Présentation

Recherche

Publicité

Protection des Données Personnelles (CNIL, Nouvell

Jeudi 19 janvier 2006

La loi du 6 janvier 1978 relative à l'informatique, aux libertés et aux fichiers est le pivot de tout ce qui concerne le traitement d'informations en France. Il existe 2 principes : la déclaration auprès de la CNIL et le droit à l'information. Cette loi est issue de la crainte que suscite les gros systèmes informatiques. Il y a eu une volonté de certaines personnes de limiter les risques d'atteinte aux libertés individuelles. Le danger venait notamment du recoupement de ces informations dans le but d'établir des profils. C'est pour cette raison, que l'on a créé la CNIL, pour sauvegarder la vie privée des gens.

 La loi du 6 août 2004 vient modifier la loi informatique et liberté de 1978.

 On parle de plus en plus souvent de données personnelles que d'informations nominatives. La nouvelle loi parle de données personnelles. La loi est désormais centrée sur le contenu et non plus sur le contenant. Désormais, un simple fichier papier devient assujetti à cette loi.

Selon un rapport de la CNIL, il y a eu l'an dernier 60 000 déclarations préalables dont 23 000 pour Internet. On voit aussi une augmentation du nombre de plaintes, ce qui prouve que les individus prennent conscience de leurs droits. Par exemple, l'an dernier la CNIL a relevé 6000 plaintes soit 40 % d'augmentation. (Exemple : certaines personnes ne peuvent exercer leur droit d'opposition sur des données les concernant). Cf. Les articles 226-16 et 226-17 du code pénal qui prévoient des sanctions pénales pour le non-respect de ces formalités. Les peines peuvent aller de trois à cinq ans d'emprisonnement.

Nous l'avons vu, la loi du 6 janvier 1978 repose sur deux principes : une déclaration et une information préalables. Quand on parle de déclaration, il ne s'agit pas d'une procédure soumise à autorisation, on peut donc mettre en place traitement, mais la déclaration doit être préalable à la mise en oeuvre du fichier.

Les données personnelles sont toutes données qui permettent d'identifier une personne physique. Que cette identification soit directe ou indirecte (exemple : des dates de naissance peut-être moyenne d'identifier une personne, il en est de même pour le courrier électronique ou même un numéro d'identification qui est forcément rattachée à une personne physique ainsi que des données professionnelles). La loi a donc un champ d'application très large.

 Pour l'obligation de déclaration, dans la loi de 1978, il y avait trois procédures : une procédure de déclaration simplifiée, une demande normale (ou ordinaire) et une procédure de demande d'avis.

 1. La procédure de déclaration simplifiée : est possible quand on rentre dans une des normes simplifiées édictées par la CNIL. Si c'est le cas, il suffira alors de remplir un formulaire simplifié. Mais il faut être dans l'un des cas prévus à cet effet.

 2. La procédure de déclaration normale ou ordinaire : il s'agit de la procédure à utiliser par les entreprises dans tous les autres cas.

 3. La procédure de demande d'avis : cette procédure concernait les établissements publics. La loi du 6 août 2004 à modifier ce point, désormais les établissements publics peuvent bénéficier des mêmes procédures (simplifiée ou ordinaire).

 Les éléments que l'on demande lors de la déclaration : il faut préciser la finalité du traitement (en cas de non-respect sanctions pénales), préciser les services. Il faut aussi les caractéristiques techniques exemple : l'application est-elle en réseau, qui y a accès, quelle est la procédure de sécurité mise en place… Il faut aussi expliquer le type d'informations traitées (exemple : adresse) et la CNIL va vérifier si cela est bien en rapport avec la finalité déclarée.

Il faudra aussi prévenir de la durée de sauvegarde des informations. Il faut indiquer qui va être destinataire des informations à savoir si elles sont conservées dans l'entreprise ou transmise à des tiers. Ce point est renforcé par la loi du 6 août 2004, il faut désormais préciser la zone géographique du destinataire.

Depuis la loi de 1978, il y avait une procédure de demande d'avis pour les établissements publics. Désormais, que l'on soit établissement privé ou public, il faut un avis dès que l'on est en face d'un traitement de données sensibles. Ce que l'on appelle un traitement sensible, c'est ce qui concerne les caractéristiques physiques des personnes comme les éléments biométriques (exemple : les empreintes digitales).

Deuxième volet de la loi de 1978 : le droit d'accès des personnes fichées. L'article 34 de la loi de 1978 donne un droit d'accès aux informations qui sont détenues et en parallèle le droit de communication doit se faire dans un langage clair.

Le droit de rectification permet de faire rectifier l'information, l’effacer ou la mettre à jour (il existe des limites à ce droit notamment quand on est en relation contractuelle avec une entreprise, exemple : la banque).

À partir du moment où l'on fait une demande d'accès, l'entreprise doit répondre dans un délai d'un mois, sinon on peut saisir la CNIL.

Dans un arrêt de la cour de justice des communautés européennes du 6 novembre 2003, il a été précisé que la référence à des personnes identifiées sur un site Web constitue un traitement de données à caractère personnel (il s'agissait d'un site avec une liste de personnes). Dans un formulaire il faut informer les individus du caractère facultatif ou obligatoire des réponses. Si l'on tire les conséquences d'un défaut de réponse, il faut les en informer. Il faut prescrire les cases pré cochées (le consentement doit être quelque chose d'express).

Il faut également signaler sur le site que le traitement a fait l'objet d'une déclaration à la CNIL et informer les visiteurs qu’ils disposent d'un droit d'accès et de rectification.

 Quelques cas particuliers :

 -les fichiers logs : a priori ce ne sont pas des fichiers nominatifs mais quand ils le deviennent, il faut une déclaration. Il ne faut pas les concerner plus d'un mois.

 -le cas d'intranet : ici on est dans le cas d'un service offert aux salariés, néanmoins il est fréquent que le réseau soit ouvert à des organismes extérieurs, cela revient exactement à transmettre des informations à d'autres entreprises et donc il faut en informer les personnes de ces accès possibles.

 -le problème des cookies : il s'agit ici de la question de la loyauté des collectes. Si l'internaute n'est pas averti des cookies, il peut en recevoir sans les avoir accepter, il faut donc indiquer la façon dont l'internaute peut régler son navigateur.

 -le problème des badges pour les entreprises qui contrôlent le temps de travail : cela nécessite de déclarer ce fichier auprès de la CNIL. Le refus d'un salarié de ce badger est une faute si le traitement est déclaré auprès de la CNIL.

 Quelques exemples rendus en cette matière :

 -premier domaine relatif aux moeurs d'une personne. Un étudiant a été condamné à 18 mois avec sursis pour avoir mis sur sa page personnelle des photos de son ex petite amie avec des commentaires.

 -problème des sites Internet de société d'édition et des groupes de presses lors de la mise en place d'archives dans deux affaires l’Express et Libération. Les archives faisaient resurgir des condamnations de personnes qui avaient purgé leur peine depuis longtemps. Elles sont assignées ses journaux sur la base de la loi de 78 puisque ces archives avaient été mises en ligne sans leur accord. Il y avait ici un conflit entre deux libertés constitutionnellement protégées à savoir la liberté d'expression et le droit à la vie privée. Les juges ont retenu le principe de la primauté de la liberté d'expression cas il ne s'agissait pas nouvelle communication.

 -problème des sites concernant les mineurs. La CNIL recommande que ces sites avertissent les mineurs de ne pas divulguer d'informations nominatives. Le site doit avoir l'autorisation expresse avant la collecte d'informations personnelles et enfin la CNIL recommande d'obtenir l'accord des parents avant la mise en ligne d'une photo de l'enfant.

 -problème des cartes bleues : la CNIL est venue dire qu'il ne peut y avoir de collecte et d'exploitation possibles de la carte en dehors des activités normales de la banque. Il faut l'accord de la personne si le numéro est conservé au-delà du temps nécessaire à la réalisation de la transaction.

 Yannick Tettini

Par Yannick Tettini
Ecrire un commentaire - Voir les 0 commentaires - Recommander
Jeudi 19 janvier 2006

Une modification de la LIL (loi informatique et libertés) était nécessaire pour permettre une meilleure adaptation aux situations actuelles. Le 18 juillet 2001, un projet de loi voit le jour. Le 15 juillet 2004, les Sénateurs ont adopté définitivement, en deuxième lecture, le projet de loi. Le 29 juillet 2004, le Conseil constitutionnel a validé la LIL modifiée.

