TWITTER FOLLOW US Facebook
Flux RSS


Un cookie va stocker. Date expiration :ce soir minuit. Petit Moyen Grand Aide  
CORRESPONDANT « INFORMATIQUE ET LIBERTÉS » : UN ENCADREMENT JURIDIQUE INCOMPLET ?
fl Article publié le 29/11/2005
fl Auteur : M. Cédric Crépin  Juriste, Cabinet CILEX .
fl Domaines : Informatique et libertés, droit social, droit du travail.
fl Ordre juridique : ordre juridique
3.
print| Cet article a été lu 7432 fois |

News Le dispositif, inscrit aux articles 22 et 67 de la loi « Informatique et Libertés » est désormais effectif grâce à la publication du décret du 20 octobre 2005

fl La Commission Nationale de l’Informatique et des Libertés (CNIL) a fêté en cette année 2005 son 25ème anniversaire. La longévité de l’institution de la rue Saint-Guillaume démontre l’importance que revêt le bras exécutif de la loi du 6 janvier 1978. Cependant, un malaise insidieux grandit depuis plusieurs années : la loi Informatique et Libertés, figure de proue du respect de la vie privée face à l’informatique et aux dangers qu’elle peut engendrer, n’est que peu appliquée. En ce sens, alors que tout traitement mettant en jeu des données personnelles doit être déclaré, il est regrettable de constater que de nombreuses entreprises et administrations agissent dans la clandestinité. Les causes sont multiples : complexité de la loi, voire ignorance pure et simple du texte, difficulté dans la mise en œuvre, crainte de dévoiler des données stratégiques… À cet état s’ajoute un manque de pragmatisme de la loi et de la CNIL face aux évolutions technologiques. La loi du 6 août 2004, transposition de la directive 95/46 CE, entend remettre « Informatique et Libertés » en phase avec les problèmes contemporains, mais aussi anticiper l’avenir. Car c’est là que le bât blesse : l’informatique et les méthodes de traitements évoluent vite, et il est nécessaire d’avoir un outil adapté afin de pouvoir réguler les trafics d’information. Cet outil, le législateur le trouve au sein de la directive 95/46 CE, plus précisément au considérant 18, qui dispose que les Etats ont la possibilité de recourir au système du « détaché à la protection des données à caractère personnel chargé notamment d’assurer, d’une manière indépendante, l’application interne des dispositions nationales prises en application de la présente directive, et de tenir un registre des traitements effectués par le responsable de traitement […] garantissant de la sorte que les traitements ne sont pas susceptibles de porter atteinte aux droits et libertés des personnes concernées ».

La motivation du législateur français en saisissant cette option laissée par le texte communautaire est de passer d’un système déclaratoire centralisé à un système d’exemption déconcentré, situé sur le terrain, au plus proche des responsables de traitements. Le dispositif, inscrit aux articles 22 et 67 de la loi « Informatique et Libertés » est désormais effectif grâce à la publication du décret du 20 octobre 2005 pour être mis en pratique. Après avoir attendu 10 ans pour transposer la directive 95/46 CE « Protection des données », ce qui fait de la France le dernier Etat de L’Union a avoir transposé ce texte, le législateur aura mis plus de 15 mois pour publier ce décret auquel on ne croyait plus. On peut s’interroger sur cette lenteur administrative, alors que la réadaptation du droit français aux problématiques informatiques devenait urgente, et surtout lorsqu’on se souvient que la France avait fait pression auprès de ses partenaires européens pour que soit adoptée la directive « Protection des données ».

