|
|
 |
| |
DONNEES PERSONNELLES
Citation : Eric A. CAPRIOLI, Avocat à la Cour de Paris, Docteur
en droit et Isabelle Cantéro, Juriste, Responsable du
Département Vie privée et données personnelles,
Caprioli & Associés, Données personnelles, www.caprioli-avocats.com
Première mise en ligne : septembre 2006
Le Correspondant à la protection des données
à caractère personnel : un nouvel arbitre pour
l'entreprise
Eric A. CAPRIOLI, Avocat à la Cour de Paris, Docteur en droit
et Isabelle Cantéro, Juriste, Responsable du Département
Vie privée et données personnelles, Caprioli &
Associés (Paris, Nice)
www. caprioli-avocats.com
contact@caprioli-avocats.com
Plan
LE CORRESPONDANT
A LA PROTECTION DES DONNEES DEVRAIT FACILITER LES DEMARCHES
DES ENTREPRISES VIS-A-VIS DE LA CNIL
PAS DE
PROFIL TYPE REQUIS, MAIS DES CONNAISSANCES EN INFORMATIQUE,
EN DROIT ET SUR L'ENTREPRISE SONT RECOMMANDEES
LE CORRESPONDANT A LA PROTECTION DES DONNESSERA-T-IL PRIS ENTRE " LE MARTEAU ET L'ENCLUME "
UN ROLE A GEOMETRIE VARIABLE ET DES RESPONSABILITES QUI RESTENT ENCORE A DETERMINER
DANS LES GRANDES ENTREPRISES LE C.P.D.C.P. S'IMPOSE, DANS LES
PETITES CELA SE DISCUTE
I/ REGIME JURIDIQUE DE L'ENTREPRISE QUALIFIEE
DE FOURNISSEUR D'ACCES
La loi n° 2004-801 du 6 août 2004[1] relative à la protection
des personnes physiques à l'égard des traitements de données
à caractère personnel était très attendue. Elle transpose la
directive européenne n°95-46 du 24 octobre 1995, en se pliant
à la même logique de recherche d'un équilibre entre la circulation
des données à caractère personnel et la sauvegarde de droits
fondamentaux de la personne. Elle consacre le principe de libre
circulation des données à caractère personnel au sein de l'Union
européenne. Il faut tout de même rappeler que la désignation
de ce type de correspondant existe depuis plus de vingt ans
dans certains pays de l'Union Européenne et notamment en Allemagne.
Jusqu'à l'adoption de la nouvelle loi, toute collecte et traitement
de données personnelles devaient faire l'objet d'une déclaration
préalable auprès de la CNIL en fonction de sa finalité. Les
responsables de traitement qui n'accomplissaient pas les formalités
légales requises s'exposaient à des sanctions pénales. Récemment,
le principe de l'obligation de déclaration préalable a eu d'importantes
conséquences en matière sociale. Ainsi, un arrêt en date du
6 avril 2004[2] de la chambre sociale de la Cour de cassation
a précisé les conséquences juridiques, pour l'employeur, du
défaut de déclaration auprès de la CNIL de la mise en œuvre
d'un traitement automatisé de données à caractère personnel.
L'arrêt confirme que le licenciement d'un salarié est sans cause
réelle et sérieuse en raison du défaut de déclaration d'un système
de contrôle automatisé des entrées et sorties des salariés à
l'aide de badges. Le licenciement se fondait sur les refus répétés
du salarié de se soumettre au contrôle mis en place. Pourtant,
à la lecture de la décision, il apparaît que l'obligation de
contrôle était consignée dans le règlement intérieur de l'entreprise.
Or, le non-respect de l'obligation de déclaration du système
incombant à l'employeur a pour effet de le priver de toute possibilité
de sanction à l'égard du salarié contrevenant.
Les règles relatives à la protection des données sont d'ordre
public ! En cas de non respect, ces règles sont pénalement sanctionnées.