La refonte de la LIL a pour principal objectif de transposer en droit interne la directive européenne du 24 octobre 1995 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel.

L’objet de la Directive était d’établir « une procédure équivalente de haut niveau dans tous les Etats membres de la Communauté afin d’éliminer les obstacles aux échanges de données nécessaires au fonctionnement du marché intérieur ».

Cette directive aurait dû être transposée en droit français depuis octobre 1998 : la France restait le dernier pays de l’Union européenne à ne pas l’avoir fait.

Par ailleurs, le projet de loi a également pour ambition d’adapter la LIL « au développement du traitement automatisé d’informations nominatives dans le secteur privé comme dans le secteur public et plus largement aux nombreuses évolutions technologiques de notre société de l’information ».

La LIL version 2004 apporte de nombreuses modifications qui sont vivement discutées par les professionnels du droit et de l’informatique :

- son champ d’application est précisé pour permettre une meilleure adaptation aux enjeux juridiques actuels de la société française informatisée (1),

 

- la procédure de déclaration des fichiers et traitements automatisés se veut allégée et simplifiée (2),

 

- la CNIL se voit dotée de nouveaux pouvoirs de contrôle et de sanction (3).

 

Un champ d’application de la LIL précisé

 

-> Abandon du terme : « informations nominatives »

Lorsque la loi de 1978 est instituée, le chapitre 1 « Principes et définitions » parle essentiellement d’ « informations nominatives ».

La LIL version 2004 transpose la directive européenne de 1995 et opte pour un terme plus général (« données à caractère personnel ») afin d’englober le plus de situations possibles.

Une définition est donnée à l’article 2 nouveau de la loi : « constitue une donnée à caractère personnel toute information relative à une personne physique identifiée ou qui peut être identifiée, directement ou indirectement, par référence à un numéro d’identification ou à un ou plusieurs éléments qui lui sont propres ».

L’emploi de ce terme permet de viser toutes les données permettant l’identification d’une personne : nom, numéro d’identification, voix, image et empreintes digitales.

-> Des précisions textuelles

La nouvelle loi détaille de nombreuses notions : les données à caractère personnel, les traitements automatisés, les fichiers, la personne concernée par les traitements, le responsable des traitements.

L’article 4 nouveau précise que les copies temporaires faites dans le cadre d’activités techniques de transmission ou de fourniture d’accès à un réseau pour permettre le meilleur accès possible aux informations transmises ne sont pas concernées par la présente loi.

Par ailleurs, la LIL version 2004 indique qu’elle trouve à s’appliquer dès lors qu’un élément se rattache au territoire français : responsable du traitement automatisé établi en France, moyens de traitements situés en France ou encore représentant en France.

La loi crée un nouveau chapitre 2 relatif aux « conditions de licéité des traitements de données à caractère personnel ». Les données à caractère personnel doivent remplir plusieurs conditions, prévues à l’article 6 nouveau, pour être licites :

- être collectées et traitées de manière loyale et licite,

 

- être collectées pour des finalités déterminées,

 

- être adéquates, pertinentes et non excessives face à leur finalité,

 

- être exactes, complètes et mises à jour,

 

- être conservées en respectant les délais de conservations.

 

L’accent est mis sur le consentement de la personne concernée par la collecte et le traitement de ses données à caractère personnel (article 7 nouveau).

-> Responsabilité et droits

Le chapitre 5 (articles 32 à 42 nouveaux) est entièrement consacré à la responsabilité incombant aux responsables des traitements de données et aux droits des personnes concernées par ces traitements.

Le responsable des traitements a l’obligation d’informer les personnes concernées, notamment lorsque les données les concernant ne sont pas recueillis directement auprès d’elles. L’obligation d’information est donc renforcée. De plus, le projet de loi précise que le responsable des traitements se doit de conserver les données et d’en préserver la sécurité sous peine de sanction.

Les personnes concernées par le traitement disposent de droits nouveaux. La loi de 1978 subordonnait le droit d’opposition à la justification de « raisons légitimes ». La LIL version 2004 maintient ce droit (article 38 nouveau) mais précise que ce droit d’opposition sera discrétionnaire et sans frais lorsque les données seront utilisées à des fins de prospection, notamment commerciale.

Par ailleurs, les fichiers relatifs à la sûreté de l’Etat, la défense et la sécurité publique et accessibles que par l’intermédiaire de la CNIL pourront être communiqués à la personne concernée si les intérêts publics ne sont pas mis en cause (articles 41 et 42).

Enfin, la loi prévoit, sans changement, le droit d’accès et à rectification des données à caractère personnel par les intéressés : il s’agit de l’article 40 nouveau.

Toutes ces précisions permettent de mieux encadrer l’application de la LIL.

    Une procédure de déclaration des fichiers allégée et simplifiée

-> Le correspondant à la protection des données

Le projet de loi propose de simplifier les formalités préalables de déclaration lorsque les fichiers ne concernent pas des données sensibles.

Les personnes morales seront dispenser de toute déclaration si elles se dotent d’un correspondant à la protection des données, une personne qui servira d’intermédiaire entre l’entreprise et la CNIL et veillera ainsi au respect des dispositions de la loi (article 22 nouveau).

Le projet de loi transpose l’article 18 de la directive européenne de 1995. Cet article énonce, en effet, que le responsable du traitement peut désigner « un détaché à la protection des données à caractère personnel chargé notamment d’assurer, d’une manière indépendante, l’application interne des dispositions nationales prises en application de la présente directive, de tenir un registre des traitements effectués par le responsable du traitement, et garantissant de la sorte que les traitements ne sont pas susceptibles de porter atteinte aux droits et libertés des personnes concernées ».

Alex Türk, président de la CNIL, a déclaré que la mise en place de ces correspondants à la protection des données permettra de « jeter d’avantages de passerelles entre une série d’acteurs (entreprises, collectivités locales, associations) et la CNIL ». Il précise que ces correspondants « feront de la pédagogie et de la formation interne, ils seront à même de tirer les signaux d’alarme » et seront en liaison systématiquement avec la CNIL.

Le Conseil constitutionnel a précisé, dans sa décision du 29 juillet 2004, que la désignation d’un correspondant dispense uniquement des déclarations mais ne concernent pas les traitements soumis à autorisation ou les transferts de fichiers hors de l’Union européenne. Cette désignation ne soustrait d’ailleurs pas les traitements non déclarés aux autres obligations prévues par la loi dont le non respect sera sanctionné.

-> Fichiers publics et privés

Jusque là, les fichiers publics et privés n’avaient pas le même régime : les premiers devaient être autorisés préalablement par la CNIL, les seconds devaient être seulement déclarés.

La CNIL effectuait donc un contrôle a priori des fichiers publics et un contrôle a posteriori des fichiers privés.

Désormais, les fichiers créés par les pouvoirs publics relèvent du régime des fichiers privés. Le gouvernement fait valoir que la distinction entre fichiers publics et fichiers privés est dépassée : nombre de fichiers publics collectent des données anodines mises en œuvre, la plupart du temps, par des opérateurs privés, ce qui présente des risques d’atteinte à la liberté individuelle et à la protection de la vie privée.

Par ailleurs, il est à noter qu’avant ce projet de loi, la CNIL disposait pourtant d’un pouvoir d’autorisation sur les fichiers administratifs mais n’a jamais pu asseoir son autorité. Par exemple, le STIC (fichier informatisé comprenant des données sur les auteurs et les victimes de crimes et délits) a été mis en place et utilisé en 1996 mais n’a obtenu de reconnaissance légale par décret qu’en juillet 2001.

Avec le projet de loi, l’avis de la CNIL ne sera que purement facultatif, le gouvernement n’aura plus à en tenir compte. La Commission ne pourra donc plus s’opposer aux nouveaux fichiers de l’Etat. Les fichiers policiers n’auront plus besoin d’obtenir l’aval de la CNIL pour être activés.

La Fédération Informatique et Libertés (FIL) qui rassemble plusieurs associations, le collectif Délis (Droits et libertés face à l’informatisation de la société) et la ligue des Droits de l’Homme dénoncent ces dispositions qui, selon eux, « constituent un abaissement très sérieux du niveau de protection des citoyens face aux traitements de leurs données personnelles ».

