Cabinet d’avocats franco-belge, moderne et humain,
au service de la création et de l’innovation

9 pôles d’activités dédiés au
droit de la création et de l’innovation

Nos activités scientifiques & académiques

Faisons connaissance !

Un procès en vue ?
Lisez le guide destiné à mieux vous préparer

Le portail du droit des technologies, depuis 1997
Powered by

Un site pour tout savoir sur le RGPD
Powered by

Réforme de la loi du 6 janvier 1978 : quelle protection des données personnelles dans l’entreprise ?

Publié le par

A l’heure où la loi dite « informatique & libertés » vient d’être réformée par le législateur, il semble opportun de dresser un bilan quant à son applicabilité. L’objectif ne consiste toutefois pas à procéder à une analyse sommaire des implications de la réforme, mais davantage de se plonger dans l’univers de l’entreprise, afin d’analyser les conditions…

A l’heure où la loi dite « informatique & libertés » vient d’être réformée par le législateur, il semble opportun de dresser un bilan quant à son applicabilité. L’objectif ne consiste toutefois pas à procéder à une analyse sommaire des implications de la réforme, mais davantage de se plonger dans l’univers de l’entreprise, afin d’analyser les conditions de mise en œuvre de la loi du 6 janvier 1978 jusqu’alors constatées avant d’appréhender les modifications de comportements que la réforme est susceptible d’engendrer.

En se dotant dès 1978 d’une loi protégeant les citoyens en tant qu’individus et salariés face aux traitements de données personnelles réalisés, la France fut pionnière en la matière. Ce ne fut effectivement que bien des années plus tard que cette problématique parvient dans les dossiers de la Commission Européenne, puisqu’elle ne s’est concrètement penchée sur le sujet que dans le courant des années 90 pour parvenir à la rédaction de la directive 95/46/CE du 24 octobre 1995 relative à la protection des données personnelles et à la libre circulation de ces données (1). Et bien que les états membres aient été contraints par la Communauté Européenne de transposer la directive avant octobre 1998, ce n’est en réalité qu’après avoir été condamnée par la Cour de Justice des Communautés que la France initie sa réflexion pour parvenir le 15 juillet dernier à l’adoption du projet de réforme de la loi n°78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés (2).


Une fois les critiques émanant des associations de défense des citoyens portées par les membres de l’opposition auprès du Conseil Constitutionnel rejetées, la loi n°2004-801 du 6 août 2004 relative à la protection des personnes physiques à l’égard des traitements de données à caractère personnel publié au Journal Officiel (3) , la loi de réforme est aujourd’hui en vigueur. Or, au delà des craintes légitimes exprimées par les défenseurs des libertés fondamentales, il est légitime de s’interroger sur les implications de la réforme sur la vie des entreprises. Ce qui exige de raisonner in situ. Il ne s’agit effectivement pas de procéder à une analyse littérale des articles issus de la réforme mais de tenter de comprendre les raisons ayant motivées cette réforme et les incidences qui pourraient en résulter.


I. LES CRITIQUES NEES DE LA MISE EN ŒUVRE DU REGIME ANTERIEUR


La loi n°78-17 du 6 janvier 1978 s’inspire d’une volonté d’assurer la protection des données personnelles collectées auprès des salariés. Mais force est de constater que les obligations nées de la loi sont difficilement applicables dans une entreprise de dimension internationale. En fait, le législateur n’a pu anticipé les mutations du marché. Deux raisons expliquent son  » inadaptation  » à l’environnement social : la multiplication des traitements de données au sein de l’entreprise (A) associée à leur internationalisation (B).


