La loi du 6 janvier 1978 relative à l'informatique, aux libertés et aux fichiers est le pivot de tout ce qui concerne le traitement d'informations en France. Il existe 2 principes : la déclaration auprès de la CNIL et le droit à l'information. Cette loi est issue de la crainte que suscite les gros systèmes informatiques. Il y a eu une volonté de certaines personnes de limiter les risques d'atteinte aux libertés individuelles. Le danger venait notamment du recoupement de ces informations dans le but d'établir des profils. C'est pour cette raison, que l'on a créé la CNIL, pour sauvegarder la vie privée des gens.

 La loi du 6 août 2004 vient modifier la loi informatique et liberté de 1978.

 On parle de plus en plus souvent de données personnelles que d'informations nominatives. La nouvelle loi parle de données personnelles. La loi est désormais centrée sur le contenu et non plus sur le contenant. Désormais, un simple fichier papier devient assujetti à cette loi.

Selon un rapport de la CNIL, il y a eu l'an dernier 60 000 déclarations préalables dont 23 000 pour Internet. On voit aussi une augmentation du nombre de plaintes, ce qui prouve que les individus prennent conscience de leurs droits. Par exemple, l'an dernier la CNIL a relevé 6000 plaintes soit 40 % d'augmentation. (Exemple : certaines personnes ne peuvent exercer leur droit d'opposition sur des données les concernant). Cf. Les articles 226-16 et 226-17 du code pénal qui prévoient des sanctions pénales pour le non-respect de ces formalités. Les peines peuvent aller de trois à cinq ans d'emprisonnement.

Nous l'avons vu, la loi du 6 janvier 1978 repose sur deux principes : une déclaration et une information préalables. Quand on parle de déclaration, il ne s'agit pas d'une procédure soumise à autorisation, on peut donc mettre en place traitement, mais la déclaration doit être préalable à la mise en oeuvre du fichier.

Les données personnelles sont toutes données qui permettent d'identifier une personne physique. Que cette identification soit directe ou indirecte (exemple : des dates de naissance peut-être moyenne d'identifier une personne, il en est de même pour le courrier électronique ou même un numéro d'identification qui est forcément rattachée à une personne physique ainsi que des données professionnelles). La loi a donc un champ d'application très large.

 Pour l'obligation de déclaration, dans la loi de 1978, il y avait trois procédures : une procédure de déclaration simplifiée, une demande normale (ou ordinaire) et une procédure de demande d'avis.

 1. La procédure de déclaration simplifiée : est possible quand on rentre dans une des normes simplifiées édictées par la CNIL. Si c'est le cas, il suffira alors de remplir un formulaire simplifié. Mais il faut être dans l'un des cas prévus à cet effet.

 2. La procédure de déclaration normale ou ordinaire : il s'agit de la procédure à utiliser par les entreprises dans tous les autres cas.

 3. La procédure de demande d'avis : cette procédure concernait les établissements publics. La loi du 6 août 2004 à modifier ce point, désormais les établissements publics peuvent bénéficier des mêmes procédures (simplifiée ou ordinaire).

 Les éléments que l'on demande lors de la déclaration : il faut préciser la finalité du traitement (en cas de non-respect sanctions pénales), préciser les services. Il faut aussi les caractéristiques techniques exemple : l'application est-elle en réseau, qui y a accès, quelle est la procédure de sécurité mise en place… Il faut aussi expliquer le type d'informations traitées (exemple : adresse) et la CNIL va vérifier si cela est bien en rapport avec la finalité déclarée.

Il faudra aussi prévenir de la durée de sauvegarde des informations. Il faut indiquer qui va être destinataire des informations à savoir si elles sont conservées dans l'entreprise ou transmise à des tiers. Ce point est renforcé par la loi du 6 août 2004, il faut désormais préciser la zone géographique du destinataire.

Depuis la loi de 1978, il y avait une procédure de demande d'avis pour les établissements publics. Désormais, que l'on soit établissement privé ou public, il faut un avis dès que l'on est en face d'un traitement de données sensibles. Ce que l'on appelle un traitement sensible, c'est ce qui concerne les caractéristiques physiques des personnes comme les éléments biométriques (exemple : les empreintes digitales).

Deuxième volet de la loi de 1978 : le droit d'accès des personnes fichées. L'article 34 de la loi de 1978 donne un droit d'accès aux informations qui sont détenues et en parallèle le droit de communication doit se faire dans un langage clair.

Le droit de rectification permet de faire rectifier l'information, l’effacer ou la mettre à jour (il existe des limites à ce droit notamment quand on est en relation contractuelle avec une entreprise, exemple : la banque).

À partir du moment où l'on fait une demande d'accès, l'entreprise doit répondre dans un délai d'un mois, sinon on peut saisir la CNIL.

Dans un arrêt de la cour de justice des communautés européennes du 6 novembre 2003, il a été précisé que la référence à des personnes identifiées sur un site Web constitue un traitement de données à caractère personnel (il s'agissait d'un site avec une liste de personnes). Dans un formulaire il faut informer les individus du caractère facultatif ou obligatoire des réponses. Si l'on tire les conséquences d'un défaut de réponse, il faut les en informer. Il faut prescrire les cases pré cochées (le consentement doit être quelque chose d'express).

