La désignation d'un correspondant à la protection des données à caractère personnel par le responsable de traitements relevant des formalités prévues aux articles 22 à 24 de la loi du 6 janvier 1978 susvisée est notifiée à la Commission nationale de l'informatique et des libertés par lettre remise contre signature ou par remise au secrétariat de la commission contre reçu, ou par voie électronique avec accusé de réception qui peut être adressé par la même voie.

La notification prévue à l'article 42 du présent décret mentionne :

1° Les nom, prénom, profession et coordonnées professionnelles du responsable des traitements, le cas échéant, ceux de son représentant, ainsi que ceux du correspondant à la protection des données à caractère personnel. Pour les personnes morales, la notification mentionne leur forme, leur dénomination, leur siège social ainsi que l'organe qui les représente légalement ;

2° Lorsque le correspondant à la protection des données à caractère personnel est une personne morale, les mêmes renseignements concernant le préposé que la personne morale a désigné pour exercer les missions de correspondant ;

3° Si la désignation est faite seulement pour certains traitements ou catégories de traitements, l'énumération de ceux-ci ;

4° La nature des liens juridiques entre le correspondant et la personne, l'autorité publique, le service ou l'organisme auprès duquel il est appelé à exercer ses fonctions ;

5° Tout élément relatif aux qualifications ou références professionnelles du correspondant et, le cas échéant, de son préposé en rapport avec cette fonction ;

6° Les mesures prises par le responsable des traitements en vue de l'accomplissement par le correspondant de ses missions en matière de protection des données.

L'accord écrit de la personne désignée en qualité de correspondant est annexé à la notification.

La désignation d'un correspondant à la protection des données à caractère personnel prend effet un mois après la date de réception de la notification par la Commission nationale de l'informatique et des libertés.

Toute modification substantielle affectant les informations mentionnées aux 1° à 6° est portée à la connaissance de la Commission nationale de l'informatique et des libertés, dans les formes définies à l'article 42.

Lorsque plus de cinquante personnes sont chargées de la mise en oeuvre ou ont directement accès aux traitements ou catégories de traitements automatisés pour lesquels le responsable entend désigner un correspondant à la protection des données à caractère personnel, seul peut être désigné un correspondant exclusivement attaché au service de la personne, de l'autorité publique ou de l'organisme, ou appartenant au service, qui met en oeuvre ces traitements.

Par dérogation au premier alinéa :

a) Lorsque le responsable des traitements est une société qui contrôle ou qui est contrôlée au sens de l'article L. 233-3 du code de commerce, le correspondant peut être désigné parmi les personnes au service de la société qui contrôle, ou de l'une des sociétés contrôlées par cette dernière ;

b) Lorsque le responsable des traitements est membre d'un groupement d'intérêt économique au sens du titre V du livre deuxième du code de commerce, le correspondant peut être désigné parmi les personnes au service dudit groupement ;

c) Lorsque le responsable des traitements fait partie d'un organisme professionnel ou d'un organisme regroupant des responsables de traitements d'un même secteur d'activités, il peut désigner un correspondant mandaté à cette fin par cet organisme.

La désignation d'un correspondant à la protection des données à caractère personnel est, préalablement à sa notification à la Commission nationale de l'informatique et des libertés, portée à la connaissance de l'instance représentative du personnel compétente par le responsable des traitements, par lettre remise contre signature.

Le correspondant à la protection des données à caractère personnel exerce sa mission directement auprès du responsable des traitements.

Le correspondant ne reçoit aucune instruction pour l'exercice de sa mission.

Le responsable des traitements ou son représentant légal ne peut être désigné comme correspondant.

Les fonctions ou activités exercées concurremment par le correspondant ne doivent pas être susceptibles de provoquer un conflit d'intérêts avec l'exercice de sa mission.

Le responsable des traitements fournit au correspondant tous les éléments lui permettant d'établir et d'actualiser régulièrement une liste des traitements automatisés mis en oeuvre au sein de l'établissement, du service ou de l'organisme au sein duquel il a été désigné et qui, à défaut de désignation d'un correspondant, relèveraient des formalités de déclaration prévues par les articles 22 à 24 de la loi du 6 janvier 1978 susvisée.

Dans les trois mois de sa désignation, le correspondant à la protection des données à caractère personnel dresse la liste mentionnée à l'article 47. La liste précise, pour chacun des traitements automatisés :

1° Les nom et adresse du responsable du traitement et, le cas échéant, de son représentant ;

2° La ou les finalités de traitement ;

3° Le ou les services chargés de le mettre en oeuvre ;

4° La fonction de la personne ou le service auprès duquel s'exerce le droit d'accès et de rectification ainsi que leurs coordonnées ;

5° Une description des catégories de données traitées, ainsi que les catégories de personnes concernées par le traitement ;

6° Les destinataires ou catégories de destinataires habilités à recevoir communication des données ;

7° La durée de conservation des données traitées.