A- MULTIPLICATION DES TRAITEMENTS


Aucune entreprise ne peut nier cette évidence : les traitements de données n’ont, depuis 1978, cessé de croître. C’est pourquoi les données personnelles de chaque salarié sont aujourd’hui intégrées dans de multiples traitements. Il suffit de mettre un pied dans l’entreprise pour être équipé d’un badge, de participer à un programme de formation ou encore de bénéficier d’un plan d’actionnariat. Il suffit d’être simplement candidat au recrutement et même retraité d’une société pour bénéficier de la qualité de  » personne concernée  » par un traitement de données. Et le développement de la société de l’information n’y est évidemment pas étranger. L’accès au réseau Internet, l’obtention d’une messagerie électronique comme la promotion des programmes de e-learning impliquent la mise en œuvre de nouveaux traitements de données. Au sein de toute entité, chaque service recourre  » instinctivement  » à ces traitements sans être nécessairement au fait des obligations légales y afférant. A supposer qu’il en ait été directement ou indirectement informé par leur direction générale, nombreux sont ceux qui pensent de toute bonne foi que le traitement qu’il réalise n’entre pas dans le champ d’application de la loi.  » Espérant  » pouvoir échapper aux formalités résultant de la loi, ces services se dispensent du respect de leurs obligations légales.


Et face à de tels comportements, l’attitude des entreprises peut varier. Certaines d’entre elles – pour lesquelles la protection des données ne constitue pas une priorité – préfèrent fermer les yeux et tentent ainsi d’ignorer les poursuites judiciaires, les sanctions pécuniaires auxquelles elles s’exposent comme les contrôles inopinés que l’inspection du travail peut effectuer. Emprunt d’un esprit sociétal, d’autres entreprises soucieuses de s’assurer de l’applicabilité de la loi  » informatique & libertés  » tentent de responsabiliser leurs collaborateurs et développer les actions de sensibilisation. Certaines entreprises ont ainsi créé des guides pratiques qu’elles tiennent à disposition des responsables de traitement à qui il leur suffira de s’y référer afin de connaître l’étendue de leurs obligations et leurs conditions de mise en œuvre.


Quoi qu’il en soit, aucune entreprise ne peut aujourd’hui se prétendre à l’abri de poursuites. Et l’actualité est là pour nous le rappeler, puisqu’une société a récemment été condamné pour avoir licencié un de ces salariés refusant d’employer son badge alors que ce système de traitement n’avait pas été déclaré (4) . Or ce facteur n’est pas le seul qui laisse les entreprises craindre de voir leur responsabilité engagée. A l’heure où les traitements de données intégrant les informations personnelles recueillies auprès de ces collaborateurs tend du fait de la mondialisation à se banaliser, les obligations légales qui y sont inhérentes s’en trouvent renforcées : les risques judiciaires se voient donc multipliés.


B- INTERNATIONALISATION DES TRAITEMENTS


Nombre d’entreprises qui étaient exclusivement implantées en France à l’origine, sont aujourd’hui présentes dans la plupart des pays industrialisés comme en voie de développement. Or ce phénomène n’est pas sans conséquence en matière de protection des données. On constate en effet que les données personnelles détenues par les sociétés françaises bénéficient dans une large mesure de la protection accordée par la loi  » informatique & libertés « . Cette interprétation se déduit de l’analyse conjuguée des dispositions issues de la législation française et de la directive européenne.


La loi du 6 janvier 1978 ne contient, pour sa part, aucune disposition déterminant explicitement le champ d’application de la loi française. On peut néanmoins déduire de l’article 19 que la loi exige que tout traitement  » destiné à l’expédition d’informations nominatives entre le territoire français et l’étranger sous quelque forme que ce soit y compris lorsqu’il est l’objet d’une opération partiellement effectuée sur le territoire français à partir d’opération antérieurement réalisée hors de France  » soit – au même titre que les traitements réalisés en France – déclaré auprès de la CNIL. Tandis que la directive 95/46/CE du 24 octobre 1995 intègre dans son champ d’application les traitements de données effectués dans le cadre des activités d’un établissement qui  » n’est pas établi sur le territoire de la communauté et recourt, à des fins de traitement de données à caractère personnel, à des moyens […] situés sur le territoire dudit Etat membre, sauf si ces moyens ne sont utilisés qu’à des fins de transit sur le territoire de la Communauté  » (5) . En conséquence, tout traitement de données initié par un groupe français entre dans le champ d’application de la loi du 6 janvier 1978 et doit être déclaré auprès de la CNIL dès lors qu’il fait davantage que transiter sur le territoire communautaire. Soucieux de garantir à l’ensemble des salariés concernés par un traitement une protection satisfaisante, la loi du 6 janvier 1978 a institué un régime particulier régissant les traitements de données personnes impliquant des  » flux transfrontaliers de données « . En application de ce régime, toute donnée personnelles intégrée dans un traitement automatisé mis en œuvre sur le territoire communautaire bénéficie de facto de la protection équivalent à celle offerte par la directive européenne et éventuellement par la loi française.