Il faut également signaler sur le site que le traitement a fait l'objet d'une déclaration à la CNIL et informer les visiteurs qu’ils disposent d'un droit d'accès et de rectification.

 Quelques cas particuliers :

 -les fichiers logs : a priori ce ne sont pas des fichiers nominatifs mais quand ils le deviennent, il faut une déclaration. Il ne faut pas les concerner plus d'un mois.

 -le cas d'intranet : ici on est dans le cas d'un service offert aux salariés, néanmoins il est fréquent que le réseau soit ouvert à des organismes extérieurs, cela revient exactement à transmettre des informations à d'autres entreprises et donc il faut en informer les personnes de ces accès possibles.

 -le problème des cookies : il s'agit ici de la question de la loyauté des collectes. Si l'internaute n'est pas averti des cookies, il peut en recevoir sans les avoir accepter, il faut donc indiquer la façon dont l'internaute peut régler son navigateur.

 -le problème des badges pour les entreprises qui contrôlent le temps de travail : cela nécessite de déclarer ce fichier auprès de la CNIL. Le refus d'un salarié de ce badger est une faute si le traitement est déclaré auprès de la CNIL.

 Quelques exemples rendus en cette matière :

 -premier domaine relatif aux moeurs d'une personne. Un étudiant a été condamné à 18 mois avec sursis pour avoir mis sur sa page personnelle des photos de son ex petite amie avec des commentaires.

 -problème des sites Internet de société d'édition et des groupes de presses lors de la mise en place d'archives dans deux affaires l’Express et Libération. Les archives faisaient resurgir des condamnations de personnes qui avaient purgé leur peine depuis longtemps. Elles sont assignées ses journaux sur la base de la loi de 78 puisque ces archives avaient été mises en ligne sans leur accord. Il y avait ici un conflit entre deux libertés constitutionnellement protégées à savoir la liberté d'expression et le droit à la vie privée. Les juges ont retenu le principe de la primauté de la liberté d'expression cas il ne s'agissait pas nouvelle communication.

 -problème des sites concernant les mineurs. La CNIL recommande que ces sites avertissent les mineurs de ne pas divulguer d'informations nominatives. Le site doit avoir l'autorisation expresse avant la collecte d'informations personnelles et enfin la CNIL recommande d'obtenir l'accord des parents avant la mise en ligne d'une photo de l'enfant.

 -problème des cartes bleues : la CNIL est venue dire qu'il ne peut y avoir de collecte et d'exploitation possibles de la carte en dehors des activités normales de la banque. Il faut l'accord de la personne si le numéro est conservé au-delà du temps nécessaire à la réalisation de la transaction.

 Yannick Tettini

La cybersurveillance appliquée à l'entreprise concerne le contrôle par l'employeur des usages des nouveaux outils technologiques par les salariés.
Le développement de l'usage des technologies de l'information et de la communication (TIC) et principalement du courrier électronique a amené la CNIL à présenter, en février dernier, un second rapport relatif à la cybersurveillance sur les lieux de travail, contenant des recommandations destinées à trouver un équilibre entre la vie privée des salariés et le besoin de sécurité des entreprises.
Il y est notamment question de l'utilisation des messageries électroniques et plus largement de l'utilisation d'internet à des fins personnelles sur le lieu de travail.
Les recommandations de la CNIL s'ajoutent aux récentes décisions de jurisprudence s'attachant à clarifier les questions relatives à la protection des courriers électroniques privés, notamment le droit au respect de la vie privée et le droit à la distraction au moyen d'outils professionnels mis à disposition par l'entreprise.
La CNIL et les tribunaux nous éclairent sur la frontière entre vie professionnelle et vie privée, renvoyant employés et employeurs à leurs responsabilités respectives, instaurant également de nouvelles relations dans l'entreprise et générant l'évolution de certains métiers relatifs aux TIC.

L'e-mail soumis au secret des correspondances

L'accès à la connaissance du courrier électronique des personnes employées d'une entreprise, par celui qui a fourni l'ordinateur à des fins professionnelles, dans le but d'obtenir la preuve d'un comportement indélicat, a donné lieu à de récentes décisions de justice.
En 2001, la Chambre sociale de la Cour de cassation et la Cour d'appel de Paris ont toutes deux affirmé que le secret des correspondances s'appliquait bel et bien aux courriers électroniques envoyés ou reçus via un ordinateur professionnel.
Pour la première fois, la Cour de cassation s'est prononcée sur le statut de la correspondance électronique et ses magistrats ont adopté une solution conforme aux principes de la jurisprudence antérieure en matière de correspondance postale.
Un e-mail est donc une correspondance privée justifiant l'application des dispositions légales relatives à la protection de la vie privée. La protection du secret de la correspondance est prévue dans l'article 226-15 du nouveau Code pénal qui punit outre la violation de la correspondance postale, "le fait, commis de mauvaise foi, d'intercépter, de détourner, d'utiliser ou de divulguer des correspondances émises, transmises ou reçues par la voie de télécommunications".

