Transposant une directive de 1995, la loi du 6 août 2004 a profondément remanié la loi informatique et libertés du 6 janvier 1978. À signaler : des sanctions pénales dont la sévérité pourrait être contre-productive et – intéressante nouveauté – la mise en place souhaitée mais non imposée d'un correspondant de la Cnil dans les entreprises.
Article 8 de la charte des droits fondamentaux de l'Union européenne : « Toute personne a droit à la protection des données à caractère personnel la concernant. Ces données doivent être traitées loyalement, à des fins déterminées et sur la base du consentement de la personne concernée, ou en vertu d'un autre fondement légitime prévu par la loi. Toute personne a le droit d'accéder aux données collectées la concernant et d'en obtenir la rectification. »
L'éventuelle constitutionnalisation communautaire de la protection de nos données personnelles par cette charte désormais intégrée au projet de traité est une louable initiative à une époque où, tels des Petit Poucet, nous laissons en tant que clients des traces partout, en particulier grâce à nos cartes électroniques, bleue, orange, de fidélité… (voir, en dernier lieu, le rapport de la Cnil de mars 2005 sur la géolocalisation des salariés). Mais, dans la pratique, elle pose aussi de redoutables questions aux entreprises employant dans le monde entier des milliers de salariés.
Surtout après la loi française du 6 août 2004 qui, en transposant la directive de 1995, a refondé la loi informatique et libertés de janvier 1978 : élargissant ici nos anciennes « informations nominatives » devenues « informations relatives à une personne qui peut être identifiée, directement ou indirectement » (entre l'informatique et le tout-numérique…), transformant là notre très pédagogique et patiente Commission nationale de l'informatique et des libertés (300 contrôles et 47 avertissements entre 1978 et 2003) de simple coffre-fort de déclarations en agent de contrôle sur pièces et sur place avec des pouvoirs de sanctions pécuniaires renforcés qui s'additionneront à une éventuelle répression pénale.
Les sanctions pénales prévues par le nouveau texte peuvent sembler tout à fait disproportionnées. Lorsque l'on sait que l'homicide involontaire est aujourd'hui puni de trois ans de prison et de 45 000 euros d'amende, il n'est pas certain que le nouveau tarif de cinq ans de prison et 300 000 euros d'amende (les entreprises risquant donc le quintuple : 1,5 million d'euros) soit tout à fait proportionné : par exemple pour le seul fait, « y compris par négligence, de procéder ou de faire procéder à des traitements de données à caractère personnel sans qu'aient été respectées les formalités préalables à leur mise en œuvre » (Nouveau Code pénal, art. 226-16).
Cette sévérité légale manifestement excessive (en vertu de l'échelle de perroquet : abaisser les lourdes sanctions antérieures aurait pu signifier que ces comportements n'étaient pas si graves) n'est-elle pas d'ailleurs contre-productive, le juge répressif choisissant une peine symbolique, voire la relaxe ?
Ainsi du tribunal correctionnel de Béthune relaxant le 16 mars 2004 un chef d'atelier qui avait découvert en juin 2001 l'informatique, puis en juillet Excel : ce dangereux malfaiteur avait alors « créé sur informatique un fichier recensant sur un tableau tous les membres du personnel de l'atelier d'affûtage de la SFM, en les classant par critères d'engagement ». Poursuivi par le syndicat CGT de l'entreprise pour « traitements automatisés d'informations nominatives sans respect des formalités préalables », il est néanmoins relaxé sur une motivation pour le moins lapidaire : « Il ne résulte pas du dossier et des débats la preuve que Denis V. se soit rendu coupable des faits qui lui sont reprochés. » Là encore, et malgré sa lente montée en puissance depuis un an (3 000 jugements), le nouveau et discret « plaider coupable » à la française a de beaux jours devant lui.