-> Fichiers relatifs aux données sensibles

Désormais, c’est la finalité du fichier et la nature des données collectées qui détermineront le régime applicable, peu importe qu’il s’agisse d’un fichier public ou privé.

La LIL prévoit deux régimes : la déclaration des fichiers relatifs à des données anodines et l’autorisation par la CNIL pour les fichiers portant sur des données plus sensibles tels que des données génétiques ou relatives aux infractions et condamnations (article 25 nouveau).

De même, les données qui ont pour finalité l’exclusion du bénéfice d’un droit, d’une prestation ou d’un contrat dès lors que cette exclusion ne repose pas sur une condition légale ou réglementaire ou qui ont pour finalité l’interconnexion des fichiers de nature différente seront également soumis à autorisation de la CNIL (article 25 nouveau).

Par ailleurs, il est à noter que l’article 8 nouveau énonce qu’il est interdit de collecter et d’enregistrer des données sensibles telles que des données relatives à l’origine ethnique, les opinions politiques, les convictions religieuses, les mœurs de la personne.

Seulement il pourra être dérogé à cette interdiction sur les traitements de données s’ils sont justifiés par l’intérêt public (article 8-IV nouveau) et autorisés (articles 25-I et 26-II nouveaux).

Il faut savoir que ces fichiers relatifs aux données sensibles devaient être autorisés par décret après avis conforme de la CNIL et du Conseil d’Etat. La LIL version 2004 indique que l’avis de la CNIL pour ces fichiers sensibles ne liera plus le Conseil d’Etat et le gouvernement. En effet, l’avis de la CNIL n’aura plus besoin d’être « conforme » pour que le décret autorise le fichier sensible ; ce qui traduit un manque de garantie évident lors de l’établissement et l’autorisation de ces fichiers sensibles.

-> Les fichiers d’infractions et de condamnations

Seules les juridictions et certaines autorités publiques pouvaient jusqu’à présent constituer de tels fichiers. Mais un amendement initié par Alex Türk permet également aux personnes morales de recourir à ces fichiers d’infractions et de condamnations.

En effet, l’article 9 nouveau, 3° dispose que les traitements de données à caractère personnel relatives aux infractions, condamnations et mesures de sûreté peuvent désormais être mises en œuvre par « les personnes morales victimes d’infractions ou agissant pour le compte desdites victimes pour les stricts besoins de la prévention et de la lutte contre la fraude ainsi que de la réparation du préjudice subi ». Ce 3° de l’article 9 a été annulé par le Conseil constitutionnel estimant qu’en « raison de l’ampleur que pourraient revêtir les traitements de données personnelles ainsi mis en œuvre et de la nature des informations traitées, cette disposition pourrait affecter le droit au respect de la vie privée et les garanties fondamentales accordées aux citoyens pour l’exercice des libertés publiques ». Par ailleurs, le terme de « fraude » a été jugé trop large. Cette disposition était trop imprécise pour être entérinée par le Conseil constitutionnel.

Par contre, le Conseil constitutionnel maintient la disposition 4° de l’article 9 : des fichiers pourront être créés dans une situation précise : la lutte contre le piratage sur Internet.

La LIL prévoit donc la légalisation des « listes noires » constituées notamment par les sociétés de perception de droit d’auteur, les organismes professionnels qui soupçonnent des personnes de piratage sur Internet, via des réseaux peer-to-peer, par exemple.

Ces casiers judiciaires privés devront être autorisés par la CNIL. Il sera nécessaire de contrôler efficacement ces fichiers pour éviter toute dérive.

Des nouveaux pouvoirs de contrôle et de sanction pour la CNIL

Avec la nouvelle LIL, la CNIL voit ses pouvoirs de contrôle réduits de manière importante en ce qui concerne les fichiers publics. Néanmoins, la LIL prévoit également la mise en place de nouveaux pouvoirs de contrôle et de sanction pour la CNIL (articles 44 à 49 nouveaux).

Il faut savoir qu’à l’heure actuelle, la CNIL peut enquêter mais ne dispose d’aucun moyen contraignant pour mettre en œuvre ses investigations. Si elle constate la non conformité d’un traitement avec la loi, elle ne peut émettre qu’un avertissement ou transmettre le dossier au Parquet qui se charge de déterminer l’opportunité d’une poursuite.

Avec la LIL version 2004, les pouvoirs de contrôle de la CNIL sont renforcés : en cas d’opposition du propriétaire des lieux, elle pourra désormais, sur autorisation judiciaire, accéder à tout local professionnel et aux matériels qui permettent le traitement des données (article 44 nouveau).

Par ailleurs, outre un possible avertissement (article 45 nouveau), la CNIL pourra mettre en demeure le responsable du traitement de se conformer aux dispositions de la loi sous peine de sanctions administratives et notamment pécuniaires importantes pouvant aller jusqu’à 300 000 euros (article 47 nouveau).

La CNIL sera donc désormais dotée de pouvoirs de contrôle a posteriori effectifs lui permettant de vérifier si les fichiers existants sont conformes aux obligations prévues par la loi. Elle pourra sanctionner la méconnaissance de ces obligations.

source : avocats online

Par Yannick Tettini
Ecrire un commentaire - Voir les 0 commentaires - Recommander
Jeudi 19 janvier 2006

La cybersurveillance appliquée à l'entreprise concerne le contrôle par l'employeur des usages des nouveaux outils technologiques par les salariés.
Le développement de l'usage des technologies de l'information et de la communication (TIC) et principalement du courrier électronique a amené la CNIL à présenter, en février dernier, un second
rapport relatif à la cybersurveillance sur les lieux de travail, contenant des recommandations destinées à trouver un équilibre entre la vie privée des salariés et le besoin de sécurité des entreprises.
Il y est notamment question de l'utilisation des messageries électroniques et plus largement de l'utilisation d'internet à des fins personnelles sur le lieu de travail.
Les recommandations de la CNIL s'ajoutent aux récentes décisions de jurisprudence s'attachant à clarifier les questions relatives à la protection des courriers électroniques privés, notamment le droit au respect de la vie privée et le droit à la distraction au moyen d'outils professionnels mis à disposition par l'entreprise.
La CNIL et les tribunaux nous éclairent sur la frontière entre vie professionnelle et vie privée, renvoyant employés et employeurs à leurs responsabilités respectives, instaurant également de nouvelles relations dans l'entreprise et générant l'évolution de certains métiers relatifs aux TIC.

L'e-mail soumis au secret des correspondances

L'accès à la connaissance du courrier électronique des personnes employées d'une entreprise, par celui qui a fourni l'ordinateur à des fins professionnelles, dans le but d'obtenir la preuve d'un comportement indélicat, a donné lieu à de récentes décisions de justice.
En 2001, la Chambre sociale de la Cour de cassation et la Cour d'appel de Paris ont toutes deux affirmé que le secret des correspondances s'appliquait bel et bien aux courriers électroniques envoyés ou reçus via un ordinateur professionnel.
Pour la première fois, la Cour de cassation s'est prononcée sur le statut de la correspondance électronique et ses magistrats ont adopté une solution conforme aux principes de la jurisprudence antérieure en matière de correspondance postale.
Un e-mail est donc une correspondance privée justifiant l'application des dispositions légales relatives à la protection de la vie privée. La protection du secret de la correspondance est prévue dans l'
article 226-15 du nouveau Code pénal qui punit outre la violation de la correspondance postale, "le fait, commis de mauvaise foi, d'intercépter, de détourner, d'utiliser ou de divulguer des correspondances émises, transmises ou reçues par la voie de télécommunications".

L'arrêt Nikon (Cour de Cassation, Chambre sociale, 2 octobre 2001) est considéré par la doctrine comme un arrêt de principe en matière de surveillance des courriers électroniques.
Un salarié a été licencié pour faute, au motif qu'il entretenait une activité parallèle pendant ses heures de travail en vendant illégalement du matériel de la société. Pour établir ce fait, la société s'est basée sur le contenu des messages expédiés, reçus et enregistés par le salarié sur le disque dur de son ordinateur dans un fichier intitulé "Personnel". La Cour d'appel donna gain de cause à l'employeur en validant la consultation des mails de l'employé mais la Cour de cassation cassa cette décision.
Cet arrêt reconnaît sans équivoque que le salarié a droit au respect de sa vie privée sur son lieu de travail, ce qui induit le secret des correspondances. Il pose une question fondamentale sur laquelle les directions informatiques et les juristes doivent se pencher, et qui est de déterminer la frontière entre vie professionnelle et vie privée du salarié sur la plan informatique.
L'arrêt Nikon s'appuie notamment sur l'
article L.120-2 du Code du Travail qui souligne que l'on peut rechercher dans les fichiers personnels du salarié uniquement sous réserve qu'il y ait une justification par rapport à la tâche qu'il doit accomplir et des circonstances graves justifiant la mesure.

