Citation : Caprioli & Associés, Données personnelles, www.caprioli-avocats.com Première publication: octobre 2005. Le décret n° 2005-1309 du 20 octobre 2005 pris pour l'application de la loi n° 78-17 du 6 janvier 1978 relative aux fichiers, à l'informatique et aux libertés, modifiée par la loi n° 2004-801 du 6 août 2004 www. caprioli-avocats.com contact@caprioli-avocats.com
Le décret du 20 octobre 2005[1] pris en application de la loi " Informatique et Libertés "[2] vient d'être publié au Journal officiel. Les précisions qu'il apporte étaient attendues, en particulier en ce qui concerne le Correspondant à la protection des données à caractère personnel, et également, au regard des règles applicables aux nouveaux pouvoirs de contrôle de la CNIL. L'organisation de la Commission Nationale Informatique et Libertés (CNIL) est développée en premier lieu (art. 1er à 6). Sont notamment précisées les règles de convocation des membres ainsi que les conditions de majorité relatives aux délibérations. Pour les formalités préalables à la mise en œuvre des traitements, les dispositions générales développent les modalités d'envoi des déclarations, des demandes d'avis et des demandes d'autorisation (art. 7 à 19). Les délais de réponse de la CNIL sont fixés (art. 8, art.15). Il convient de noter, en particulier, que les normes édictées par la CNIL ainsi que les catégories de traitement dispensés de déclaration seront publiés au Journal officiel. A l'évidence, la consécration législative du pouvoir réglementaire de la CNIL ne peut que renforcer ses prérogatives de contrôle a priori. Le titre II du décret, c'est à dire pas moins de quatorze articles (si l'on écarte l'article 56 spécifique aux organismes de presse écrite et audiovisuelle), est consacré : - à la désignation du correspondant et sa notification à la CNIL (articles 42 à 45), - aux modalités d'exercice de sa mission (articles 46 à 51) - aux conditions relatives à la fin de la fonction (articles 52 à 55). La personne désignée comme correspondant doit avoir donné son accord par écrit, annexé à la notification (art. 43). Le voile est certes levé sur certaines zones d'ombre laissées par la loi. En l'occurrence, il est désormais établi que le correspondant peut être choisi à l'extérieur de la structure qui met en œuvre les traitements de données à caractère personnel. Mais la facture du texte du décret est complexe et, chaque avancée comporte sa propre limite, une nouvelle zone d'ombre en quelque sorte. Ainsi, la désignation d'un correspondant extérieur n'est en réalité envisageable que pour certaines structures relativement réduites, qui ont moins de cinquante personnes chargées de la mise en oeuvre ou ayant directement accès aux traitements automatisés de données (article 44 du décret). De même, si l'impossible cumul des fonctions de responsable du traitement (ou son représentant légal) et celles du correspondant est affirmé (article 46), rien n'est en revanche précisé quant aux autres incompatibilités dont on ne saurait nier l'existence. N'ouvre-t-on pas en effet une possibilité de " conflit d'intérêts " à désigner par exemple le DRH ou le DSI en qualité de correspondant ? En tout état de cause, compte tenu des missions imparties et de celles qui sont susceptibles d'être rajoutées (la totalité des traitements pouvant être confiée au correspondant en vertu de l'article 50), il paraît en pratique plus opportun de confier la fonction à des fins d'exercice exclusif. En ce sens également, l'étendue des missions du correspondant est envisagée largement - la tenue et l'actualisation des traitements existants, la réception des demandes ou des réclamations des personnes intéressées, la consultation préalable à toute mise en œuvre de traitement à déclarer voire soumis à autorisation. En revanche, le décret n'apporte pas de précision relative au statut du correspondant, élément d'appréciation pourtant capital pour les entreprises. Or, l'indépendance du correspondant dans l'accomplissement de sa fonction, affirmée par la loi, méritait d'être clarifiée. Aucune mention ne concerne pourtant la responsabilité effective du correspondant confrontée à celle du responsable des traitements. Partant, la question du statut du correspondant reste entière. Lorsque le responsable du traitement envisage de mettre fin aux fonctions de correspondant, soit en cas de manquement aux devoirs et obligations qui lui sont imposés, ou en cas de démission (art. 52 à 55), la saisine de la CNIL est prévue et détaillée (art. 51). Autre volet capital du décret, les pouvoirs de contrôle a posteriori de la CNIL font l'objet de développements détaillés (art. 57 à 82). A côté des dispositions générales, des règles spécifiques sont applicables aux traitements, mis en œuvre pour le compte de l'Etat, qui sont visés et autorisés par les articles 26 et 42 de la loi du 6 janvier 1978 modifiée (art. 83 à 89). Les aménagements du contrôle a posteriori de la CNIL qui sont apportés par le décret concernent l'habilitation des agents chargés des vérifications ainsi que les modalités des contrôles sur place et sur pièces. Le régime des sanctions