Le CIL est une personne désignée par l’entreprise, une administration ou une collectivité territoriale, pour s’assurer de la conformité de cette entreprise ou administration ou collectivité à la Loi Informatique et Libertés.
Le CIL est donc une sorte de « petite CNIL », un œil de Moscou, présent au sein de l’entreprise. Il peut ainsi dénoncer tous manquements constatés à la CNIL.
Le CIL peut être salarié de l’entreprise qu’il contrôle, mais ça n’est pas obligatoire.
Il peut être aussi un consultant extérieur et les Avocats pensent également pouvoir être de ceux-là.
Il n’y aucune exigence de diplôme pour devenir CIL en France, à la différence d’un pays comme le Luxembourg.
Le CIL, s’il est salarié de l’entreprise qui le désigne, n’est pas protégé comme le délégué du personnel ou le délégué syndical. Mais la Loi précise qu’il « ne peut faire l’objet d’aucune sanction de la part de (son) l’employeur du fait de l’accomplissement de sa mission ».
En résumé, l’institution du CIL est une expérience d’auto-régulation des entreprises, dans la grande tradition anglo-saxonne.
Le pari du législateur est que les entreprises vont s’auto discipliner et se plier à toutes les contraintes en matière de données à caractère personnel.
Bien évidemment, on perçoit immédiatement les limites du système.
Comment s’assurer que l’entreprise ne va pas se lancer dans l’institution du CIL simplement pour la « comm » ?
Autrement dit, comment la CNIL va-t-elle s’assurer que la personne désignée n’est pas un faux CIL, sans moyens, sans pouvoir, sans compétence ?
Alors que les contrôles exercés par la CNIL dans les entreprises vont en augmentant, certaines entreprises vont immanquablement désigner un CIL dans l’unique but d’échapper aux contrôles, mais sans pour autant effectuer aucune diligence particulière.
On voit d’ailleurs sur le terrain des consultants peu scrupuleux qui font le tour de toutes les entreprises d’un secteur d’activités donné et font valoir à chacune d’entre elles que le voisin, le concurrent les a désignés comme CIL. Bien évidemment, préviennent-ils, si vous ne me désignez pas, cela se verra et alors … le contrôle CNIL devient possible. Bien évidemment, chacun aura compris que les services du CIL sont rémunérés par l’entreprise qui le désigne.
Enfin, on peut aussi douter que le CIL sera dégagé de toute pression de la part de l’entreprise, surtout s’il est son salarié. Quel sera dès lors la réalité de son pouvoir ? Ira t’il jusqu’à dénoncer son employeur ? Bien sur, la Loi dispose qu’il ne peut être sanctionné pour ses missions, mais …. un dossier contre un salarié, ça se monte, ce que tout salarié sait.
Alors, vraie fausse bonne idée ?
La réponse nous paraît à nuancer.
Tout d’abord, le CIL est aujourd’hui une réalité qu’on ne peut ignorer : il y aurait en France près de 1800 CIL déclarés à la CNIL représentant 6000 entités (un CIL peut être désigné pour plusieurs entités). Ce chiffre est donc une réalité qui n’est pas négligeable. La France est en pointe sur le système du CIL car au final, peu de pays l’ont mis en place en Europe.
Ensuite, l’intérêt du CIL n’est pas là où on le croit. La justification première de la Loi était que la désignation d’un CIL allait alléger ses contraintes en terme de formalités, notamment déclaratives auprès de la CNIL. Autrement dit, une entreprise qui désigne un CIL n’a plus d’obligations de déclarations de traitement auprès de la CNIL, sauf quelques exceptions. Mais cette justification est en réalité une gigantesque blague. L’entreprise a plus d’obligations vis-à-vis du CIL qu’elle n’en a, sans lui, vis-à-vis de la CNIL !
Le Décret n°2055-1309 du 20 Octobre 2005 qui précise les missions du CIL impose qu’il soit consulté pour tout nouveau traitement mis en œuvre, qu’il reçoive toutes réclamations sur le thème des données à caractère personnel, qu’il informe la direction des manquements constatés avant toute saisine de la CNIL, qu’il établit un bilan annuel. Aussi, le CIL va largement participer à un effort considérable de sensibilisation dans l’entreprise sur la question des données à caractère personnel. On peut penser que le CIL sera désigné dans un premier temps surtout dans les très grandes entreprises. Mais sa désignation va distiller une véritable culture de la protection des données personnelles.
C’est là, son grand intérêt car tous fichés, nous sommes tous gagnants à une élévation générale de la sensibilité à ces questions.
Les CIL peuvent devenir des militants de la protection des données à caractère personnel.
Une proposition de Loi des Sénateurs Yves Détraigne et Anne-Marie Escoffier votée en première lecture au Sénat le 23 Mars 2010, veut rendre obligatoire les CIL dans les plus grandes entreprises en même temps, qu’elle souhaite imposer à toute entreprise qu’elle rende publiques leurs failles de sécurité lorsqu’elles sont susceptibles de toucher aux données à caractère personnel qu’elles ont collectés.
Ces annonces et évolutions récentes témoignent d’une prise de conscience accrue sur la question des fichiers et des libertés qui n’est qu’une petite partie des questions relatives au respect de la vie privée.
Dans ce contexte, il ne faut pas condamner par avance le CIL, même si les doutes et les interrogations demeurent.
La clef du succès est entre les mains de tous.
Entre les mains des CIL eux-mêmes qui, déjà, se regroupent et s’organisent.
Entre les mains de la CNIL qui aura immanquablement un rôle à jouer pour renforcer le CIL dans sa fonction, mais en même temps le contrôler tout en le rendant attractif pour l’entreprise.
Entre les mains des entreprises qui doivent faire de la désignation du CIL un argument concurrentiel vis à vis de leurs partenaires et clients.
Entre les mains de nous tous, citoyens, consommateurs, qui devront donner la priorité et nos faveurs aux entreprises qui jouent le jeu CIL.
Oui, le CIL est, pour nous français, une institution originale et peut être pleine d’avenir à condition de n’être pas seul.