L’article 3 crée un chapitre consacré au correspondant « informatique et libertés », le CIL, au sein de la loi de 1978.
Actuellement, la désignation d’un correspondant à la protection des données est une faculté ; elle doit le rester. En effet, l’état actuel du droit permet à celui qui fait usage de cette faculté et qui crée un traitement de données soumis à déclaration préalable d’être dispensé d’accomplir cette formalité auprès de la Commission nationale de l’informatique et des libertés, la CNIL. Le dispositif est donc équilibré.
Le texte de la proposition de loi soulève plusieurs difficultés.
Tout d’abord, il serait difficile à mettre en œuvre. Ainsi, le seuil à partir duquel un correspondant devrait obligatoirement être nommé est particulièrement malaisé à identifier. Contrairement à l’identification du nombre d’employés travaillant dans un organisme, le nombre de personnes chargées de la mise en œuvre du traitement n’est pas facile à déterminer.
De surcroît, l’article 3 opère un bouleversement de la nature même de l’institution du correspondant. Actuellement, les correspondants à la protection des données sont un vecteur de diffusion de la culture de la protection des données d’autant plus efficace que leur création repose sur le volontariat, élément indispensable à la création d’un lien de confiance entre l’organisme et le correspondant. C’est d’ailleurs ce qu’indiquait M. Alex Türk, alors rapporteur au Sénat de la loi du 6 août 2004, qui a, vous le savez, transposé la directive de 1995.
À l’inverse, l’article 3 met en œuvre une logique de contrainte. D’une part, la désignation d’un correspondant deviendrait obligatoire, comme si, en son absence, les organismes concernés ne pouvaient satisfaire à leurs obligations en matière de protection des données. D’autre part, le choix de la personne désignée devrait nécessairement recueillir l’aval de la CNIL, exigence qui priverait les organismes susvisés d’une autonomie de gestion pourtant élémentaire.
Enfin, le correspondant serait tenu d’informer la CNIL de toute difficulté rencontrée dans l’exercice de ses missions, et la CNIL serait ipso facto dotée d’un pouvoir général d’intrusion dans les affaires internes de l’organisme concerné. Cette disposition risque de se révéler contre-productive et porterait atteinte à l’image dont jouit aujourd’hui la CNIL auprès tant des entreprises que des administrations : la CNIL sortirait en quelque sorte de son rôle, sauf à vouloir lui conférer une mission extrêmement intrusive, qui confinerait à l’inapplicabilité.
Une telle généralisation du correspondant « informatique et libertés » conduirait également à la désignation de nombreux correspondants dans les services de l’État, des collectivités locales, voire des assemblées délibératives. L’animation de ce réseau alourdirait plus la tâche de la CNIL qu’elle ne la faciliterait : cette commission n’a d’ailleurs pas demandé que l’institution du correspondant « informatique et libertés » devienne obligatoire.
Dans les administrations de l’État, cette obligation créerait la confusion avec les correspondants désignés dans chaque ministère qui assurent la coordination de l’application de la loi de 1978 au sein des administrations et qui sont des interlocuteurs privilégiés du commissaire du Gouvernement auprès de la CNIL. Enfin, le Gouvernement n’entend pas désigner de correspondants dans les services déconcentrés de l’État.
Il paraît donc préférable de ne prévoir l’institution des correspondants à la protection des données que dans des administrations et des entreprises volontaires. Dans les autres cas, conservons une séparation claire entre les obligations du responsable de traitement et le contrôle du respect de ces obligations par un organisme extérieur. Je rappelle que la CNIL dispose de pouvoirs de contrôle a posteriori depuis l’adoption de la loi du 6 août 2004.
Pour toutes ces raisons, le Gouvernement a déposé l’amendement n° 30, qui tend à la suppression de l’article 3.