DOSSIER : CONSÉQUENCES DE LA NON-CONFORMITÉ À LA LOI INFORMATIQUE ET LIBERTÉS

 

ETAT DE LA JURISPRUDENCE DE LA COUR DE CASSATION AU MOIS DE NOVEMBRE 2011

ETUDE RÉALISÉE PAR MATTHIEU WIEDENHOFF

 

Avec la multiplication des ordinateurs personnels, l’utilisation des ERP et CRM, ou encore les réseaux sociaux, les entreprises sont appelées à traiter un nombre toujours plus grand d’informations sur leurs clients et collaborateurs.

A cet égard, la loi du 6 janvier 1978, dite « Informatique et Libertés » ( ci-après « la loi » ), est une loi charnière pour toute entreprise. Elle encadre en effet le traitement de ces données par l’entreprise, de la collecte à leur destruction, en passant par l’archivage et les diverses déclarations obligatoires. Avec bien entendu des sanctions à la clé, prononcées par la CNIL ( amendes voir peines de prison ).

Cependant, depuis quelques années, le juge judiciaire s’est aussi saisi de la question Informatique et Libertés. La Cour de cassation a eu ainsi l’occasion de se prononcer à plusieurs reprises sur l’impact de la non-conformité à la loi Informatique et Libertés au litige qui leur était soumis.

Ces litiges viennent en grande partie de la confusion entretenue autour de la « donnée à caractère personnel ». Selon l’article 2§2 de la loi, il s’agit de toute information relative à une personne identifiée ou identifiable, directement ou pas. Le champ couvert est donc extrêmement large, allant de l’adresse IP à une photo, en passant par les préférences alimentaires ou un relevé bancaire. Dès qu’il est possible de rattacher une information à une personne, même par le biais d’un cryptage ou d’un numéro d’identification, cette information constitue une donnée à caractère personnel, et protégée à ce titre par la loi.

Les principaux points litigieux concernent la définition d’un traitement de données ( I ), ou les conditions dans lesquelles celui-ci est opéré ( II ). Et bien entendu, un certain nombre de conséquences fâcheuses sont attachées à une non-conformité ( III ).

I. Les traitements de données à caractère personnel

Le traitement de données, défini par l’article 2§3 de la loi, s’entend comme toute opération ou ensemble d’opérations portant sur des données à caractère personnel.

Il s’agit tout autant d’un traitement automatisé ( tels une fonction Excel ou un algorithme de tri d’une base de données ) que d’un traitement papier. Relever manuellement les adresses IP – Internet Protocol – d’ordinateurs connectés à un réseau Peer-to-Peer est donc un traitement de données soumis à la loi Informatique et Libertés ( Cass. Crim. 16 juin 2009 ).

De même, détourner la fonction initiale d’un logiciel informatique peut avoir pour conséquence de mettre en oeuvre un traitement de données à caractère personnel. Par exemple, utiliser les informations d’un processus de contrôle qualité systématiquement enregistrées pour en déduire l’activité et la productivité du salarié constitue bien un traitement de données devant être déclaré à la CNIL ( Cass. Soc. 11 avril 2008 ).

Enfin, la possibilité d’écouter une conversation téléphonique d’un salarié constitue lui aussi un traitement de données à caractère personnel, dès lors qu’il est possible de rapprocher le message transmis sur le réseau à une personne par le biais de sa voix ou encore du numéro de téléphone ( Cass. Soc. 6 avril 2004 ).

Le chef d’entreprise doit donc être particulièrement vigilant à ce niveau. Dès que des informations relatives à des personnes sont enregistrées, consultées, ou traitées, ces opérations rentrent dans le champ de la loi Informatique et Libertés. Avec toutes les conséquences déclaratives ou de sécurité que cela implique.

II. Les conditions opératoires du traitement

Dés qu’un traitement de données est mis en oeuvre ( volontairement ou non ), les personnes concernées ( c’est-à-dire celles à propos desquelles on recueille les informations ) doivent être informées d’un certain nombre de points.

Il faut par exemple s’assurer que la personne a bien donné son accord au recueil et au traitement des informations, et qu’elle soit mise au courant des modalités de s’opposer au traitement de ses données. Et si dans la pratique on empêche que la personne puisse faire valoir son droit d’opposition, le traitement se voit qualifié de déloyal ( Cass. Crim. 14 mars 2006 ).

Parmi les autres informations à fournir à la personne concernée, l’oubli de la mention des droits des personnes concernées sur tous les documents ou l’oubli de la mention du responsable de traitement sont aussi sources de contentieux.

De même, une attention particulière doit être portée au périmètre du traitement. Que ce soit par le biais d’une déclaration normale, simplifiée ou d’une dérogation, l’approbation de de la CNIL à la mise en oeuvre du traitement ne vaut que pour le cadre dans lequel il a été déclaré. Ainsi, un système de contrôle qualité ne peut en aucun servir d’outil de mesure de l’activité d’un salarié, à moins d’avoir été expressément mentionné dans la déclaration auprès de la CNIL ( Cass. Soc. 11 avril 2008 ).