L'arrêt Nikon (Cour de Cassation, Chambre sociale, 2 octobre 2001) est considéré par la doctrine comme un arrêt de principe en matière de surveillance des courriers électroniques.
Un salarié a été licencié pour faute, au motif qu'il entretenait une activité parallèle pendant ses heures de travail en vendant illégalement du matériel de la société. Pour établir ce fait, la société s'est basée sur le contenu des messages expédiés, reçus et enregistés par le salarié sur le disque dur de son ordinateur dans un fichier intitulé "Personnel". La Cour d'appel donna gain de cause à l'employeur en validant la consultation des mails de l'employé mais la Cour de cassation cassa cette décision.
Cet arrêt reconnaît sans équivoque que le salarié a droit au respect de sa vie privée sur son lieu de travail, ce qui induit le secret des correspondances. Il pose une question fondamentale sur laquelle les directions informatiques et les juristes doivent se pencher, et qui est de déterminer la frontière entre vie professionnelle et vie privée du salarié sur la plan informatique.
L'arrêt Nikon s'appuie notamment sur l'article L.120-2 du Code du Travail qui souligne que l'on peut rechercher dans les fichiers personnels du salarié uniquement sous réserve qu'il y ait une justification par rapport à la tâche qu'il doit accomplir et des circonstances graves justifiant la mesure.

Suite à cette décision, "il semble désormais acquis que la sphère privée entre dans la sphère professionnelle mais que la sphère professionnelle n'entre pas dans la sphère privée" (L'application du principe de secret de la correspondance aux courriers électroniques reçus ou émis à l'aide d'un outil informatique à usage professionnel, Sophie Brézin & Isabelle de Bénalcazar, Travail et Protection sociale, 01/2002).

Un arrêt de la Cour d'appel de Paris du 17 décembre 2001 apporte un éclairage nouveau sur l'utilisation de la messagerie électronique après l'arrêt Nikon.
Plusieurs incidents intervenus au sein du laboratoire de l'Ecole supérieure de physique et de chimie (harcèlement d'une étudiante, destruction de ses fichiers...) ont éveillé les soupçons sur un étudiant, dont la messagerie fut surveillée. La Cour d'appel a jugé qu'il y avait là divulgation de correspondances. L'administrateur réseau, qui avait été condamné une première fois par le Tribunal correctionnel s'est vu confirmer ce jugement. (Les "fouille-mails" défendent leur job, Libération, 21/11/2001).

Si l'arrêt Nikon a choisi la protection du salarié, la question fondamentale qui subsite est de déterminer où commence la vie privée du salarié et comment concilier la protection de la vie privée avec la préoccupation sécuritaire des entreprises ?
En février dernier, la CNIL s'est prononcée pour la seconde fois sur ce sujet complexe et délicat.
Un premier rapport (mars 2001) visait à alerter l'opinion sur les possibilités de traçage que les nouvelles technologies offrent aux employeurs et à lancer le débat. Suite à ce rapport, le site de la CNIL a fait l'objet de 18000 connexions en 2001.
Le second rapport tient compte des suggestions du public et des partenaires sociaux sur des points que n'abordaient pas le premier rapport. (Dans l'entreprise, les nouvelles technologies n'échappent pas aux règles encadrant le travail salarié, Transfert, 11/11/2001).

Les recommandations de la CNIL :

• prônent la transparence, la loyauté et la nécessité de trouver un équilibre entre "le droit de l'employeur à connaître ce qui est nécessaire à l'exercice de sa fonction dirigeante et le droit du salarié à protéger sa vie privée",
  
• dénoncent certaines chartes d'entreprise cumulant "sans souci de pédagogie, les prohibitions de toute sorte" et se contentant d'aviser de la mise en place "d'un véritable arsenal de surveillance et de conservation pendant de longues durées des données de connexions permettant l'identification des agissements des salariés".
  (Rapport relatif à la cybersurveillance sur les lieux de travail, février 2002)
  
• proposent l'instauration d'un dialogue entre les entreprises et les représentants de leur personnel sur les conditions d'usage de la messagerie, la mise en place d'un bilan annuel "Informatique et Libertés" et la désignation d'un délégué à la protection des données et l'usage des nouvelles technologies. (Cybersurveillance au bureau : pour un juste équilibre employés-employeur, L'internaute, 12/02/2002)

Si l'arrêt Nikon lève toute ambiguité sur le statut de la correspondance électronique, d'aucuns pensent cependant que "le principe d'interdiction absolue posé par l'arrêt semble disproportionné : le secret de la correspondance doit être mis en balance avec les intérêts vitaux de l'entreprise" (Courrier privé et courrier personnel, JE Ray, Droit social, 11/2001).
Ainsi, employeurs et salariés sont renvoyés à leurs responsabilités respectives en matière d'usage, pour les uns, et de surveillance, pour les autres, des outils de communication au travail.