En matière de données à caractère personnel, d'autres dispositions
doivent être prises en compte par les acteurs de l'économie
numérique, spécialement les données biométriques (empreinte
digitales, iris,...)[3] et
celles collectées à des fins de prospection commerciale[4].
Un arrêt de la Cour de cassation, chambre criminelle, du 14
mars 2006, vient de décider que l'aspiration d'adresse e-mails
était contraire à la loi Informatique, Fichiers et Liberté[5].
La décision se fonde sur la version de la loi antérieure au
6 août 2004, mais la solution vaut pour la nouvelle loi qui
impose le consentement préalable des personnes. La collecte
est jugée déloyale, dès lors qu'elle est faite à l'insu des
" personnes physiques sur l'espace d'internet, ce procédé faisant
obstacle à leur droit d'opposition. ".
Mais on peut citer d'autres domaines comme les alertes éthiques
qui imposent une analyse où les questions relatives aux données
personnelles se mêlent à la problématique du droit du travail
(pour une ordonnance de retrait du dispositif d'alerte, voir
TGI Libournes du 15 septembre 2005)[6].
LE CORRESPONDANT A LA PROTECTION DES DONNEES DEVRAIT FACILITER
LES DEMARCHES DES ENTREPRISES VIS-A-VIS DE LA CNIL
Parmi les changements majeurs qui sont intervenus, la loi nouvelle
institue la faculté de désigner des correspondants à la protection
des données à caractère personnel ("C.P.D.C.P.") ou mal dénommée
par certains au travers de l'acronyme " C.I.L. " (Correspondant
Informatique et Libertés). Cette mesure innovante, mais que
l'on trouve à l'article 18 de la directive du 24 octobre 1995
(qui parle de " détaché à la protection des données à caractère
personnel "), est destinée à faciliter les formalités préalables
de mise en œuvre des traitements des données courantes. La désignation
d'un " C.P.D.C.P. " concerne les données non sensibles qui font
l'objet d'in traitement et qui sont soumises aux procédures
de déclarations ordinaire et simplifiée. Ainsi, après avoir
mis en place une véritable généralisation des pouvoirs de contrôle
a posteriori de la CNIL (en dépit de son absence de moyens humains
et financiers !), le nouveau dispositif allège les procédures
de déclaration des traitements de données à caractère personnel.
A l'instar de certains autres Etats membres comme l'Allemagne
où la désignation de ce type de correspondant est obligatoire
depuis plus d'un quart de siècle, la loi française institue
un intermédiaire entre l'autorité de contrôle (la CNIL) et les
responsables de traitements (entreprises, associations, administrations,
collectivités territoriales,...). L'institution de " C.P.D.C.P.
" constitue justement une dispense au principe de déclaration
obligatoire[7].
Le décret d'application du 20 octobre 2005[8] fixe le cadre
juridique du " C.P.D.C.P. ". Son titre III, intitulé " Des correspondants
à la protection des données ", comporte quatorze articles[9].
Le nouveau décret lève le voile sur certaines zones d'ombre
de la loi. En l'occurrence, il est désormais établi que le correspondant
peut être choisi à l'extérieur de la structure qui met en œuvre
les traitements de données à caractère personnel. Mais le décret
reste complexe et, chaque avancée comporte sa propre limite,
une nouvelle zone d'incertitude.
Il convient toutefois de rappeler avec force que la protection
des données à caractère personnel s'inscrit plus largement dans
une démarche de mise en conformité (" compliance ") juridique
que ce soit pour le respect d'une obligation légale (ex : Règlement
CRBF 97-02 pour les banques)[10], pour le contrôle interne ou
pour le respect des règles de droit. Mais il ne faut pas non
plus occulter que le respect des règles " Informatique et Libertés
" s'impose dans le cadre d'une politique de bonne gestion des
droits et libertés des personnes qui sont en relation avec l'organisation
en cause : salariés, clients et prospects, fournisseurs (pour
l'entreprise), ...
