offres et doit s assurer que les prestations que nous rendons sont bien licites où qu elles soient commercialisées et réalisées. Enfin, un troisième groupe est chargé de l Ethique et de la Compliance. Il est constitué d experts juridiques et de programs managers, qui s assurent de la mise en place des programmes, des formations, des audits, des plans d actions correctifs. Le tout s appuyant sur une équipe chargée de nous aider à écrire tous les outils et formations dont nous avons besoin. Comment le métier de juriste d entreprise évolue-t-il face à la révolution technologique qui s opère au quotidien dans nos sociétés? Nous sommes et devons être les rois du travail «virtuel». Cela va sans dire, les ordinateurs, téléphones mobiles et outils de communication les plus sophistiqués sont aujourd hui des outils essentiels pour des juristes qui travaillent à l international. Les réunions téléphoniques et les visioconférences sont le quotidien du juriste Accenture. Nous travaillons dans la concertation permanente, ce qui suppose une communication efficace. Nous sommes sans cesse connectés les uns avec les autres. C est la nouvelle donne de notre métier. De quels types de juristes vous entourezvous en règle générale? Nous comptons au sein de nos équipes de nombreux types de profils : des juristes de droit des contrats, spécialistes du droit de l informatique et de l externalisation, des juristes de droit social ou des sociétés, des professionnels qui ont effectué toute leur carrière en entreprise, ou encore des avocats de formation. Quelques ingénieurs ont également rejoint nos équipes de négociations et leur formation technique s est avérée très utile. Nous comptons enfin dans nos rangs un important groupe de contract managers, qui interviennent après la signature des contrats, de manière à en assurer la mise en œuvre. Nous sommes donc organisés selon un schéma de end to end et tout au long de la chaîne de nombreuses compétences sont sollicitées, afin que l offre soit évidemment licite, qu elle soit vendue à travers un contrat correctement négocié et enfin qu elle puisse être exécutée dans un pays qui le permet. Le tout dans un environnement parfaitement compliant. Il s agit donc d un travail d orfèvre Absolument. Je tiens à insister sur le fait que nous travaillons avec des gens extrêmement brillants, qui ont parfaitement intégré le fait que le droit est avant tout une technique, un art au service d un objectif d entreprise. C est d ailleurs cela qui doit constituer selon moi la spécificité numéro un de notre métier pour les années à venir : la fonction juridique est et sera reconnue pour cette forte valeur ajoutée que constitue la technicité des professionnels, leur compréhension du business de l entreprise et leur aptitude à mobiliser les meilleures expertises internes et externes permettant de trouver des solutions licites et éthiques. Propos recueillis par Emmanuel Bonzé

9

10 PROTECTION DES DONNÉES PERSONNELLES PROTECTION DES DONNÉES PERSONNELLES 10 p. 11 Entreprise, avons-nous une âme? Philippe Coen p. 12 Quelles peuvent être les relations entre le CIL et la direction juridique du responsable de traitement? Paul-Olivier Gibert p. 13 Le Juriste d Entreprise et le Correspondant Informatique et Libertés Jean-Charles Savouré p. 14 Pourquoi nommer un correspondant «Informatique et Iibertés»? Hélène Legras p. 16 Le statut du correspondant «Informatique et Iibertés» Xavier Leclerc p. 17 La protection des données personnelles : une vraie question pour les juristes Interview d Alex Türk, Président de la CNIL p. 20 About the IAPP Trevor Hughes p. 21 Traiter les transferts de données personnelles hors de l Union Européenne Pascale Gelly p. 24 Les Règles Internes d Entreprise ou BCR Binding Corporate Rules Christian Pardieu p. 26 Données personnelles dans l entreprise : protection ou illusion? Retour sur l intervention de Marie-Gaëlle Choisy : CIL et protection des données personnelles dans l entreprise, Conférence du 10 février 2011 p. 27 Géolocalisation des salariés Retour sur l intervention de Johanna Carvais : CIL et protection des données dans l entreprise, Conférence du 10 février 2011 p. 28 Connaitre et proteger son client : une mission de conformité Stéphanie de Buck p. 30 Le positionnement du CIL et la responsabilité dans l organisation en question Sylvie Verniole et Wafa Ayed