Responsabilités respectives des salariés et des employeurs

Informer les salariés de l'emploi de modes de contrôle et de surveillance ne vaut pas autorisation pour l'employeur à les mettre en oeuvre. En effet, la légalité des contrôles pratiqués dans les entreprises (contrôle des connexions à Internet et à la messagerie) dépend du respect par l'employeur de quatre conditions :

- la preuve fournie par les enregistrements est illicite si les salariés n'ont pas été informés des controles pratiqués,
- le comité d'entreprise doit avoir été préalablement consulté,
- les contrôles susceptibles d'être pratiqués doivent faire l'objet d'une déclaration auprès de la CNIL,
- l'employeur doit respecter le principe de proportionnalité (article L 120-2 du code du Travail), c'est-à-dire que l'employeur ne peut prendre connaissance d'un fichier intitulé "Personnel" sans abuser de son pouvoir et doit reconnaitre à ses employés le droit, même au temps et lieu de travail, au respect de l'intimité de sa vie privée.
(La CNIL et la cybersurveillance des salariés : faut-il une cyberrégulation ? Les Echos, 28/02/2002)

La préoccupation sécuritaire des entreprises peut donc justifier le contrôle a posteriori des messageries, à condition, selon la CNIL, "qu'il soit raisonnable et que les salariés en soient informés". Par ailleurs, pour Jean-Emmanuel Ray, professeur de droit, "l'employeur a non seulement le droit, mais le devoir, de surveiller ses salariés" (La cybersurveillance revue et corrigée, Les Echos, 18/02/2002). Sa responsabilité peut être engagée:

- en cas d'utilisation pénalement illicite de la messagerie : rapatriement d'images à caractère pédophile sur le réseau interne depuis l'Internet, diffusion d'images sensibles, interdites, à caractère racial ou touchant les moeurs des personnes, portant atteinte à la vie privée ou à la considération, harcèlement sexuel, téléchargement de logiciel sans licence d'utilisation...,
- lorsque l'e-mail contient un virus portant atteinte à la sécurité du réseau,
- lorsqu'un message sortant contient des informations confidentielles touchant aux secrets de l'entreprise.

Un salarié mal intentionné pourrait par exemple soustraire au contrôle de son employeur des documents ou messages constitutifs d'infractions en les qualifiant de "personnels". Or, si l'employeur ne peut contrôler le contenu des messages ou documents identifiés comme tels, seule la responsabilité de l'employé pourrait alors être engagée...La marge de manoeuvre d'une entreprise est étroite car "s'il contrôle le contenu des mails personnels, il s'expose à une condamnation pour violation des correspondances privées; s'il ne les contrôle pas alors que les circonstances de l'espèce l'exigeaient, il pourrait se voir reprocher sa négligence".
"Il serait en effet légitime de considérer que la frontière de sa responsabilité est la même que son pouvoir de contrôle" (Mails personnels et responsabilités : quelles frontières ? Ariane Mole, Droit social, janvier 2002).

La vie privée du salarié doit être protégée dans la mesure où elle ne présente aucun lien avec la relation de travail. Mais, selon Agathe Lepage, professeur de droit, l'importance qu'on lui accorde peut parfois être paradoxale : "Alors qu'à ses heures et à son lieu de travail, le salarié distraira du temps à celui qu'il doit consacré à son labeur, en utilisant à des fins non professionnelles l'ordinateur mis à sa disposition, il pourra encore invoquer le droit au respect de la vie privée pour rendre légitime ce manquement à ses obligations professionnelles" (Le courrier électronique entre la confidentialité des correspondances et les exigences de la preuve, Droit et procédures, 03-04/2002).

A propos de la responsabilité des entreprises, "une analogie peut être soulignée entre l'employeur soucieux de ne pas se voir reprocher sa passivité mais inquiet des conséquences d'une éventuelle intervention, et les fournisseurs d'hébergement qui, dès lors qu'ils ont connaissance du contenu litigieux d'un site qu'ils hébergent, se voient obliger par le projet de loi sur la société de l'information, de fermer le site ou d'en rendre l'accès impossible, au risque de voir leur responsabilité engagée par les tiers" (Le courrier électronique entre la confidentialité des correspondances et les exigences de la preuve, Agathe Lepage, Droit et procédures, 03-04/2002).

Des moyens de contrôle des trafics de données sur les réseaux sont cependant à la disposition des entreprises :

- des "pare-feu" protègent des virus et permettent de prendre connaissance du trafic réalisé depuis un poste de travail,
- des serveurs proxy mémorisant les pages web visitées, constituent un outil de tracabilité,
- des logiciels de filtrage (Les mails jouent les agents doubles, Les Echos, 21/05/2001),
- les logiciels de télémaintenance des postes de travail,
- la mémoire cache des ordinateurs des salariés mémorisant les sites visités.
(Internet au travail, Faut-il limiter l'accès des employés au Web pendant les heures de bureau ? Controverse sur la "Cybersurveillance", Le Monde, 17/08/2001)

Cependant, se pose la question de savoir ce que l'entreprise va contrôler par ces moyens : une éventuelle indélicatesse d'un salarié ou le "vol de temps" du salarié qui s'amuse plus qu'il ne travaille ? Ainsi, dans ce dernier cas, ce sont les flux de données et non plus les contenus qui feront l'objet d'une surveillance de la part des services informatiques (Le secret de la correspondance s'applique aux "e-mails" émis ou reçus sur un poste professionnel, Jurisprudence Sociale Lamy, 18/10/2001).