Pour s’assurer qu’un niveau de protection adéquat soit garanti à l’ensemble de ces collaborateurs, certaines multinationales françaises n’ont en l’occurrence pas hésité à se doter d’une politique globale. Inspirée de la directive, cette politique se subdivise naturellement en deux parties. Son élaboration suppose tout d’abord la définition de principes généraux visant à garantir à l’ensemble des collaborateurs de la société une protection équivalente à celle offerte par la directive européenne. La mise en œuvre de cette politique induit ensuite le développement d’action de sensibilisation afin de s’assurer de son applicabilité au sein de chacune des entités du groupe.


Mais, quelque soit les précautions apportées à la mise en œuvre de traitement de données, la société mère implantée en France est en outre contrainte de conclure avec chacune des entités, implantées à l’extérieur de la communauté européenne et ne bénéficiant d’une décision de la Commission Européenne reconnaissant l’adéquation du système de protection, un contrat de transfert. Par ce biais, chaque entité garantit à la société mère d’offrir à l’ensemble de ses collaborateurs dont les données sont intégrées dans le traitement une protection équivalente à celle offerte par la directive européenne. Etabli avant la mise en œuvre du traitement, ce contrat doit impérativement transmis à la CNIL lors de la déclaration du fichier.


Le formalisme qui accompagne la mise en œuvre de traitement de données personnelles transverses s’il n’est pas de nature à dissuader les sociétés françaises à développer de traitement, peut se révéler préoccupant. L’opacité qui en résulte allant à l’encontre de l’esprit d’équité devrait guider l’action des entreprises.


Si le régime issu de la loi du 6 janvier 1978 n’est finalement pas parvenu à s’adapter aux mutations structurales intervenues au cours des vingt dernières années. Cette loi fut à plus d’un égard critiquable, et sa réforme souhaitée. Or à l’heure où souffle un vent de réforme, il est tentant de vouloir analyser les incidences sur les comportements que la loi du 6 août 2004 pourrait engendrer.


II- LES ATTENTES INDUITES PAR L’ESPRIT DE REFORME


La loi du 6 août 2004 réformant la loi du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés est séduisante. Mais cette apparence se révèle malheureusement trompeuse : la loi nouvelle ne résiste pas à l’analyse laissant entrevoir que le formalisme, auxquelles les entreprises pensaient éventuellement réchapper, tend à subsister.


A- LES AVANTAGES LIES A LA REFORME


Le commentateur peut se satisfaire du fait que le législateur ait pris soin de préciser le champ d’application de la loi nouvelle. Reprenant pour ainsi dire in extenso les termes employés par la Commission Européenne, l’article 5 de la loi du 6 août 2004 soumet à la loi française tout traitement de données à caractère personnel  » dont le responsable est établi sur le territoire français  » comme les traitements  » dont le responsable, sans être établi sur le territoire français ou sur celui d’un autre Etat membre de la Communauté Européenne recourt à des moyens de traitement situés sur le territoire français, à l’exclusion des traitement de données qui ne sont utilisés qu’à des fins de transit « . Il n’y a donc désormais plus de doute quant au fait que :


– tout traitement de données initié par un groupe français doit être déclaré auprès de la CNIL ;


– ainsi que tout traitement de données réalisé au sein d’une entité implantée hors de la communauté – en Inde ou en Argentine, par exemple – recourant à des moyens de traitement situés sur le territoire français ;


– alors que les traitements de données, qui ne font que transiter sur le territoire français ou celui d’un autre Etat membre de la Communauté Européenne, sont à présent expressément exclus du champ d’application de la loi.


