L'année 2011 aura été synonyme d'inflation pour la CNIL : les plaintes, les enregistrements de formalités préalables, les contrôles de la CNIL ou encore la désignation de "Correspondants Informatique et Libertés" ont connu une nette augmentation traduisant ainsi l'évolution de notre société vers une société du tout numérique.

Dans ce contexte, Isabelle Falque-Pierrotin, Présidente de la CNIL, annonce que la CNIL va, quant à elle, s'adapter à ces évolutions afin de rendre son action encore plus efficace. Afin de bien traduire ses intentions, la présidente de la CNIL intitule son avant-propos pour le rapport 2011, ainsi : "Une CNIL de combat". C'est tout un programme en perspective, à l'heure où une refonte du cadre juridique de protection des données personnelles est en cours.

En effet, la nécessité de protéger les données personnelles a conduit la CNIL à s'intéresser de plus près au fonctionnement des réseaux sociaux et plus précisément au devenir des informations collectées. A cette fin, les CNIL européennes ont précisé aux éditeurs de réseaux sociaux les règles qu'ils devaient respecter telles que la mise en place de mesures pour protéger les mineurs, la suppression des comptes restés inactifs pendant une longue période ou encore un outil de dépôt de plainte sur leur page d'accueil.

La sécurité des données constitue également une préoccupation essentielle des entreprises, notamment par l'usage du stockage en Cloud Computing. En effet "l'informatique en nuage" permet via internet de rendre accessibles en tout lieu et à tout moment des ressources informatiques. Or le passage au Cloud n'est pas aisé et la CNIL a ainsi lancé en 2011 une consultation publique afin de recueillir l'avis des acteurs du Cloud sur la question de la protection et de la sécurité des données personnelles afin de formuler des recommandations à destination des clients et des prestataires sur le passage au Cloud.

L'autre nouveauté majeure de l'année 2011 a été l'obligation légale de notification des violations des données personnelles. D'inspiration Outre-Atlantique, cette obligation consiste en l'information de la CNIL d'une faille de sécurité constatée par un fournisseur de services de communication électroniques et mettant en jeu la divulgation de données à caractère personnel. Un décret du 30 mars 2012 est venu préciser les modalités de mise en œuvre de cette notification figurant désormais à l'article 34 bis de la loi Informatique et Libertés. Le projet de règlement européen, en cours de discussion, prévoit l'élargissement de cette obligation à tous les responsables de traitement, donc à toute entité ou organisation.

Pour éviter tout risque d'exposition de données à caractère personnel en sa possession, chaque organisation doit maîtriser sa conformité à la loi "Informatique et Libertés". Pour se faire, elle doit au préalable établir le diagnostic de sa situation, qui permettra par la suite de bâtir un plan d'actions efficace pour une mise en conformité programmée.

Cette mise en conformité peut être facilitée par la désignation d'un Correspondant Informatique et Libertés. En effet, si la désignation d'un CIL au sein d'une entreprise induit de multiples avantages comme l'allègement de certaines formalités de déclaration auprès de la CNIL, elle permet surtout de disposer d'un interlocuteur privilégié assurant à l'entreprise son respect de la loi "Informatique et Libertés"... dans la durée.

Arnaud Tessalonikos, avocat associé du cabinet Courtois Lebel