Pour clarifier cette situation complexe dans les entreprises, des protocoles se multiplient, tentant d'associer respect de l'intimité du salarié et protection de l'entreprise en instaurant des règles et des méthodes de surveillance transparentes aux yeux des employés.
Ces chartes définissent les règles d'utilisation d'internet par les salariés. Elles contiennent le plus souvent l'interdiction de mener des actions qui mettraient en péril la sécurité de l'entreprise. Elles reconnaissent la tolérance de l'usage personnel d'internet et de la messagerie s'il est effectué sans abus, à l'instar de Renault, qui s'est doté d'une "charte mondiale sur l'usage des ressources informatiques, électroniques et téléphoniques" (Renault choisit la transparence, Le Monde, 03/10/2001).
La charte se doit également d'expliquer comment l'entreprise s'assure du respect de ces termes, autrement dit comment les employés sont surveillés (Les règles de la cybersurveillance, La Tribune, 24/09/2001).
Cependant, la charte n'a de valeur juridique que si elle est annexée au règlement intérieur de l'entreprise. Il faut également qu'elle ait fait l'objet d'une négociation avec les représentants du personnel.

En outre, la CNIL invite les entreprises à consacrer chaque année un chapître entier à l'informatique et aux libertés dans leur bilan social.
Dans le rapport de février dernier, une place importante est accordée au personnel chargé du contrôle et de la surveillance des autres salariés.

Source : Mission pour l'économie numérique http://www.men.minefi.gouv.fr

Cédric Crépin, consultant juridique chez Cilex et ancien collègue de promo, a écrit un article trés intéressant sur le Correspondant Informatique et Libertés (CIL). Conformément à sa demande, cet article est découpé en quatre parties. Ces 4 parties seront publiées dans ce blog à raison d'une partie par jour, afin d'en favoriser la lecture.Vous pouvez retrouver cet article dans Expertises, n° 299 janvier 2006, pp. 21-25.

4iéme partie
3ième partie
2ième partie  
Première partie :

La Commission Nationale de l’Informatique et des Libertés (CNIL) a fêté en cette année 2005 son 25^ème anniversaire. La longévité de l’institution de la rue Saint Guillaume démontre l’importance que revêt le bras exécutif de la loi du 6 janvier 1978. Cependant, un malaise insidieux grandit depuis plusieurs années : la loi Informatique et Libertés, figure de proue du respect de la vie privée face à l’informatique et aux dangers qu’elle peut engendrer, n’est que peu appliquée. En ce sens, alors que tout traitement mettant en jeu des données personnelles doit être déclaré, il est regrettable de constater que de nombreuses entreprises et administrations agissent dans la clandestinité ⁽¹⁾. Les causes sont multiples : complexité de la loi, voire ignorance pure et simple du texte, difficulté dans la mise en œuvre, crainte de dévoiler des données stratégiques… La loi du 6 août 2004⁽²⁾, transposition de la directive 95/46 CE⁽³⁾, entend remettre « Informatique et Libertés » en phase avec les problèmes contemporains, mais aussi anticiper l’avenir. Car c’est là que le bât blesse : l’informatique et les méthodes de traitements évoluent vite, et il est nécessaire d’avoir un outil adapté afin de pouvoir réguler les trafics d’information⁽⁴⁾. Cet outil, le législateur le trouve au sein de la directive « Protection des données » d’octobre 1995, plus précisément au considérant 18, qui dispose que les Etats ont la possibilité de recourir au système du « détaché à la protection des données à caractère personnel chargé notamment d’assurer, d’une manière indépendante, l’application interne des dispositions nationales prises en application de la présente directive, et de tenir un registre des traitements effectués par le responsable de traitement […] garantissant de la sorte que les traitements ne sont pas susceptibles de porter atteinte aux droits et libertés des personnes concernées ».

La motivation du législateur français en saisissant cette option laissée par le texte communautaire est de passer d’un système déclaratoire centralisé à un système d’exemption déconcentré, situé sur le terrain, au plus proche des responsables de traitements. Le dispositif, inscrit aux articles 22 et 67 de la loi « Informatique et Libertés » est désormais effectif grâce à la publication du décret du 20 octobre 2005⁽⁵⁾. Après avoir attendu 10 ans pour transposer la directive 95/46 CE « Protection des données », ce qui fait de la France le dernier Etat de L’Union a avoir transposé ce texte, le législateur aura mis plus de 15 mois pour publier ce décret auquel on ne croyait plus. On peut s’interroger sur cette lenteur administrative, alors que la réadaptation du droit français aux problématiques informatiques devenait urgente, et surtout lorsqu’on se souvient que la France avait fait pression auprès de ses partenaires européens pour que soit adoptée la directive « Protection des données ».

Le Titre III du décret d’application de la loi du 6 août 2004 est entièrement consacré au correspondant à la protection des données à caractère personnel, ou selon la terminologie employée par la CNIL , correspondant informatique et libertés (CIL) ⁽⁶⁾. Longtemps attendu, ce texte doit fournir les indices nécessaires à l’encadrement et la mise en pratique de la fonction. Le CIL est désigné par le responsable de traitement, ce qui ouvre le dispositif aux administrations comme aux entreprises. Il peut être une personne physique ou morale, interne ou externe même si des restrictions demeurent. L’externalisation n’est pas autorisée « lorsque plus de cinquante personnes sont chargées de la mise en oeuvre ou ont directement accès aux traitements ou catégories de traitements automatisés pour lesquels le responsable entend désigner un correspondant à la protection des données à caractère personnel » (art. 42). Des exceptions sont toutefois ouvertes pour les groupes de sociétés, les GIE ou les organismes professionnels qui peuvent désigner un CIL travaillant en leur sein. Son rôle est de dresser une liste des traitements dont il a la charge, ce qui emporte une dispense de déclaration auprès de la CNIL de ces traitements. Ce « Monsieur  Informatique et Libertés » a aussi pour rôle de conseiller le responsable lorsque de nouveaux traitements sont mis en œuvre, voire de l’alerter lorsqu’un risque de dérive existe.

