Article: Registre du CIL – un registre entièrement ouvert au public ?

REGISTRE DU CILUn registre entièrement ouvert au public ?

Au terme de l’article 48 du décret n°2005-1309, toute personne en faisant expressément la demande peut consulter le registre du Correspondant Informatique et Libertés et en obtenir une copie. Cela peut être, par exemple, un salarié de l’organisme, un organisme concurrent, un client, etc.
Selon le Guide du CIL publié par la CNIL en 2011, le correspondant doit toujours répondre favorablement à une demande d’accès et de copie du registre.
Toutefois, dans certains cas le registre peut donner des indications sur les applications informatiques ou bien sur le niveau de conformité interne de l’organisme…

Quelles sont les informations obligatoires que le CIL devrait communiquer au demandeur et quelles sont les limites ?

Qui peut effectuer une demande de communication du registre ?

Selon l’article 22 de la Loi Informatique et Libertés et 48 du décret n°2005-1309, « Le correspondant tient la liste à la disposition de toute personne qui en fait la demande ». Une copie de la demande est délivrée à l’intéressé à sa demande, étant précisé que le responsable de traitement peut subordonner la délivrance de cette copie au paiement d’une somme qui ne peut excéder le coût de la reproduction.

Quel formalisme pour la demande ?

Le décret ne prévoit pas d’obligation pour le demandeur de fournir des pièces justificatives. De plus, la forme reste libre. Ainsi, le parallélisme des formes peut être le principe directeur pour faire droit à la demande de toute personne.
Toutefois, si la demande a été formulée par téléphone, inviter le demandeur à renouveler celle-ci par courrier papier ou par mail semble suivre la logique du principe d’Accountability afin de pouvoir accuser réception de la demande et disposer d’une preuve écrite.

En cas de demande reçue par courrier, celle-ci doit nécessairement préciser l’adresse à laquelle doit parvenir la réponse.

Quels sont les éléments obligatoires ?

Selon l’article 48 du décret n°2005-1309, une fiche de registre se compose donc obligatoirement des huit éléments :
• le nom et l’adresse du responsable du traitement ;
• la finalité du traitement ;
• le service chargé de sa mise en œuvre ;
• la fonction de la personne ou le service auprès duquel s’exerce le droit d’accès et de rectification ainsi que leurs coordonnées ;
• les catégories de données traitées ;
• les catégories de personnes concernées par le traitement ;
• les destinataires habilités à recevoir communication des données ;
• la durée de conservation des données traitées.

Sur le contenu, le CIL doit fournir au demandeur les rubriques imposées par décret à l’article 48 mais rien n’interdit au CIL de communiquer des informations supplémentaires, vu que certains registres de traitement vont au-delà du décret.

La description des mesures de sécurité mises en œuvre par l’organisation ne fait pas partie des informations que le CIL doit délivrer au titre du décret. Toutefois, si le CIL souhaite communiquer au demandeur des informations sur les mesures de sécurité, il est fortement recommandé de retirer les informations sensibles qui pourraient être exploitées et de nettoyer le code source.

Afin de faciliter l’accès au registre au sein de l’organisme, la CNIL propose dans le Guide du CIL de rendre public le registre du CIL sur un intranet ou même de le publier sur un site internet.

Est-ce que la demande doit être motivée ?

Selon le Décret, le demandeur n’a aucune obligation d’indiquer ses raisons quant à la demande de communication du registre.
Toutefois, une demande de communication du registre est en principe motivée par :
• une personne a fait une demande de droit d’accès et qui souhaite prendre connaissance des détails du traitement la concernant
• un litige, une tension entre votre organisme et le demandeur (réclamation client, prud’homme à venir)
• un autre Correspondant Informatique et Libertés qui souhaite savoir la composition de votre registre (nombre de traitements, précision quant aux finalités inscrites, etc.)
• un étudiant, une personne en formation pour devenir CIL
• une démarche commerciale faite par une société afin de pouvoir pour préparer son discours et évaluer le degré de maturité de votre organisme en matière de protection de données à caractère personnel
• un journaliste de votre secteur qui prépare un article
• la simple curiosité
• etc.

Quels changements à venir ?

A compter du 25 mai 2018, la tenue du registre des activités de traitement s’imposera aux responsables du traitement et sous-traitants pour démontrer leur conformité au Règlement européen en matière de protection de données (RGPD), indépendamment du fait qu’ils aient désigné un CIL ou non. Cette obligation s’appliquera :
• aux entités de plus de 250 salariés ou si le traitement
• (i) est susceptible de comporter un risque pour les droits et libertés des personnes concernées
• (ii) s’il n’est pas occasionnel ou
• (iii) s’il concerne des données sensibles.

Les informations à mentionner dans ces registres sont précisées dans le RGPD, notamment le nom et les coordonnées du responsable du traitement, les finalités du traitement, les catégories de personnes concernées ou les catégories de données traitées, les catégories de destinataires des données, etc. (article 30). En revanche, leurs modalités d’élaboration pourraient être davantage détaillées par la CNIL.

Tout responsable de traitement et sous-traitant doit tenir le registre à la disposition des autorités de contrôle.


accueil Blog Actu-CIL