Garante de la bonne utilisation des données informatisées, la Commission nationale de l'informatique et des libertés (Cnil) a fêté ses 30 ans. Véritable régulateur, cette institution a réussi à faire passer son message auprès des grandes entreprises. Pour les autres, un important travail de sensibilisation semble encore nécessaire.
La loi du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, modifiée en 2004, impose que tous les traitements automatisés de données à caractère personnel soient soumis à une déclaration auprès de la Commission nationale de l'informatique et des libertés (Cnil). Sont concernés : la collecte et le traitement d'informations nominatives lors d'opérations, par exemple, de recrutement ; la cybersurveillance et la vidéosurveillance sur les lieux de travail ; les badges et la biométrie ; les outils de géolocalisation et, enfin, le contrôle de l'utilisation d'Internet, de la messagerie électronique ou du téléphone. Quiconque déroge à cette déclaration encourt une peine de cinq ans de prison et 300 000 euros d'amende. Une telle sanction n'a encore jamais été prononcée. Ce qui ne veut pas dire que cela n'arrivera pas, selon les spécialistes.
Toutefois, « les entreprises sont aujourd'hui sensibilisées aux risques et à leurs obligations en matière de données informatiques », relève Olivier Meyer, avocat du cabinet D, M & D. « Principalement, les plus importantes, qui associent le respect de la loi informatique et libertés à leur image employeur », renchérit Alain Bensoussan, fondateur du cabinet d'avocats éponyme*. Celles-ci ont d'ailleurs souvent nommé en interne un correspondant informatique et libertés, fonction introduite par la loi de 2004. « En 2005, 3 911 organismes en avaient nommé un, contre 50 en 2005. Malgré cette dynamique positive, ce chiffre demeure encore peu élevé », souligne Yann Padova, délégué général de la Cnil. Et, si besoin, les représentants du personnel sont également souvent bien informés sur la réglementation et peuvent tirer la sonnette d'alarme.
Les entreprises de bonne taille se méfient de données obtenues via des technologies non déclarées. Et pour cause : elles savent qu'elles ne pourront pas se prévaloir devant les prud'hommes de preuves incriminant un salarié si celles-ci ont été collectées à l'aide d'un système considéré comme hors la loi. Et elle sont nombreuses à en avoir fait l'amère expérience. En 2004, la Cour de cassation a dû trancher dans une affaire opposant un salarié, refusant d'utiliser son badge à l'entrée et à la sortie de son travail, à son employeur, qui avait décidé de le licencier. Mais voilà, le dispositif n'avait pas été déclaré à la Cnil. Du coup, la Haute juridiction a considéré que le refus du salarié de se soumettre à l'exigence de l'employeur ne pouvait lui être reproché. Le licenciement était donc sans cause réelle et sérieuse.
Cette prise de conscience est le résultat de l'action de la Cnil, considérée comme particulièrement pédagogique. « Depuis 2004, date du renforcement de ses pouvoirs, la Cnil fait preuve de pragmatisme. Dans sept cas sur dix, elle met en demeure de réaliser certaines corrections ou interdit un système, toujours en donnant une raison. En trois ans, un seul de mes clients a été poursuivi », commente Me Catté, du cabinet Gibier, Souchon, Festivi, Rivierre. Une appréciation partagée par Me Meyer. Certains de ses clients ont subi un contrôle. Il n'y a pas eu de sanctions mais des recommandations. « On a l'impression que la Cnil durcit le ton quant elle a affaire à une entreprise à la limite de la caricature, totalement ignorante du respect du droit des personnes », avance-t-il. C'est, en effet, ce qui s'est passé en mai dernier. A la suite de la plainte d'un salarié, la commission a mis la main sur les fichiers d'une société, spécialisée dans l'animation en grande surface, portant comme commentaires : «trop chiante», «problème d'hygiène (odeur)», «personne sans dents et qui boit», «voleuse»... Au total, 4 735 annotations du même genre ont été recensées. La Cnil a alors infligé une amende de 40 000 euros, car si l'autorité admet la rédaction d'observations sur les salariés, celles-ci doivent être « pertinentes, adéquates et non excessives ».
Pour Yann Padova, la fonction de la Cnil est celle d'un régulateur, conseillant en amont, accompagnant si besoin, et sanctionnant le cas échéant. En 2008, elle a, ainsi, engagé 180 procédures de sanction, contre 120 en 2007. Car, évidemment, tout n'est pas parfait. « Il n'y a pas de déficit de la loi mais un déficit d'application, surtout dans les PME. La plupart d'entre elles sont dans l'illégalité la plus complète. Leur préoccupation à l'égard de la réglementation en matière de traitement informatisé reste faible, d'autant que la mise en conformité représente un coût », explique Alain Bensoussan.
