Le correspondant à la protection des données personnelles peut-il être un tiers extérieur à l’entreprise ou à l’administration ? Après deux mois de réflexion, la Commission nationale de l’informatique et des libertés (CNIL) vient de répondre par l’affirmative. Elle considère que « la loi permet de désigner un correspondant qui n’appartient pas au personnel de l’organisme ». Elle pose cependant des limites strictes à cette option qui « ne devrait être possible qu’en deçà d’un seuil à définir et devrait répondre au souci d’une mutualisation des fonctions de correspondant permettant à plusieurs responsables de traitement de se regrouper afin de désigner le même correspondant ». Cette possibilité concerne essentiellement les PME qui n’ont pas forcément les moyens de recourir au dispositif proposé. La CNIL estime par ailleurs que cette fonction ne devrait pas être assumée par le directeur de l’entreprise pour des raisons de conflit d’intérêts.
La loi « Informatique et libertés » réformée par la loi du 7 août 2004 exonère de l’obligation de déclarer leurs traitements de données personnelles les organisations qui ont désigné un correspondant, baptisé « correspondant informatique et libertés » (CIL) par la Commission. Le texte ne précise pas s’il doit s’agir d’une personne interne à l’entité. Il indique pourtant que le correspondant ne peut « faire l’objet d’aucune sanction de la part de l’employeur du fait de l’accomplissement de ses missions ». Pour nourrir la réflexion sur la définition de cette nouvelle fonction, en vue de la rédaction du futur décret, la Cnil avait réuni un groupe de travail qui vient de rendre publiques ses conclusions. Le ministère de la Justice, chargé de la rédaction du décret, envisage sa publication pour le premier semestre 2005.