Véritable acteur de terrain, le CIL est le maillon appelé à réconcilier responsables de traitements et CNIL afin de mieux faire respecter les exigences légales, dont les infractions sont lourdement sanctionnées. Du côté de la CNIL , on espère une diminution des contraintes administratives et une pédagogie responsabilisante auprès des entreprises et administrations. Pour l’organisme désignant, ce peut être un moyen de s’épargner des tracasseries administratives, le tout en soignant une image de marque et en se conformant aux exigences légales. Cependant, à la lecture des textes, il est possible de discerner un certain vide dans l’encadrement. Une large marge de manœuvre est laissée à la pratique, mais on peut également regretter que certains points ne soient pas évoqués avec plus de précision.

[4] Voir Türk A., Rapport n° 218 relatif à la protection des personnes physiques à l’égard des traitements de données à caractère personnel et modifiant la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, 19 mars 2003,  « La loi est donc restée centrée sur son objectif initial -les grands ordinateurs publics- et n'a pas su s'adapter au passage à la micro-informatique privée et démocratisée », p. 20

[5] Décret n° 2005-1309 du 20 octobre 2005 pris pour l'application de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, modifiée par la loi n° 2004-801 du 6 août 2004, J.O n° 247 du 22 octobre 2005 page 16769

Voici la deuxième partie de l'article écrit par Cédric Crépin sur le Correspondant Informatique et Libertés.

4iéme partie
3ième partie
1ère partie  
Deuxième partie :

La place de la CNIL

Alors que les textes font preuve de souplesse afin de laisser les organismes s’approprier la fonction, et par ce biais la promouvoir, il serait faux de croire que tout est permis. Faire du CIL une niche à exonération conduirait les organismes malveillants à des sanctions. Si aucun contrôle a priori n’est exercé par la CNIL, on peut imaginer que des contrôles « préventifs » seront organisés ou que des plaintes soient déposées envers un organisme ayant fait le choix du CIL, ce qui conduira inévitablement à un examen des procédés de l’organisme incriminé. La CNIL possède même un pouvoir de décharge du CIL lorsque des manquements graves sont constatés. Reste à déterminer le seuil de gravité qui sera retenu par la CNIL.

Mais pour que ce « ménage à trois » entre le responsable de traitements, le CIL et la CNIL soit viable, encore faut-il que la CNIL dispose de moyens nécessaires à l’organisation et l’animation d’un réseau. La procédure de désignation n’a d’autre intérêt que d’officialiser les rapports entre le CIL et la CNIL et d’établir le point de départ de la dispense accordée à l’organisme désignant. On peut alors s’interroger sur l’exhaustivité des renseignements demandés qui ne présentent que peu d’intérêt pour la CNIL. En revanche, ces données pourraient se révéler importantes pour l’information des tiers. Il est à souhaiter qu’à l’instar des autorités de contrôle hollandaises et luxembourgeoises, la CNIL tienne une liste des organismes ayant fait le choix d’un CIL, ce qui permettrait aux individus de saisir directement le CIL. Mais deux obstacles freinent cette idée : d’une part, c’est exposer le CIL à des prospections commerciales, et d’autre part, la CNIL doit obtenir l’accord des CIL personne physique pour pouvoir diffuser leur nom et coordonnées par respect du principe de l’"opt-in".

Si la désignation autorise la CNIL à connaître l’ensemble des CIL désignés, saura-t-elle pour autant garder la main sur ceux-ci ? La création d’un maillage d’interlocuteurs réguliers est un des objectifs de la Commission qui envisage de fournir un traitement privilégié pour les CIL⁽¹⁾, via des interlocuteurs uniques, et qui s’illustrerait par la tenue de réunions régulières visant à la définition de standards professionnels, la recherche en commun de solutions aux problèmes vécus au quotidien par les CIL, etc. L’intention est louable, mais force est de constater que les moyens manquent⁽²⁾. A l’heure actuelle, la « cellule CIL » n’est composée que d’un agent à temps plein. Si de nombreux CIL sont désignés, difficile d’imaginer qu’une seule personne puisse prendre en charge l’animation d’un réseau exigeant des moyens financiers, logistiques et techniques relativement important. En Suède et aux Pays-Bas, de tels réseaux existent et rencontrent de francs succès, les initiatives étant nombreuses (newsletters, extranet, formations et séminaires…). Ces autorités bénéficient néanmoins de moyens relativement importants (ne serait-ce qu’en termes de personnel), alors qu’en France la CNIL est aux abois, la promesse d’une enveloppe budgétaire étant renvoyée aux calandes grecques.