11 Entreprise, avons-nous une âme? PROTECTION DES DONNÉES PERSONNELLES Entreprise, avons-nous une âme? Philippe Coen, Vice-président de l AFJE et de l UNIFAB 11 Qui n a pas été excédé d avoir été spammé, abusé? Paradoxalement, nous désirons être reconnus lors de nos navigations en ligne (cookies etc...) C est cette schizophrénie qui ressort de notre étude. La vie privée est entrée dans la vie des affaires par la porte historique de la collecte des données personnelles. Les données personnelles sont omniprésentes. On aime à la fois être reconnu et on aime se faire discret. On apprécie d être sollicité mais de façon choisie, lorsque le consentement entre en ligne de compte. La France fait figure d exemple en matière de protection des données et à l heure de la sophistication des méthodes de communication, du marketing, de l évaluation des performances, des préférences, de la gestion des ressources humaines, de la recherche parfois maladive de transparence, la protection des libertés individuelles est d une actualité cinglante. Dans le domaine de la science de la Privacy, l Europe a autant à enseigner qu à apprendre de l Amérique. Vous trouverez au dossier, établi en synergie avec l AFCDP (l association française des CILs) des pistes de réflexion, des contacts à explorer : notamment au sujet de la Conformité et Data Privacy, l approche professionnelle américaine incarnée par l organisation non gouvernementale de référence : l IAPP, le safe harbor et pays à risques, les binding corporate rules, l émergence d un nouveau métier : le Cil ou le Chief privacy Officer et les perspectives de carrière pour les juristes. Etre CIL en entreprise et hors l entreprise, est devenu une réalité et la vivacité des associations spécialisées est un signe que ce domaine constitue un renouveau qualitatif pour la profession. Vous lirez dans notre étude des retours d expériences rares et nominaux et le point de vue sur l enjeu fascinant de la géo-localisation des salariés. Le président de la CNIL, Alex Türk, nous offre un témoignage de premier ordre, lui qui pilote l autorité indépendante, la plus soumise à rude épreuve intellectuelle, philosophique et pratique de la Nation. Qui mieux que le juriste d entreprise est en effet à même de devenir cocréateur du droit des données à caractère personnelles? ; un «eldorado» pour la carrière et un supplément pour la conscience auprès de la direction des affaires juridiques et publiques de l entreprise.

12 PROTECTION DES DONNÉES PERSONNELLES Responsable de traitement Quelles peuvent être les relations entre le CIL et la direction juridique du responsable de traitement? Paul-Olivier Gibert, Président de l Association Française des Correspondants aux Données Personnelles 12 D autre part, l entreprise doit respecter de nombreuses réglementations qui pour certaines d entre elles nécessitent la mise en œuvre de traitements de données nominatives dont certains ont des finalités de contrôle potentiellement restrictives des «droits et libertés des personnes» selon les termes de la Directive de Là encore, l importance du dialogue entre juriste et correspondant est grande. Paul-Olivier Gibert La mission du Correspondant Informatique et libertés est dans son principe simple : «assurer, d une manière indépendante, le respect des obligations prévues par la loi informatique et libertés», en apportant conseil et assistance au responsable des traitements, sans être en conflit d intérêt. En pratique cette mission ne peut être remplie sans que le correspondant ne développe au sein de l entreprise un réseau de relations confiantes. Parmi ces composantes, la Direction Juridique occupe une place particulière. La définition légale et réglementaire des missions du CIL fournit les bases de cette relation : le dialogue nécessaire. J en prendrai deux exemples. Respecter la loi informatique et libertés, c est avoir des traitements de données nominatives qui sont conformes aux principes posés par ce texte et son interprétation par la CNIL. Si certains ont un caractère absolu, d autres sont plus relatifs et nécessitent une évaluation et une interprétation. Au sein de la Direction juridique, le CIL trouve des interlocuteurs qui «parlent» et comprennent le droit avec lesquels, il peut engager un dialogue fécond. Ainsi, seule une étroite collaboration entre le CIL, homme de conformité, veillant au respect de règles d ordre public et le juriste pilotant le risque juridique sous toutes ses formes, apportera à l entreprise la sécurité juridique dont elle a besoin pour satisfaire ses parties prenantes. L AFCDP L AFCDP est une association de loi 1901, créée en 2004 dans le contexte de la modifi cation de la loi Informatique et Libertés qui a offi cialisée une nouvelle fonction, celle de Correspondant à la protection des données à caractère personnel ou CIL. L AFCDP a pour objectif de : promouvoir la fonction du correspondant informatique et libertés, proposer un cadre d échanges en développant un réseau en France et à l international, concevoir des outils, méthodes et pratiques utiles aux CIL, défendre la fonction en suivant la cadre juridique de la fonction, en ayant la primeur de l information, en agissant pour faire valoir la position des professionnels. Pour plus de renseignements : ou