Suite à cette décision, "il semble désormais acquis que la sphère privée entre dans la sphère professionnelle mais que la sphère professionnelle n'entre pas dans la sphère privée" (L'application du principe de secret de la correspondance aux courriers électroniques reçus ou émis à l'aide d'un outil informatique à usage professionnel, Sophie Brézin & Isabelle de Bénalcazar, Travail et Protection sociale, 01/2002).

Un arrêt de la Cour d'appel de Paris du 17 décembre 2001 apporte un éclairage nouveau sur l'utilisation de la messagerie électronique après l'arrêt Nikon.
Plusieurs incidents intervenus au sein du laboratoire de l'Ecole supérieure de physique et de chimie (harcèlement d'une étudiante, destruction de ses fichiers...) ont éveillé les soupçons sur un étudiant, dont la messagerie fut surveillée. La Cour d'appel a jugé qu'il y avait là divulgation de correspondances. L'administrateur réseau, qui avait été condamné une première fois par le Tribunal correctionnel s'est vu confirmer ce jugement. (Les "fouille-mails" défendent leur job,
Libération, 21/11/2001).

Si l'arrêt Nikon a choisi la protection du salarié, la question fondamentale qui subsite est de déterminer où commence la vie privée du salarié et comment concilier la protection de la vie privée avec la préoccupation sécuritaire des entreprises ?
En février dernier, la CNIL s'est prononcée pour la seconde fois sur ce sujet complexe et délicat.
Un premier rapport (mars 2001) visait à alerter l'opinion sur les possibilités de traçage que les nouvelles technologies offrent aux employeurs et à lancer le débat. Suite à ce rapport, le site de la CNIL a fait l'objet de 18000 connexions en 2001.
Le second rapport tient compte des suggestions du public et des partenaires sociaux sur des points que n'abordaient pas le premier rapport. (Dans l'entreprise, les nouvelles technologies n'échappent pas aux règles encadrant le travail salarié,
Transfert, 11/11/2001).

Les recommandations de la CNIL :

  • prônent la transparence, la loyauté et la nécessité de trouver un équilibre entre "le droit de l'employeur à connaître ce qui est nécessaire à l'exercice de sa fonction dirigeante et le droit du salarié à protéger sa vie privée",
  • dénoncent certaines chartes d'entreprise cumulant "sans souci de pédagogie, les prohibitions de toute sorte" et se contentant d'aviser de la mise en place "d'un véritable arsenal de surveillance et de conservation pendant de longues durées des données de connexions permettant l'identification des agissements des salariés".
    (Rapport relatif à la cybersurveillance sur les lieux de travail, février 2002)

  • proposent l'instauration d'un dialogue entre les entreprises et les représentants de leur personnel sur les conditions d'usage de la messagerie, la mise en place d'un bilan annuel "Informatique et Libertés" et la désignation d'un délégué à la protection des données et l'usage des nouvelles technologies. (Cybersurveillance au bureau : pour un juste équilibre employés-employeur, L'internaute, 12/02/2002)

Si l'arrêt Nikon lève toute ambiguité sur le statut de la correspondance électronique, d'aucuns pensent cependant que "le principe d'interdiction absolue posé par l'arrêt semble disproportionné : le secret de la correspondance doit être mis en balance avec les intérêts vitaux de l'entreprise" (Courrier privé et courrier personnel, JE Ray, Droit social, 11/2001).
Ainsi, employeurs et salariés sont renvoyés à leurs responsabilités respectives en matière d'usage, pour les uns, et de surveillance, pour les autres, des outils de communication au travail.

Responsabilités respectives des salariés et des employeurs

Informer les salariés de l'emploi de modes de contrôle et de surveillance ne vaut pas autorisation pour l'employeur à les mettre en oeuvre. En effet, la légalité des contrôles pratiqués dans les entreprises (contrôle des connexions à Internet et à la messagerie) dépend du respect par l'employeur de quatre conditions :

- la preuve fournie par les enregistrements est illicite si les salariés n'ont pas été informés des controles pratiqués,
- le comité d'entreprise doit avoir été préalablement consulté,
- les contrôles susceptibles d'être pratiqués doivent faire l'objet d'une déclaration auprès de la CNIL,
- l'employeur doit respecter le principe de proportionnalité (
article L 120-2 du code du Travail), c'est-à-dire que l'employeur ne peut prendre connaissance d'un fichier intitulé "Personnel" sans abuser de son pouvoir et doit reconnaitre à ses employés le droit, même au temps et lieu de travail, au respect de l'intimité de sa vie privée.
(La CNIL et la cybersurveillance des salariés : faut-il une cyberrégulation ?
Les Echos, 28/02/2002)

La préoccupation sécuritaire des entreprises peut donc justifier le contrôle a posteriori des messageries, à condition, selon la CNIL, "qu'il soit raisonnable et que les salariés en soient informés". Par ailleurs, pour Jean-Emmanuel Ray, professeur de droit, "l'employeur a non seulement le droit, mais le devoir, de surveiller ses salariés" (La cybersurveillance revue et corrigée, Les Echos, 18/02/2002). Sa responsabilité peut être engagée:

- en cas d'utilisation pénalement illicite de la messagerie : rapatriement d'images à caractère pédophile sur le réseau interne depuis l'Internet, diffusion d'images sensibles, interdites, à caractère racial ou touchant les moeurs des personnes, portant atteinte à la vie privée ou à la considération, harcèlement sexuel, téléchargement de logiciel sans licence d'utilisation...,
-
lorsque l'e-mail contient un virus portant atteinte à la sécurité du réseau,
- lorsqu'un message sortant contient des informations confidentielles touchant aux secrets de l'entreprise.

Un salarié mal intentionné pourrait par exemple soustraire au contrôle de son employeur des documents ou messages constitutifs d'infractions en les qualifiant de "personnels". Or, si l'employeur ne peut contrôler le contenu des messages ou documents identifiés comme tels, seule la responsabilité de l'employé pourrait alors être engagée...La marge de manoeuvre d'une entreprise est étroite car "s'il contrôle le contenu des mails personnels, il s'expose à une condamnation pour violation des correspondances privées; s'il ne les contrôle pas alors que les circonstances de l'espèce l'exigeaient, il pourrait se voir reprocher sa négligence".
"Il serait en effet légitime de considérer que la frontière de sa responsabilité est la même que son pouvoir de contrôle" (Mails personnels et responsabilités : quelles frontières ? Ariane Mole, Droit social, janvier 2002).

La vie privée du salarié doit être protégée dans la mesure où elle ne présente aucun lien avec la relation de travail. Mais, selon Agathe Lepage, professeur de droit, l'importance qu'on lui accorde peut parfois être paradoxale : "Alors qu'à ses heures et à son lieu de travail, le salarié distraira du temps à celui qu'il doit consacré à son labeur, en utilisant à des fins non professionnelles l'ordinateur mis à sa disposition, il pourra encore invoquer le droit au respect de la vie privée pour rendre légitime ce manquement à ses obligations professionnelles" (Le courrier électronique entre la confidentialité des correspondances et les exigences de la preuve, Droit et procédures, 03-04/2002).

A propos de la responsabilité des entreprises, "une analogie peut être soulignée entre l'employeur soucieux de ne pas se voir reprocher sa passivité mais inquiet des conséquences d'une éventuelle intervention, et les fournisseurs d'hébergement qui, dès lors qu'ils ont connaissance du contenu litigieux d'un site qu'ils hébergent, se voient obliger par le projet de loi sur la société de l'information, de fermer le site ou d'en rendre l'accès impossible, au risque de voir leur responsabilité engagée par les tiers" (Le courrier électronique entre la confidentialité des correspondances et les exigences de la preuve, Agathe Lepage, Droit et procédures, 03-04/2002).