Certes, la Cnil fait preuve d'une grande retenue (18 dénonciations au parquet en vingt-cinq ans) et, depuis la nouvelle loi, multiplie les efforts de simplification… qui lui simplifie aussi la vie, en lui permettant de se recentrer sur ses fonctions essentielles. Après sa curieuse, car anticipée, dispense de déclaration des fichiers obligatoires dès avant le 6 août 2004 (paie, déclarations sociales, registres du personnel), la norme 46 du 13 janvier 2005 permet une déclaration simplifiée – et éventuellement en ligne – des fichiers RH les plus classiques : annuaires, organigrammes, élections professionnelles, gestion des carrières et autre gestion prévisionnelle des emplois et des compétences redécouverte par la loi du 18 janvier 2005. Mais il en reste un certain nombre…
« Les traitements pour lesquels le responsable a désigné un correspondant à la protection des données à caractère personnel chargé d'assurer, d'une manière indépendante, le respect des obligations prévues dans la présente loi, sont dispensés des formalités de déclaration prévues aux articles 23 et 24. Bénéficiant des qualifications requises pour exercer ses missions, il ne peut faire l'objet d'aucune sanction de la part de l'employeur du fait de l'accomplissement de ses missions. Il peut saisir la Cnil des difficultés qu'il rencontre dans l'exercice de ses missions. En cas de manquement constaté à ses devoirs, il est déchargé de ses fonctions sur demande, ou après consultation, de la Cnil. »
Intéressante nouveauté que cette incitation – pour une fois pas une obligation – faite aux entreprises de désigner ce CIL : « Il s'agit d'une démarche pragmatique destinée à améliorer la protection des droits des personnes tout en évitant un alourdissement des formalités très formelles accomplies par les responsables des traitements. Le premier rôle des CIL sera pédagogique », indiquait en novembre 2004 le président de la Cnil.
Issu de la directive de 1995 (moins de paperasserie en amont pour la Cnil d'abord, pour l'entreprise ensuite ; davantage de contrôles sur le terrain en aval), le CIL part d'un constat réaliste : comme le montrent les exemples allemands, suédois ou néerlandais, c'est grâce à la présence sur le terrain d'un correspondant de cette dernière que les libertés seront le plus efficacement protégées.
En attendant le nécessaire décret prévu pour juin prochain et qui pourrait évoquer des seuils d'effectifs afin que les PME puissent désigner une personne extérieure, les entreprises doivent bien réfléchir sur leur choix. D'une part, une telle désignation est un signe fort de transparence et une source de pédagogie « libertés et informatique » à l'égard des salariés. Non seulement elle leur simplifiera la vie s'agissant des déclarations simples dont elles seront dispensées, mais on peut penser qu'en matière d'autorisation (ex. : transfert de données hors Union européenne ; sur ce point, voir la décision C2004/50271 du 27 décembre 2004 de la Commission de Bruxelles proposant de nouvelles clauses contractuelles types) la présence d'un CIL est de nature à apaiser les craintes éventuelles de la Cnil. D'autre part, ce mouton à cinq pattes, rompu aux systèmes d'information et d'un bon niveau juridique, ayant suffisamment d'autorité pour se faire entendre rapidement sans toutefois faire preuve d'autoritarisme, fin négociateur pour trouver des solutions rapides et acceptables pour lui et le responsable du traitement, mais sans être un représentant du personnel, pourrait se prendre au jeu : or aucune entreprise française ne peut se prétendre en parfaite harmonie avec l'ensemble des articles de la loi du 6 août 2004. Surtout en nos temps si modernes.
Pour des raisons de sécurité en particulier, la biométrie (plat de la main, empreintes digitales, iris de l'œil, qui permettent de relier titulaire du document d'accès et personne qui se présente) progresse chaque jour, dans les États comme dans les entreprises. Les États-Unis l'ont ainsi rendue obligatoire pour toute entrée sur leur territoire, et Bruxelles veut insérer photo et empreintes digitales dans le passeport européen. Groupe consultatif placé auprès de la Commission et composé de représentants de chacune des autorités de protection des données de l'Union européenne, le groupe dit « de l'article 29 » (« G 29 »), a accepté en 2004 les données biométriques dans la puce du document. Mais il est pour le moins réservé sur la conservation de ces données dans des fichiers centraux.