Le Titre III du décret d’application de la loi du 6 août 2004 est entièrement consacré au correspondant à la protection des données à caractère personnel, ou selon la terminologie employée par la CNIL, correspondant informatique et libertés (CIL). Longtemps attendu, ce texte doit fournir les indices nécessaires à l’encadrement et la mise en pratique de la fonction. Le CIL est désigné par le responsable de traitement, ce qui ouvre le dispositif aux administrations comme aux entreprises. Il peut être une personne physique ou morale, interne ou externe même si des restrictions demeurent. L’externalisation n’est pas autorisée « lorsque plus de cinquante personnes sont chargées de la mise en oeuvre ou ont directement accès aux traitements ou catégories de traitements automatisés pour lesquels le responsable entend désigner un correspondant à la protection des données à caractère personnel » (art. 42). Des exceptions sont toutefois ouvertes pour les groupes de sociétés, les GIE ou les organismes professionnels qui peuvent désigner un CIL travaillant en leur sein. Son rôle est de dresser une liste des traitements dont il a la charge, ce qui emporte une dispense de déclaration auprès de la CNIL de ces traitements. Ce « Monsieur  Informatique et Libertés » a aussi pour rôle de conseiller le responsable lorsque de nouveaux traitements sont mis en œuvre, voire de l’alerter lorsqu’un risque de dérive existe. Véritable acteur de terrain, le CIL est le maillon appelé à réconcilier responsables de traitements et CNIL afin de mieux faire respecter les exigences légales, dont les infractions sont lourdement sanctionnées. Du côté de la CNIL, on espère une diminution des contraintes administratives et une pédagogie responsabilisante auprès des entreprises et administrations. Pour l’organisme désignant, ce peut être un moyen de s’épargner des tracasseries administratives, le tout en soignant une image de marque et en se conformant aux exigences légales. Cependant, à la lecture des textes, il est possible de discerner un certain vide dans l’encadrement. Une large marge de manœuvre est laissée à la pratique, mais on peut également regretter que certains points ne soient pas évoqués avec plus de précision.




La place de la CNIL

Si une grande marche de manœuvre est laissée aux responsables, il serait faux de croire que tout est permis. Faire du CIL une niche à exonération conduirait les organismes malveillants à des sanctions. Si aucun contrôle a priori n’est exercé par la CNIL, on peut imaginer que des contrôles « préventifs » seront organisés ou que des plaintes soient déposées envers un organisme ayant fait le choix du CIL, ce qui conduira inévitablement à un examen des procédés de l’organisme incriminé. La CNIL possède même un pouvoir de décharge du CIL lorsque des manquements graves sont constatés. Reste à déterminer le seuil de gravité qui sera retenu par la CNIL.

Mais pour ce « ménage à trois » entre le responsable de traitements, le CIL et la CNIL soit viable, encore faut-il que la CNIL dispose de moyens nécessaires à l’organisation et l’animation d’un réseau. La procédure ne désignation n’a d’autre intérêt que d’officialiser les rapports entre le CIL et la CNIL et d’établir le point de départ de la dispense accordée à l’organisme désignant. On peut alors s’interroger sur l’exhaustivité des renseignements demandés qui ne présentent que peu d’intérêt pour la CNIL. En revanche, ces données pourraient se révéler importantes pour l’information des tiers. Il est à souhaiter qu’à l’instar des autorités de contrôles hollandaises et luxembourgeoises, la CNIL tienne une liste des organismes ayant fait le choix d’un CIL, ce qui permettrait aux individus de saisir directement le CIL. Mais deux obstacles freinent cette idée : d’une part, c’est exposer le CIL à des prospections commerciales, et d’autre part, la CNIL doit obtenir l’accord des CIL personne physique pour pouvoir diffuser leur nom et coordonnées par respect du principe de l’"opt-in". Si la désignation autorise la CNIL à connaître l’ensemble des CIL désignés, saura-t-elle pour autant garder la main sur ceux-ci ? La création d’un maillage d’interlocuteurs réguliers est un des objectifs de la Commission qui envisage de fournir un traitement privilégié pour les CIL, via des interlocuteurs uniques, et qui s’illustrerait par la tenue de réunions régulières visant à la définition de standards professionnels, la recherche en commun de solutions aux problèmes vécus au quotidien par les CIL, etc. Si l’intention est louable, force est de constater que les moyens manquent. A l’heure actuelle, la « cellule CIL » n’est composée que d’un agent à temps plein. Si de nombreux CIL sont désignés, difficile d’imaginer qu’une seule personne puisse prendre en charge l’animation d’un réseau exigeant des moyens financiers, logistiques et techniques relativement important. En Suède et aux Pays-Bas, de tels réseaux existent et rencontrent de francs succès, les initiatives étant nombreuses (newsletters, extranet, formations et séminaires…). Ces autorités bénéficient néanmoins de moyens relativement importants, alors qu’en France la CNIL est aux aboies, la promesse d’une enveloppe budgétaire étant renvoyée aux calanques grecques.