Des moyens de contrôle des trafics de données sur les réseaux sont cependant à la disposition des entreprises :

- des "pare-feu" protègent des virus et permettent de prendre connaissance du trafic réalisé depuis un poste de travail,
- des serveurs proxy mémorisant les pages web visitées, constituent un outil de tracabilité,
- des logiciels de filtrage (Les mails jouent les agents doubles,
Les Echos, 21/05/2001),
- les logiciels de télémaintenance des postes de travail,
- la mémoire cache des ordinateurs des salariés mémorisant les sites visités.
(Internet au travail, Faut-il limiter l'accès des employés au Web pendant les heures de bureau ? Controverse sur la "Cybersurveillance",
Le Monde, 17/08/2001)

Cependant, se pose la question de savoir ce que l'entreprise va contrôler par ces moyens : une éventuelle indélicatesse d'un salarié ou le "vol de temps" du salarié qui s'amuse plus qu'il ne travaille ? Ainsi, dans ce dernier cas, ce sont les flux de données et non plus les contenus qui feront l'objet d'une surveillance de la part des services informatiques (Le secret de la correspondance s'applique aux "e-mails" émis ou reçus sur un poste professionnel, Jurisprudence Sociale Lamy, 18/10/2001).

Pour clarifier cette situation complexe dans les entreprises, des protocoles se multiplient, tentant d'associer respect de l'intimité du salarié et protection de l'entreprise en instaurant des règles et des méthodes de surveillance transparentes aux yeux des employés.
Ces chartes définissent les règles d'utilisation d'internet par les salariés. Elles contiennent le plus souvent l'interdiction de mener des actions qui mettraient en péril la sécurité de l'entreprise. Elles reconnaissent la tolérance de l'usage personnel d'internet et de la messagerie s'il est effectué sans abus, à l'instar de Renault, qui s'est doté d'une "charte mondiale sur l'usage des ressources informatiques, électroniques et téléphoniques" (Renault choisit la transparence,
Le Monde, 03/10/2001).
La charte se doit également d'expliquer comment l'entreprise s'assure du respect de ces termes, autrement dit comment les employés sont surveillés (Les règles de la cybersurveillance,
La Tribune, 24/09/2001).
Cependant, la charte n'a de valeur juridique que si elle est annexée au règlement intérieur de l'entreprise. Il faut également qu'elle ait fait l'objet d'une négociation avec les représentants du personnel.

En outre, la CNIL invite les entreprises à consacrer chaque année un chapître entier à l'informatique et aux libertés dans leur bilan social.
Dans le rapport de février dernier, une place importante est accordée au personnel chargé du contrôle et de la surveillance des autres salariés.

Source : Mission pour l'économie numérique http://www.men.minefi.gouv.fr

Par Yannick Tettini
Ecrire un commentaire - Voir les 0 commentaires - Recommander
Dimanche 29 janvier 2006
La Federal Trade Commission (FTC) américaine a condamné la société ChoicePoint - hébergeant des informations bancaires - à payer une amende de 15 millions de dollars pour s'être fait pirater un serveur, lequel contenait des données personnelles sur ses clients. D'autres sociétés américaines avaient déjà eu affaire au même type d'intrusion (Bank of America, Citigroup, Mariott...) mais ChoicePoint est la première a être condamnée pour négligeance de sécurité.
Par Yannick Tettini
Ecrire un commentaire - Voir les 0 commentaires - Recommander
Jeudi 2 février 2006

Cédric Crépin, consultant juridique chez Cilex et ancien collègue de promo, a écrit un article trés intéressant sur le Correspondant Informatique et Libertés (CIL). Conformément à sa demande, cet article est découpé en quatre parties. Ces 4 parties seront publiées dans ce blog à raison d'une partie par jour, afin d'en favoriser la lecture.Vous pouvez retrouver cet article dans Expertises, n° 299 janvier 2006, pp. 21-25.


4iéme partie
3ième partie
2ième partie  
Première partie :

La Commission Nationale de l’Informatique et des Libertés (CNIL) a fêté en cette année 2005 son 25ème anniversaire. La longévité de l’institution de la rue Saint Guillaume démontre l’importance que revêt le bras exécutif de la loi du 6 janvier 1978. Cependant, un malaise insidieux grandit depuis plusieurs années : la loi Informatique et Libertés, figure de proue du respect de la vie privée face à l’informatique et aux dangers qu’elle peut engendrer, n’est que peu appliquée. En ce sens, alors que tout traitement mettant en jeu des données personnelles doit être déclaré, il est regrettable de constater que de nombreuses entreprises et administrations agissent dans la clandestinité (1). Les causes sont multiples : complexité de la loi, voire ignorance pure et simple du texte, difficulté dans la mise en œuvre, crainte de dévoiler des données stratégiques… La loi du 6 août 2004(2), transposition de la directive 95/46 CE(3), entend remettre « Informatique et Libertés » en phase avec les problèmes contemporains, mais aussi anticiper l’avenir. Car c’est là que le bât blesse : l’informatique et les méthodes de traitements évoluent vite, et il est nécessaire d’avoir un outil adapté afin de pouvoir réguler les trafics d’information(4). Cet outil, le législateur le trouve au sein de la directive « Protection des données » d’octobre 1995, plus précisément au considérant 18, qui dispose que les Etats ont la possibilité de recourir au système du « détaché à la protection des données à caractère personnel chargé notamment d’assurer, d’une manière indépendante, l’application interne des dispositions nationales prises en application de la présente directive, et de tenir un registre des traitements effectués par le responsable de traitement […] garantissant de la sorte que les traitements ne sont pas susceptibles de porter atteinte aux droits et libertés des personnes concernées ».

  

La motivation du législateur français en saisissant cette option laissée par le texte communautaire est de passer d’un système déclaratoire centralisé à un système d’exemption déconcentré, situé sur le terrain, au plus proche des responsables de traitements. Le dispositif, inscrit aux articles 22 et 67 de la loi « Informatique et Libertés » est désormais effectif grâce à la publication du décret du 20 octobre 2005(5). Après avoir attendu 10 ans pour transposer la directive 95/46 CE « Protection des données », ce qui fait de la France le dernier Etat de L’Union a avoir transposé ce texte, le législateur aura mis plus de 15 mois pour publier ce décret auquel on ne croyait plus. On peut s’interroger sur cette lenteur administrative, alors que la réadaptation du droit français aux problématiques informatiques devenait urgente, et surtout lorsqu’on se souvient que la France avait fait pression auprès de ses partenaires européens pour que soit adoptée la directive « Protection des données ».

 

Le Titre III du décret d’application de la loi du 6 août 2004 est entièrement consacré au correspondant à la protection des données à caractère personnel, ou selon la terminologie employée par la CNIL , correspondant informatique et libertés (CIL) (6). Longtemps attendu, ce texte doit fournir les indices nécessaires à l’encadrement et la mise en pratique de la fonction. Le CIL est désigné par le responsable de traitement, ce qui ouvre le dispositif aux administrations comme aux entreprises. Il peut être une personne physique ou morale, interne ou externe même si des restrictions demeurent. L’externalisation n’est pas autorisée « lorsque plus de cinquante personnes sont chargées de la mise en oeuvre ou ont directement accès aux traitements ou catégories de traitements automatisés pour lesquels le responsable entend désigner un correspondant à la protection des données à caractère personnel » (art. 42). Des exceptions sont toutefois ouvertes pour les groupes de sociétés, les GIE ou les organismes professionnels qui peuvent désigner un CIL travaillant en leur sein. Son rôle est de dresser une liste des traitements dont il a la charge, ce qui emporte une dispense de déclaration auprès de la CNIL de ces traitements. Ce « Monsieur  Informatique et Libertés » a aussi pour rôle de conseiller le responsable lorsque de nouveaux traitements sont mis en œuvre, voire de l’alerter lorsqu’un risque de dérive existe.

 

Véritable acteur de terrain, le CIL est le maillon appelé à réconcilier responsables de traitements et CNIL afin de mieux faire respecter les exigences légales, dont les infractions sont lourdement sanctionnées. Du côté de la CNIL , on espère une diminution des contraintes administratives et une pédagogie responsabilisante auprès des entreprises et administrations. Pour l’organisme désignant, ce peut être un moyen de s’épargner des tracasseries administratives, le tout en soignant une image de marque et en se conformant aux exigences légales. Cependant, à la lecture des textes, il est possible de discerner un certain vide dans l’encadrement. Une large marge de manœuvre est laissée à la pratique, mais on peut également regretter que certains points ne soient pas évoqués avec plus de précision.



