Citation : Caprioli & Associés, Données personnelles, www.caprioli-avocats.com Première publication : octobre 2004. La loi n°2004-801 du 6 août 2004 sur les données personnelles : nouveaux pouvoirs pour la CNIL et nouvelles opportunités pour les entreprises. Eric A. CAPRIOLI, Avocat à la Cour de Paris, Caprioli & Associés (Nice- Paris) Isabelle CANTERO, Juriste, Caprioli & Associés (Nice-Paris) www. caprioli-avocats.com contact@caprioli-avocats.com
Plan I/ LES NOUVEAUX POUVOIRS DE LA CNIL II/ LE CORRESPONDANT A LA PROTECTION DES DONNEES A CARACTERE PERSONNEL (CPDCP)
Très attendue, la loi n° 2004-801 du 6 août 2004 (JO. 7 août 2004, p.14063 et s.) relative à la protection des personnes physiques à l'égard des traitements de données à caractère personnel transpose la directive n°95-46 du 24 octobre 1995, se pliant à la même logique de recherche d'un équilibre entre la circulation des données à caractère personnel et la sauvegarde de droits fondamentaux. Elle est organisée autour de trois titres dont le premier modifie la loi n°78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés ; les deux autres concernent les modifications apportées au code pénal et les dispositions transitoires. Les grands principes fondateurs du droit des données personnelles restent les mêmes que par le passé : droit d'accès, de rectification et de suppression des données, droit à l'oubli pour la personne concernée. Par ailleurs, la loi consacre le principe de libre circulation des données dans l'Union européenne. Les traitements de données particulières font l'objet de dispositions spécifiques ainsi que les transferts de données à caractère personnel effectués vers des Etats situés hors de la Communauté européenne. Parmi les changements majeurs, la loi nouvelle confère des pouvoirs supplémentaires à la Commission Nationale Informatique et Libertés (CNIL) - notamment en matière de sanctions - (I) et elle institue des correspondants à la protection des données (II) destinés à faciliter les formalités préalables de mise en œuvre des traitements. I. LES NOUVEAUX POUVOIRS DE LA CNIL Aux termes de la loi, la CNIL reste chargée du contrôle a priori des traitements automatisés de données personnelles et elle pourra désormais exercer un contrôle a posteriori. Le principe de déclaration préalable des traitements de données à caractère personnel est maintenu mais il connaît de multiples aménagements. La loi prévoit notamment que les traitements susceptibles de présenter des risques à l'égard des droits et des libertés ne pourront être mis en œuvre qu'après autorisation (article 25). Il convient de souligner à ce propos que la distinction entre traitements subordonnés à autorisation et traitements soumis à simple déclaration dépend de la nature des données concernées (données sensibles - données courantes) et non plus de la qualité publique ou privée de l'entité qui les crée. Les procédures de déclaration pour les secteurs publics et privés ont été en effet très largement uniformisées pour les traitements ne présentant aucun risque. Par ailleurs, le nouveau dispositif offre à la CNIL des possibilités de contrôle a posteriori des traitements déclarés. Les pouvoirs d'investigation et d'intervention qui lui sont attribués (contrôle sur pièces et sur place) sont accrus et définis de manière précise. Elle pourra ordonner le verrouillage, l'effacement ou la destruction des données à risque. Selon la gravité des manquements commis, elle pourra adresser des avertissements susceptibles d'être publiés (ce qui existait dans le régime de la loi de 1978), mises en demeure ou injonctions de cesser les traitements en cause. La CNIL dispose désormais d'un véritable pouvoir de sanction puisqu'elle pourra prononcer des sanctions pécuniaires allant jusqu'à 300.000 euros dans les cas graves de manquement aux obligations légales de traitement de données. De fait, lors du premier manquement la sanction pécuniaire ne pourra excéder 150.000 euros. Au cours des cinq années suivant la sanction pécuniaire définitive, si le responsable du traitement en cause n'a pas régulariser sa situation, la CNIL pourra augmenter le montant de la sanction pécuniaire porté à 300.000 euros au maximum ou, pour les entreprises à 5% du chiffre d'affaires hors taxes du dernier exercice clos plafonné à 300.000 euros. La loi nouvelle met ainsi en place une véritable généralisation des pouvoirs de contrôle de la CNIL. Ce renforcement s'accompagne toutefois d'un allègement des procédures de déclaration des traitements de données à caractère personnel. A l'instar de certains autres Etats membres, elle institue un intermédiaire entre l'autorité de contrôle et les responsables de traitements. II. LE CORRESPONDANT A LA PROTECTION DES DONNEES A CARACTERE PERSONNEL (CPDCP) Jusqu'alors, tout traitement devait faire l'objet d'une déclaration préalable auprès de la CNIL afin qu'elle puisse en contrôler la légalité notamment en fonction de la finalité du