On peut néanmoins souligner la subtilité de langage dont le législateur fait preuve, et s’interroger sur la portée de la notion de  » transit « . Et si l’on s’en tient à l’analyse classique qui en est faite : deux conditions doivent être réunis pour que le traitement de données personnelles échappe à la loi française. Il faut que le traitement soit simplement hébergé sur un serveur localisé sur le territoire français et qu’il ne puisse être consulté depuis la France. A défaut, le traitement de données ne pourra échapper au régime issu de la réforme.


La loi nouvelle a par ailleurs voulu simplifier la procédure de déclaration auprès de la CNIL en accordant aux entreprises la possibilité de faire une déclaration unique pour les traitements de données dont les finalités sont  » identiques ou liées entre elles « . La difficulté consiste à juger de l’existence d’un lien ou de l’identité de nature de plusieurs traitements. Il aurait sans conteste été opportun que la loi prenne soin de préciser ce point. Ce qui aurait incidemment permis de réduire les risques de sanction liés à l’absence de déclaration. On ne peut effectivement présager de l’accueil réservé par la CNIL au manquement constaté.


B- LE MAINTIEN DES CONTRAINTES NEES DU REGIME ANTERIEUR


Conscient des difficultés qu’engendre la loi  » informatique & libertés  » pour l’entreprise, le législateur a fait preuve de pragmatisme et créer la surprise en dispensant les entreprises désignant un correspondant à la protection des données de l’obligation de déclaration (6). Ces entreprises ne sont toutefois pas exemptes de toutes les formalités liées à la mise en œuvre d’un traitement de données. Cette exonération souffre de deux tempéraments. Aux termes de l’article 22 de la loi du 6 août 2004, les entreprises nommant un correspondant à la protection des données sont dispensées des formalités résultant des articles 23 et 24, mais ne peuvent échapper à la procédure d’autorisation. Ces entreprises demeurent également tenues de déclarer les traitements de données  » lorsqu’un transfert de données à caractère personnel à destination d’un Etat non membre de la Communauté Européenne est envisagé « . Ces tempéraments réduisent considérablement l’intérêt que la nomination d’un correspondant à la protection des données présente pour un groupe implanté sur plusieurs continents ayant opté pour une solution globale. Ces dernières ne sont effectivement dispensées que des déclarations liées au traitement les plus courants.


On peut en outre regretter que la loi du 6 août 2004 ne définisse pas clairement la mission et le statut attribué au correspondant à la protection des données. L’article 22 se contente d’indiquer qu’il est  » chargé d’assurer, d’une manière indépendante, le respect des obligations prévues  » par la loi, avant de préciser qu’il  » ne peut faire l’objet d’aucune sanction de la part de l’employeur du fait de l’accomplissement de ses missions « . Le législateur a certes refusé de lui accorder le statut de salarié protégé, mais lui reconnaît un statut particulier au sein de l’entreprise. Il est conscient que son indépendance constitue une condition nécessaire à l’efficacité de sa mission. S’il est effectivement indispensable de s’assurer que le correspondant ne puisse subir de pression dans l’accomplissement de sa mission, nous regretterons néanmoins que le législateur n’ait pas pris soin de définir avec davantage de précisions les conditions réelles de garantie. Et si l’article 22 accorde au correspondant à la protection des données la faculté de saisir la CNIL lorsqu’il rencontre des difficultés dans l’exercice de sa mission. On peut craindre de l’accueil réservé à cette position par les entreprises.