[1] En ce sens, voir Braibant G., Données personnelles et société de l’information, Rapport au Premier Ministre, 1998, p. 53 s.

[2] Loi n° 2004-801 du 6 août 2004 relative à la protection des personnes physiques à l’égard des traitements de données à caractère personnel, JO n° 182 du 7 août 2004 p. 14063

[3] Directive n° 95/46 CE du Parlement européen et du Conseil  du 24 octobre 1995 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, JOCE n° L 281, p. 31

[4] Voir Türk A., Rapport n° 218 relatif à la protection des personnes physiques à l’égard des traitements de données à caractère personnel et modifiant la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, 19 mars 2003,  « La loi est donc restée centrée sur son objectif initial -les grands ordinateurs publics- et n'a pas su s'adapter au passage à la micro-informatique privée et démocratisée », p. 20

[5] Décret n° 2005-1309 du 20 octobre 2005 pris pour l'application de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, modifiée par la loi n° 2004-801 du 6 août 2004, J.O n° 247 du 22 octobre 2005 page 16769

[6] Pour une étude d’ensemble sur le sujet, voir Crépin C., Le correspondant Informatique et Libertés : un outil de régulation pour la protection des données à caractère personnel, Université de Lille 2, 2005, consultable sur www.afcdp.org

 

 


 

Retrouvez la suite de cet article demain...

Par Yannick Tettini
Ecrire un commentaire - Voir les 0 commentaires - Recommander
Vendredi 3 février 2006

La Commission nationale de l'informatique et des libertés a publié un avis dans lequel elle dispense les éditieurs de blogs de déclaration. Mais pas de certains devoirs.

Voici la tribune publiée sur le site de la CNIL par le commissaire Emmanuel de Givry :

"Le phénomène des sites web personnels, dont les plus connus sont assurément les blogs, participe incontestablement de la richesse d’internet. Pour autant, il faut relever que le contenu de certains blogs est susceptible de porter atteinte à la vie privée des personnes dont les informations peuvent être diffusés par des tiers, sans qu’elles en aient été informées.

Sur la base de ce constat, la CNIL a souhaité rappeler que les principes protecteurs issus de la loi informatique et libertés s’appliquent à la diffusion ou la collecte de données à caractère personnel à partir d’un site web. Elle a voulu aussi prendre en compte la spécificité des sites personnels et particulièrement des blogs.

C’est pourquoi elle vient de décider de dispenser de déclaration ces sites tout en mettant l’accent sur les règles qui y sont applicables : la diffusion d’une information sur une personne ne peut se faire sans son accord et toute personne peut s’opposer, ultérieurement, à une telle diffusion.

Diffuser une information sur internet, c’est la rendre accessible à quiconque, sans pouvoir réellement maîtriser son utilisation. Dès lors, la CNIL recommande la mise en place d’un accès restreint pour les sites qui n’ont vocation à être consultés que par un nombre limité de personnes et souligne que les informations « sensibles » (les données relatives aux origines raciales ou ethniques, les opinions politiques, philosophiques ou religieuses ou celles relatives à la santé ou la vie sexuelle) n’ont pas vocation à être diffusées sur internet."

La CNIL conseille aux internautes qui créent des sites personnels dans le cadre du cercle familial ou amical de mettre en place un accès restreint. Lorsqu’un particulier ouvre un site destiné à ses proches pour mettre en ligne des photographies d’un événement (mariage, anniversaire, etc.), il devrait, compte tenu de la nature du réseau internet, limiter cette diffusion aux seules personnes concernées.

Par Yannick Tettini
Ecrire un commentaire - Voir les 0 commentaires - Recommander
Vendredi 3 février 2006

Voici la deuxième partie de l'article écrit par Cédric Crépin sur le Correspondant Informatique et Libertés.


4iéme partie
3ième partie
1ère partie  
Deuxième partie :

La place de la CNIL

Alors que les textes font preuve de souplesse afin de laisser les organismes s’approprier la fonction, et par ce biais la promouvoir, il serait faux de croire que tout est permis. Faire du CIL une niche à exonération conduirait les organismes malveillants à des sanctions. Si aucun contrôle a priori n’est exercé par la CNIL, on peut imaginer que des contrôles « préventifs » seront organisés ou que des plaintes soient déposées envers un organisme ayant fait le choix du CIL, ce qui conduira inévitablement à un examen des procédés de l’organisme incriminé. La CNIL possède même un pouvoir de décharge du CIL lorsque des manquements graves sont constatés. Reste à déterminer le seuil de gravité qui sera retenu par la CNIL.

Mais pour que ce « ménage à trois » entre le responsable de traitements, le CIL et la CNIL soit viable, encore faut-il que la CNIL dispose de moyens nécessaires à l’organisation et l’animation d’un réseau. La procédure de désignation n’a d’autre intérêt que d’officialiser les rapports entre le CIL et la CNIL et d’établir le point de départ de la dispense accordée à l’organisme désignant. On peut alors s’interroger sur l’exhaustivité des renseignements demandés qui ne présentent que peu d’intérêt pour la CNIL. En revanche, ces données pourraient se révéler importantes pour l’information des tiers. Il est à souhaiter qu’à l’instar des autorités de contrôle hollandaises et luxembourgeoises, la CNIL tienne une liste des organismes ayant fait le choix d’un CIL, ce qui permettrait aux individus de saisir directement le CIL. Mais deux obstacles freinent cette idée : d’une part, c’est exposer le CIL à des prospections commerciales, et d’autre part, la CNIL doit obtenir l’accord des CIL personne physique pour pouvoir diffuser leur nom et coordonnées par respect du principe de l’"opt-in".

Si la désignation autorise la CNIL à connaître l’ensemble des CIL désignés, saura-t-elle pour autant garder la main sur ceux-ci ? La création d’un maillage d’interlocuteurs réguliers est un des objectifs de la Commission qui envisage de fournir un traitement privilégié pour les CIL(1), via des interlocuteurs uniques, et qui s’illustrerait par la tenue de réunions régulières visant à la définition de standards professionnels, la recherche en commun de solutions aux problèmes vécus au quotidien par les CIL, etc. L’intention est louable, mais force est de constater que les moyens manquent(2). A l’heure actuelle, la « cellule CIL » n’est composée que d’un agent à temps plein. Si de nombreux CIL sont désignés, difficile d’imaginer qu’une seule personne puisse prendre en charge l’animation d’un réseau exigeant des moyens financiers, logistiques et techniques relativement important. En Suède et aux Pays-Bas, de tels réseaux existent et rencontrent de francs succès, les initiatives étant nombreuses (newsletters, extranet, formations et séminaires…). Ces autorités bénéficient néanmoins de moyens relativement importants (ne serait-ce qu’en termes de personnel), alors qu’en France la CNIL est aux abois, la promesse d’une enveloppe budgétaire étant renvoyée aux calandes grecques.

La formation

La désignation d’un CIL est une question d’opportunité pour les organismes. La France n’a pas voulu le rendre obligatoire, à l’inverse de l’Allemagne où les Datenschutzbeaufragter (DSB) existent depuis près de 30 ans, afin de laisser s’affirmer un esprit d’ouverture et de sensibilisation aux questions touchant à la protection des données à caractère personnel. Le mot d’ordre semble donc être « souplesse » : peuvent désigner un CIL ceux qui le veulent, selon le modèle de leur choix. Reste à déterminer qui peut être nommé à ce poste.

Une double condition est ici posée. En premier lieu, le CIL ne doit pas exercer de fonction pouvant entraîner un conflit d’intérêt, ce qui élimine le responsable de traitement à la candidature, et doit en second lieu bénéficier « des qualifications professionnelles requises pour exercer ses missions » (Art. 22 L. 6 janvier 1978), le décret n’étayant pas cette disposition. Compétent en droit, en informatique, en management, beaucoup de qualités sont réclamées à un seul individu, ce qui peut favoriser l’essor des prestataires externes capables de mobiliser divers spécialistes. Pourtant, si les textes ne dresse pas la liste des diplômes requis à l’exercice de la fonction, c’est une nouvelle forme de souplesse. La CNIL, lorsqu’elle recevra la notification de désignation, ne procédera pas à un contrôle d’opportunité. En somme, quelque soit la personne désignée, l’important est qu’elle soit compétente dans l’exercice des missions qui lui sont confiées. C’est donc au responsable de traitement d’établir au moment du recrutement la liste des qualifications requises, comme pour tout autre employé ou prestataire. Et il est facile de croire que des formations verront le jour afin d’approfondir les compétences les CIL en place.