III. Conséquences de la non-conformité

Les hypothèses de non-conformité sont nombreuses, celles évoquées dans cet article n’étant que celles sur lesquelles la Cour de cassation a eu l’occasion de se prononcer. Plusieurs autres sont appelées à connaître un avenir judiciaire riche, comme par exemple le défaut de sécurité.

Or la conséquence d’une non-conformité est simple, mais extrêmement dangereuse pour une entreprise. Il s’agit de l’illicéité du traitement en cause ( Cass. Com. 04 octobre 2011 ).

Cette illicéité signifie que tout acte basé sur le traitement de données sera illicite, et donc nul. Licencier un salarié volant dans la caisse, avec pour preuve des images de vidéo-surveillance ? Illicite si l’employeur a oublié de déclarer son système de vidéo-surveillance à la CNIL. Le licenciement sera ainsi requalifié en licenciement sans cause réelle et sérieuse.

Un salarié refuse de mettre en oeuvre un traitement de données à caractère personnel qui n’a pas été déclaré à la CNIL ? Cela est parfaitement justifié de sa part.

Vous êtes une entreprise qui vend des produits soumis à autorisation de la part de la CNIL ? Attention, le contrat est nul si vous avez oublié d’effectuer la demande d’autorisation.

Il apparaît clairement que la loi Informatique et Libertés n’est plus dorénavant une loi sectorielle, et spécifique. Son champ d’application touche l’ensemble de l’économie actuelle, plus aucune entreprise ne peut faire l’impasse sur une mise en conformité avec la loi. Si l’obligation de déclaration à la CNIL est une obligation connue des chefs d’entreprise, ils doivent être conscients que le non-respect du périmètre de déclaration ( ou toute autre irrégularité ) se tournera systématiquement en leur défaveur en cas de règlement judiciaire du différend.

Règlement Data Protection, analyse des premières propositions d’amendements

Règlement Data Protection

Publication du projet de rapport pour avis de la commission ITRE du Parlement européen

Depuis la publication le 25 janvier 2012 du projet de règlement européen relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données par la Commission européenne, celui-ci a été abondamment commenté. Le projet de la Commission étant relativement défavorable aux entreprises du numérique, il était certain qu’une valse d’amendements allait s’ouvrir.

Le projet de rapport pour avis de la commission Industrie, Recherche et Energie (ITRE), rédigé par Sean Kelly (PPE, Irlande), a été publié le 8 novembre dernier[1]. Ce rapport contient 164 amendements à la proposition de règlement de la Commission européenne.

Avant toute chose, il faut préciser qu’il s’agit d’un projet de rapport pour avis, et qu’il est susceptible d’évoluer avant la version finale du rapport.

Les propositions d’amendements de Sean Kelly affaiblissent considérablement la proposition de la Commission européenne. Le rapport est clairement favorable aux entreprises, et affaiblit particulièrement les droits et la protection des citoyens. La motivation initiale de la Commission européenne était de proposer un texte protégeant plus les citoyens que la directive 95/46/CE actuelle, jugée dépassée. Mais les amendements proposés tendent vers un texte en nette régression par rapport à cette directive !

La majorité des amendements proposés sont donc problématiques.

  • L’affaiblissement du principe de consentement :

Une des principales innovations du texte de la Commission était le très net renforcement de l’exigence du consentement préalable des personnes concernées. Plus de consentement présumé, celui-ci devait dorénavant être exprès et spécifique au traitement en question.
Le projet de rapport pour avis prend le contre-pied exact de ce positionnement. L’exigence du consentement ne devient qu’un motif de traitement comme les autres, voir même disparaît au profit de la poursuite des intérêts légitimes des entreprises ou de tiers. Or, il ne faut pas être devin pour comprendre quels sont les intérêts légitimes de Google ou Facebook.
De même, la spécificité du consentement disparaît, au profit d’un consentement « large » englobant toute une catégorie de traitements. Passons aussi sur la charge de la preuve d’absence de consentement, qui incomberait au consommateur. Mieux encore, il serait impossible de retirer son consentement à figurer dans des fichiers informatisés pour la durée de la relation contractuelle avec le responsable de traitement.

  • Le profilage remanié :

Le profilage consiste à classifier automatiquement les personnes en fonction d’une série de critères, puis à prendre une décision les affectant en fonction de cette classification[2].
La loi actuelle permet aux personnes de connaître le cheminement qui a aboutit à leur classification. Cette exigence est visiblement trop lourde, puisque le projet de rapport pour avis propose tout simplement de la supprimer en matière commerciale.