Pour sa part, la Cnil a répété, le 8 avril 2004, sa défiance à l'égard de certains dispositifs biométriques sur les lieux de travail : « À la différence d'autres données biométriques, les empreintes digitales laissent des traces qui peuvent être exploitées pour l'identification des personnes ; dès lors, toute base de données d'empreintes digitales est susceptible d'être utilisée à des fins étrangères à sa finalité première. Seul un impératif de sécurité incontestable peut donc justifier la constitution de telles bases. » Sa proposition de conservation du gabarit biométrique sur une carte d'accès individuelle (et non dans une base de données centralisée) ayant été suivie, elle a rendu un avis favorable à un contrôle d'accès aux zones de sûreté d'Orly et de Roissy. Mais la sécurité d'un aéroport international en ces temps de terrorisme n'est pas comparable à un calcul vraiment personnel des temps de travail : à une demande d'avis présentée par l'hôpital de Hyères concernant un tel dispositif de reconnaissance par empreintes digitales, la Cnil répondait le 8 avril 2004 que « si l'objectif d'une meilleure gestion des temps de travail est légitime, il ne paraît pas de nature à justifier l'enregistrement dans un lecteur biométrique des empreintes digitales des personnels du centre hospitalier. Le traitement pris dans son ensemble n'apparaît ni adapté ni proportionné à l'objectif poursuivi ».
Le « G 29 » s'est enfin intéressé en février 2005 à la technologie RFID (identifiant à fréquence radio), ces étiquettes électroniques de la taille d'un gros grain de riz qui permettent de pister n'importe quel produit… et donc son gardien. Le groupe s'est ému des conséquences de leur banalisation : « Nos inquiétudes concernent en particulier les possibilités pour les entreprises d'utiliser les RFID pour s'immiscer dans la vie privée des individus, grâce à la capacité de collecter subrepticement tout un ensemble de données sur une même personne. » Et il en a profité pour rappeler qu'à l'instar de la géolocalisation par portable le consentement préalable de chaque salarié concerné est indispensable. Pour la France, la Cnil a repris la même analyse le 3 février 2005 dans sa norme simplifiée n° 47 concernant « les traitements automatisés de données à caractère personnel mis en œuvre dans le cadre de l'utilisation de services de téléphonie fixe et mobile sur les lieux de travail » (cf.
a) Dans le cas où un remboursement est demandé à un salarié pour les services de téléphonie utilisés à titre privé, un relevé justificatif complet comprenant l'intégralité des numéros de téléphone appelés peut être établi à des fins de preuve, lorsque ce montant est contesté par le salarié.
b) Dans le cas où l'employeur constate une utilisation manifestement anormale, un relevé justificatif complet des numéros de téléphone appelés ou des services de téléphonie utilisés peut être établi de façon contradictoire avec le salarié concerné.
Reste que toutes ces règles qui touchent directement les rapports entre employeur et salarié ne figurent nulle part dans le Code du travail : la Commission de recodification mise en place par le ministre délégué aux Relations du travail en février dernier pourrait utilement y remédier.
• L'employeur devient fournisseur d'accès Internet
L'arrêt rendu le 4 février par la cour d'appel de Paris risque d'inquiéter actuels DSI et futurs CIL. Une société est informée que des courriels alarmants et mensongers ont été envoyés à deux de ses partenaires commerciaux : l'un d'eux a d'ailleurs renoncé au contrat. Elle demande donc l'adresse IP de l'expéditeur, qui aboutit à une grande banque française.
Demande de communication des coordonnées du salarié en cause : aucune réponse. Saisine du tribunal de commerce de Paris qui ordonne en référé et sous astreinte à la banque de transmettre ces coordonnées. Appel : « La banque est d'une part tenue de détenir et de conserver des données de nature à permettre l'identification de toute personne ayant contribué à la création d'un contenu des services dont elle est prestataire. Elle est d'autre part tenue de communiquer ces données sur réquisitions judiciaires. » Bref, l'entreprise devient un fournisseur d'accès Internet (FAI), avec les nombreuses et coûteuses obligations qui s'y rapportent. En premier lieu, l'obligation de stocker toutes les coordonnées de connexion de l'ensemble de ses salariés. Si la loi pour la sécurité quotidienne évoquait une durée d'un an maximum, la réforme actuellement en cours dans l'UE a retenu un an minimum : les enquêtes de cette nature sont longues. Mais la loi française exclut que ce nécessaire stockage puisse viser le contenu des pages visitées par les salariés, et a fortiori celui de leurs courriels.