La formation

La désignation d’un CIL est une question d’opportunité pour les organismes. La France n’a pas voulu le rendre obligatoire, à l’inverse de l’Allemagne où les Datenschutzbeaufragter (DSB) existent depuis près de 30 ans, afin de laisser s’affirmer un esprit d’ouverture et de sensibilisation aux questions touchant à la protection des données à caractère personnel. Le mot d’ordre semble donc être « souplesse » : peuvent désigner un CIL ceux qui le veulent, selon le modèle de leur choix. Reste à déterminer qui peut être nommé à ce poste.

Une double condition est ici posée. En premier lieu, le CIL ne doit pas exercer de fonction pouvant entraîner un conflit d’intérêt, ce qui élimine le responsable de traitement à la candidature, et doit en second lieu bénéficier « des qualifications professionnelles requises pour exercer ses missions » (Art. 22 L. 6 janvier 1978), le décret n’étayant pas cette disposition. Compétent en droit, en informatique, en management, beaucoup de qualités sont réclamées à un seul individu, ce qui peut favoriser l’essor des prestataires externes capables de mobiliser divers spécialistes. Pourtant, si les textes ne dresse pas la liste des diplômes requis à l’exercice de la fonction, c’est une nouvelle forme de souplesse. La CNIL, lorsqu’elle recevra la notification de désignation, ne procédera pas à un contrôle d’opportunité. En somme, quelque soit la personne désignée, l’important est qu’elle soit compétente dans l’exercice des missions qui lui sont confiées. C’est donc au responsable de traitement d’établir au moment du recrutement la liste des qualifications requises, comme pour tout autre employé ou prestataire. Et il est facile de croire que des formations verront le jour afin d’approfondir les compétences les CIL en place.

Demain la suite...

Voici la troisième partie de l'article écrit par Cédric Crépin sur le Correspondant Informatique et Libertés.

4iéme partie
3ième partie
1ère partie  
Troisème partie :
Les relations contractuelles

Alors que le CIL prestataire est lié par un contrat de prestation de service à durée limitée, comment positionner la fonction du CIL lorsqu’il est salarié de l’organisme ? Faut-il amender le contrat de travail, rédiger un nouveau contrat ? Un parallèle avec les mandats sociaux peut être envisagé. Le CIL étant une fonction, elle fait l’objet d’un contrat de travail lorsqu’elle est occupée à plein temps. Par contre, si elle ne nécessite qu’une occupation à temps partiel, elle peut faire l’objet d’un mandat du même type que celui dont bénéficient les délégués du personnel. A charge pour l’employeur et le CIL de trouver un point d’équilibre dans l’allocation d’heures nécessaires pour que les tâches incombant à ce dernier soient remplies. Le risque, c’est bien de ne pas concéder suffisamment de temps au CIL, ce qui pourrait s’analyser comme une entrave à l’exercice de la fonction.

En revanche, en emportant suspension du contrat de travail lorsqu’elle la personne effectue ses missions de CIL, le mandat permet d’exercer la fonction sans voir le contrat de travail rompu. Ainsi, lorsqu’il se verrait démettre de sa fonction, il pourrait retrouver son emploi habituel. Néanmoins, pour assurer une indépendance, il semble nécessaire de limiter dans le temps ce mandat. Qu’ils soient politiques ou sociaux, nombre d’entre eux sont à durée limitée ce qui assure une indépendance et un renouvellement nécessaire pour apporter un point de vue toujours plus neutre, sur les questions de protection de la vie privée en l’occurrence.

L’indépendance

L’un des dispositions les plus discutées de l’art. 22 III de la loi du 6 janvier 1978 concerne le statut du CIL. Il est prévu qu’il exerce ses missions de « manière indépendante », ne pouvant « faire l’objet d’aucune sanction de la part de l’employeur du fait de l’accomplissement de ses missions ». Le décret précise même en son art. 46 que « le correspondant ne reçoit aucune instruction pour l'exercice de sa mission ». Alors même qu’il n’est pas un salarié protégé, le CIL est-il dès lors un électron libre au sein de l’organisme, ne souffrant aucune hiérarchie ? Cette disposition dont la rédaction est contestable de par son ambivalence mérite d’être éclairée. L’art. 46 du décret porte en effet sur deux points essentiels :

* le CIL dispose d’un contact direct avec le responsable, c'est-à-dire qu’il doit pouvoir directement s’adresser à lui pour formuler toute recommandation ou demande, sans avoir à passer par une hiérarchie, ce qui le place à n’en pas douter à un poste haut placé dans l’organigramme de l’organisme ;

*  le CIL ne peut exercer une autre fonction pouvant générer un conflit d’intérêt. Le décret fournit comme exemple le responsable de traitements, ce qui est somme toute logique puisqu’on ne peut être juge et partie. A cette incompatibilité de principe seront sans doute adjointes d’autres impossibilité, révélées par la pratique. La question du DRH ou du DSI, qui ont un pouvoir sur certains traitements, devra vite trouver une réponse.