La formation

La désignation d’un CIL est une question d’opportunité pour les organismes. La France n’a pas voulu le rendre obligatoire, à l’inverse de l’Allemagne où les Datenschutzbeaufragter (DSB) existent depuis près de 30 ans, afin de laisser s’affirmer un esprit d’ouverture et de sensibilisation aux questions touchant à la protection des données à caractère personnel. Le mot d’ordre semble donc être « souplesse » : peuvent désigner un CIL ceux qui le veulent, selon le modèle de leur choix. Reste à déterminer qui peut être nommé à ce poste. Une double condition est ici posée. En premier lieu, le CIL ne doit pas exercer de fonction pouvant entraîner un conflit d’intérêt, ce qui élimine le responsable de traitement à la candidature, et doit en second lieu bénéficier « des qualifications professionnelles requises pour exercer ses missions » (Art. 22 L. 6 janvier 1978), le décret n’étayant pas cette disposition. Compétent en droit, en informatique, en management, beaucoup de compétences sont réclamées à un seul individu, ce qui peut favoriser l’essor des prestataires externes capables de mobiliser divers spécialistes. Pourtant, si les textes ne dresse pas les diplômes requis à l’exercice de la fonction, c’est une nouvelle forme de souplesse. La CNIL, lorsqu’elle recevra la notification de désignation, ne procédera pas à un contrôle d’opportunité. En somme, quelque soit la personne désignée, l’important est qu’elle soit compétente dans l’exercice des missions qui lui sont confiées. C’est donc au responsable de traitement d’établir au moment du recrutement la liste des qualifications requises, comme pour tout autre employé ou prestataire. Et il est facile de croire que des formations verront le jour afin d’approfondir les compétences les CIL en place.



Les relations contractuelles

Alors que le CIL prestataire est lié par un contrat de prestations de services à durée limitée, comment positionner la fonction du CIL lorsqu’il est salarié de l’organisme ? Faut-il amender le contrat de travail, rédiger un nouveau contrat ? Un parallèle avec les mandats sociaux peut être envisagé. Le CIL étant une fonction, elle fait l’objet d’un contrat de travail lorsqu’elle est occupée à plein temps. Par contre, si elle ne nécessite qu’une occupation à temps partiel, elle peut faire l’objet d’un mandat du même type que celui dont bénéficient les délégués du personnel. Emportant suspension du contrat de travail lorsqu’elle la personne effectue ses missions de CIL, le mandat permet d’exercer la fonction sans voir le contrat de travail rompu. Ainsi, lorsqu’il se verrait démettre de sa fonction, il pourrait retrouver son emploi habituel. Néanmoins, pour assurer une indépendance, il semble nécessaire de limiter dans le temps ce mandat. Qu’ils soient politiques ou sociaux, nombre d’entre eux sont à durée limitée ce qui assure une indépendance et un renouvellement nécessaire pour apporter un point de vue toujours plus neutre, sur les questions de protection de la vie privée en l’occurrence.


L’indépendance

L’un des dispositions les plus discutées de l’art. 22 III de la loi du 6 janvier 1978 concerne le statut du CIL. Il est prévu qu’il exerce ses missions de « manière indépendante », ne pouvant « faire l’objet d’aucune sanction de la part de l’employeur du fait de l’accomplissement de ses missions ». Le décret précise même en son art. 46 que « Le correspondant ne reçoit aucune instruction pour l'exercice de sa mission ». Alors même qu’il n’est pas un salarié protégé, le CIL est-il dès lors un électron libre au sein de l’organisme, ne souffrant aucune hiérarchie ? Cette disposition dont la rédaction est contestable mérite d’être éclairée. L’art. 46 du décret porte en effet sur deux points essentiels :

* le CIL dispose d’un contact direct avec le responsable, c'est-à-dire qu’il doit pouvoir directement s’adresser à lui pour formuler toute recommandation ou demande, sans avoir à passer par une hiérarchie, ce qui le place à n’en pas douter à un poste haut placé dans l’organigramme de l’organisme ;

* le CIL ne peut exercer une autre fonction pouvant générer un conflit d’intérêt. Le décret fournit comme exemple le responsable de traitements, ce qui est somme toute logique puisqu’on ne peut être juge et partie. A cette incompatibilité de principe seront sans doute adjointes d’autres impossibilité, révélées par la pratique. La question du DRH ou du DSI, qui ont un pouvoir sur certains traitements, devra vite trouver une réponse.

