La loi informatique et libertés n'est plus ce qu'elle était : la seconde loi du 6 août 2004 transposant la directive de 1995 nous a fait passer d'un système à la française, centralisateur et formaliste, à un autocontrôle. Son décret d'application est paru le 20 octobre 2005, permettant la désignation (facultative) d'un correspondant aux données personnelles (CDP), et ainsi à l'entreprise de pouvoir se dispenser de l'essentiel des déclarations à la Cnil. Mais cette désignation permettra aussi et surtout d'établir avec cette autorité administrative aussi indépendante que sourcilleuse et désormais dotée de pouvoirs considérables (contrôle sur place, sanctions pécuniaires) des relations de confiance : ainsi des autorisations, sans doute examinées avec plus de bienveillance. Nouveauté non dépourvue d'intérêt en ces temps de multiplication des TIC collectant des données directement ou indirectement personnelles (contrôle des entrées, vidéosurveillance, traçabilité informatique), surtout au vu des sanctions pénales encourues : 300 000 euros d'amende et cinq ans de prison pour les personnes physiques et 1 500 000 euros pour les personnes morales.

conseil, pédagogue, audit, médiateur mais aussi capable de mettre en garde le responsable du traitement contre d'éventuelles illégalités : à ces cinq qualités, le CDP doit ajouter de bonnes connaissances informatiques et juridiques ainsi qu'une solide expérience de l'entreprise… Un job intéressant pour un senior ?

« Personne bénéficiant des qualifications requises », disait la loi de 2004, le récent décret précisant que la désignation doit s'accompagner de « tout élément relatif aux qualifications ou références professionnelles ». Il est légitime que l'expérience professionnelle, même non sanctionnée par une validation des acquis, soit prise en compte. Et il n'est pas impossible qu'à l'occasion d'une prise de contact la Cnil vérifie la compétence réelle du CDP.

« Le CDP exerce sa mission directement auprès du responsable des traitements et ne reçoit aucune instruction pour l'exercice de sa mission », précise le décret : cette fonction s'adresse à un cadre de bon niveau, en prise directe avec la direction. Car choisir un collaborateur sympathique et obéissant n'est pas le signe fort de transparence attendu par la Cnil. Qu'il s'agisse en effet des débats relatifs à la directive de 1995, à la loi de 2004 ou au décret de 2005, la question essentielle a été celle de l'indépendance du CDP, sans laquelle cette désignation perd tout sens, voire pourrait entraîner de graves effets pervers.

Dès sa désignation à la Cnil, le responsable des traitements doit d'ailleurs indiquer « les mesures prises en vue de l'accomplissement par le correspondant de ses missions en matière de protection des données » : il pourra être utile de formaliser les nouvelles règles du jeu.

Mettant fin à un débat fort animé, le récent décret permet que le CDP soit, comme en Allemagne, un expert extérieur. S'ouvre donc un nouveau marché aux conseils et autres avocats (cf. l'Association française des correspondants à la protection des données à caractère personnel, www.afcdp.org).

Faire appel à un spécialiste extérieur ? Cette solution est la seule concevable pour l'immense majorité des PME, certaines n'ayant encore rien déclaré à la Cnil pouvant ainsi discrètement retrouver le chemin de la légalité : une délicate fonction pour laquelle elles n'ont pas forcément le personnel requis. Qui alors ? Des cabinets d'avocats, d'audit ? Mais, depuis Enron-Andersen, leur peur du risque juridique en forme d'immense parapluie associée à une éventuelle facturation à la durée n'incitent guère les entreprises à choisir cette solution. Elle est d'ailleurs légitimement exclue lorsque « plus de 50 personnes sont chargées de la mise en œuvre ou ont directement accès aux traitements ou catégories de traitements automatisés pour lesquels le responsable entend désigner un CDP : seul peut être désigné un correspondant exclusivement attaché au service de la personne, de l'autorité publique ou de l'organisme qui met en œuvre ces traitements ».

