La CNIL a mis à la disposition des CILs des services qui les aident quotidiennement dans leurs missions: une ligne téléphonique, des forums d'échange de discussions, des fiches techniques, des modèles de lettres, un système de questions/réponses et des ateliers d'information sur la protection des données personnelles.

Le CIL possède des capacités d'écoute et de conseil et intervient en tant que médiateur entre l'entreprise et ses clients. Il gère le droit d'accès, de rectification, d'opposition et de suppression des données collectées par l'entreprise. Il participe à la protection des données lors du développement d'applications informatiques et est informé sur les raisons de collecte des données personnelles des salariés et la durée de conservation des informations dans l'entreprise.

Pour recruter un CIL, l’entreprise doit faire préalablement la déclaration à la CNIL dès qu'elle souhaite l'embaucher et avant qu'il ne débute dans ses fonctions en tant que CIL auprès de l'entreprise. La désignation d'un CIL n'empêche pas la CNIL de contrôler les entreprises ou de les sanctionner en cas d'abus concernant la protection des données personnelles.

Juriste ou informaticien ? Le profil idéal du correspondant informatique et libertés (CIL), interlocuteur de l'entreprise vis-à-vis de la Cnil, fait débat. Le titre existera officiellement dès que le décret prévu par la loi du 6 août 2004 en officialisera le rôle et les attributions. Il doit bientôt paraître. D'ici là, la loi fournit quelques indications. On y lit que le correspondant est « chargé d'assurer, d'une manière indépendante, le respect des obligations prévues dans la loi [informatique et libertés, NDLR] » . Sa nomination est facultative, et le choix du profil - technique ou juridique - est laissé à l'appréciation du chef d'entreprise. La nomination sera simplement notifiée à la Commission nationale de l'informatique et des libertés (Cnil) et aux instances représentatives du personnel.

En attendant, les spécialistes du droit mettent en avant la nécessité de disposer d'un savoir légal. Les experts informatiques, eux, insistent sur les compétences techniques. Lors des premières assises de l'Association française des correspondants à la protection des données à caractère personnel (AFCDP), le 21 avril dernier, les juristes étaient les plus nombreux.

Et pourtant, la fonction du CIL devrait concerner au premier chef les informaticiens, ou au moins des personnes ayant ajouté à leur cursus un bagage technique. A l'image de Xavier Leclerc, de formation commerciale et juridique. Il a été embauché chez Experian en avril 2001 comme Data Manager. Cette grande entreprise, qui compte plusieurs milliers d'employés en Europe, gère notamment d'immenses bases marketing sur les habitudes de consommation. Elle voulait proposer à ses clients un service garantissant la qualité et la légalité des données. Xavier Leclerc a dû compléter sa formation par des modules spécialisés sur les bases de données. Indispensable : « Cela m'a donné les connaissances informatiques que j'utilise tous les jours » . Il travaille au sein de la direction juridique, et se présente comme un facilitateur plutôt que comme un contrôleur. Il joue aussi un rôle commercial auprès des clients. « La difficulté est d'être crédible. C'est pourquoi, ajoute-t-il, il faut non seulement avoir des compétences informatiques et juridiques, mais aussi être capable de diffuser une culture de protection des données. »

Jean-Pierre Rémy, lui, est titulaire d'une Miage (maîtrise informatique appliquée à la gestion d'entreprise). Délégué à la protection des données à la Banque de France, rattaché au délégué à la déontologie, il a un avis plus tranché. « Pour exercer la fonction, mieux vaut être de formation informatique. »

Démonstration : la loi ne change pas tous les jours. Elle date de 1978 et a été refondue en 2004. En revanche, les technologies sont extrêmement mouvantes. « Il faut avoir une démarche de directeur de projet pour les comprendre et assimiler leur impact sur les données personnelles. » Seul un informaticien posera les bonnes questions, réclamera les bonnes informations, pensera à des détails techniques auxquels le maître du fichier n'aura pas songé. Cette expertise risque d'échapper à un spécialiste du droit. Pour Jean-Pierre Rémy, la parution du décret sur le CIL ne changera rien. Simplement, il n'aura plus à transmettre les déclarations de fichiers et de traitements à la Cnil. « Cette disposition constitue un allègement de la procédure. Cependant, il faudra attendre la parution du décret pour mesurer si elle ne constitue pas aussi un transfert de responsabilités. »

In fine, il apparaît qu'il est préférable de choisir un spécialiste des technologies initié au droit que l'inverse. Pour Marie-Laure Laffaire, avocate et auteur d'un ouvrage dans le domaine, le correspondant devra avoir d'autres atouts dans sa manche. La communication surtout, car il agira comme un interlocuteur responsable vis-à-vis de la Cnil, de sa hiérarchie, des salariés, des services internes et notamment informatiques, et de toute personne autre faisant l'objet d'un traitement de données. « Ouvert au dialogue, le CIL devra écouter, sensibiliser, et favoriser la remontée d'informations. » Et cela tout en étant suffisamment ferme pour imposer le respect de règles encore perçues comme très contraignantes, voire parfois surréalistes par les informaticiens ou les dirigeants. Indépendant. Enfin, il devra disposer des moyens d'action nécessaires pour remplir sa mission. « Son contrat de travail devra être rédigé en conséquence et inclure des obligations strictes en termes de confidentialité et de sécurité des données. » Parmi ses autres fonctions, il tiendra à jour un registre des traitements effectués, accessible à toute personne en faisant la demande. Il pourra saisir la Cnil s'il rencontre des difficultés dans l'exercice de sa mission, sans pour cela s'exposer à des sanctions de la part de son employeur.

Par ailleurs, le décret, lui, précisera que le CIL peut être un salarié interne - un cadre ou un employé, mais pas le directeur général - ou une personne extérieure dans les entreprises où le nombre d'informaticiens ayant accès aux traitements n'excède pas un certain seuil (celui-ci devrait être précisé dans la directive). Les SSII sont donc concernées. Même si, en pratique, elles se sentent peu impliquées. Le correspondant « devra avoir une connaissance de la loi informatique et libertés et des technologies informatiques. Qu'elles soient standards ou spécifiques à l'activité de l'organisme l'ayant désigné. » Il faudra alors trouver la perle rare.