Replacé dans ce contexte, l’indépendance doit semble t’il être analysée comme une indépendance d’esprit, c'est-à-dire la faculté de formuler les critiques et les recommandations nécessaires à une mise en conformité du traitement, en soulignant certains aspects négatifs, les services défaillants. Autrement dit, dans le cadre de ses missions, le CIL doit avoir la capacité de résister à la pression et l’influence, quelque soit la forme sous laquelle elle se manifeste. Néanmoins, tous les CIL auront-ils cette force de caractère de s’opposer voire de « dénoncer » auprès de la CNIL ceux qui les emploient ? La problématique est ici la même que celle à laquelle les commissaires aux comptes sont confrontés : se taire et risquer alors une faute dans l’exercice des missions, ou dénoncer les agissements illégaux au risque de perdre son emploi ou son client. De plus, l’une des sanctions envisageables envers un responsable ne respectant pas les obligations légales est un retour au système de déclaration. Qu’advient-il alors du CIL qui perd par l’annulation d’exemption sa principale tâche auprès de l’organisme l’employant ? La question prend tout son sens lorsque la prestation est externalisée puisque le contrat liant le CIL à l’organisme devient nécessairement caduc dans une telle hypothèse. Le risque pour le CIL est aussi de voir son image salie par une réputation d’incompétence. Il y a tout lieu de s’interroger sur la pertinence du dispositif qui se trouve biaisé par ses propres dispositions.




La responsabilité

La délégation de pouvoir
L’un des avantages escompté par les responsables par le biais du CIL est un transfert de responsabilité pénale. Ni la loi ni le décret ne prévoient de dispositions en la matière, ce qui ne signifie pas qu’elle est impossible. La délégation de pouvoirs est un moyen consacré par la jurisprudence pour permettre à un chef d’entreprise de s’exonérer de sa responsabilité pénale. En transférant à l’un des salariés une partie de ses fonctions, le dirigeant délègue aussi sa responsabilité pénale. Cinq arrêts de la Chambre criminelle de la Cour de cassation en date du 11 mars 1993 sont venus définir le régime actuel de la délégation de pouvoirs : « Hors les cas où la loi en dispose autrement, le chef d’entreprise qui n’a pas personnellement pris part à la réalisation de l’infraction peut s’exonérer de sa responsabilité pénale s’il rapporte la preuve qu’il a délégué ses pouvoirs à une personne pourvue de la compétence, de l’autorité et des moyens nécessaires ». En sa qualité de responsable de traitement, par défaut le chef d’entreprise, l’exonération de la responsabilité pénale est possible par la démonstration d’une absence de participation aux faits susceptibles d’être sanctionnés au titre des articles 131-13 et 226-16 à -22 du Code pénal, dont les infractions sont sanctionnées de peines supérieures à celles infligée en matière d’homicide involontaire.

* La participation aux faits : ces infractions pèsent sur le responsable de traitement. Il est la seule personne habilitée à intervenir lorsqu’il a connaissance des agissements du subordonné. La désignation d’un CIL n’emporte pas le transfert de cette obligation de surveillance et de contrôle de l’activité des salariés. De plus, c’est le responsable de traitement qui détermine les finalités et les moyens du traitement.

* La compétence : le CIL devant avoir les qualités requises à l’exercice des missions qui lui sont confiées, il semble que cette exigence soit remplie

* Les moyens : La fonction de CIL exige une indépendance dans l’exercice des missions confiées. Pour assurer cette indépendance, le projet de décret précise que le responsable de traitement doit fournir au correspondant tout élément lui permettant d’établir et d’actualiser régulièrement une liste de traitements automatisés et doit prendre toute mesure utile en vue de l’accomplissement par le CIL de ses missions en matière de protection des données. A l’allocation de moyens est donc attachée une finalité. Or, dans le contexte d’une délégation de pouvoirs, ces moyens ne semblent pas pertinents pour assurer une responsabilité sur les traitements mis en œuvre, ce qui fait échec à l’exercice d’une délégation de pouvoirs.

* L’autorité : La notion d’autorité dans le cadre d’une délégation de pouvoirs est définie en jurisprudence comme le pouvoir de donner des instructions à un service. Or l’art. 22 III de la loi du 6 janvier 1978 dispose que le correspondant a pour mission d’assurer « le respect des obligations prévues » par la loi Informatique et Libertés, le décret précisant que le CIL n’a qu’une capacité d’alerte et de conseil, afin que le responsable de traitement puisse donner des directives aux services chargés des traitements de données. La fonction de CIL semble donc incompatible avec l’exercice d’une autorité quant à la mise en œuvre des traitements automatisés. Dès lors, l’absence d’autorité prive la fonction de CIL d’une des caractéristiques de la délégation de pouvoirs.