13 Le Juriste d Entreprise et le CIL PROTECTION DES DONNÉES PERSONNELLES Le Juriste d Entreprise et le CIL Jean-Charles Savouré, Président de l AFJE Il nous arrive fréquemment, à nous juristes d entreprise, de nous trouver en conflit avec les autres fonctions ou divisions de l entreprise. Ainsi le veut notre métier, qui nous expose à la confrontation d idées et à la nécessité de produire, dans le feu et la pression de l action, des avis intègres, parfois vus comme contraignants. Or il existe une personne dans l entreprise avec laquelle de telles confrontations sont a priori improbables : il s agit du Correspondant Informatique et Libertés («CIL»). Non que CILs et Juristes aient nécessairement à partager les mêmes vues ou les mêmes approches. Mais leurs activités à tous deux, chacun dans leurs domaines de compétence, les place dans une relation de très proche voisinage, au point parfois que la réunion de leurs deux fonctions sur la tête d une seule et même personne amène à les confondre. Trois raisons au moins expliquent cette proximité. Première raison : l attachement commun au respect de la règlementation. Pour le juriste d entreprise, on touche à l essence même de sa mission, Même si cette mission s étend bien au-delà des domaines dits réglementés. Pour le CIL, les choses sont clairement énoncées par la loi ellemême : sa mission est de veiller au respect des obligations prévues par la loi du 6 janvier 1978 (art. 22 de la loi du 6 janvier 1978 modifiée le 6 août 2004, art. 49 du décret du 20 octobre 2005). Deuxième raison : l exigence d une multicompétence. Chacun s accorde aujourd hui à considérer que la connaissance fût-elle parfaite des règles et mécanismes juridiques ne suffit pas à faire un bon Juriste d entreprise. Ce qu on exige de celui-ci, c est une capacité à appréhender et comprendre les autres disciplines qui viennent s intégrer aux activités de l entreprise et, par leurs interactions, complexifient l effort de décision. Or le profil type du CIL présente une exigence similaire, même si elle se cantonne au strict domaine de la «privacy». Dans un intéressant axiome, le site de la CNIL nous enseigne que «le CIL idéal» doit avoir une double compétence en droit et en informatique, ce dont il résulte «qu il peut s agir d un avocat ou d une société de services». Par delà l aspect multicompétences qui nous intéresse ici, on retiendra le caractère absolument unique d une préconisation officielle consistant à considérer comme substituables, pour les besoins d une fonction particulière au sein de l entreprise, les activités d avocat et de société de services en informatique. Sans doute trouve-t-on dans le titre même de CIL le fondement de cette originalité : le CIL agit à la fois sur le terrain de l informatique (domaine de la société de services) et sur celui des libertés (domaine des avocats). Mais la question reste permise, au moins à titre de curiosité : existe-t-il d autres métiers qui peuvent être exercés indifféremment par des profils a priori aussi différents que ceux de l avocat et de la société de services en informatique? Troisième raison : l indépendance, notion chère aux juristes d entreprise. En disposant que, bien que salarié de l entreprise, le CIL est indépendant (art. 22 de la loi du 6 janvier 1978 modifiée), et en déclarant qu il «ne reçoit aucune instruction pour l exercice de sa mission» (art. 46 du décret du 20 octobre 2005), la règlementation et donc le droit nous confirme le bien fondé de l idée, si souvent défendue par les juristes d entreprise qu indépendance et contrat de travail ne sont pas incompatibles. Sans doute, dans le cas du CIL, cette indépendance trouve-t-elle sa justification dans les responsabilités particulières du CIL qui, dans certains domaines, viennent se substituer aux missions de la CNIL. Il n empêche, l exemple est parlant : il n y a pas d incongruité juridique de principe à être à la fois salarié et indépendant. Ces trois illustrations de la proximité entre le Juriste d entreprise et le CIL montrent que la relation entre ces deux experts de l entreprise ne peut qu être sereine et fructueuse. 13