Ainsi, les articles 42 à 45 traitent des modalités de la désignation
du correspondant (dont la notification à la CNIL), les articles
46 à 51 des conditions d'exercice de sa mission, et enfin les
articles 52 à 55 de la fin de la fonction.
PAS DE PROFIL TYPE REQUIS, MAIS DES CONNAISSANCES EN INFORMATIQUE, EN DROIT ET SUR L'ENTREPRISE SONT RECOMMANDEES
Pour les données à caractère personnel peu sensibles ou courantes
(par exemple en matière de gestion du personnel), l'article
22-III de la loi dispense de la formalité de déclaration préalable
les entreprises qui auront désigné un correspondant à la CNIL
(" C.P.D.C.P. "). Cette faculté est applicable au secteur privé
et à la sphère publique (administrations, établissements publics
et collectivités locales[11]). La désignation du " C.P.D.C.P.
" devra être notifiée à la CNIL, ainsi qu'aux instances représentatives
du personnel (préalablement à la désignation et à la notification
à la CNIL). Il convient de souligner que la personne désignée
comme correspondant doit avoir donné son accord par écrit, lequel
sera annexé à la notification (art. 43).
La dispense de déclaration préalable ne concerne pas les traitements
de données sensibles (ex : les données biométriques ou relatives
à la santé) qui relèvent du régime de l'autorisation ou encore
les traitements qui procèdent à un transfert de données à caractère
personnel hors des Etats membres de l'Union européenne[12].
La collecte et la gestion de données à caractère personnel relèvent
de la sécurité des systèmes d'information en ce sens que les
traitements informatiques doivent s'inscrire dans le respect
des finalités déclarées et que l'entreprise doit protéger les
fichiers constitués contre les atteintes et les accès non autorisés
(art. 34 et 35 de la Loi). C'est pourquoi la protection des
droits des personnes s'effectue par la mise en place de moyens
techniques et organisationnels, ainsi que par des mesures de
sécurité informatique.
La loi ne propose pas de véritable définition du correspondant
: il s'agit d'une " personne bénéficiant des qualifications
requises pour exercer ses missions ". Si rien n'est dit sur
les qualifications professionnelles du " C.P.D.C.P. ", on peut
supposer qu'elles relèvent des domaines informatique et juridique,
mais aussi de la connaissance du métier et de l'organisation
de l'entité.
Cette fonction devrait concerner les groupes d'entreprises qui
pourront désigner en interne un correspondant pour l'ensemble
du groupe avec des intermédiaires dans chaque société filiale,
ou un correspondant pour chaque société filiale, mais aussi
les petites entreprises qui externaliseraient de façon mutualisée
les fonctions de " C.P.D.C.P." . Mais, le décret a fixé un seuil
au-delà duquel l'externalisation de la fonction sera impossible.
Ainsi, aux termes de l'article 44 du décret, la désignation
d'un correspondant externe n'est en réalité envisageable que
pour certaines structures relativement réduites, qui ont moins
de cinquante personnes chargées de la mise en oeuvre ou ayant
directement accès aux traitements automatisés de données.
Parmi les personnes externes à l'entreprise, il pourrait s'agir
d'un avocat ou d'un conseil spécialisé en protection des données
personnelles. De même, si l'impossible cumul des fonctions de
responsable du traitement (ou son représentant légal) et celles
du correspondant est affirmé (art. 46), rien n'est en revanche
précisé quant aux autres incompatibilités dont on ne saurait
nier l'existence. N'ouvre-t-on pas, en effet, une possibilité
de " conflit d'intérêts " à désigner par exemple le DRH ou le
DSI en qualité de correspondant, voire l'avocat qui est le conseil
habituel de l'entreprise ?
LE CORRESPONDANT
A LA PROTECTION DES DONNES SERA-T-IL PRIS ENTRE " LE MARTEAU
ET L'ENCLUME " ?