Désigner un salarié ? Ne pouvant être juge et partie, « le responsable des traitements ou son représentant légal ne peut être désigné comme correspondant ». Pour ne pas avoir à se dénoncer lui-même, « les fonctions ou activités exercées concurremment par le correspondant ne doivent pas être susceptibles de provoquer un conflit d'intérêts avec l'exercice de sa mission » : or, dans les grandes structures, la seule solution pour éviter ce type de conflit est d'en faire un temps plein, pouvant se partager entre les différentes filiales. Mais alors quel salarié, à la fois féru d'informatique et passionné de libertés publiques, va accepter cette fonction qui risque de le fâcher avec tout le monde ? Car si ses prises de position risquent de le mettre en porte-à-faux à l'égard de sa direction, il pourra également fâcher syndicats ou comité d'entreprise (listes de diffusion, enfants de la crèche.). Pour accepter cette mission, il faudra « être motivé » : motivé par quoi, se demandent déjà nombre de responsables d'entreprise… et syndicalistes ?

elle est tout d'abord « portée à la connaissance de l'instance représentative du personnel compétente par le responsable des traitements, par lettre recommandée avec demande d'avis de réception (LRAR) », nous dit le décret.

Puis le responsable des traitements notifiera cette désignation à la Cnil par LRAR, par lettre remise au secrétariat, contre reçu ou par voie électronique : la désignation ne prendra effet qu'un mois après la date de réception de la notification par la Cnil. Il ne s'agit donc ni d'un agrément ni d'un accord de celle-ci.

Seront indiqués les nom, profession et coordonnées professionnelles du responsable des traitements, ainsi que ceux du CDP acceptant par écrit cette mission. Si le CDP est une personne morale, les mêmes renseignements relatifs au préposé qu'elle a désigné pour exercer les missions de correspondant seront exigibles.

Pour reprendre les termes de la loi du 6 août 2004, « il est chargé d'assurer, d'une manière indépendante, le respect des obligations prévues dans la présente loi ». Concrètement, il aura quatre missions.

le premier travail confié au CDP n'est pas le plus excitant. Si la Cnil, avec ses maigres effectifs (85 personnes), se voit ainsi déchargée de la collecte et du traitement des déclarations et de leurs nombreuses mises à jour, le CDP doit « établir et actualiser régulièrement une liste des traitements automatisés mis en œuvre au sein de l'établissement, du service ou de l'organisme au sein duquel il a été désigné ».

Dans les trois mois de sa désignation, le CDP va donc dresser cette liste précise et actualisée. Cette centralisation pourrait avoir pour l'entreprise des effets bénéfiques : au sein de nombreuses grandes structures, chaque service (DRH, DSI, VPC) envoie parfois ses déclarations et mises à jour à la Cnil sans vraiment se préoccuper de se coordonner avec les autres. Cette mise à plat globale interne peut aussi faire apparaître au grand jour des fichiers oubliés.

le CDP doit y veiller et il peut faire toute recommandation à cet effet au responsable des traitements. « Il est consulté, préalablement à leur mise en œuvre, sur l'ensemble des nouveaux traitements. » Il semble ainsi indispensable de l'inviter à la négociation du protocole d'accord préélectoral si un vote électronique est prévu (voir flash ci-contre). Tenu au secret professionnel, le CDP reçoit les demandes et les réclamations des personnes intéressées.

le CDP doit le présenter au responsable des traitements et le tenir à la disposition de la Cnil. Et il informe le responsable des traitements des manquements constatés avant toute saisine de celle-ci : il n'est en effet jamais trop tard pour négocier.

c'est le rôle à la fois essentiel et le plus sensible du CDP. Il sera l'interlocuteur privilégié de celle-ci, par exemple chargé de gérer les demandes d'autorisation ou de transfert de données personnelles hors de l'Union européenne. De ce point de vue, il pourrait assurer un retour sur investissement (la création de son poste) en évitant la peine de 300 000 euros prévue pour ce type d'infraction, même si aujourd'hui le personnel mais aussi les institutions représentatives du personnel ne semblent pas attacher une grande importance à cette matière.