14 PROTECTION DES DONNÉES PERSONNELLES Pourquoi nommer un CIL? Pourquoi nommer un correspondant «Informatique et Iibertés»? Hélène Legras, CIL AREVA et Administrateur de l AFCDP Hélène Legras 14 Modifiant la loi informatique et libertés n du 6 janvier 1978, la loi n du 6 août 2004 permet aux personnes morales de désigner à la CNIL un Correspondant à la Protection des Données à Caractère Personnel, couramment appelé «CIL». Un décret d application n du 20 octobre 2005 a précisé le rôle et les attributions du CIL, dont la désignation reste facultative à ce jour. Nommer un CIL c est aller plus loin dans la démarche de conformité informatique et libertés et montrer que l entreprise est fortement impliquée dans la protection des données personnelles. Le CIL assure la transparence des traitements mis en œuvre en tenant un registre des traitements qu il rendra accessible à la CNIL et à toute personne concernée au sein de son entreprise. Nous eûmes une réflexion interne chez AREVA afin de répondre à la question de nommer ou pas un CIL et s il fallait le désigner pour l ensemble du Groupe. La réflexion interne de juristes dont je faisais partie, celle du déontologue et celle d une représentante de la CNIL aboutit à faire le choix d un CIL mutualisé Groupe AREVA. Ma note de nomination du 1 er mars 2007 indiquant mes missions, ainsi qu une procédure interne édictant des «process» parurent sur l intranet créant une synergie et permettant de compléter l inventaire des bases automatisées internes. Cela permis de rappeler qu un simple fichier excel s il contient des données personnelles est soumis à déclaration. La nomination d un CIL permet la régularisation, la mise en conformité de l organisme. Le CIL veillera à être le garant du respect de la loi. Il prodiguera conseils et recommandations au responsable de traitement, qu il alertera en cas d éventuelles difficultés ou dysfonctionnements. Il aura aussi une activité pédagogique qui lui permettra de sensibiliser son organisme aux exigences légales et aux recommandations de la CNIL. Cette activité est un formidable challenge car elle nécessite la mise en place et l animation d un réseau interne. Elle permet de sensibiliser, d initier les responsables de traitement à des principes inconnus ou mal connus qu ils doivent respecter. En mettant en place des procédures, il créera une véritable politique groupe pour toutes les problématiques de gestion des données personnelles qu elles concernent les salariés ou des tiers. Le CIL sera un salarié de l entreprise, sauf dans les petites structures de moins de 50 personnes qui

15 Pourquoi nommer un CIL? PROTECTION DES DONNÉES PERSONNELLES peuvent nommer un CIL externe. Le CIL connaîtra à la fois le droit, l informatique et son entreprise. Son niveau d expertise lui permettra de répondre aux questions internes mais aussi à celles de la CNIL étant le représentant privilégié et unique de son organisme. Cette centralisation permettra de meilleurs échanges avec la CNIL qui a mis en place des structures spécifiques pour les CIL comme des formations, une ligne téléphonique directe, une ligne courriel et un extranet. Il est le relais de la CNIL dans son entreprise. Les entreprises françaises effectuent des déclarations, des demandes d autorisation ou des demandes d avis auprès de la Commission Nationale de l Informatique et des Libertés en cas de traitements automatisés de données personnelles. Nommer un CIL ne va pas alléger ces formalités déclaratives. Le CIL a besoin de collecter autant d informations pour tenir efficacement son registre que pour compléter une déclaration à la CNIL et il ne sera pas dispensé d effectuer des demandes d autorisation si nécessaire. Nommer un CIL suppose aussi une identification des compétences pour trouver la personne motivée susceptible d assurer la fonction, de mettre en place et d animer un réseau. De plus les missions que devra assumer le CIL nécessiteront de la part de l entreprise un investissement significatif en moyens humains et matériels. On pourrait penser qu être CIL est une fonction à temps partiel mais dans les faits cela représente pour les grandes entreprises et les groupes internationaux une fonction à part entière. Est-ce que le CIL exerce une fonction atypique? Il est bien évident que ce que vivent les CIL et ce que je vis au sein du Groupe AREVA c est la formidable aventure de la révolution des technologies et du droit afférent. Créé à New York il y a cent soixante ans, Davis Polk & Wardwell LLP est reconnu comme l'un des cabinets internationnaux les plus prestigieux, avec aujourd'hui plus de sept cents avocats dans le monde, spécialisés dans les principales branches du droit des affaires. 15 Davis Polk conseille à Paris de grands groupes français et européens sur un large éventail d'opérations, dans le domaine des fusions acquisitions, du droit boursier, des restructurations, du Private Equity et des marchés de capitaux. Le cabinet dispose à Paris d'une équipe intégrée d'une vingtaine d'avocats français et américains qui bénéficie de la plate-forme internationale de Davis Polk et qui allie une double compétence transactionnelle et contentieuse. Les avocats de Davis Polk à Paris sont ainsi à même d'offrir un service global très recherché par les clients pour leurs grandes opérations corporate, notamment transnationales.