  • Le retour d’ACTA[3] :

ACTA était une proposition de traité international, rejetée par le Parlement Européen cet été, visant à transférer la lutte contre les atteintes à la propriété intellectuelle aux sociétés privées, sans garde-fous judiciaires.
L’amendement 71 propose de légitimer toutes les actions de surveillance des réseaux de communication. Un label de musique serait autorisé à espionner vos communications téléphoniques pour être certain que vous ne partagiez pas une œuvre musicale dont il a la charge. Effrayant !
Diminution des informations à fournir à la personne concernée :
retrait de l’obligation d’indiquer la période pendant laquelle les données sont concernées
retrait de l’obligation de donner les coordonnées de l’autorité de contrôle

  • Diminution des droits :

Les droits à l’oubli numérique, à l’effacement des données et à la portabilité des données sont vidés de leur substance : si leur mise en oeuvre entraîne trop de difficultés techniques (non définies), il n’est pas obligatoire de les appliquer.
Obligations documentaires réduites :
La documentation à conserver par le contrôleur et le responsable du traitement est allégée : il n’y a plus d’obligation de conserver l’ensemble des opérations de traitement, mais seulement les mesures et politiques mises en place en vue de prouver que le traitement est conforme aux responsabilités du contrôleur. Le contenu décrit dans les amendements est particulièrement flou.

  • Plus besoin d’informer les consommateurs en cas de piratage :

Une autre proposition emblématique du projet de la Commission était l’extension généralisée[4] de l’obligation d’informer les consommateurs en cas de piratage informatique, afin que ceux-ci puissent prendre les mesures nécessaires pour en limiter les effets « désagréables ».
Cette obligation ne concernerait plus que certaines catégories de données, celles dont la divulgation menacent sérieusement les intérêts de la personne concernée. La divulgation du numéro de carte bancaire menace sérieusement les intérêts d’une personne ? La divulgation de son état cancéreux ? La réservation d’une pension pendant trois semaines en été pour toute la famille ?
La divulgation de toutes ces informations peut menacer sérieusement les intérêts de la personne concernée, suivant le contexte. Le critère proposé est beaucoup trop flou pour être applicable juridiquement.

  • La suppression du système d’autorisation préalable :

S’il est avéré que les autorisations mettent trop de temps à être obtenues[5], la faute en incombe plus au manque de moyens de la CNIL qu’à la législation.
Le système d’autorisation actuel existe pour éviter que certains types de données, jugés sensibles, ne fassent l’objet de traitements non justifiés. En supprimant le système d’autorisation préalable, au profit de la procédure déclarative actuelle, le risque de voir fleurir hors de tout contrôle les traitements utilisant ces données[6] est réel.

  • La libre circulation des données :

Au motif de la libre circulation des données, le rapporteur souhaite l’abrogation de toute règle relative au transfert de données à l’étranger.
Ce point appelle deux observations. Tout d’abord, la libre circulation concerne en premier lieu les pays membres de l’UE. Or, les données circulent déjà librement en son sein. Ensuite, la disparition de ces règles entraînerait la caducité automatique du futur règlement. Quelle nécessité y a-t-il à traiter des données en Europe, et donc à se soumettre à sa législation, s’il est possible grâce au Cloud de les traiter dans un quelconque pays moins regardant sur les droits des citoyens ?

  • Le rôle du délégué à la protection des données :

L’un des rares points positifs de ce projet d’avis. Le rôle de cet acteur[7] est précisé, plus explicite. Notons tout de même que la description de ses missions implique la mise en place de processus visant à accomplir ses missions et non plus la réalisation des missions elles-mêmes.

  • La modification des pouvoirs des autorités de contrôle :

Sous la directive actuelle, les autorités de contrôle (la CNIL en France) sont responsables de leur territoire.
L’amendement proposé consiste à rendre compétente l’autorité de contrôle dans le ressort duquel se trouve le principal établissement de l’organisme à contrôler.
Nous souhaitons donc bon courage au Data Protection Commissioner irlandais, qui aura la charge de Google et Facebook pour l’Europe.

  • Les sanctions sont modifiées :

Comment ne pas parler des sanctions, alors que la totalité des commentateurs français ont salué la mise en place de sanctions d’un montant un peu plus relevé[8] ?
D’office, le projet de rapport pour avis diminue par deux le montant. Un million d’euros maximum, ou bien 1% du chiffre d’affaire mondial. Une goutte d’eau pour les GAFA[9].
Cette sanction ne serait bien évidemment prononcée qu’après un premier avertissement public resté sans effet.
Mais pour quelle faute ? Toutes les infractions spécifiques seraient supprimées, pour ne laisser subsister que la violation volontaire et répétée des obligations issues du règlement.

Le tableau dessiné est bien noir. Espérons que le Parlement européen saura se montrer avisé lors du vote des amendements.

Co-rédigé par Audrey Duquenne et Matthieu Wiedenhoff, MSA

[1] http://www.europarl.europa.eu/sides/getDoc.do?type=COMPARL&reference=PE-496.562&format=PDF&language=EN&secondRef=01

[2] Par exemple, l’analyse automatique d’un dossier de prêt auprès d’une banque.

[3] http://www.laquadrature.net/acta

[4] Actuellement, seul le secteur des télécoms est concerné.

[5] Actuellement, douze mois en France.

[6] Santé, vie sexuelle, opinion politique ou religieuse, biométrie, etc.

[7] L’actuel Correspondant Informatique et Libertés, ou CIL.

[8] La plus grosse sanction prononcée par la CNIL était de 100 000€. Le projet de la Commission prévoit d’aller jusqu’à 2 millions d’€.

[9] Google, Amazon, Facebook, Apple.