(1) Voir en ce sens la tribune du président Türk en date du 29 novembre 2005, disponible sur le site de la Commission « Pour aider [les CIL] dans l’accomplissement de leurs missions, la CNIL a mis en place un service entièrement dédié aux correspondants. Notre objectif : qu'ils bénéficient, dans un délai très court, des conseils, de l'information et de l'orientation qui leur sont nécessaires pour développer leur action. Ceci signifie qu'ils feront l'objet d'un traitement prioritaire »

(2) Ce dont l’institution ne se cache pas, en témoigne son 25ème rapport d’activités dans lequel elle démontre l’écart de moyens entre elle et ses homologues européens.

Demain la suite...

Par Yannick Tettini
Ecrire un commentaire - Voir les 0 commentaires - Recommander
Vendredi 3 février 2006

Chaque année, Privacy International et ses partenaires décernent, dans une dizaine de pays, des "Big Brother Awards" aux institutions, sociétés ou personnes s’étant distinguées par leur leur mépris du droit fondamental à la vie privée ou par leur promotion de la surveillance et du contrôle des individus.

Entre autres récompenses pour cette édition 2005 :

-Alex Türk, président de la CNIL Par ses manquements ou omissions, la Commission nationale de l'informatique et des libertés participe à une illusion, celle de faire croire au citoyen qu'il est protégé contre les dérives marchandes et étatiques de ses données personnelles 

-Ministre de l’Intérieur Nicolas Sarkozy Avec son projet de loi antiterroriste, l'état d'exception devient la règle : des caméras partout, les oreilles de la police qui traînent, le moindre fait et geste des citoyens photographié, enregistré, conservé

Carte d’identité biométrique INES Ce projet de carte électronique à puce RFID et contenant 2 identifiants biométriques, dénoncé par toutes les organisations de défense des droits de l'homme, aurait dû être obligatoire

- Pascal Clément, Garde des sceaux Pour avoir imposé rétroactivement le bracelet GPS aux délinquants sexuels après leur libération, au mépris de la Constitution

- Passeport biométrique du ministère de l’Intérieur Puce RFID sans contact, photo numérique, gestion du fichier centralisé: présenté comme un titre d'identité "sécurisé", ce passeport sera surtout un nouvel outil de contrôle social

- Direction de Canal Plus Affaire Kaehlin: une surveillance très policière a été organisée en 2002 au sein de la chaîne visant certains salariés

- Université Lille 3 Filtrage des contenus sur Internet et système de vidéosurveillance

Retrouvez l'intégralité de ces "récompenses" sur le site Big Borher Awards France

Par Yannick Tettini
Ecrire un commentaire - Voir les 0 commentaires - Recommander
Dimanche 5 février 2006
Voici la troisième partie de l'article écrit par Cédric Crépin sur le Correspondant Informatique et Libertés.

4iéme partie
3ième partie
1ère partie  
Troisème partie :
Les relations contractuelles

Alors que le CIL prestataire est lié par un contrat de prestation de service à durée limitée, comment positionner la fonction du CIL lorsqu’il est salarié de l’organisme ? Faut-il amender le contrat de travail, rédiger un nouveau contrat ? Un parallèle avec les mandats sociaux peut être envisagé. Le CIL étant une fonction, elle fait l’objet d’un contrat de travail lorsqu’elle est occupée à plein temps. Par contre, si elle ne nécessite qu’une occupation à temps partiel, elle peut faire l’objet d’un mandat du même type que celui dont bénéficient les délégués du personnel. A charge pour l’employeur et le CIL de trouver un point d’équilibre dans l’allocation d’heures nécessaires pour que les tâches incombant à ce dernier soient remplies. Le risque, c’est bien de ne pas concéder suffisamment de temps au CIL, ce qui pourrait s’analyser comme une entrave à l’exercice de la fonction.

En revanche, en emportant suspension du contrat de travail lorsqu’elle la personne effectue ses missions de CIL, le mandat permet d’exercer la fonction sans voir le contrat de travail rompu. Ainsi, lorsqu’il se verrait démettre de sa fonction, il pourrait retrouver son emploi habituel. Néanmoins, pour assurer une indépendance, il semble nécessaire de limiter dans le temps ce mandat. Qu’ils soient politiques ou sociaux, nombre d’entre eux sont à durée limitée ce qui assure une indépendance et un renouvellement nécessaire pour apporter un point de vue toujours plus neutre, sur les questions de protection de la vie privée en l’occurrence.

L’indépendance

L’un des dispositions les plus discutées de l’art. 22 III de la loi du 6 janvier 1978 concerne le statut du CIL. Il est prévu qu’il exerce ses missions de « manière indépendante », ne pouvant « faire l’objet d’aucune sanction de la part de l’employeur du fait de l’accomplissement de ses missions ». Le décret précise même en son art. 46 que « le correspondant ne reçoit aucune instruction pour l'exercice de sa mission ». Alors même qu’il n’est pas un salarié protégé, le CIL est-il dès lors un électron libre au sein de l’organisme, ne souffrant aucune hiérarchie ? Cette disposition dont la rédaction est contestable de par son ambivalence mérite d’être éclairée. L’art. 46 du décret porte en effet sur deux points essentiels :

 

* le CIL dispose d’un contact direct avec le responsable, c'est-à-dire qu’il doit pouvoir directement s’adresser à lui pour formuler toute recommandation ou demande, sans avoir à passer par une hiérarchie, ce qui le place à n’en pas douter à un poste haut placé dans l’organigramme de l’organisme ;

 

*  le CIL ne peut exercer une autre fonction pouvant générer un conflit d’intérêt. Le décret fournit comme exemple le responsable de traitements, ce qui est somme toute logique puisqu’on ne peut être juge et partie. A cette incompatibilité de principe seront sans doute adjointes d’autres impossibilité, révélées par la pratique. La question du DRH ou du DSI, qui ont un pouvoir sur certains traitements, devra vite trouver une réponse.

 

Replacé dans ce contexte, l’indépendance doit semble t’il être analysée comme une indépendance d’esprit, c'est-à-dire la faculté de formuler les critiques et les recommandations nécessaires à une mise en conformité du traitement, en soulignant certains aspects négatifs, les services défaillants. Autrement dit, dans le cadre de ses missions, le CIL doit avoir la capacité de résister à la pression et l’influence, quelque soit la forme sous laquelle elle se manifeste. Néanmoins, tous les CIL auront-ils cette force de caractère de s’opposer voire de « dénoncer » auprès de la CNIL ceux qui les emploient ? La problématique est ici la même que celle à laquelle les commissaires aux comptes sont confrontés : se taire et risquer alors une faute dans l’exercice des missions, ou dénoncer les agissements illégaux au risque de perdre son emploi ou son client ? De plus, l’une des sanctions envisageables envers un responsable ne respectant pas les obligations légales est un retour au système de déclaration. Qu’advient-il alors du CIL qui perd par l’annulation d’exemption sa principale tâche auprès de l’organisme l’employant ? La question prend tout son sens lorsque la prestation est externalisée puisque le contrat liant le CIL à l’organisme devient nécessairement caduc dans une telle hypothèse. Le risque pour le CIL est aussi de voir son image salie par une réputation d’incompétence. Il y a tout lieu de s’interroger sur la pertinence du dispositif qui se trouve biaisé par ses propres dispositions.

