Le fait que les fonctions de CIL soient assurées sous l’autorité d’un Cabinet d’Avocats délégué à la Protection des données présente de multiples avantages, et permet aux entités d’avoir à leur disposition un professionnel expert qui peut les conseiller pour éliminer les risques, et le cas échéant, les accompagner dans le règlement d’éventuels négociations, litiges ou plaintes.
Dans le cadre d’un CIL désigné au sein d’un Cabinet d’Avocats, la totale étanchéité des informations confidentielles en possession du CIL est couverte strictement par le secret professionnel et le code de déontologie de la profession d’avocat.
Un encadrement juridique renforcé
Un CIL salarié interne à l’entreprise n’a pas forcément une formation de juriste reconnue, ni les compétences professionnelles pour se diriger ou se retrouver dans les arcanes de la Loi Informatique et Libertés, plus encore avec le Règlement relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnelles dit RGPD, applicable de plein droit à toutes les entreprises en mai 2018.
De par sa formation, son expérience, et les moyens de veille et d’analyse qu’il peut mobiliser, l’avocat est un professionnel pertinent pour assumer le rôle de CIL. Il présente les garanties juridiques de compétences techniques et d’indépendance requises par la loi.
En outre, étant habitué, de par sa fonction même, à assurer la protection des libertés publiques et individuelles, son rôle est essentiel dans les mécanismes de protection des données à caractère personnel définis par les responsables de traitement.
Le code de déontologie des Avocats
Un CIL salarié interne à l’entreprise ne se réfère à aucune charte professionnelle ou code de déontologie.
A l’inverse, pour un CIL-Avocat, des dispositions ordinales particulières ont pour objet de garantir la compatibilité entre les règles déontologiques de la profession d’avocat et les missions du CIL, en renforçant par ailleurs le bénéfice que celles-ci peuvent apporter aux entreprises en matière de protection des données à caractère personnel.
Le RIN (Règlement Intérieur National de la profession d’avocat) précise ainsi que « l’avocat correspondant à la protection des données personnelles se doit de mettre un terme à sa mission s’il estime ne pas pouvoir l’exercer, après avoir préalablement informé et effectué les démarches nécessaires auprès du responsable de traitement », ce qui est une disposition dérogatoire à la Loi Informatique et Libertés particulièrement avantageuses pour les organismes.
Un secret professionnel absolu
Un CIL non avocat ou salarié de l’organisme, qui rencontre une difficulté dans l’exercice de sa mission avec les décisions de son responsable de traitement, doit saisir la CNIL en l’informant conjointement. Il a ainsi une obligation de dénonciation au regard de la loi Informatique et Libertés et de son décret d’application (art. 49 et 51 du décret)
A l’inverse, la désignation d’un avocat en tant que CIL implique qu’il ne saurait violer le secret professionnel absolu qui le lie à son client. Dès lors, aucune obligation de dénonciation ne peut être mise à la charge de l’avocat, y compris dans le cadre de sa désignation de CIL mutualisé.
Une responsabilité civile et pénale de ses actes
Si la désignation d’un CIL n’entraîne pas d’exonération de responsabilité civile ou pénale pour le responsable de traitement, un avocat désigné en tant que CIL est susceptible d’engager sa responsabilité professionnelle d’avocat, ce qui est protecteur pour les entreprises, à l’inverse d’un CIL interne dont la responsabilité ne peut pas être recherchée dans l’exercice de sa mission.