La CNIL a notamment précisé que " la position hiérarchique du
CIL " (le " C.P.D.C.P. ") doit être caractérisée par la possibilité
de communiquer directement avec la direction de l'organisme,
l'interdiction pour le responsable de traitement d'interférer
dans l'accomplissement des missions du " C.P.D.C.P. " et l'absence
de conflits d'intérêt avec les fonctions exercées en même temps
qui sont de nature à apporter les garanties d'indépendance.
Ainsi, à l'évidence, les dirigeants de l'entreprise ne devraient
pas pouvoir être désignés comme correspondant[13].
La loi précise que le correspondant doit remplir ses missions
" d'une manière indépendante " : il ne peut faire l'objet d'aucune
sanction de la part de son employeur du fait de l'accomplissement
de sa tâche. Cette dimension peut s'avérer délicate à gérer
par l'organisme en cas de conflit ou de litige avec le " C.P.D.C.P.
". Le statut du correspondant ainsi posé soulève quelques réserves.
D'une part, l'indépendance du correspondant salarié est perçue
comme très relative compte tenu du lien de subordination entre
le correspondant et son employeur. La loi ne met pas en place
un statut de salarié protégé, réservé aux représentants du personnel
et, dans ce cas, le " C.P.D.C.P. " devra servir les intérêts
de son entreprise tout en veillant au respect des dispositions
légales et réglementaires. Par exemple, en cas de non respect
des obligations légales, le correspondant devra en informer
la CNIL… Ménager ces deux intérêts pourra donner lieu à quelques
difficultés pour le " C.P.D.C.P. ".
UN ROLE
A GEOMETRIE VARIABLE ET DES RESPONSABILITES QUI RESTENT ENCORE
A DETERMINER
Les missions du correspondant devaient être clairement définies
par le décret du 20 octobre 2005. Par comparaison avec les pays
dans lesquels ont déjà été mis en place des " C.P.D.C.P. " (comme
l'Allemagne, la Suède ou les Pays Bas), la mission du " C.P.D.C.P.
" consiste notamment à :
• sensibiliser, réaliser ou faire faire
des formations, diffuser des informations relatives à la loi
Informatique et Libertés ; " superviser les traitements mis
en œuvre, " établir une liste des traitements dont les éléments
à mentionner sont fixés par le décret ; " détecter les problèmes
éventuels liés à la mise en œuvre des traitements ; " alerter
les autorités de tutelle en cas de problème identifié ou de
soupçon sur la conformité d'un traitement.
L'article 47 du décret établit les traitements qui doivent figurer
sur la liste, ainsi que les éléments à mentionner pour chacun
desdits traitements (art. 48). En outre, la liste doit être
mise à jour et elle doit être mise à la disposition de toute
personne qui en fait la demande. Certains verront dans cet allègement
une simple dispense de la mise sous pli et de l'affranchissement
des déclarations à la CNIL, étant donné qu'il y a peu de différence
de travail entre la tenue de la liste des traitements soumis
à déclaration et l'établissement de la déclaration en tant que
telle. A méditer...
Plus généralement, le " C.P.D.C.P. " est investi d'une mission
de contrôle des traitements effectués par son entreprise (ou
organisme public) et à ce titre, il est chargé d'assurer le
respect des obligations légales existantes. Il doit tenir un
registre desdits traitements et répertorier les informations
nécessaires à toute déclaration préalable à la CNIL.
De fait, il pourra donc être chargé des déclarations auprès
de la CNIL pour les données sensibles, soumises à autorisation
ou pour les transferts en dehors de l'Union européenne et il
devra assurer le suivi des traitements. A quel titre interviendra-t-il
? En tant que " C.P.D.C.P. " ou en tant que délégataire du responsable
des traitements ? Ce changement du périmètre de responsabilité
du " C.P.D.C.P." devra être soigneusement analysé et transcrit
dans les documents contractuels applicables au salarié. Si le
" C.P.D.C.P. " est un tiers/externe, c'est le contrat de prestation
de services qui devra être négocié avec soin.
