|
|
 |
| |
DONNEES PERSONNELLES
Citation : Caprioli & Associés, Données personnelles,
www.caprioli-avocats.com
Première publication: octobre 2005.
Le décret n° 2005-1309 du 20 octobre 2005 pris pour l'application
de la loi n° 78-17 du 6 janvier 1978 relative aux fichiers,
à l'informatique et aux libertés, modifiée par la loi n° 2004-801
du 6 août 2004
www. caprioli-avocats.com
contact@caprioli-avocats.com
Le décret du 20 octobre 2005[1]
pris en application de la loi " Informatique et Libertés "[2]
vient d'être publié au Journal officiel. Les précisions qu'il
apporte étaient attendues, en particulier en ce qui concerne
le Correspondant à la protection des données à caractère personnel,
et également, au regard des règles applicables aux nouveaux
pouvoirs de contrôle de la CNIL.
L'organisation de la Commission Nationale Informatique et Libertés
(CNIL) est développée en premier lieu (art. 1er à 6). Sont notamment
précisées les règles de convocation des membres ainsi que les
conditions de majorité relatives aux délibérations.
Pour les formalités préalables à la mise en œuvre des traitements,
les dispositions générales développent les modalités d'envoi
des déclarations, des demandes d'avis et des demandes d'autorisation
(art. 7 à 19). Les délais de réponse de la CNIL sont fixés (art.
8, art.15). Il convient de noter, en particulier, que les normes
édictées par la CNIL ainsi que les catégories de traitement
dispensés de déclaration seront publiés au Journal officiel.
A l'évidence, la consécration législative du pouvoir réglementaire
de la CNIL ne peut que renforcer ses prérogatives de contrôle
a priori.
Le titre II du décret, c'est à dire pas moins de quatorze articles
(si l'on écarte l'article 56 spécifique aux organismes de presse
écrite et audiovisuelle), est consacré :
- à la désignation du correspondant et sa
notification à la CNIL (articles 42 à 45),
- aux modalités d'exercice de sa mission (articles 46 à 51)
- aux conditions relatives à la fin de la
fonction (articles 52 à 55).
La personne désignée comme correspondant doit avoir donné son
accord par écrit, annexé à la notification (art. 43).
Le voile est certes levé sur certaines zones d'ombre laissées
par la loi. En l'occurrence, il est désormais établi que le
correspondant peut être choisi à l'extérieur de la structure
qui met en œuvre les traitements de données à caractère personnel.
Mais la facture du texte du décret est complexe et, chaque avancée
comporte sa propre limite, une nouvelle zone d'ombre en quelque
sorte. Ainsi, la désignation d'un correspondant extérieur n'est
en réalité envisageable que pour certaines structures relativement
réduites, qui ont moins de cinquante personnes chargées de la
mise en oeuvre ou ayant directement accès aux traitements automatisés
de données (article 44 du décret).
De même, si l'impossible cumul des fonctions de responsable
du traitement (ou son représentant légal) et celles du correspondant
est affirmé (article 46), rien n'est en revanche précisé quant
aux autres incompatibilités dont on ne saurait nier l'existence.
N'ouvre-t-on pas en effet une possibilité de " conflit d'intérêts
" à désigner par exemple le DRH ou le DSI en qualité de correspondant
?
En tout état de cause, compte tenu des missions imparties et
de celles qui sont susceptibles d'être rajoutées (la totalité
des traitements pouvant être confiée au correspondant en vertu
de l'article 50), il paraît en pratique plus opportun de confier
la fonction à des fins d'exercice exclusif. En ce sens également,
l'étendue des missions du correspondant est envisagée largement
- la tenue et l'actualisation des traitements existants, la
réception des demandes ou des réclamations des personnes intéressées,
la consultation préalable à toute mise en œuvre de traitement
à déclarer voire soumis à autorisation.
En revanche, le décret n'apporte pas de précision relative au
statut du correspondant, élément d'appréciation pourtant capital
pour les entreprises. Or, l'indépendance du correspondant dans
l'accomplissement de sa fonction, affirmée par la loi, méritait
d'être clarifiée. Aucune mention ne concerne pourtant la responsabilité
effective du correspondant confrontée à celle du responsable
des traitements. Partant, la question du statut du correspondant
reste entière.
Lorsque le responsable du traitement envisage de mettre fin
aux fonctions de correspondant, soit en cas de manquement aux
devoirs et obligations qui lui sont imposés, ou en cas de démission
(art. 52 à 55), la saisine de la CNIL est prévue et détaillée
(art. 51).
Autre volet capital du décret, les pouvoirs de contrôle a posteriori
de la CNIL font l'objet de développements détaillés (art. 57
à 82). A côté des dispositions générales, des règles spécifiques
sont applicables aux traitements, mis en œuvre pour le compte
de l'Etat, qui sont visés et autorisés par les articles 26 et
42 de la loi du 6 janvier 1978 modifiée (art. 83 à 89).
