La grande innovation de la loi du 6 août 2004 relative à la protection des personnes physiques à l'égard des traitements de données à caractère personnel, qui a réformé la célèbre loi du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, a consisté dans l'instauration du correspondant à la protection des données, plus couramment appelé correspondant informatique et libertés ou Cil.
Un décret du 20 octobre 2005 est venu préciser notamment les modalités de désignation et les missions du Cil. Présentation de ce dispositif qui intéresse bon nombre d'entreprises.

Toutes les personnes en charge des traitements automatisés de données à caractère personnel - les responsables des traitements - ont la faculté de désigner un Cil, quel que soit leur statut ou leur taille. Ainsi, dans le secteur privé, peuvent désigner un correspondant les entreprises, les groupements, les associations, syndicats...

En pratique, leCil doit, en principe,être désigné parmi le personnel de l'entreprise (ou de l'organisme) responsable des traitements.
Cependant, conscients que les entreprises de taille modeste ne disposent pas nécessairement d'une personne dotée des qualifications et compétences requises par les textes pour exercer la fonction de correspondant - compétences en matière de législation et d'informatique -, les pouvoirs publics ont prévu la possibilité de désigner un Cil en dehors du personnel de l'entreprise (consultant, avocat, expert-comptable par exemple).
Une liberté qui n'est toutefois plus de mise lorsque plus de 50 personnes sont chargées de la mise en oeuvre ou ont directement accès aux traitements ou aux catégories de traitements automatisés pour lesquels le responsable entend désigner un Cil. En effet, dans ce cas, seul un correspondant exclusivement attaché au service de la personne qui met en oeuvre ces traitements peut, en principe, être désigné.
Côté formalités, la désignation du Cil doit, après avoir été portée à la connaissance des représentants du personnel, par lettre recommandée avec demande d'avis de réception, être notifiée à la Cnil soit par lettre recommandée avec demande d'avis de réception, soit par lettre remise au secrétariat de la commission contre reçu, soit encore par voie électronique avec accusé de réception. L'accord écrit de la personne désignée comme Cil doit être annexé à cette notification.

Le rôle du Cil est double : d'une part, conseiller le responsable des traitements en matière de gestion des données à caractère personnel et, d'autre part, lui simplifier la tâche en l'exonérant de l'obligation de déclaration préalable des traitements courants, c'est-à-dire de ceux dont la mise en oeuvre n'est pas susceptible de porter atteinte à la vie privée et aux libertés et ne comporte aucun risque manifeste pour les droits des personnes.
Toutefois, attention, la nomination d'un Cil ne dispense pas les entreprises :
- d'obtenir une autorisation auprès de la Cnil pour certains traitements jugés à risque (traitements portant sur des données génétiques, des données relatives aux infractions, condamnations...) ;
- ni d'effectuer une déclaration préalable dans l'hypothèse où un transfert de données à caractère personnel à destination d'un État non-membre de la Communauté européenne serait envisagé.
Dans le cadre de ses missions, le Cil doit en particulier établir et tenir à jour la liste de l'ensemble des fichiers à caractère personnel faisant l'objet d'un traitement au sein de l'entreprise et pour lesquels il a été désigné, tout en s'assurant de la régularité des fichiers et plus généralement du respect par l'entreprise des obligations prévues par la loi informatique et libertés.