La responsabilité

La délégation de pouvoir

L’un des avantages escompté par les responsables par le biais du CIL est un transfert de responsabilité pénale. Ni la loi ni le décret ne prévoient de dispositions en la matière, ce qui ne signifie pas qu’elle est impossible. La délégation de pouvoirs est un moyen consacré par la jurisprudence pour permettre à un chef d’entreprise de s’exonérer de sa responsabilité pénale. En transférant à l’un des salariés une partie de ses fonctions, le dirigeant délègue aussi sa responsabilité pénale. Cinq arrêts de la Chambre criminelle de la Cour de cassation en date du 11 mars 1993 sont venus définir le régime actuel de la délégation de pouvoirs : « Hors les cas où la loi en dispose autrement, le chef d’entreprise qui n’a pas personnellement pris part à la réalisation de l’infraction peut s’exonérer de sa responsabilité pénale s’il rapporte la preuve qu’il a délégué ses pouvoirs à une personne pourvue de la compétence, de l’autorité et des moyens nécessaires ». En sa qualité de responsable de traitement, par défaut le chef d’entreprise, l’exonération de la responsabilité pénale est possible par la démonstration d’une absence de participation aux faits susceptibles d’être sanctionnés au titre des articles 131-13 et 226-16 à -22 du Code pénal, dont les infractions sont sanctionnées de peines supérieures à celles infligée en matière d’homicide involontaire.

* La participation aux faits : ces infractions pèsent sur le responsable de traitement. Il est la seule personne habilitée à intervenir lorsqu’il a connaissance des agissements du subordonné. La désignation d’un CIL n’emporte pas le transfert de cette obligation de surveillance et de contrôle de l’activité des salariés. De plus, c’est le responsable de traitement qui détermine les finalités et les moyens du traitement.

 

* La compétence : le CIL devant avoir les qualités requises à l’exercice des missions qui lui sont confiées, il semble que cette exigence soit remplie

* Les moyens : La fonction de CIL exige une indépendance dans l’exercice des missions confiées. Pour assurer cette indépendance, le projet de décret précise que le responsable de traitement doit fournir au correspondant tout élément lui permettant d’établir et d’actualiser régulièrement une liste de traitements automatisés et doit prendre toute mesure utile en vue de l’accomplissement par le CIL de ses missions en matière de protection des données. A l’allocation de moyens est donc attachée une finalité. Or, dans le contexte d’une délégation de pouvoirs, ces moyens ne semblent pas pertinents pour assurer une responsabilité sur les traitements mis en œuvre, ce qui fait échec à l’exercice d’une délégation de pouvoirs.

* L’autorité : La notion d’autorité dans le cadre d’une délégation de pouvoirs est définie en jurisprudence comme le pouvoir de donner des instructions à un service. Or l’art. 22 III de la loi du 6 janvier 1978 dispose que le correspondant a pour mission d’assurer « le respect des obligations prévues » par la loi Informatique et Libertés, le décret précisant que le CIL n’a qu’une capacité d’alerte et de conseil, afin que le responsable de traitement puisse donner des directives aux services chargés des traitements de données. La fonction de CIL semble donc incompatible avec l’exercice d’une autorité quant à la mise en œuvre des traitements automatisés. Dès lors, l’absence d’autorité prive la fonction de CIL d’une des caractéristiques de la délégation de pouvoirs.

 

Le CIL ne semble donc pouvoir être destinataire d’une délégation de pouvoirs, ne cumulant pas l’ensemble des conditions nécessaires à son établissement. Cela va dans le sens du texte de la loi Informatique et Libertés qui, dans son esprit, ne veut pas faire du CIL un miroir aux alouettes, en l’entourant de garanties d’indépendance, sans en faire un salarié protégé. C’est aussi la direction prise par la jurisprudence qui, en posant strictement les conditions d’existence d’une délégation de pouvoirs, vise à les limiter et à instaurer une équité : à la quête de pouvoirs se conjugue l’exercice de responsabilités.  Pour autant, le CIL n’est pas un « intouchable » aux yeux de la justice. Si lui transférer des responsabilités qui ne sont en définitive pas les siennes est impossible, le correspondant peut parfaitement engager sa responsabilité propre en certaines circonstances.


Demain la dernière partie...


Par Yannick Tettini
Ecrire un commentaire - Voir les 0 commentaires - Recommander
Lundi 6 février 2006

Voici la dernière partie de l'article publié par Cédric Crépin sur le Correspondant Informatique et Libertés (CIL), que vous pouvez retrouvez dans Expertises, n° 299 janvier 2006, pp. 21-25.


2iéme partie
3ième partie
1ère partie  
Dernière partie :
La complicité

On peut ainsi envisager le cas où le responsable de traitement violerait les obligations posées par la loi Informatique et Libertés, et ce avec le CIL qui pourrait aider à la commission de l’infraction, par action (en effectuant un acte matériel) ou par omission (le CIL sait qu’une infraction est commise mais ne la signale pas). Dans ce cas de figure, il est nécessaire d’envisager que le CIL a la conscience et la volonté d’aider à la commission de l’infraction. Toutes les conditions seraient alors réunies pour poursuivre le CIL au titre de la complicité punie par l’art. 121-6 du Code pénal.

La négligence  

Conseil et non pas contrôleur, que se passe-t-il lorsque le CIL constate une irrégularité mais ne formule aucune recommandation afin de corriger cette défaillance ? Autrement dit, alors que le responsable de traitement, sous le couvert de la bonne foi, commet une irrégularité, le CIL, en ayant pris conscience ne la signale pas. Ce n’est plus ici la complicité qui s’applique, car la faute du responsable, si elle est commise sous l’empire de la négligence ou de l’omission, n’est pas constitutive d’une infraction. Le silence du CIL peut-il être ici coupable ? Là encore, ni la loi ni le projet de décret ne prévoient de dispositions spécifiques sur ces questions, et il reviendra alors à la jurisprudence de trancher. Deux situations sont envisageables. D’une part, le CIL s’abstient de révéler les faits en temps utiles. La non révélation peut alors être analysée comme un délit d’abstention, distinct de la complicité. D’autre part, le CIL manifeste l’intention de ne pas révéler les faits qui est ici coupable, sous couvert de prouver la connaissance des faits délictueux, car elle constitue la preuve de la volonté de commettre un délit.

L’art. 22 III de la loi du 6 janvier 1978 met à la charge du CIL la tenue d’une liste des traitements dispensés de déclarations. Que se passe-t-il si cette liste n’est pas tenue, ou de façon incomplète ? Le non accomplissement des formalités déclaratives est lourdement puni. Cependant aucune sanction n’est spécialement prévue en cas de liste incomplète. Ce paradoxe doit-il amener à penser que par parallélisme, la faute portant sur les formalités déclaratives vaut aussi pour la liste dont le CIL a la charge ? Ou doit-on y voir un oubli du législateur ? La loi pénale étant d’interprétation stricte, il est impossible d’assimiler la liste comme l’équivalent des formalités déclaratoires, et donc de sanctionner tout défaut dans sa tenue par l’art. 226-16 du Code pénal, punissant de 5 ans d’emprisonnement et de 300 000 euros d’amendes les fautes dans l’établissement des formalités déclaratives. Un argument important en faveur de la désignation d’un CIL…

Conclusion :

En optant pour le correspondant, le législateur a certes doté la législation de tous les attributs possibles afin de renforcer la protection de l’individu, mais lui a-t-il assigné un cap ?  Tout laisse à penser que face à cette novation juridique, il a été fait preuve de prudence, laissant à la pratique le soin de régler les détails. Il ne faut pourtant pas dresser un tableau sombre du dispositif : seul est réclamé l’opportunisme des organismes. Et gageons que cela ne se limite pas aux grands comptes et aux membres du secteur privé. Il est impératif qu’une communication soit effectuée vers les administrations et les collectivités, ce qui fait défaut à l’heure actuelle. Le développement de l’e-administration et les charges de plus en plus lourdes pesant sur les acteurs du public (notamment en terme de responsabilité pénale), auxquels s’ajoutent un manque de moyens, démontre ce que peut être l’apport du CIL : l’application d’un savoir-faire et d’une aide suffisamment importants pour se remettre en phase avec les obligations légales, mais qui ne sauraient autoriser le responsable à se détacher de ces questions. Car la vertu du CIL, c’est bien de diffuser une culture, la transmettre, pour que chacun, du responsable de traitements à l’individu, en récolte les fruits.


Remercions une nouvelle fois Cédric Crépin pour cet article complet et remarquable, qui explique et encadre bien cette nouvelle notion de Correspondant Informatique et Libertés.

 

 
Par Yannick Tettini
Ecrire un commentaire - Voir les 0 commentaires - Recommander
 
Créer un blog sur over-blog.com - Contact - C.G.U. - Rémunération en droits d'auteur - Signaler un abus