Le CIL ne semble donc pouvoir être destinataire d’une délégation de pouvoirs, ne cumulant pas l’ensemble des conditions nécessaires à son établissement. Cela va dans le sens du texte de la loi Informatique et Libertés qui, dans son esprit, ne veut pas faire du CIL un miroir aux alouettes, en l’entourant de garanties d’indépendance, sans en faire un salarié protégé. C’est aussi la direction prise par la jurisprudence qui, en posant strictement les conditions d’existence d’une délégation de pouvoirs, vise à les limiter et à instaurer une équité : à la quête de pouvoirs se conjugue l’exercice de responsabilités.  Pour autant, le CIL n’est pas un « intouchable » aux yeux de la justice. Si lui transférer des responsabilités qui ne sont en définitive pas les siennes est impossible, le correspondant peut parfaitement engager sa responsabilité propre en certaines circonstances.


La complicité
On peut ainsi envisager le cas où le responsable de traitement violerait les obligations posées par la loi Informatique et Libertés, et ce avec le CIL qui pourrait aider à la commission de l’infraction, par action (en effectuant un acte matériel) ou par omission (le CIL sait qu’une infraction est commise mais ne la signale pas). Dans ce cas de figure, il est nécessaire d’envisager que le CIL a la conscience et la volonté d’aider à la commission de l’infraction. Toutes les conditions seraient alors réunies pour poursuivre le CIL au titre de la complicité punie par l’art. 121-6 du Code pénal.


La négligence
Conseil et non pas contrôleur, que se passe-t-il lorsque le CIL constate une irrégularité mais ne formule aucune recommandation afin de corriger cette défaillance ? Autrement dit, alors que le responsable de traitement, sous le couvert de la bonne foi, commet une irrégularité, le CIL, en ayant pris conscience ne la signale pas. Ce n’est plus ici la complicité qui s’applique, car la faute du responsable, si elle est commise sous l’empire de la négligence ou de l’omission, n’est pas constitutive d’une infraction. Le silence du CIL peut-il être ici coupable ? Là encore, ni la loi ni le projet de décret ne prévoient de dispositions spécifiques sur ces questions, et il reviendra alors à la jurisprudence de trancher. Deux situations sont envisageables. D’une part, le CIL s’abstient de révéler les faits en temps utiles. La non révélation peut alors être analysée comme un délit d’abstention, distinct de la complicité. D’autre part, le CIL manifeste l’intention de ne pas révéler les faits qui est ici coupable, sous couvert de prouver la connaissance des faits délictueux, car elle constitue la preuve de la volonté de commettre un délit.

L’art. 22 III de la loi du 6 janvier 1978 met à la charge du CIL la tenue d’une liste des traitements dispensés de déclarations. Que se passe-t-il si cette liste n’est pas tenue, ou de façon incomplète ? Le non accomplissement des formalités déclaratives est lourdement puni. Cependant aucune sanction n’est spécialement prévue en cas de liste incomplète. Ce paradoxe doit-il amener à penser que par parallélisme, la faute portant sur les formalités déclaratives vaut aussi pour la liste dont le CIL a la charge ? Ou doit-on y voir un oubli du législateur ? La loi pénale étant d’interprétation stricte, il est impossible d’assimiler la liste comme l’équivalent des formalités déclaratoires, et donc de sanctionner tout défaut dans sa tenue par l’art. 226-16 du Code pénal, punissant de 5 ans d’emprisonnement et de 300 000 euros d’amendes les fautes dans l’établissement des formalités déclaratives. Un argument important en faveur de la désignation d’un CIL…

Auteur : M. Cédric Crépin  Juriste, Cabinet CILEX . | Source : DROIT-TIC |
NOTES
Pour approfondir consultez : C. CREPIN, LE CORRESPONDANT INFORMATIQUE ET LIBERTÉS, UN NOUVEL OUTIL DE RÉGULATION POUR LA PROTECTION DES DONNÉES À CARACTÈRE PERSONNEL, DROIT-TIC, Oct. 2005.
LIENS
 

top
© 2000-2015 Julien Le Clainche