La liste est actualisée en cas de modification substantielle des traitements en cause. Elle comporte la date et l'objet de ces mises à jour au cours des trois dernières années.

Le correspondant tient la liste à la disposition de toute personne qui en fait la demande.

Une copie de la liste est délivrée à l'intéressé à sa demande. Le responsable des traitements peut subordonner la délivrance de cette copie au paiement d'une somme qui ne peut excéder le coût de la reproduction.

Lorsque la liste ne recense pas la totalité des traitements mis en oeuvre par le responsable, elle mentionne que d'autres traitements relevant du même responsable figurent sur la liste nationale mise à la disposition du public en application de l'article 31 de la loi du 6 janvier 1978 susvisée.

Le correspondant veille au respect des obligations prévues par la loi du 6 janvier 1978 susvisée pour les traitements au titre desquels il a été désigné.

A cette fin, il peut faire toute recommandation au responsable des traitements.

Il est consulté, préalablement à leur mise en oeuvre, sur l'ensemble des nouveaux traitements appelés à figurer sur la liste prévue par l'article 47.

Il reçoit les demandes et les réclamations des personnes intéressées relatives aux traitements figurant sur la liste prévue par l'article 47. Lorsqu'elles ne relèvent pas de sa responsabilité, il les transmet au responsable des traitements et en avise les intéressés.

Il informe le responsable des traitements des manquements constatés avant toute saisine de la Commission nationale de l'informatique et des libertés.

Il établit un bilan annuel de ses activités qu'il présente au responsable des traitements et qu'il tient à la disposition de la commission.

Le responsable des traitements peut, avec l'accord du correspondant à la protection des données à caractère personnel, lui confier les missions mentionnées à l'article 49 pour la totalité des traitements qui dépendent du responsable.

Dans ce cas, la notification prévue à l'article 43 en fait mention.

La Commission nationale de l'informatique et des libertés peut être saisie à tout moment par le correspondant à la protection des données à caractère personnel ou le responsable des traitements de toute difficulté rencontrée à l'occasion de l'exercice des missions du correspondant. L'auteur de la saisine doit justifier qu'il en a préalablement informé, selon le cas, le correspondant ou le responsable des traitements.

La Commission nationale de l'informatique et des libertés peut à tout moment solliciter les observations du correspondant à la protection des données ou celles du responsable des traitements.

Lorsque la Commission nationale de l'informatique et des libertés constate, après avoir recueilli ses observations, que le correspondant manque aux devoirs de sa mission, elle demande au responsable des traitements de le décharger de ses fonctions en application du III de l'article 22 de la loi du 6 janvier 1978 susvisée.

Hors le cas prévu à l'article 52, lorsqu'il envisage de mettre fin aux fonctions du correspondant pour un motif tenant à un manquement aux devoirs de sa mission, le responsable des traitements saisit la Commission nationale de l'informatique et des libertés pour avis par lettre remise contre signature, comportant toutes précisions relatives aux faits dont il est fait grief.

Le responsable des traitements notifie cette saisine au correspondant dans les mêmes formes en l'informant qu'il peut adresser ses observations à la Commission nationale de l'informatique et des libertés.

La Commission nationale de l'informatique et des libertés fait connaître son avis au responsable des traitements dans un délai d'un mois à compter de la réception de sa saisine. Ce délai peut être renouvelé une fois sur décision motivée de son président.

Aucune décision mettant fin aux fonctions du correspondant ne peut intervenir avant l'expiration du délai prévu à l'alinéa précédent.

Lorsque le correspondant est démissionnaire ou déchargé de ses fonctions, le responsable des traitements en informe la Commission nationale de l'informatique et des libertés dans les formes prévues à l'article 42.

La notification de cette décision mentionne en outre le motif de la démission ou de la décharge. Il y est annexé, en lieu et place de l'accord prévu au huitième alinéa de l'article 43, le justificatif de la notification de la décision au correspondant.

Cette décision prend effet huit jours après sa date de réception par la Commission nationale de l'informatique et des libertés.

Hormis le cas du remplacement du correspondant, le responsable des traitements est alors tenu de procéder, dans le délai d'un mois, aux formalités prévues aux articles 23 et 24 de la loi du 6 janvier 1978 susvisée pour l'ensemble des traitements qui s'en étaient trouvés dispensés du fait de la désignation à laquelle il est mis fin.

Lorsque le responsable des traitements ne respecte pas ses obligations légales relatives au correspondant, la Commission nationale de l'informatique et des libertés l'enjoint par lettre remise contre signature de procéder aux formalités prévues aux articles 23 et 24 de la loi du 6 janvier 1978 susvisée. Cette lettre mentionne les traitements concernés par l'injonction ainsi que le délai dans lequel le responsable des traitements doit s'y conformer.