16 PROTECTION DES DONNÉES PERSONNELLES Le statut du CIL Le statut du correspondant «Informatique et Iibertés» Xavier Leclerc, CIL mutualisé et externe Axil Consultants et Vice-président de l AFCDP Xavier Leclerc 16 Au-delà des compétences (juridiques, techniques, d audit, pédagogiques ) nécessaires à la réalisation de sa mission, le Correspondant Informatique et Libertés (CIL) devra bénéficier d une liberté d action reconnue qui se traduira notamment par son statut, comme l indique l article 46 du décret du 20 octobre 2005, stipulant que le CIL exerce sa mission directement auprès du Responsable de Traitements (RT), soit le représentant légal de l organisme pour lequel il a été désigné. Ce positionnement lui permettra de mieux être reconnu et de pouvoir arrêter seul les décisions se rapportant à ses fonctions (avis, recommandations, alertes ), ne recevant par ailleurs aucune instruction dans l exercice de sa mission. Le correspondant ne peut ni être le RT ni exercer de fonctions ou d activités susceptibles de provoquer un conflit d intérêt, comme par exemple délégué du personnel, Directeur des Systèmes d Information ou encore Directeur des Ressources Humaines. Afin de faciliter la désignation d un CIL tout en respectant ces principes d indépendance et de positionnement, la loi a prévu des dérogations au principe de CIL interne. En effet, si moins de cinquante personnes sont chargées de la mise en œuvre ou ont directement accès aux traitements de données à caractère personnel, soit les personnes chargées de développer, d assurer la maintenance, de saisir les données ou de les consulter alors, le correspondant pourra être externalisé auprès d un Consultant ou d un Conseil juridique spécialisé en la matière. Par ailleurs, même au-delà de ce seuil, le CIL pourra être mutualisé au sein d un groupe de sociétés, d un GIE (salarié du groupement dont fait partie le RT), par l intermédiaire d un groupement professionnel (syndicats, chambres de commerce, chambres de métiers, communautés de communes, associations, fédérations) ou d un organisme regroupant des responsables de traitements d un même secteur d activité, comme le notariat ou encore les huissiers de justice ont pu le faire.

17 Une vraie question pour les juristes PROTECTION DES DONNÉES PERSONNELLES La protection des données personnelles : une vraie question pour les juristes Position d Alex Türk, Président de la Commission Nationale de l Informatique et des Libertés Quelles sont les règles à mettre en place? Quels outils pour demain? Quels risques et quelles perspectives? En matière de protection des données, les questions sont nombreuses. Éléments de réponse avec Alex Türk, Président de la CNIL. Alex Türk 17 Quel rôle aujourd hui et demain pour les juristes d entreprise dans le domaine des données personnelles? Les juristes d entreprises, comme les avocats, vont être amenés à s intéresser plus fortement à la protection des données personnelles à moyen terme, alors que ce thème reste aujourd hui encore une affaire de juristes spécialisés. En effet, les professions juridiques seront confrontées quotidiennement à ces problématiques, du fait notamment du développement exponentiel des technologies numériques dans nos sociétés. La mise en place d une politique de conformité à la loi «informatique et libertés» comporte trois avantages majeurs : Elle permet tout d abord de limiter les risques qui pèsent sur l entreprise : Des sanctions administratives ou pénales sont susceptibles d être prononcées par la CNIL et les juridictions compétentes lorsque des manquements à la loi sont constatés. La violation de la loi informatique et libertés est d ailleurs de plus en plus souvent invoquée devant les tribunaux, notamment pour écarter des preuves obtenues de manière déloyale. Le respect de loi «informatique et libertés» peut constituer un avantage concurrentiel pour une entreprise : Pour un client, l assurance que ses droits sont bien respectés est un facteur de confiance. Sans instauration d un lien de confiance, les clients peuvent hésiter à confier leurs données et se poser les questions suivantes : «mes données ne risquent-elles pas d être divulguées à des tiers? Les sécurités sont-elles suffisantes? Puis-je accéder facilement à mes données et les supprimer?». La loi «informatique et libertés» de 2004 a introduit la possibilité, pour la CNIL, de délivrer des labels à des produits ou à des procédures : Destinés à être très prochainement mis en place, ces labels protégeront les personnes d un traitement des données à caractère personnel contraire à leurs droits. Ce pouvoir de labellisation représente pour la CNIL une réelle opportunité pour se positionner comme une référence dans le paysage économique et technologique français. Il lui donnera un rôle de «régulateur économique» pouvant orienter le marché vers les solutions les plus protectrices en matière de vie privée.

