Le CIL (Correspondant Informatique et Libertés) devient une fonction clé de l'entreprise lorsque celle-ci décide de passer au cloud. C'est un des enseignements majeurs d'une conférence organisée par EuroCloud, le mardi 20 avril à la CCI de Paris. Elle aura vu l'intervention de Bruno Rasle, directeur général de l'AFCDP (Association Française des Correspondants aux Données Personnelles), et de Sylvain Lebarbier, CIL à la mutuelle AG2R. L'évènement aura également été l'occasion de rappeler les missions du ce métier particulier dans l'entreprise, un poste qui n'est manifestement pas de tout repos.
Le développement du cloud externe implique effectivement que les entreprises ne stockent plus l'ensemble de leurs données sur leurs propres serveurs mais s'en remettent à un prestataire. Les données peuvent être délocalisées dans un autre pays hors UE. Les utilisateurs sont réticents lorsqu'il s'agit de transférer leurs données à un prestataire, mais la CNIL (Commission Nationale de l'Informatique et des Libertés) dispose de sérieux garde-fous juridiques sur ce sujet.
Afin que le cloud ne soit pas synonyme de mauvaise utilisation des données, le CIL a pour mission de vérifier la conformité réglementaire des usages et d'en limiter le risque juridique. Ce responsable doit s'assurer du respect de la réglementation établie par la loi informatique et libertés réformée en 2004, dont la CNIL vérifie l'application. Car en cas de violation, l'entreprise est passible de sanctions financières ou peut voir son système de traitement de données suspendu. Comme le précise Bruno Rasle « la CNIL a gagné en pouvoir de contrôle et l'on ne peut s'y opposer ».
[[page]]
Selon l'autorité administrative indépendante, il revient au CIL de déployer des mesures de protection appropriées, même si le risque pénal est porté par le responsable de traitement (PDG ou, par délégation, DSI, DAF...). Elle ajoute qu' « il doit se concentrer sur deux dimensions différentes de la protection des données, à savoir la sécurité des données personnelles et les flux de données transfrontaliers ». Ainsi, lors de la nomination d'un CIL, tous les projets informatiques, qu'ils soient anciens ou en cours de déploiement sont soumis au contrôle de conformité. Sylvain Lebarbier, CIL d'AG2R insiste pour sa part : « aucun projet n'est mis en oeuvre sans notre accord ».
Des compétences bien précises
Au quotidien, le responsable analyse quatre problématiques majeures : les formalités et les déclarations à remplir auprès de la CNIL, le consentement des différents métiers pour l'utilisation des données, la sécurité notamment concernant les données transmises à un tiers avant la signature d'un contrat, ainsi que la finalité d'un projet. Il relève malgré tout quelques problèmes relatifs à l'exercice des fonctions de CIL. Il déplore que l'on dise que le CIL « fait perdre du temps ». Cette profession est encore trop méconnue, est souvent mal comprise. « Généralement les entreprises pensent qu'elles ont un CIL or souvent elles n'ont qu'un juriste » complète-t-il. Il ajoute que pour veiller au mieux au respect des règles de conformité, il doit s'en remettre régulièrement aux différents métiers et plus particulièrement aux services informatiques pour leur poser des questions précises.
Malheureusement, dans la plupart des cas, la réponse est « je ne sais pas ». A ces problèmes, se mêle en plus une dimension managériale. En effet, lorsque le projet ne semble pas satisfaire à la réglementation, le CIL peut en bloquer la mise en place. Sylvain Lebarbier insiste, « le CIL est l'allié de l'entreprise mais il n'hésitera pas à remettre un projet en question s'il y a un problème de conformité ». Il justifie cette démarche par le fait que « pour être un facteur de confiance, le CIL doit faire figure d'autorité ». Aujourd'hui, la France compte 1 800 correspondants informatique et libertés. Et même si ce nombre tend à s'accroître, la profession peine à recruter car elle nécessite d'avoir des connaissances à la fois juridiques, techniques et sectorielles, et de comprendre le fonctionnement ainsi que les enjeux des différents métiers qui composent l'entreprise. Pour y remédier, des formations spécialisées commencent à se déployer en France et à l'étranger.
Quid des protections des données dans le cloud ?
Avec l'émergence du Cloud Computing, la question de la protection des données s'intensifie. Les entreprises perdant la maîtrise de leurs données en interne, le CIL (Correspondant informatique et libertés), se voit placé en première ligne afin de vérifier la conformité de ces nouvelles offres.