|
|
 |
| |
DONNEES PERSONNELLES
Citation : Caprioli & Associés, Données personnelles,
www.caprioli-avocats.com
Première publication : octobre 2004.
La loi n°2004-801 du 6 août 2004 sur les données
personnelles : nouveaux pouvoirs pour la CNIL et nouvelles opportunités
pour les entreprises.
Eric A. CAPRIOLI, Avocat à la Cour de Paris, Caprioli & Associés
(Nice- Paris)
Isabelle CANTERO, Juriste, Caprioli & Associés (Nice-Paris)
www. caprioli-avocats.com
contact@caprioli-avocats.com
Plan
I/ LES NOUVEAUX POUVOIRS DE LA CNIL
II/ LE CORRESPONDANT A LA PROTECTION DES DONNEES A CARACTERE PERSONNEL (CPDCP)
Très attendue, la loi n° 2004-801 du 6 août 2004 (JO. 7 août
2004, p.14063 et s.) relative à la protection des personnes
physiques à l'égard des traitements de données à caractère personnel
transpose la directive n°95-46 du 24 octobre 1995, se pliant
à la même logique de recherche d'un équilibre entre la circulation
des données à caractère personnel et la sauvegarde de droits
fondamentaux. Elle est organisée autour de trois titres dont
le premier modifie la loi n°78-17 du 6 janvier 1978 relative
à l'informatique, aux fichiers et aux libertés ; les deux autres
concernent les modifications apportées au code pénal et les
dispositions transitoires.
Les grands principes fondateurs du droit des données personnelles
restent les mêmes que par le passé : droit d'accès, de rectification
et de suppression des données, droit à l'oubli pour la personne
concernée.
Par ailleurs, la loi consacre le principe de libre circulation
des données dans l'Union européenne. Les traitements de données
particulières font l'objet de dispositions spécifiques ainsi
que les transferts de données à caractère personnel effectués
vers des Etats situés hors de la Communauté européenne.
Parmi les changements majeurs, la loi nouvelle confère des
pouvoirs supplémentaires à la Commission Nationale Informatique
et Libertés (CNIL) - notamment en matière de sanctions -
(I) et elle institue des correspondants à la protection des
données (II) destinés à faciliter les formalités préalables
de mise en œuvre des traitements.
I. LES NOUVEAUX POUVOIRS DE LA CNIL
Aux termes de la loi, la CNIL reste chargée du contrôle a
priori des traitements automatisés de données personnelles
et elle pourra désormais exercer un contrôle a posteriori.
Le principe de déclaration préalable des traitements de données
à caractère personnel est maintenu mais il connaît de multiples
aménagements. La loi prévoit notamment que les traitements susceptibles
de présenter des risques à l'égard des droits et des libertés
ne pourront être mis en œuvre qu'après autorisation (article
25). Il convient de souligner à ce propos que la distinction
entre traitements subordonnés à autorisation et traitements
soumis à simple déclaration dépend de la nature des données
concernées (données sensibles - données courantes) et non plus
de la qualité publique ou privée de l'entité qui les crée. Les
procédures de déclaration pour les secteurs publics et privés
ont été en effet très largement uniformisées pour les traitements
ne présentant aucun risque.
Par ailleurs, le nouveau dispositif offre à la CNIL des possibilités
de contrôle a posteriori des traitements déclarés. Les pouvoirs
d'investigation et d'intervention qui lui sont attribués (contrôle
sur pièces et sur place) sont accrus et définis de manière précise.
Elle pourra ordonner le verrouillage, l'effacement ou la destruction
des données à risque. Selon la gravité des manquements commis,
elle pourra adresser des avertissements susceptibles d'être
publiés (ce qui existait dans le régime de la loi de 1978),
mises en demeure ou injonctions de cesser les traitements en
cause. La CNIL dispose désormais d'un véritable pouvoir de sanction
puisqu'elle pourra prononcer des sanctions pécuniaires allant
jusqu'à 300.000 euros dans les cas graves de manquement aux
obligations légales de traitement de données. De fait, lors
du premier manquement la sanction pécuniaire ne pourra excéder
150.000 euros. Au cours des cinq années suivant la sanction
pécuniaire définitive, si le responsable du traitement en cause
n'a pas régulariser sa situation, la CNIL pourra augmenter le
montant de la sanction pécuniaire porté à 300.000 euros au maximum
ou, pour les entreprises à 5% du chiffre d'affaires hors taxes
du dernier exercice clos plafonné à 300.000 euros.
La loi nouvelle met ainsi en place une véritable généralisation
des pouvoirs de contrôle de la CNIL. Ce renforcement s'accompagne
toutefois d'un allègement des procédures de déclaration des
traitements de données à caractère personnel. A l'instar de
certains autres Etats membres, elle institue un intermédiaire
entre l'autorité de contrôle et les responsables de traitements.
