- Correspondant Informatique et Liberté, pourquoi faire ?
- olivier-rajzman-directeur-commercial-france-et-benelux-de-docuware-salon-documation
Le CIL, un homme clé dans les processus du cloud
Le correspondant Informatique et Liberté (CIL) s’est imposé dans nombre d’entreprises. Sa désignationn’est pas obligatoire même si un projet de loi a été déposé au Sénat en ce sens. Les profils sont très variés, le CIL peut être un informaticien, un juriste, un qualiticien, un déontologue. Son rôle est de veiller à l’application de la Loi Informatique et Libertés et de maîtriser les risques juridiques de l’entreprise par rapport aux données personnelles et tout ce qui concerne la vie privée dans le SI.
“Le CIL a une grille de lecture du cloud computing qui est la Loi Informatique et Libertés. Il analyse ce dispositif à travers ce prisme. Il doit s’abstraire du discours marketing pour s’en tenir à la réalité. Il doit notamment aider à définir la durée de conservation des données personnelles. Avant, nous avions peu de réplications, avec la virtualisation et le cloud, on ne sait plus forcément où sont nos données, ni le nombre de copies existantes. Quand on purge des informations, il faut se demander si toutes les occurrences ont bien été effacées”, explique Bruno Rasle (délégué général AFCDP – Association Française des Correspondants à la protection des Données à caractère Personnel).
Le rôle du CIL n’est donc pas neutre. Il devrait être présent très en amont du projet cloud voire de l’ensemble des processus et aborder la sécurité des données personnelles. Sont-elles suffisamment protégées, par quelles techniques et si besoin, ces techniques correspondent- elles aux lois et limitations éventuelles du pays où se trouve la donnée ? Car par exemple, concernant la cryptographie, il peut y avoir une différence sur le niveau de la clé de cryptage (128 ou 256 bits), etc. La complexité du cloud ne facilite pas le travail. Bruno Rasle met en exergue un élément clé : “le partenaire de l’entreprise dans le cloud ne doit pas rompre la chaîne, il doit pleinement jouer son rôle dans le respect du cadre légal”.
Il n’existe pas un cas de figure valable pour toutes les entreprises. Cependant, des points DE base sont à vérifier. “L’idéal est de faire du ‘Privacy by Design’ c’est à dire d’embarquer dès la conception de son cloud la protection de la vie privé. Cette approche commence à apparaître en France”, explique Bruno Rasle.