18 PROTECTION DES DONNÉES PERSONNELLES Une vraie question pour les juristes 18 À quand deux sièges permanents au collège de la CNIL représentant les juristes d entreprises et les Correspondants Informatique et libertés? Cela nécessiterait de modifier la loi «informatique et libertés». Une telle réforme n est pas à ce jour envisagée par le gouvernement ni par le Parlement. Il faut toutefois préciser que la Commission est composée de «personnalités qualifiées» pour leur connaissance de l informatique ou des libertés individuelles : trois d entre elles sont désignées par décret ; deux autres sont nommées respectivement par le Président de l Assemblée Nationale et par le Président du Sénat. Quelles sont les technologies de l information et du marketing les plus à risque pour demain? Depuis quelques années, le développement de technologies comme la géolocalisation, la vidéosurveillance, la biométrie ou le réseau Internet s accompagne d un «traçage» de plus en plus important et précis des personnes. Ce traçage est double car il s effectue à la fois dans le temps, puisque les données sont conservées indéfiniment, et dans l espace, puisque les traces laissées par les cartes bancaires, les téléphones portables, la géolocalisation ou la vidéosurveillance permettent de connaître les déplacements effectués. Parmi toutes les technologies émergentes de l information et du marketing, quatre d entre elles appellent plus particulièrement l attention de la CNIL : la géolocalisation qui se développe de manière intensive aussi bien dans le monde des loisirs que dans le monde professionnel ; le développement du marketing comportemental, qui consiste à observer les centres d intérêt, la navigation et les déplacements des individus pour leur proposer de la publicité très ciblée ; les nouveaux terminaux mobiles ou «smartphones» qui font éclore de nouvelles difficultés à protéger efficacement la vie privée ; à plus long terme, les risques de certains usages des nanotechnologies. Il ne s agit pas de diaboliser ces technologies mais de s assurer qu elles se développent dans le respect de l identité humaine et des libertés individuelles. À trop vouloir rendre nécessaire l accord explicite et systématique des internautes ne risque-t-on pas de brider la dynamique du e commerce (voir notamment le projet de loi du Sénateur Masson)? Cette question s est récemment posée concernant la possibilité, pour l internaute, de donner son consentement avant d être suivi sur Internet grâce à des cookies. Dans ce domaine, l objectif est de concilier le développement du e-commerce et la protection de la vie privée. C est pourquoi, le G29 (groupe des CNIL européennes) a adopté le 22 juin 2010 un avis sur la publicité comportementale en ligne, notamment au regard des dispositions européennes, et en particulier de la directive 2002 «vie privée et communications électroniques» révisée par la directive 2009/136/CE du 25 novembre Cet avis souligne que : L article 5-3 de la nouvelle directive «vie privée et communications électroniques» impose un consentement explicite et préalable de la personne concernée. Celle-ci doit donc donner son accord pour l envoi de cookies et le suivi ultérieur de son comportement de navigation pour lui adresser des annonces personnalisées. Les régies publicitaires (par exemple celles des sociétés Google, Microsoft ou Yahoo) sont responsables de traitement dans la mesure où ce sont elles qui déterminent les finalités et les moyens essentiels de ce traitement des données. Les éditeurs, c est-à-dire les sites où sont affichés les bandeaux publicitaires, assument également une part de la responsabilité incombant au LA CNIL La Commission Nationale de l Informatique et des Libertés CNIL est une autorité administrative indépendante chargée de veiller au respect de l identité humaine, de la vie privée et des libertés dans un monde numérique. La CNIL a été créée par la loi nº78-17 du 6 janvier 1978 relative à l informatique, aux fi chiers et aux libertés, modifi ée en La CNIL est composée de 17 commissaires venant d horizons divers. La mission essentielle de la CNIL est de protéger la vie privée et les libertés dans un monde informatisé. Retrouvez l actualité de la CNIL :