II. LE CORRESPONDANT A LA PROTECTION DES
DONNEES A CARACTERE PERSONNEL (CPDCP)
Jusqu'alors, tout traitement devait faire l'objet d'une déclaration
préalable auprès de la CNIL afin qu'elle puisse en contrôler
la légalité notamment en fonction de la finalité du traitement.
Les responsables de traitement qui n'accomplissaient pas les
formalités légales requises s'exposaient à des sanctions pénales.
Le principe de déclaration a été confirmé par la jurisprudence
et notamment récemment dans le domaine social. Dans un arrêt
en date du 6 avril 2004 (Bull. civ. 2004, V, n°103, p.93), la
Cour de cassation, Chambre sociale, a en effet précisé les conséquences,
pour l'employeur, du défaut de déclaration auprès de la CNIL
de la mise en œuvre d'un traitement automatisé de données nominatives[1].
Notons toutefois, que certains employeurs n'ont pas forcément
volontairement omis de procéder aux déclarations requises, même
si la CNIL en avait simplifier les procédures et que les sanctions
encourues pouvaient s'avérer trop lourdes.
Dans ce contexte, une innovation majeure de la loi consiste
en l'institution de "correspondants à la protection des
données à caractère personnel" (CPDCP). Pour les données
peu sensibles (gestion de personnel, par exemple), l'article
4 dispense de la formalité de déclaration préalable les entreprises
qui auront désigné un correspondant à la CNIL (CPDCP). Cette
faculté est également prévue pour les administrations et les
collectivités locales. La désignation du CPDCP devra être notifiée
à la CNIL et aux instances représentatives du personnel. L'exonération
de déclaration préalable ne concerne pas les traitements de
données sensibles (ex : données relatives à la santé).
La loi ne propose pas de véritable définition de ce correspondant
: il s'agit d'une "personne bénéficiant des qualifications
requises pour exercer ses missions". Les qualifications
nécessaires restent à préciser mais il paraît toutefois logique
que les candidats devront disposer à tout le moins d'une double
compétence, juridique et technique.
De même, les missions du correspondant devront être clairement
définies, ce qui est attendu des décrets d'application à venir.
On sait d'ores et déjà que le correspondant est investi d'une
mission générale de contrôle des traitements effectués par son
entreprise et qu'à ce titre, il est chargé d'assurer le respect
des obligations légales existantes. Il doit tenir un registre
desdits traitements et répertorier les informations nécessaires
à toute déclaration préalable à la CNIL. De fait, il sera donc
chargé des déclarations auprès de la CNIL pour les données sensibles
et devra assurer le suivi des traitements.
La loi précise que le correspondant doit remplir ses missions
" d'une manière indépendante " : il ne peut faire l'objet
d'aucune sanction de la part de son employeur du fait de l'accomplissement
de sa tâche. Le statut du correspondant ainsi posé soulève quelques
réserves. D'une part, l'indépendance du correspondant salarié
est perçue comme très relative compte tenu du lien de subordination
entre le correspondant et son employeur. D'autre part, les contours
de la responsabilité du correspondant restent flous : il n'est
pas responsable au nom de l'entreprise, toutefois, en cas de
fautes ou manquements qui restent à préciser, la CNIL pourra
le décharger de ses fonctions.
Le nouveau cadre légal étant ainsi posé, le statut du correspondant
peut soulever aujourd'hui quelques inquiétudes dont il y a fort
à parier qu'elles disparaîtront dès que toutes les précisions
et clarifications nécessaires à ce jour auront été apportées.
Comme dans de nombreux autres domaines, tels que comptable,
financier ou juridique, il existe des fonctions qui sont exercées
par des salariés tenus de respecter les obligations légales
en vigueur. Ils agissent dans le cadre de leur contrat de travail,
sans pour autant qu'ils soient indépendants vis à vis de leur
employeur.
De même, le CPDCP devra servir les intérêts de son entreprise
tout en veillant au respect des dispositions légales et réglementaires,
constituant ainsi un intermédiaire opportun entre l'autorité
de contrôle (CNIL) et l'entreprise.
On l'a compris cette nouvelle loi revêt une très grande importance
pour tous les organismes privés et publics qui traitent des
données à caractère personnel, spécialement lorsque ces données
ont vocation à être utilisées dans le cadre de leurs activités
commerciales (ex : sites internet ou fichiers clients) et de
prospection ainsi que pour leur fonctionnement.
Notes
[1] Cour de cassation, chambre
sociale, arrêt n°944 du 6 avril 2004. L'arrêt confirme que le
licenciement d'un salarié est sans cause réelle et sérieuse
en raison du défaut de déclaration d'un système de contrôle
automatisé des entrées et sorties des salariés au moyen de badges.
Le salarié avait à plusieurs reprise refuser de se soumettre
au contrôle mis en place, motif retenu par l'employeur pour
le licencier. Or, alors même que l'obligation de contrôle était
consignée dans le règlement intérieur de l'entreprise, le non
respect de l'obligation de déclaration du système incombant
à l'employeur a pour effet de le priver de toute possibilité
de sanction à l'égard du salarié contrevenant.
|
|