administratives de la CNIL est également développé, notamment les formations compétentes, les différentes procédures qui peuvent être mises en œuvre et les référés. L'habilitation des agents des services de vérification de la CNIL, est prévue pour une durée de cinq ans renouvelable (art. 57). Certaines incompatibilités personnelles (art. 58) ou fonctionnelles (art. 59) excluent cette faculté. La CNIL peut suspendre l'habilitation pour une durée maximale de six mois ou y mettre fin, lorsque la personne n'exerce plus les missions concernées (art. 60). Les modalités relatives au contrôle sur place sont précisément définies, étant noté que l'accent est mis sur la transparence de la procédure. D'une part, la commission est tenue à une obligation d'information à l'égard du Procureur de la République - au plus tard vingt quatre heures avant la date du contrôle sur place (art. 61) - et du responsable du traitement - au plus tard au début du contrôle sur place, ou en cas d'absence du responsable dans les huit jours suivant le contrôle (art. 62). L'habilitation à procéder aux contrôles ainsi que l'ordre de mission des agents chargés du contrôle sur place doivent pouvoir être présentés à toute demande. D'autre part, un procès verbal doit être dressé et signé par les personnes ayant procédé au contrôle ainsi que par le responsable des lieux. Le procès verbal doit indiquer, outre les vérifications et les contrôles effectués, l'objet de la mission, les personnes rencontrées et éventuellement entendues (art. 64). Dans le cadre de leurs investigations, les agents de contrôle de la CNIL peuvent convoquer toute personne dont l'audition est nécessaire ou utile à l'accomplissement de leur mission (art. 66). En outre, sur demande du président de la commission, le recours à des experts est également prévu (art. 67), en particulier lorsque les vérifications portent sur des données médicales individuelles (art. 65). A cet égard, il est rappelé que le secret professionnel est opposable aux agents chargés du contrôle, eu égard notamment à la nature des données concernées (art. 69). Bel exemple de coopération européenne, la CNIL peut désormais procéder à des vérifications de traitements sur le territoire national, à la demande d'une des autres autorités de contrôle homologues d'un Etat membre de la Communauté européenne (art. 63). Les sanctions administratives ne peuvent être prononcées que par une formation restreinte, composée du président de la CNIL, des deux vice-présidents et de trois membres élus, les conditions d'élection étant strictement définies - majorité absolue et majorité des membres en exercice pour voter - (art. 70 à 72). Conformément au principe de proportionnalité posé par la loi, deux procédures ont été distinguées selon la gravité des manquements constatés. Les mises en demeure, ayant pour objectif la régularisation du ou des traitements en cause, sont adressées au responsable par la formation restreinte, dans le cadre de la procédure ordinaire. Dans un délai d'un mois, le responsable du traitement doit être entendu afin de faire valoir ses observations (art. 75). L'interruption de la mise en oeuvre d'un traitement ou le verrouillage des données peuvent également être décidés en application de la procédure ordinaire (art. 79). Pour les autres sanctions (injonction de cesser le traitement, mise en demeure non respectée), une procédure d'urgence est instituée (art. 79 à 80). Les délais d'audition et de transmission des observations du responsable sont dans ce cas réduits à quinze jours, voire huit jours, selon la violation des droits et des libertés constatée. Préalable à l'adoption de toute sanction, le président de la commission doit désigner un rapporteur n'appartenant pas à la formation restreinte (art.74). Le rapporteur procède également aux vérifications qui s'imposent et il peut également être l'interlocuteur du responsable de traitement concerné. Enfin, en fonction de la gravité de la situation, le président de la CNIL peut saisir d'une demande en référé soit le juge administratif ou le président du tribunal de grande instance.
Notes [1] Décret n° 2005-1309 du 20 octobre 2005 pris pour l'application de la loi n° 78-17 du 6 janvier 1978 relative aux fichiers, à l'informatique et aux libertés, modifiée par la loi n° 2004-801 du 6 août 2004, JO 22 octobre 2005. Il abroge (art. 99) le décret n° 78-774 du 17 juillet 1978 pris pour l'application des chapitres Ier à IV et VII de la loi du 6 janvier 1978 ; le décret n° 79-1160 du 28 décembre 1979 fixant les conditions d'application aux traitements d'informations nominatives intéressant la sûreté de l'Etat, la défense et la sécurité publique de la loi du 6 janvier 1978 ; le décret n° 81-1142 du 23 décembre 1981 instituant des contraventions de police en cas de violation de certaines dispositions de la loi du 6 janvier 1978; l'article 4 du décret n° 99-487 du 11 juin 1999. [2] Loi n° 2004-801 du 6 août 2004 relative à la protection des personnes physiques à l'égard des traitements de données à caractère personnel et modifiant la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, JO 7 août 2004.