Le Correspondant à la protection des données personnelles: mirage ou opportunité?
Assurant, enfin, une transposition de la Directive Européenne 95/46/CE du 24 octobre 1995, la loi n° 2004/182 du 6 août 2004 relative à la protection des personnes physiques à l’égard des traitements de données à caractère personnel est venue modifier la loi n° 18-17 du 6 janvier 1978, dite « Loi informatique et libertés ».
Si la loi nouvelle simplifie certaines procédures, notamment les déclarations auprès de la Commission Nationale de l’Informatique et des Libertés (CNIL), elle renforce aussi les obligations en matière de protection des données à caractère personnel, en élargissant son champ d’application, en alourdissant les sanctions et en augmentant les pouvoirs de la CNIL.
Une innovation importante : Le correspondant à la protection des données personnelles
L’une des principales innovations de la loi du 6 août 2004 est la création d’un nouvel acteur dans le domaine du traitement des données à caractère personnel : le correspondant à la protection des données.
Cette création résulte de la transposition de l’Article 18, paragraphe 2, de la Directive Européenne 95/46/CE, qui dispose que les Etats Membres peuvent prévoir des simplifications de l’obligation de notification des traitements, voire une dérogation à celle-ci lorsque le responsable du traitement désigne un correspondant chargé d’assurer, « d’une manière indépendante », l’application de la loi en matière des données à caractère personnel et garantissant que les traitements ne sont pas « susceptibles de porter atteinte aux droits et libertés des personnes concernées ».
Inspirée des exemples de nos voisins européens, où un tel correspondant existe déjà (Allemagne, Finlande, Pays-Bas, Suède, Norvège, Suisse ou encore Grande-Bretagne), elle constitue, en France, une innovation.
Car, même si une première étape avait été franchie par une circulaire du 12 mars 1993 relative à la protection de la vie privée en matière de traitements automatisés, qui a créé les « correspondants informatique et libertés », la loi du 6 août 2004 permet désormais la création d’un tel correspondant au sein des entreprises, des collectivités territoriales et des associations.
Cette création répond à un objectif affirmé : « Favoriser l’application de la loi du 6 janvier 1978 en facilitant sa prise en considération par les entreprises ».
Un nouvel acteur indépendant et qualifié
La loi du 6 août 2004 a ainsi créé un nouvel « acteur indépendant et qualifié ».
Elle définit le correspondant à la protection des données comme la personne « chargée d’assurer, d’une manière indépendante, le respect des obligations prévues par la présente loi ».
Elle impose, en outre, que le correspondant soit « une personne bénéficiant des qualifications requises pour exercer ses missions ».
Ce correspondant est chargé donc d’assurer le respect des obligations prévues par la loi en matière de traitement des données à caractère personnel. A ce titre, il doit tenir un registre qui liste l’ensemble des traitements effectués, immédiatement accessible à toute personne en faisant la demande.
Des obligations déclaratives allégées
En contrepartie, la loi ne soumet plus aux formalités de déclaration préalable prévues aux Articles 23 et 24, les traitements pour lesquels l’entité responsable a désigné un tel correspondant.
Cette dispense ne concerne toutefois que les traitements soumis à déclaration. Ne sont pas concernés les traitements soumis à autorisation préalable, ou lorsqu’un transfert de données est envisagé à destination d’un Etat non membre de l’Union Européenne.
Il s’ensuit que les entreprises ou les organismes responsables des traitements de données qui désignent un correspondant à la protection des données sont dispensés de déclarer auprès de la CNIL la majeure partie des traitements automatisés, pour la plupart soumis à déclaration, auxquelles ils procèdent.
En cas de difficulté dans l’exercice de ses missions, le correspondant à la protection des données peut saisir la CNIL. En outre, il ne peut faire l’objet d’aucune sanction de la part de son employeur du fait de l’accomplissement de ses missions, même s’il ne s’agit pas « d’un salarié protégé » au sens du Code du Travail.
En revanche, en cas de défaillance ou de manquement constaté à ses obligations, le correspondant à la protection des données est déchargé des ses fonctions sur demande ou après consultation de la CNIL ; le responsable du traitement est alors enjoint de procéder aux formalités de déclaration prévues aux Articles 23 et 24 .
En définitive, tout organisme, privé comme public, bénéficiera d’un allègement des ses obligations déclaratives dès lors qu’il aura désigné un correspondant à la protection des données à caractère personnel.
Les entreprises sont-elles prêtes ?
L’importance croissance de l’informatique, du réseau et d’Internet dans les entreprises n’est plus à rappeler.
Et bien que la loi du 6 août 2004 allège un certain nombre d’obligations déclaratives, cette simplification ne doit pas faire perdre de vue que les obligations essentielles en matière de traitement de données à caractère personnel demeurent.
Outre un élargissement des pouvoirs de la CNIL, les sanctions sont également plus lourdes.