D'autre part, les contours de la responsabilité du " C.P.D.C.P.
" restent flous : il n'est pas responsable au nom de l'entreprise.
Toutefois, en cas de fautes ou manquements qui restent à préciser,
la CNIL pourra le décharger de ses fonctions. Dès lors, le responsable
des traitements devra effectuer les déclarations auprès de la
CNIL (ou remplacer le correspondant). De plus, la question reste
ouverte d'une éventuelle responsabilité pénale du correspondant.
Le responsable du traitement encourt de lourdes responsabilités
au regard de l'article 34 de la loi Informatique et Libertés[14]
ou des articles 226-16 à 226-24 du Code pénal. De son côté,
le " C.P.C.D.P. " pourrait être soumis à certaines obligations
et sa responsabilité pourrait être engagée. Par exemple, s'il
n'a pas signalé les précautions nécessaires à prendre en terme
de sécurité au responsable[15]. Mais les réponses restent incertaines
et les risques juridiques malaisés à maîtriser.
Lorsque le responsable du traitement envisage de mettre fin
aux fonctions de correspondant, soit en cas de manquement aux
devoirs et obligations qui lui sont imposés, soit en cas de
démission (art. 52 à 55), la saisine de la CNIL est prévue et
détaillée (art. 51). Cette fin de fonction " C.P.D.C.P. " sera,
selon l'hypothèse retenue, distincte ou non de la cessation
du contrat de travail.
DANS LES
GRANDES ENTREPRISES LE C.P.D.C.P. S'IMPOSE, DANS LES PETITES
CELA SE DISCUTE
La décision de l'entreprise ou de l'organisme correspond à un
véritable choix stratégique et organisationnel dont chaque élément
doit être pesé. Les risques juridiques ne sont pas négligeables.
La démarche pour faire un choix est essentielle, elle s'opère
en trois phases :
1°) Analyse/Audit : Il s'agit de faire un inventaire
complet des fichiers déclarés et des autres fichiers et d'établir
les outils de l'audit (grilles d'audit,...).
2°) Diagnostic : Les différents traitements doivent être
qualifiés juridiquement. De la sorte, on pourra déterminer la
quantité des fichiers qui relèvent de la compétence du " C.P.D.C.P.
" par rapport à ceux qui relèvent de la responsabilité du responsable
des traitements.
L'examen portera également sur l'organisation des pouvoirs et
des délégations au sein de l'organisation en cause.
En principe, c'est à ce stade que la décision doit se prendre
: Désignation auprès de la CNIL ou non ? De quel profil et de
quel niveau de responsabilité a-t-on besoin ?
Dans les grandes entreprises, on peut penser que le " C.P.D.C.P.
" est une fonction qui doit être exercée par une personne indépendante,
chargée d'une mission transversale, par exemple le responsable
de la conformité, le responsable de la déontologie, de l'audit
interne. Le rattachement devra sans doute être auprès du secrétaire
général ou de la direction générale. La fonction ne doit pas
être rattachée à une direction qui crée des fichiers et qui
fixe leurs finalités.
Dans les plus petites entreprises, il n'y a pas de réponse unique.
3°) Prescriptions : Des modifications contractuelles
devront être apportées aux contrats de travail du C.P.D.C.P.
et du responsable des traitements. La conformité de leurs délégations
devra être vérifiée. La charte informatique nécessitera sans
doute des remaniements. Un plan d'actions relatives à la fonction
devra être établi : sensibilisation, formation/labellisation,
procédures internes, formalités relatives aux traitements, tenue
de la liste et/ou des fichiers, bilan " CNIL ", etc.
