En
pleine force de l'âge (25 ans), la CNIL a décidé de
passer à la vitesse supérieure. Une de ses missions
premières étant de protéger la vie privée et les libertés
individuelles ou publiques, elle n'a eu de cesse jusqu'à
présent (sans néanmoins négliger son pouvoir de sanction)
d'informer et d'éduquer. L'année 2002 marque toutefois
un tournant.
Premièrement, le nombre de
saisines (plus de 5.000) dont elle a fait l'objet a
littéralement explosé. Par rapport à 2001, cela signifie
une augmentation de plus de 38%, ce qui montre bien
que les Français ont pris conscience du rôle de la CNIL
qui a bien rempli sa mission éducative. La CNIL se doit
de ne pas laisser ces saisines lettres mortes. Elle
a ainsi multiplié ses décisions de contrôle par deux
et a accentué sa politique d'investigations. Elle a
semble-t-il donc décidé d'appliquer avec plus de systématicité
l'arsenal répressif mis à sa disposition.
Secondement, le dispositif législatif français va se
trouver remanié du fait de la transposition (avec retard)
de la directive européenne 95/94 du 24 octobre 1995.
La CNIL en a bien conscience, et a d'ores et déjà anticipé
son nouveau rôle comme on a pu le voir avec la création
de la "boîte à spam" et des conséquences tirées.
Il s'agit là d'une volonté
d'anticipation délibérée puisque la transposition de
la directive entraînera des contrôles a posteriori encore
plus fréquents et que le pouvoir de sanction de la CNIL
sera accru.
La volonté affichée de la CNIL
de sanctionner les atteintes fait peser un risque sur
l'activité même de certaines entreprises du secteur
privé. Aussi, il n'est pas inutile de rappeler l'arsenal
dont elle dispose pour sanctionner les contrevenants
:
- Cinq ans d'emprisonnement et 300.000 euros d'amende
en cas d'utilisation de moyen frauduleux, déloyal ou
illicite lors de la collecte de données (article 226-18
du code pénal) ;
- Cinq ans d'emprisonnement et 300.000 euros d'amende
en cas d'utilisation des données personnelles collectées
à des fins étrangères à celles qui ont justifié leur
collecte (article 226-21 du même code) ;
- Trois ans d'emprisonnement et 45.000 euros d'amende
en cas de conservation au-delà de ce qui est justifié
par la finalité du traitement (article 226-20 du même
code) ; - 1.500 euros en cas de défaut d'information
des personnes quant (1) au caractère obligatoire ou
facultatif des réponses, (2) aux conséquences du défaut
de réponse, (3) aux catégories de personnes ou d'organismes
pouvant avoir connaissance des données et (4) au lieu
où s'exerce leur droit d'accès et de rectification (article
2 du décret du 23 décembre 1981) ;
- Cinq ans d'emprisonnement et de 300.000 euros d'amende
en cas de collecte sans l'accord exprès (écrit) des
personnes concernées (hormis la collecte pour des motifs
d'intérêt public soumises à un régime d'autorisation
préalable), de données sensibles (faisant directement
ou indirectement apparaître les origines raciales, les
opinions politiques, philosophiques ou religieuses,
les appartenances syndicales ou les murs) (article
226-19 du même code).
Si ce dispositif est déjà impressionnant,
il le sera encore plus après la transposition de la
directive. En effet, alors que jusqu'à présent la CNIL
ne pouvait qu'adresser des avertissements ou dénoncer
au parquet les infractions à la loi qu'elle constatait,
ses pouvoirs de contrôle sur place seront plus étendus
et elle pourra désormais s'adresser directement aux
frondeurs :
- en leur faisant injonction de cesser un traitement
illicite ;
- en leur retirant l'autorisation de mise en uvre du
traitement illicite ;
- ou encore en ordonnant l'interruption du traitement
de données pendant trois mois.
La CNIL pourra enfin infliger
des sanctions pécuniaires ne pouvant dépasser 150.000
euros (300.000 euros sans dépasser 5% du chiffre d'affaire
en cas de manquement réitéré).
Les collecteurs de données
ou créateurs de fichiers ont donc tout intérêt, en raison
de la nouvelle volonté affichée de la CNIL, à vérifier
qu'ils respectent les obligations légales mises à leur
charge et, le cas échéant, à se mettre en conformité.
Ils auront également tout intérêt à désigner, si le
projet du Sénat est définitivement adopté, un interlocuteur
privilégié de la CNIL : lors de l'examen du projet de
loi de transposition, le Sénat a décidé que les entreprises
pourront être dispensées des formalités de déclaration
si elles désignent auprès de la CNIL un ou plusieurs
correspondant(s) chargé(s) de la protection des données
collectées. Ce nouveau dispositif n'est pas inintéressant
puisqu'il complète la mission de conseil et d'éducation
de la CNIL. Encore faudra-t-il que les collecteurs de
données ou créateurs de fichiers disposent en interne
des ressources humaines nécessaires pour affecter un
employé à cette tâche. A défaut, il leur reviendra de
s'adresser à des spécialistes.
Il faut également que les entreprises
utilisatrices des fichiers de collecte et de traitement
aient à l'esprit que les nouveaux pouvoirs de la CNIL
(notamment l'interruption du traitement de données pendant
une durée de trois mois) risquent de les pénaliser lourdement
puisqu'elles verront, pendant ce temps, leurs concurrents
les doubler. Ces entreprises doivent donc immédiatement
réagir et prendre les mesures nécessaires pour se mettre
en conformité avec la loi de 1978 et prévoir les aménagements
indispensables lorsque la directive sera transposée.
Cette attitude ne pourra d'ailleurs
que les avantager dans leur secteur d'activité puisque
le projet de loi prévoit que la CNIL pourra délivrer
des labels à des produits tendant à la protection des
données et avaliser des codes de déontologie professionnels.
Ainsi, alors que les nouvelles technologies de l'information
et de la communication génèrent des données de plus
en plus nombreuses et de plus en plus précises, les
clients de ces entreprises ne seront sans doute pas
insensibles à de tels labels.
[jemartin@salans.com]
Sommaire
de la rubrique
|