Les aménagements du contrôle a posteriori de la CNIL qui sont
apportés par le décret concernent l'habilitation des agents
chargés des vérifications ainsi que les modalités des contrôles
sur place et sur pièces. Le régime des sanctions administratives
de la CNIL est également développé, notamment les formations
compétentes, les différentes procédures qui peuvent être mises
en œuvre et les référés.
L'habilitation des agents des services de vérification de la
CNIL, est prévue pour une durée de cinq ans renouvelable (art.
57). Certaines incompatibilités personnelles (art. 58) ou fonctionnelles
(art. 59) excluent cette faculté. La CNIL peut suspendre l'habilitation
pour une durée maximale de six mois ou y mettre fin, lorsque
la personne n'exerce plus les missions concernées (art. 60).
Les modalités relatives au contrôle sur place sont précisément
définies, étant noté que l'accent est mis sur la transparence
de la procédure.
D'une part, la commission est tenue à une obligation d'information
à l'égard du Procureur de la République - au plus tard vingt
quatre heures avant la date du contrôle sur place (art. 61)
- et du responsable du traitement - au plus tard au début du
contrôle sur place, ou en cas d'absence du responsable dans
les huit jours suivant le contrôle (art. 62).
L'habilitation à procéder aux contrôles ainsi que l'ordre de
mission des agents chargés du contrôle sur place doivent pouvoir
être présentés à toute demande.
D'autre part, un procès verbal doit être dressé et signé par
les personnes ayant procédé au contrôle ainsi que par le responsable
des lieux. Le procès verbal doit indiquer, outre les vérifications
et les contrôles effectués, l'objet de la mission, les personnes
rencontrées et éventuellement entendues (art. 64).
Dans le cadre de leurs investigations, les agents de contrôle
de la CNIL peuvent convoquer toute personne dont l'audition
est nécessaire ou utile à l'accomplissement de leur mission
(art. 66). En outre, sur demande du président de la commission,
le recours à des experts est également prévu (art. 67), en particulier
lorsque les vérifications portent sur des données médicales
individuelles (art. 65). A cet égard, il est rappelé que le
secret professionnel est opposable aux agents chargés du contrôle,
eu égard notamment à la nature des données concernées (art.
69).
Bel exemple de coopération européenne, la CNIL peut désormais
procéder à des vérifications de traitements sur le territoire
national, à la demande d'une des autres autorités de contrôle
homologues d'un Etat membre de la Communauté européenne (art.
63).
Les sanctions administratives ne peuvent être prononcées que
par une formation restreinte, composée du président de la CNIL,
des deux vice-présidents et de trois membres élus, les conditions
d'élection étant strictement définies - majorité absolue et
majorité des membres en exercice pour voter - (art. 70 à 72).
Conformément au principe de proportionnalité posé par la loi,
deux procédures ont été distinguées selon la gravité des manquements
constatés.
Les mises en demeure, ayant pour objectif la régularisation
du ou des traitements en cause, sont adressées au responsable
par la formation restreinte, dans le cadre de la procédure ordinaire.
Dans un délai d'un mois, le responsable du traitement doit être
entendu afin de faire valoir ses observations (art. 75). L'interruption
de la mise en oeuvre d'un traitement ou le verrouillage des
données peuvent également être décidés en application de la
procédure ordinaire (art. 79).
Pour les autres sanctions (injonction de cesser le traitement,
mise en demeure non respectée), une procédure d'urgence est
instituée (art. 79 à 80). Les délais d'audition et de transmission
des observations du responsable sont dans ce cas réduits à quinze
jours, voire huit jours, selon la violation des droits et des
libertés constatée.
Préalable à l'adoption de toute sanction, le président de la
commission doit désigner un rapporteur n'appartenant pas à la
formation restreinte (art.74). Le rapporteur procède également
aux vérifications qui s'imposent et il peut également être l'interlocuteur
du responsable de traitement concerné.
Enfin, en fonction de la gravité de la situation, le président
de la CNIL peut saisir d'une demande en référé soit le juge
administratif ou le président du tribunal de grande instance.
Notes
[1] Décret n° 2005-1309 du
20 octobre 2005 pris pour l'application de la loi n° 78-17 du
6 janvier 1978 relative aux fichiers, à l'informatique et aux
libertés, modifiée par la loi n° 2004-801 du 6 août 2004, JO
22 octobre 2005. Il abroge (art. 99) le décret n° 78-774 du
17 juillet 1978 pris pour l'application des chapitres Ier à
IV et VII de la loi du 6 janvier 1978 ; le décret n° 79-1160
du 28 décembre 1979 fixant les conditions d'application aux
traitements d'informations nominatives intéressant la sûreté
de l'Etat, la défense et la sécurité publique de la loi du 6
janvier 1978 ; le décret n° 81-1142 du 23 décembre 1981 instituant
des contraventions de police en cas de violation de certaines
dispositions de la loi du 6 janvier 1978; l'article 4 du décret
n° 99-487 du 11 juin 1999.
[2] Loi n° 2004-801 du 6 août 2004 relative à la protection
des personnes physiques à l'égard des traitements de données
à caractère personnel et modifiant la loi n° 78-17 du 6 janvier
1978 relative à l'informatique, aux fichiers et aux libertés,
JO 7 août 2004.
|
|