traitement. Les responsables de traitement qui n'accomplissaient pas les formalités légales requises s'exposaient à des sanctions pénales. Le principe de déclaration a été confirmé par la jurisprudence et notamment récemment dans le domaine social. Dans un arrêt en date du 6 avril 2004 (Bull. civ. 2004, V, n°103, p.93), la Cour de cassation, Chambre sociale, a en effet précisé les conséquences, pour l'employeur, du défaut de déclaration auprès de la CNIL de la mise en œuvre d'un traitement automatisé de données nominatives[1]. Notons toutefois, que certains employeurs n'ont pas forcément volontairement omis de procéder aux déclarations requises, même si la CNIL en avait simplifier les procédures et que les sanctions encourues pouvaient s'avérer trop lourdes. Dans ce contexte, une innovation majeure de la loi consiste en l'institution de "correspondants à la protection des données à caractère personnel" (CPDCP). Pour les données peu sensibles (gestion de personnel, par exemple), l'article 4 dispense de la formalité de déclaration préalable les entreprises qui auront désigné un correspondant à la CNIL (CPDCP). Cette faculté est également prévue pour les administrations et les collectivités locales. La désignation du CPDCP devra être notifiée à la CNIL et aux instances représentatives du personnel. L'exonération de déclaration préalable ne concerne pas les traitements de données sensibles (ex : données relatives à la santé). La loi ne propose pas de véritable définition de ce correspondant : il s'agit d'une "personne bénéficiant des qualifications requises pour exercer ses missions". Les qualifications nécessaires restent à préciser mais il paraît toutefois logique que les candidats devront disposer à tout le moins d'une double compétence, juridique et technique. De même, les missions du correspondant devront être clairement définies, ce qui est attendu des décrets d'application à venir. On sait d'ores et déjà que le correspondant est investi d'une mission générale de contrôle des traitements effectués par son entreprise et qu'à ce titre, il est chargé d'assurer le respect des obligations légales existantes. Il doit tenir un registre desdits traitements et répertorier les informations nécessaires à toute déclaration préalable à la CNIL. De fait, il sera donc chargé des déclarations auprès de la CNIL pour les données sensibles et devra assurer le suivi des traitements. La loi précise que le correspondant doit remplir ses missions " d'une manière indépendante " : il ne peut faire l'objet d'aucune sanction de la part de son employeur du fait de l'accomplissement de sa tâche. Le statut du correspondant ainsi posé soulève quelques réserves. D'une part, l'indépendance du correspondant salarié est perçue comme très relative compte tenu du lien de subordination entre le correspondant et son employeur. D'autre part, les contours de la responsabilité du correspondant restent flous : il n'est pas responsable au nom de l'entreprise, toutefois, en cas de fautes ou manquements qui restent à préciser, la CNIL pourra le décharger de ses fonctions. Le nouveau cadre légal étant ainsi posé, le statut du correspondant peut soulever aujourd'hui quelques inquiétudes dont il y a fort à parier qu'elles disparaîtront dès que toutes les précisions et clarifications nécessaires à ce jour auront été apportées. Comme dans de nombreux autres domaines, tels que comptable, financier ou juridique, il existe des fonctions qui sont exercées par des salariés tenus de respecter les obligations légales en vigueur. Ils agissent dans le cadre de leur contrat de travail, sans pour autant qu'ils soient indépendants vis à vis de leur employeur. De même, le CPDCP devra servir les intérêts de son entreprise tout en veillant au respect des dispositions légales et réglementaires, constituant ainsi un intermédiaire opportun entre l'autorité de contrôle (CNIL) et l'entreprise. On l'a compris cette nouvelle loi revêt une très grande importance pour tous les organismes privés et publics qui traitent des données à caractère personnel, spécialement lorsque ces données ont vocation à être utilisées dans le cadre de leurs activités commerciales (ex : sites internet ou fichiers clients) et de prospection ainsi que pour leur fonctionnement.
Notes [1] Cour de cassation, chambre sociale, arrêt n°944 du 6 avril 2004. L'arrêt confirme que le licenciement d'un salarié est sans cause réelle et sérieuse en raison du défaut de déclaration d'un système de contrôle automatisé des entrées et sorties des salariés au moyen de badges. Le salarié avait à plusieurs reprise refuser de se soumettre au contrôle mis en place, motif retenu par l'employeur pour le licencier. Or, alors même que l'obligation de contrôle était consignée dans le règlement intérieur de l'entreprise, le non respect de l'obligation de déclaration du système incombant à l'employeur a pour effet de le priver de toute possibilité de sanction à l'égard du salarié contrevenant.