Les missions peuvent être exercées en interne, sans désignation
officielle à la CNIL - une fonction de responsable de la vie
privée (" chief privacy officer ") - et partant, non soumise
au présent décret. A tout le moins, il reste que les traitements
de l'entreprise ou de l'organisme doivent être conformes aux
obligations légales et qu'au minimum la fonction de " Responsable
Vie privée et Données personnelles" (non assujetti au décret
du 20 octobre 2005) doit être assurée au même titre que l'obligation
de tenir une comptabilité.
La fonction de responsable des données à caractère personnel
qu'il soit " C.P.D.C.P. " désigné auprès de la CNIL ou non,
est incontournable ; elle contribue à la protection et à la
valorisation des données des personnes, élément essentiel du
patrimoine informationnel des entreprises et des organisations
publiques.
Pour plus d'information, voir nos articles sur le Correspondant
à la protection des données : J.C.P. éd. E, Cahiers de droit
de l'entreprise :
Notes
[1] JO. 7 août 2004, p. 14063
et s. Voir la rubrique protection des données personnelles sur
le site www.caprioli-avocats.com.
[2] Bull. civ. 2004, V, n°103, p.93 ; décision disponible sur
le site : legifrance.gouv.fr.
[3] Ces données doivent faire l'objet d'une demande d'autorisation
auprès conformément à ses recommandations.
[4] Eric A. Caprioli, Loi du
6 août 2004 : commerce à distance sur Internet et protection
des données à caractère personnel, disponible sur le site :
www.caprioli-avocats.com.
[5] Cass. crim. 14 mars 2006, n° pourvoi : 05-83423, publié
au bulletin, disponible sur le site www.legifrance.gouv.fr.
[6] Eric A. Caprioli, Commentaire de la décision, Les Echos
du 2 novembre 2005.
[7] Art. 22-III de la loi Informatique,
Fichiers et Libertés.
[8] Décret n° 2005-1309 du 20 octobre 2005 pris pour l'application
de la loi n°78-17 du 6 janvier 1978 relative à l'informatique,
aux fichiers et aux libertés, modifiée par la loi n°2004-801
du 6 août 2004, JO. 22 octobre 2005, p. 16769. V. Isabelle Cantéro,
Décret du 20 octobre 2005 pris en application de la loi " Informatique
et Libertés ", Com. Comm. Electr., février 2006, n° 6.
[9] Il est important de souligner que le décret du 20 octobre
2005 comporte un article 56 qui est spécifique aux organismes
de presse écrite et audiovisuelle
[10] Eric A. Caprioli, Commentaire de l'arrêté du 31 mars 2005
modifiant le règlement du comité de la réglementation bancaire
et financière n°97-02 du 21 février 1997 relatif au contrôle
interne des établissements de crédit et des entreprises d'investissement,
Comm. Com. Electr., octobre 2005, n°167, p. 49 et s.
[11] V. Eric A. Caprioli, Isabelle Cantéro, Protection des données,
Les nouveaux pouvoirs de contrôle de la CNIL dans les collectivités
territoriales, voir : www.caprioli-avocats.com.
[12] Pierre Leclercq, Le contrat international sur les données
personnelles, in Les deuxième journées internationales du droit
du commerce électronique, sous la direction scientifique de
Eric A. Caprioli, Litec, Act. Dr. de l'entrep., mars 2005, p.
243 et s.
[13] V. sur le site de la CNIL, disponible à l'adresse : www.cnil.fr.
[14] Le I. de cet article
dispose : " Le responsable du traitement est tenu de prendre
toutes précautions utiles, au regard de la nature des données
et risques présentés par le traitement, pour préserver la sécurité
des données et, notamment, empêcher qu'elles soient déformées,
endommagées ou que des tiers non autorisés y aient accès ".
[15] On peut penser qu'il s'agit du responsable des traitements
qui désigne le CPDCP au vu de la rédaction de l'article 22-III
de la loi Informatique et Libertés.
|
|