Ainsi, l’absence de déclaration d’un système de traitement de données à caractère personnel est sanctionnée désormais par 3 à 5 ans d’emprisonnement, et 45 000 à 300 000 euros d’amende (Articles 226-16 à 226-24 du Code Pénal).
De ce point de vue, la désignation d’un correspondant à la protection des données, en dispensant les entreprises de la plupart des déclarations obligatoires, trouve sa justification, au moins, théorique.
Pour autant, un certain nombre de problèmes se posent, au plan pratique.
Quelle indépendance ?
Certes, la loi pose que le correspondant à la protection des données exerce sa mission d’une « manière indépendante » ; il ne peut faire l’objet d’aucune sanction du fait de l’accomplissement de ses missions et peut, le cas échéant, saisir la CNIL s’il rencontre des difficultés.
Il apparaît néanmoins que ce postulat d’indépendance devra être confirmé dans la réalité.
A cet égard, on rappellera que plusieurs députés avaient déposé un recours devant le Conseil Constitutionnel, car ils considéraient que ces correspondants à la protection des données n’étaient pas en mesure de présenter des garanties d’indépendance indispensables. Cependant, dans sa décision n° 2004/489 du 29 juillet 2004, le Conseil Constitutionnel a relevé que des précautions avaient été prises pour la qualification, le rôle et l’indépendance du correspondant.
Pour autant, ce sont bien, comme n’a pas manqué de le souligner la CNIL, « la possibilité de communiquer directement avec la Direction d’une entreprise, l’interdiction pour l’employeur d’interférer dans l’accomplissement des missions du correspondant à la protection des données et l’absence de conflit d’intérêt avec les fonctions exercées en même temps qui sont de nature à apporter les garanties de l’indépendance ».
A l’évidence, le correspondant à la protection des données ne pourra être en même temps le responsable du traitement.
Il s’agira donc d’une personne placée sous la direction et le contrôle de son employeur, qui ne bénéficiera d’aucune protection particulière, notamment contre le licenciement, dans le cadre de l’exercice de ses fonctions habituelles.
Cette ambivalence est-elle de nature à garantir réellement son indépendance ?
Un correspondant extérieur ?
Par ailleurs, la désignation d’un correspondant à la protection des données se justifie-t-elle dans toutes les entreprises, notamment au regard du coût que cela peut représenter, et ne vaut-il pas mieux procéder aux formalités de déclaration ?
Cette question n’est évidemment pas neutre.
Car, si « l’instauration d’un correspondant à la protection des données au sein des entreprises a pour objectif d’assurer l’effectivité de la protection des personnes à l’égard des traitements des données à caractère personnel », encore faut-il qu’elle puisse trouver à s’appliquer dans la grande majorité des entreprises, et ne concerne pas uniquement certaines d’entre elles.
De ce point de vue, la loi permet également de désigner un correspondant à la protection des données qui n’appartient pas au personnel de l’entreprise.
Dans ce cas, le correspondant extérieur devra présenter les mêmes garanties à la fois d’indépendance et de qualification.
La CNIL estime cependant qu’une désignation extérieure ne devrait être possible qu’en deçà d’un seuil à définir et devrait répondre au souci d’une « mutualisation » des fonctions de correspondant permettant à plusieurs entreprises de se regrouper, afin de désigner le même correspondant.
Il est peu probable toutefois que les entreprises soient sensibles au discours mutualiste de la CNIL, et si l’on veut que la loi trouve un large écho, il faudra favoriser la désignation d’un correspondant extérieur, sans autres conditions que son indépendance et sa qualification.
Des missions à définir
Enfin, la loi du 6 août 2004 ne dresse pas une liste exhaustive et détaillée des différentes missions incombant au correspondant de la protection des données ; elle se borne à fixer un cadre légal à l’exercice de ses missions.
A l’instar des exemples de nos voisins européens, il devrait pouvoir notamment diffuser des informations relatives à la protection des personnes à l’égard des traitements de données à caractère personnel, superviser les traitements mis en œuvre et en établir la liste, contrôler les problèmes éventuels liés à la mise en œuvre des traitements et prendre contact avec la CNIL en cas de problème identifié ou simplement de doute sur l’action à entreprendre, …
La CNIL souligne pour sa part qu’au-delà de la tenue de la liste des traitements, le correspondant devrait avoir un rôle essentiel dans la diffusion de la culture informatique et des libertés au sein des entreprises, et être l’interlocuteur privilégié non simplement de la CNIL, mais également des personnes concernées par les traitements soumis à la loi.
De toute évidence, malgré le volontarisme exprimé, l’étendue des missions qui seront confiées au correspondant donnera aussi la mesure de l’effectivité de la protection des personnes à l’égard des traitements de données personnelles.
Incontestablement, si la création d’un correspondant à la protection des données à caractère personnel constitue une innovation importante, il faudra, pour remplir les objectifs de sa création, qu’elle ne reste pas une simple innovation, mais devienne une réalité concrète.