19 Une vraie question pour les juristes PROTECTION DES DONNÉES PERSONNELLES responsable du traitement. En configurant leurs sites web, ils déclenchent le transfert de l adresse IP de l utilisateur vers les fournisseurs de réseaux publicitaires. Les régies publicitaires et les éditeurs sont donc tenus de donner aux internautes, préalablement à toute collecte de données sur leur comportement, une information claire et transparente sur les informations collectées et la constitution de profils, la diffusion d annonces ciblées. L industrie de la publicité en ligne (régies et éditeurs) doit donc développer rapidement des outils faciles à utiliser pour les internautes, pour mettre en œuvre ces principes de protection de la vie privée. Cet avis du G29 reprend largement celui de la CNIL de février 2009 en décrivant les obligations découlant des modifications de la directive 2002/58/CE «vie privée et communications électroniques» qui doit être transposée dans notre droit national avant le 25 mai De nombreux industriels critiquent cette position en affirmant que les solutions permettant de recueillir un consentement préalable de l internaute ne sont pas techniquement réalisables ou qu elles dégraderont la navigation car elles nécessiteraient de demander «en permanence» son avis à l internaute. Pourtant, en réalité, la clause dite d opt-in reste l unique moyen, pour les utilisateurs, d avoir un véritable contrôle sur le traitement de leurs données. La CNIL devrait être saisie pour avis d un projet de loi de transposition de cette directive. Dans l intervalle, le G29 organise une consultation avec les principaux acteurs de la publicité en ligne pour définir les modalités d application de cet avis. Il demande aux fournisseurs de réseaux publicitaires d adopter au plus tôt des mécanismes permettant de demander l accord express de l internaute (optin) et d informer les personnes au préalable. Propos recueillis par Emmanuel Bonzé 19

20 PROTECTION DES DONNÉES PERSONNELLES About the IAPP About the International Association of Privacy Professionals In addition, the IAPP offers a full suite of educational and professional development services and holds annual conferences that are recognized internationally as the leading forums for the discussion and debate of issues related to privacy policy and practice. Bellamy Bojana, President of IAPP The IAPP will host the Global Privacy Summit 2011, March 9-11, in Washington, DC. The Summit is the largest gathering of privacy and data protection professionals in the world. It draws privacy experts, regulators, academics and privacy advocates from around the world for three days of education and debate. More information can be found at 20 The International Association of Privacy Professionals (IAPP) is the world s largest association of privacy professionals, representing more than 8,000 members from businesses, governments and academic institutions across 68 countries. The IAPP was founded in 2000 with a mission to define, support and improve the privacy profession globally through networking, education and certification. We are committed to providing a forum for privacy professionals to share best practices, track trends, advance privacy management issues, standardize the designations for privacy professionals, and provide education and guidance on opportunities in the field of information privacy. The IAPP is responsible for developing and launching the first broad-based credentialing program in information privacy, the Certified Information Privacy Professional (CIPP). The CIPP remains the leading privacy certification for professionals who serve the data protection, information auditing, information security, legal compliance and/or risk management needs of their organizations. The program has since grown to include the CIPP/G, CIPP/C, CIPP/IT and CIPP/E. Today, many thousands of professionals worldwide hold an IAPP privacy certification. About IAPP Europe IAPP Europe is a unique community for European data protection and privacy professionals. IAPP Europe was created to provide education, networking, conferences and professional development resources tailored to the unique needs of the European data protection community and has been guided by an esteemed group of European privacy and data protection experts. In 2010, the IAPP launched its inaugural IAPP Europe Data Protection Congress, a conference that features thought-provoking discussion, engaging debate, and unparalleled education on the latest developments in privacy for the European data protection community. The CIPP/E is a professional credential that shows a comprehensive understanding of the privacy and data protection issues unique to Europe. Achieving CIPP/E certification demonstrates a foundational knowledge of the laws, practices and principles essential to privacy and data protection. More information about the IAPP is available at Trevor Hughes