Replacé dans ce contexte, l’indépendance doit semble t’il être analysée comme une indépendance d’esprit, c'est-à-dire la faculté de formuler les critiques et les recommandations nécessaires à une mise en conformité du traitement, en soulignant certains aspects négatifs, les services défaillants. Autrement dit, dans le cadre de ses missions, le CIL doit avoir la capacité de résister à la pression et l’influence, quelque soit la forme sous laquelle elle se manifeste. Néanmoins, tous les CIL auront-ils cette force de caractère de s’opposer voire de « dénoncer » auprès de la CNIL ceux qui les emploient ? La problématique est ici la même que celle à laquelle les commissaires aux comptes sont confrontés : se taire et risquer alors une faute dans l’exercice des missions, ou dénoncer les agissements illégaux au risque de perdre son emploi ou son client ? De plus, l’une des sanctions envisageables envers un responsable ne respectant pas les obligations légales est un retour au système de déclaration. Qu’advient-il alors du CIL qui perd par l’annulation d’exemption sa principale tâche auprès de l’organisme l’employant ? La question prend tout son sens lorsque la prestation est externalisée puisque le contrat liant le CIL à l’organisme devient nécessairement caduc dans une telle hypothèse. Le risque pour le CIL est aussi de voir son image salie par une réputation d’incompétence. Il y a tout lieu de s’interroger sur la pertinence du dispositif qui se trouve biaisé par ses propres dispositions.

La responsabilité

La délégation de pouvoir

L’un des avantages escompté par les responsables par le biais du CIL est un transfert de responsabilité pénale. Ni la loi ni le décret ne prévoient de dispositions en la matière, ce qui ne signifie pas qu’elle est impossible. La délégation de pouvoirs est un moyen consacré par la jurisprudence pour permettre à un chef d’entreprise de s’exonérer de sa responsabilité pénale. En transférant à l’un des salariés une partie de ses fonctions, le dirigeant délègue aussi sa responsabilité pénale. Cinq arrêts de la Chambre criminelle de la Cour de cassation en date du 11 mars 1993 sont venus définir le régime actuel de la délégation de pouvoirs : « Hors les cas où la loi en dispose autrement, le chef d’entreprise qui n’a pas personnellement pris part à la réalisation de l’infraction peut s’exonérer de sa responsabilité pénale s’il rapporte la preuve qu’il a délégué ses pouvoirs à une personne pourvue de la compétence, de l’autorité et des moyens nécessaires ». En sa qualité de responsable de traitement, par défaut le chef d’entreprise, l’exonération de la responsabilité pénale est possible par la démonstration d’une absence de participation aux faits susceptibles d’être sanctionnés au titre des articles 131-13 et 226-16 à -22 du Code pénal, dont les infractions sont sanctionnées de peines supérieures à celles infligée en matière d’homicide involontaire.

* La participation aux faits : ces infractions pèsent sur le responsable de traitement. Il est la seule personne habilitée à intervenir lorsqu’il a connaissance des agissements du subordonné. La désignation d’un CIL n’emporte pas le transfert de cette obligation de surveillance et de contrôle de l’activité des salariés. De plus, c’est le responsable de traitement qui détermine les finalités et les moyens du traitement.

* La compétence : le CIL devant avoir les qualités requises à l’exercice des missions qui lui sont confiées, il semble que cette exigence soit remplie

* Les moyens : La fonction de CIL exige une indépendance dans l’exercice des missions confiées. Pour assurer cette indépendance, le projet de décret précise que le responsable de traitement doit fournir au correspondant tout élément lui permettant d’établir et d’actualiser régulièrement une liste de traitements automatisés et doit prendre toute mesure utile en vue de l’accomplissement par le CIL de ses missions en matière de protection des données. A l’allocation de moyens est donc attachée une finalité. Or, dans le contexte d’une délégation de pouvoirs, ces moyens ne semblent pas pertinents pour assurer une responsabilité sur les traitements mis en œuvre, ce qui fait échec à l’exercice d’une délégation de pouvoirs.

* L’autorité : La notion d’autorité dans le cadre d’une délégation de pouvoirs est définie en jurisprudence comme le pouvoir de donner des instructions à un service. Or l’art. 22 III de la loi du 6 janvier 1978 dispose que le correspondant a pour mission d’assurer « le respect des obligations prévues » par la loi Informatique et Libertés, le décret précisant que le CIL n’a qu’une capacité d’alerte et de conseil, afin que le responsable de traitement puisse donner des directives aux services chargés des traitements de données. La fonction de CIL semble donc incompatible avec l’exercice d’une autorité quant à la mise en œuvre des traitements automatisés. Dès lors, l’absence d’autorité prive la fonction de CIL d’une des caractéristiques de la délégation de pouvoirs.

Le CIL ne semble donc pouvoir être destinataire d’une délégation de pouvoirs, ne cumulant pas l’ensemble des conditions nécessaires à son établissement. Cela va dans le sens du texte de la loi Informatique et Libertés qui, dans son esprit, ne veut pas faire du CIL un miroir aux alouettes, en l’entourant de garanties d’indépendance, sans en faire un salarié protégé. C’est aussi la direction prise par la jurisprudence qui, en posant strictement les conditions d’existence d’une délégation de pouvoirs, vise à les limiter et à instaurer une équité : à la quête de pouvoirs se conjugue l’exercice de responsabilités.  Pour autant, le CIL n’est pas un « intouchable » aux yeux de la justice. Si lui transférer des responsabilités qui ne sont en définitive pas les siennes est impossible, le correspondant peut parfaitement engager sa responsabilité propre en certaines circonstances.

Demain la dernière partie...