Savoir, devoir, vouloir, le CIL protège l'information

A l’occasion du dernier dîner-débat du Cercle Européen de la Sécurité et des Systèmes d’Information, DG Consultants a réuni environ 120 DSI, experts et partenaires pour une soirée autour d’un thème en vogue au sein des entreprises françaises : la nomination du Correspondant Informatique et Libertés (CIL).
Nouvel intervenant à la double allégeance aussi bien à l’entreprise à laquelle il appartient qu’à la Commission Nationale Informatique et Liberté (CNIL), sa désignation entraîne de nombreux débats que le Cercle a décidé d’aborder de front.
Compte rendu du dîner-débat du 27 avril 2006
Par Isabelle Tisserand, coordinatrice du Cercle Européen de la Sécurité des Systèmes d'Information

Le Correspondant Informatique et Libertés est européen

Maître Nathalie Metallinos (CNIL) ouvrit les débats en rappelant que le dispositif qui consiste à faire nommer un CIL dans l'entreprise est européen. Les Pays-Bas, la Suède, la Slovaquie et bientôt la France, auront tôt fait de banaliser sa présence dans les équipes opérationnelles. La nomination de ce correspondant hautement stratégique correspond à l'obligation de mener de nombreuses missions de déclarations d'informations à caractère personnel (numéros de sécurité sociale, date de naissance, annuaires, activités des personnes, etc.) Le CIL doit connaître la loi et la faire appliquer selon des règles et des usages très précis.

Parmi les missions qui lui incombent, il doit assurer que les données qui font l'objet d'un traitement sont pertinentes, adéquates aux usages auxquels elles sont destinées, conservées pendant une période raisonnable et qu'elles sont cohérentes avec le projet impliquant l'application de la mesure.

Il s'agit essentiellement de veiller aux droits des personnes et de protéger les salariés. Il arrive que cette action instaure des tensions entre le CIL et la direction. Il dit alors maîtriser les conflits, aidé par la loi et soutenu par la CNIL car il officie pour la loi et ce point est très clairement précisé. C'est parce qu'il connaît le droit qu'il est à la fois conseil, médiateur, pédagogue, informateur, alerte. Il a le pouvoir d'émettre des réserves et de saisir la CNIL. Mais il n'agit pas seul car la décision finale revient d'autorité au décideur (le plus souvent un membre de la direction, d'un comité exécutif, etc.) Formateur car garant de l'application des lois, le CIL doit savoir convaincre de l'intérêt de la règle et vérifier qu'elle est bien appliquée.

Le CIL sur le terrain

Le CIL n'abordera pas le sujet sur le mode défensif. Il s'estime garante de la loi et l'un de ses principaux rôles est celui d'un pédagogue chargé de transférer sa culture. La pratique suppose également de se heurter à des individus qui ont oublié certaines règles de fonctionnement. Le CIL doit préserver des condamnations pénales en rappelant, entre autres, que l'informatique est au service de l'homme et non l'inverse. L'efficacité du CIL se mesure ainsi difficilement au nombre d'accidents évités. Son rôle est donc d'alléger la CNIL en distinguant ce qui relève de la dispense de déclaration de ce qui doit être impérativement mentionné. Conscience plutôt que censeur, le CIL ne doit pas gêner mais aider et assister la direction en incarnant la mémoire de la jurisprudence.

Réserve, secret et humanité

Paul-Olivier Gibert (AG2r) exposa son point de vue sous le prisme de la déontologie. Il rappelle que l'un des principaux foyers de recrutement est celui des RSSI et des DSI. Les nominations sont actuellement deux fois plus rapides que prévu.
Dans le contexte actuel, et parce qu'il n'a jamais été aussi facile de connaître les vies privées des individus, Paul-Olivier Gibert estime que le CIL doit veiller sur la culture du secret et que le consentement des personnes reste fondamental.
La culture des Droits de l'Homme est également mentionnée comme pilier du savoir être à exiger du CIL. Simultanément visible et secret, cet acteur, doté d'une forte délégation de pouvoir, doit être d'une grande moralité.
« Il faut un surmoi puissant, un profil psychologique structuré, du calme et de la pondération pour officier correctement. Les convictions sont également importantes et certaines de ces prises de position peuvent engendrer des conflits qu'il faut savoir dissoudre en étant certain des principes que l'on défend. »

Comment devient-on CIL?

Les trois intervenants s'accordèrent sur le fait que l'expérience prévaut malgré une appétence indispensable pour la matière juridique, la rigueur, la droiture. Il faudrait entre 2 et 3 ans pour devenir un/une CIL opérationnel(le) averti(e) et efficace. Il est recommandé de posséder de bonnes connaissances en sécurité des systèmes d'information et plusieurs formations peuvent les aider, régulièrement, à compléter leurs connaissances.
Le CIL doit gérer la parole qui est libre mais structurée en fonction du domaine d'opération et de ses interlocuteurs. Il doit éviter tout conflit d'intérêt, être juste, équitable, éthique, objectif. Bénéficiaire d'une grande indépendance, il doit organiser ses fonctions au mieux et dans l'intérêt de la collectivité professionnelle qu'il sert. En bref, le CIL est un opérationnel qui s'éloigne le plus souvent possible des théories pour répondre aux besoins concrets, sensibles et stratégiques du terrain.

En conclusion, le savoir faire et le savoir être du CIL, bien décrits par les conférenciers, pose la question d'une fusion de connaissances indispensables : celles inhérentes aux besoins de sécurités physique, administrative, comportementale et humaines de l’information, chères aux risk managers adeptes d’une méthode de sécurité globale.

En savoir plus
*Nathalie Metallinos est avocat; Elle est rattachée à la CNIL.
*La CIL intervenante a souhaité conserver l'anonymat.
*Paul-Olivier Gibert est directeur de la sécurité et de la déontologie du groupe AG2R et administrateur de l'AFCDP.
*"NINAH, méthode de sécurité globale, for a global security approach", Dr. Isabelle Tisserand, Maître Isabelle Pinto, déposée à l'INPI, Paris, 2002.