En outre, ces entreprises considèrent la Cnil comme un gendarme. « Dès lors, elles ne lui demandent pas conseil et évitent tout contact, de peur de la sanction. Finalement, elles ne déclarent pas leurs données », constate Me Catté. Et puis, de nombreuses PME n'ont pas forcément conscience de ce qu'est une donnée sensible. « Certaines vont faire attention aux systèmes qui enregistrent l'adresse de leurs salariés ou à ceux qui filment l'entrée et, en revanche, la sortie de leurs locaux. Mais, elles ne vont pas considérer comme délicates les informations portant sur la rémunération », ajoute-t-il. Me Meyer pointe également les systèmes de badgeuses qui ont, entre autres fonctions, celle de contrôler le temps de travail des salariés : « Les employeurs ne vont pas penser à les déclarer. » Autres acteurs souvent ignorants de la loi : les comités d'entreprise, qui détiennent quantité d'informations sur les salariés dans le cadre de leurs missions d'oeuvres sociales et culturelles.
Tous ont cependant des circonstances atténuantes. Déjà, le renforcement des obligations et des pouvoirs de la Cnil ne date que de 2004. « Avant cette date, notre institution concentrait son action sur le secteur public », précise Yann Padova. Ensuite, les entreprises doivent parfois jongler avec différentes obligations. Hélène Lebon, avocate du cabinet Bird & Bird, énonce, par exemple, celles liées à la lutte antiblanchiment, « qui obligent à faire de nombreux traitements. Il y a aussi les entreprises internationales avec des systèmes d'information globalisés, qui doivent composer avec les réglementations de chacun des pays dans lesquels elles sont implantées. Ainsi, aux Etats-Unis, la discrimination positive exige la tenue de données sur l'origine raciale, données interdites en France ». Enfin, il faut tenir compte du développement des nouvelles technologies, comme la vidéosurveillance ou la biométrie. « Les entreprises se voient souvent refuser leur dossier par la Cnil, celle-ci jugeant la technologie trop intrusive », souligne Hélène Lebon.
Pour les aider, la commission publie sur son site des guides, ainsi que de nombreuses recommandations. En 2006, elle a fait ainsi le point sur les GPS ou tout autre outil de géolocalisation afin de prévenir les dérives.
Mais, pour certains praticiens du droit, ces communications ne sont pas assez connues. « Il manque de vraies campagnes d'information et de promotion de son rôle », regrette Cyril Catté. Pourtant, la Cnil se déplace sur le terrain. Tous les trimestres, elle cible une région et y rencontre les représentants des chambres de commerce et des préfectures. Elle donne également rendez-vous à des avocats et à des fédérations professionnelles. De leur côté, les correspondants informatique et libertés relaient l'information et vont bénéficier prochainement d'un extranet dédié pour dialoguer. Mais, apparemment, cela ne suffit pas.
* Auteur de Informatique et libertés, éditions Francis-Lefebvre, 2008.
1 Depuis les lois de 1978 et de 2004, les entreprises sont tenues de déclarer à la Cnil tous les traitements informatisés des données personnelles de leurs salariés.
2 Les contrevenantes se voit appliquer différentes sanctions. De la simple recommandation à des amendes très élevées. Mais la Cnil peut, en amont, conseiller et accompagner.
3 Les grandes entreprises ont bien compris l'intérêt de se mettre en conformité. Notamment pour faire valoir leur bonne foi aux prud'hommes. La plupart des PME, en revanche, par manque d'information, sont souvent dans l'illégalité.
• 4,2 millions d'euros de budget de fonctionnement en 2008.
• 120 salariés.
• 70 % des actions réalisées dans le privé.
• 4 455 plaintes reçues en 2007.
• 250 contrôles effectués en entreprise en 2008 (contre 164 en 2007).
• 180 procédures de sanction en 2008 (contre 120 en 2007).
Tout commence par un contrôle dans une entreprise ou une administration. Il peut être motivé par trois raisons différentes. Soit l'établissement concerné appartient à un secteur à risque, identifié comme tel par la Cnil dans son programme d'action annuel (le secteur ciblé en 2008 : les mutuelles) ; soit il a fait l'objet d'une plainte ; soit, enfin, il avait été mis en demeure de réaliser certaines corrections, et les auditeurs de la commission ont des doutes quant à la concrétisation de la mise en conformité demandée.
Une enquête mobilise entre 2 et 4 personnes, juristes et informaticiens. Sur le terrain, ils vérifient les systèmes, les données collectées, leur conservation, leur sécurisation... Différentes issues sont possibles : l'avertissement, la mise en demeure, la sanction pécuniaire pouvant atteindre 300 000 euros, etc. L'amende la plus importante à ce jour s'élève à 60 000 euros.
La Cnil peut également demander la publication de la sanction dans la presse. C'est arrivé deux fois. Les entreprises alors mises en cause avaient fait preuve d'une mauvaise foi caractérisée. Enfin, la Cnil peut exiger la destruction du traitement des données.
