Objectif CNIL et sanctions du DPO dans le traitement des données de l’entreprise

L’histoire de la protection des données personnelles commence avec l’institution de la Loi informatique et libertés du 06 janvier 1978 ;une loi sensée s’opérer dans le cadre de la coopération internationale sans atteinte, ni à l’identité humaine,ni aux Droits de l’homme, ni à la vie privée tel que stipulé en son article 1er .Mais très vite,sous la poussée des Nouvelles Technologies de l’information et de la communication, l’efficacité de la loi s’hypotrophie. Les fuites  de données de l’entreprise,sous toutes ses formes , s’intensifient. L’intervention du législateur français s’accentua et une autorité administrative indépendante(la CNIL) fut créée pour servir de gendarme dans la régulation et la protection des données de l’entreprise.Toutefois,une problématique subsiste, aussi bien dans le procédé mis en œuvre par la CNIL que dans la gestion interne des données de l’entreprise.

Une protection décentralisée

Il faut, d’entrée de jeu, convenir que la CNIL ne peut pas , dans sa mission de contrôle de conformité, se déporter devant l’ensemble des entreprises existantes  pour ce faire. Les raisons sont diverses mais certainement et indubitablement financières. A cet effet, la charge du contrôle a été confiée aux entreprises qui, selon le nouveau référentiel européen sur la protection des données (le RGPD), doivent désigner un Délégué à la protection des données(DPD) à mission http://www.privacy-regulation.eu/fr/39.htm de conseiller et d’accompagner l’entreprise dans son plan de conformité. Il diffuse la culture CNIL au sein de l’entreprise. Notons toutefois qu’il ne s’agit guère d’un transfert des compétences de la CNIL au DPD. Au contraire, le DPD « coopère avec l’autorité de contrôle et ne  fait que office de contact (avec elle) sur les questions relatives au traitement ». Mais qu’il soit interne (désigné au sein de l’organisme) ou externe (DPD prestataire de services ou DPD Avocats…), le DPD est soumis à un régime juridique particulier définit par le RGPD.

Un régime juridique « laxiste »

Il est clair, suivant les développements précédents, que la fonction de DPD est située au cœur de la conformité voulue par le RGPD.Néanmoins,la nature des sanctions que prévoit ce dernier est  si floue et indulgente ,trouve-t-on, qu’elle compromet possiblement l’efficacité du contrôle de conformité. En effet, c’est avec stupéfaction, et selon le RGPD,que  l’on apprend que le Délégué à la protection de données n’est pas juridiquement tenu à une dénonciation, auprès de la CNIL, du responsable de traitement de l’entreprise lorsque des irrégularités ont été constatés dans le traitement des données.d’ailleurs, s’il se livre à une telle action, sans information préalable du responsable de traitement, sa responsabilité professionnelle pourrait être engagée. Or,en tant que gendarme de la CNIL, le DPD, trouve-t-on, devrait être en mesure, en temps voulu, d’informer la CNIL sur des faits de non-conformité avérée dans l’entreprise et restés sans correction. C’est la “liberté professionnelle”. Et cette liberté devrait s’exercer sous forme de “pression” sur le responsable de traitement et le contraindre à l’effet à apporter, spontanément, des mesures correctives à toutes les irrégularités constatées dans la collecte et le traitement des données de l’organisme: l’efficacité d’une législation dépend de son aptitude à être austère,imposante, dissuasive.

Un régime juridique incomplet

Suivant le texte communautaire sur la protection des données personnelles, un constat est fait: sauf le Directeur à la protection de données personnelles, seuls le responsable de traitement et les sous-traitants d’une entreprise font l’objet de sanctions encadrées, graduées et renforcées en cas de méconnaissance d’une disposition quelconque du règlement général sur la protection de données. Ce défaut de responsabilisation du DPD est un manque législatif énorme: comment peut-on concevoir le régime juridique d’une fonction sans prévoir des dispositions de sanctions des destinataires en cas de manquement? C’est, schématiquement, offrir des possibilités liberticides au DPD  sans contraintes de nature à encadrer efficacement son action dans la mise en conformité de l’entreprise.

 

A propos de Namagna TRAORE

Vous aimerez aussi...

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.