Parallèlement, la loi indique que cette mission requiert du correspondant à la protection des données qu’il s’assure de la conformité des traitements aux obligations imposées par la loi. Il est principalement chargé de veiller au respect de bonnes pratiques au sein de la société, en participant notamment de la  » sensibilisation  » des personnels aux problématiques liées à la création de fichier. Il doit en outre tenir  » une liste des traitements effectués immédiatement accessible à toute personne en faisant la demande « . Ce dispositif séduisant n’échappe pas – lui non plus – à la critique. Ce dernier devient l’interlocuteur privilégié des personnes dont les informations personnelles sont traitées, des personnes chargées de traitement de données comme de la CNIL. Investi d’une fonction centrale, sa mission doit pour l’essentiel consister à établir un climat de confiance réciproque entre les acteurs. Et pour assurer l’efficacité du dispositif, il convient de veiller comme la loi le suggère que cette personne bénéficie  » des qualifications requises pour exercer ses missions « . Il est, en ce sens, essentiel que la personne désignée pour exercer cette fonction dispose de connaissances juridiques et qu’elle soit également sensible au secteur informatique. Il s’agit en tout état de cause d’une  » simple  » possibilité offerte aux entreprises qui demeurent libres de juger de l’opportunité de nommer un coordinateur à la protection des données. Les sociétés qui écartent cette possibilité – ou qui ne sont pas en mesure de créer ce poste – sont de ce fait même privées de la faculté de simplification procédurale.


Il convient néanmoins de relativiser, puisqu’en définitive, ce dispositif ne remet pas profondément en cause le formalisme lié à la mise en œuvre de traitement de données au sein des multinationales françaises. Il est donc, dans ce contexte, difficile d’augurer de l’impact qu’exercera la réforme sur l’approche par l’entreprise des contraintes liées à la mise en œuvre d’un traitement de données.


 


Stéphanie de Buck – Juriste Droit de la Propriété Intellectuelle et des NTIC


(1) JOCE L 281 du 23 novembre 1995, p31


(2) JO du 7 janvier 1978


(3) JO du 7 août 2004


(4)Cass. Soc., 9 avril 2004, n°01-45.227, Sté Allied signal industrial fibers SA devenue la société Honeywell longlaville SA c/ M.X. ; M. Sangos, prés. ; Mme Slove, cons. rapp. ; M. Collomp, av. gén. ; SCP Parmentier et Didier, av. :Juris-data n°2004-023267 – arrêt commenté par Agathe LEPAGE dans Communication Commerce Electronique publié en juin 2004, commentaire 79, p41


(5)cf article 4 c) relatif au droit national applicable


(6)Cf article 22 de la loi du 7 août 2004 qui dispose :  » Les traitements pour lesquels le responsable a désigné un correspondant à la protection des données à caractère personnel chargé d’assurer, d’une manière indépendante, le respect des obligations prévues dans la présente loi sont dispensés des formalités prévues aux articles 23 et 24, sauf lorsqu’un transfert de données à caractère personnel à destination d’un Etat non membre de la Communauté européenne est envisagé. La désignation du correspondant est notifiée à la Commission nationale de l’informatique et des libertés. Elle est portée à la connaissance des instances représentatives du personnel. Le correspondant est une personne bénéficiant des qualifications requises pour exercer ses missions. Il tient une liste des traitements effectués immédiatement accessible à toute personne en faisant la demande et ne peut faire l’objet d’aucune sanction de la part de l’employeur du fait de l’accomplissement de ses missions. Il peut saisir la Commission nationale de l’informatique et des libertés des difficultés qu’il rencontre dans l’exercice de ses missions. En cas de non-respect des dispositions de la loi, le responsable du traitement est enjoint par la Commission nationale de l’informatique et des libertés de procéder aux formalités prévues aux articles 23 et 24. En cas de manquement constaté à ses devoirs, le correspondant est déchargé de ses fonctions sur demande, ou après consultation, de la Commission nationale de l’informatique et des libertés. « 

Droit & Technologies

Soyez le premier au courant !

Inscrivez-vous à notre lettre d’informations

close

En poursuivant votre navigation sur notre site, vous acceptez l’utilisation de cookies afin de nous permettre d’améliorer votre expérience utilisateur. En savoir plus

OK