Dans son très pédagogique « Guide pratique pour les employeurs » mis en ligne en novembre 2005, la Cnil évoque comme apport essentiel du CDP « le fait de donner au responsable des traitements un interlocuteur spécialisé à même de le conseiller dans ses choix difficiles ». En précisant immédiatement que « cette désignation n'entraîne aucune exonération de responsabilité civile ou pénale pour lui » : il ne faut donc pas compter donner au nouveau CDP une solide délégation de pouvoirs pour s'exonérer du bien réel risque informatique et libertés.

Ne bénéficiant logiquement pas du statut de représentant du personnel, le CDP ne peut cependant « faire l'objet d'aucune sanction de la part de l'employeur du fait de l'accomplissement de ses missions ». Mais la loi du 6 août 2004 d'ajouter aussitôt que, en « cas de manquement constaté à ses devoirs, le correspondant est déchargé de ses fonctions sur demande, ou après consultation, de la Cnil ».

Lorsque la Cnil constate, après avoir recueilli ses observations, que le CDP manque aux devoirs de sa mission, « elle demande au responsable des traitements de le décharger de ses fonctions ». Qu'en termes délicats ces choses-là sont dites : on imagine assez mal un refus.

Lorsque c'est le responsable des traitements qui envisage de mettre fin aux fonctions du CDP, il saisit la Cnil pour avis par LRAR, en notifiant cette saisine à l'intéressé. La Cnil fait connaître son avis au responsable des traitements dans un délai d'un mois : « aucune décision mettant fin aux fonctions du correspondant ne pouvant intervenir avant l'expiration de ce délai ». On peut souhaiter bon courage au DSI pendant cette période critique.

Et après ? Sauf remplacement immédiat du CDP, le responsable est alors tenu de procéder, dans le délai d'un mois, aux formalités prévues pour l'ensemble des traitements qui s'en étaient trouvés dispensés. L'on peut penser que l'examen par la Cnil de ces déclarations de rattrapage sera particulièrement approfondi : dissuasif.

Dans notre cher et vieux pays centralisateur où la règle forcément obligatoire, générale et impersonnelle doit tomber d'en haut, le facultatif CDP va-t-il rencontrer le succès escompté par la Cnil ? Les entreprises médiatisées feraient bien de réfléchir à deux fois avant d'écarter d'un revers de Code ce nouvel empêcheur de ficher en rond salariés mais aussi clients. Dans notre société de l'image sinon de la réputation, une entreprise éprise de RSE a tout intérêt à jouer la transparence. Le risque d'image étant essentiel, il vaut peut être mieux laver en amont et en interne son linge sale en famille avec un correspondant local, plutôt que de devoir faire face à une campagne de presse dénonçant des pratiques liberticides.

Le CDP n'ouvre pas un nouveau marché aux lawyers : il veut insuffler une culture informatique et libertés.

• Premières élections professionnelles électroniques

Après la loi du 21 juin 2004 permettant de retenir le vote électronique pour les élections professionnelles, le premier vote de cette nature est intervenu début octobre chez Cap Gemini. Ayant reçu de la société prestataire une clé de vote électronique sous pli confidentiel, les 20 000 salariés pouvaient voter de chez eux ou de leur poste de travail, pour les 1 468 candidats figurant sur les 20 listes. Le taux de participation s'est situé entre 22 et 51 % avec une moyenne de 30 % au premier tour, progressant de 5 à 10 % par rapport au dernier scrutin. Et, au second tour, le taux de participation était en hausse de 17 %. Rappelons que le revirement opéré par la chambre sociale le 8 décembre 2004 (Banque NSMD, n° 2376 F-P + B) avait accepté cette formule.

Reprenant les termes de l'arrêt du 20 octobre 1999 l'ayant interdit, le pourvoi constatait que le vote électronique retenu par un accord unanime était « non conforme au principe du droit électoral car il ne comportait pas de dispositions permettant d'assurer l'identité des électeurs et la publicité du scrutin sous leur contrôle et celui des délégués des listes électorales ». Rejet : « Les dispositions du protocole d'accord préélectoral permettaient d'assurer l'identité des électeurs ainsi que la sincérité et le secret du vote électronique (problème récurrent : assurer à la fois l'identification en amont mais l'absolu anonymat en aval) comme la publicité du scrutin, conformément aux principes généraux du droit électoral. »