Article 23 : Pascal Arrigo – Le droit et les données

Le droit et les données

L’économie mondiale a entrepris depuis deux décennies une profonde mutation, sous les effets de la mondialisation du commerce et des échanges, qui s’est accompagnée d’une délocalisation des unités de production et, dans de nombreux secteurs, d’une forte accélération des concentrations : chimie, laboratoires pharmaceutiques, banque, assurance, aéronautique. Dans cet environnement de plus en plus compétitif, la prise de décisions stratégiques ou politiques devient particulièrement complexe, en raison, d’une part, de l’augmentation du nombre de paramètres devant être pris en compte par les décisionnaires, et, d’autre part, de l’exigence d’une réactivité accrue.

Confrontées à cette problématique, les entreprises ont pris conscience que les données qu’elles détiennent constituent un élément primordial pour la création de nouveaux produits ou pour la définition de leur stratégie commerciale. Or, ces données, bien que liées entre elles, ne sont pas toujours accessibles au sein d’un système d’information unique et sont, le plus souvent, réparties au sein de structures de stockage hétérogènes, comme les systèmes de planification des ressources d’entreprise (E.R.P), les activités CRM (Customer Relationship Management) ou les données issues de la comptabilité ou de systèmes logistiques non intégrés.

Cette situation a favorisé l’émergence de systèmes décisionnels, tel que le datawarehouse. Celui-ci se définit comme un entrepôt de données collectées dans différentes applications de production et de bases de données qui sont ensuite rassemblées dans un lieu de stockage intermédiaire unique, dans lequel les données sont organisées de façon thématique et historisées, pour le support d’un processus d’aide à la décision. Dans certains cas, les données de l’entreprise sont enrichies avec des données externes à l’entreprise, telles que, par exemple, des bases de données socio-comportementales. Les données de production stockées dans le datawarehouse sont restituées sous forme d’informations, au moyen d’outils de visualisation, d’analyse et de modélisation de l’information. Ce système décisionnel doit permettre de répondre à trois grandes questions :

– que s’est-il passé ?

– que se passe-t-il ?

– que va-t-il se passer ?

Le marché du datawarehousing connaît actuellement en France une très forte progression, qui ne devrait pas se démentir dans les prochains mois, puisque, selon les analystes de l’IDC, plus de la moitié des grands comptes a, soit déjà mis en œuvre des applications qui tirent profit des technologies de datawarehouse, soit envisage de le faire prochainement.

Or, la mise en place au sein de l’entreprise d’un système d’information décisionnel doit conduire à une réflexion juridique, en fonction de la nature des données exploitées et des traitements réalisés.

La propriété des données

La première question qui se pose est celle de la propriété des données provenant de sources extérieures à l’entreprise. En effet, si l’entreprise reproduit ou extrait une partie qualitativement ou quantitativement substantielle d’une base de données, sans en obtenir les droits, afin de l’insérer dans son système d’information décisionnel, elle est susceptible d’être poursuivie, au titre de la contrefaçon, en vertu des dispositions de la loi du 1er juillet 1998 (1) relative à la protection des bases de données. De plus, si l’un des composants du datawarehouse présente un caractère original, il pourra bénéficier de la protection accordée au titre du droit d’auteur.

Le traitement et le transfert des données au regard de la loi informatique et libertés

Au cours de la création d’un datawarehouse, plusieurs opérations sont susceptibles d’entraîner l’application des dispositions de la loi du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés.

En premier lieu, l’entreprise doit respecter l’obligation énoncée à l’article 16 de la loi du 6 janvier 1978, qui impose que les traitements automatisés d’informations nominatives soient déclarés à la CNIL préalablement à leur mise en œuvre.

En second lieu et indépendamment de l’obligation de déclaration, les entreprises transnationales, qui souhaitent exploiter les datawarehouse de filiales implantées à l’étranger, doivent être attentives à ce que le traitement de certaines informations, obligatoire dans leur pays, ne soit pas considéré comme illicite en France, notamment au regard de l’article 31 de la loi du 6 janvier 1978. Cet article interdit « de mettre ou de conserver en mémoire informatique, sauf accord exprès de l’intéressé, des données nominatives qui, directement ou indirectement, font apparaître les origines raciales ou les opinions politiques, philosophiques ou religieuses ou les appartenances syndicales ou les moeurs des personnes ». Or, la loi américaine impose, par exemple, le respect de quotas raciaux dans l’entreprise, ce qui implique l’enregistrement d’informations à caractère racial concernant les salariés. En Allemagne, le Concordat impose aux employeurs de connaître la religion de ses salariés, afin de reverser l’impôt aux différentes Eglises dont ces derniers relèvent. Dans d’autres pays, des données relatives à l’appartenance syndicale des personnels sont collectées de manière licite, sans qu’il soit nécessaire d’obtenir l’accord des salariés.

De plus, lorsque des données à caractère personnel sont transférées de l’un des Etats membres de la CEE à l’étranger, l’entreprise doit respecter les dispositions de la directive (2) sur la protection des données personnelles, qui interdit aux Etats membres d’exporter des données personnelles vers tout Etat tiers qui n’offrirait pas « un niveau de protection adéquat ». S’agissant des Etats-Unis, cette interdiction a donné lieu, le 25 août dernier, à la signature d’accords de « Safe Harbor (3), entre la Commission européenne et le Département du commerce américain. Les Etats-Unis ne sont pas considérés, dans leur ensemble, comme offrant une protection adéquate au niveau fédéral, mais les entreprises américaines volontaires, qui s’engageront à respecter les principes de protection des données personnelles auprès du département du Commerce américain, seront inscrites sur la liste des entreprises autorisées à recevoir des informations nominatives en provenance d’Europe.

Le contrôle de l’activité des salariés

Enfin, les dispositions du Code du travail relatives au contrôle de l’activité des salariés s’appliqueront toutes les fois que l’exploitation d’un datawarehouse permettra, directement ou indirectement, un contrôle de l’activité des salariés. A cet égard, l’employeur à l’obligation d’informer ses salariés, préalablement à la mise en place de moyens de contrôle (4). Cette obligation résulte de l’article L. 121-8 du Code du travail, qui dispose qu’ « aucune information concernant personnellement un salarié ou un candidat à un emploi ne peut être collectée par un dispositif qui n’a pas été porté préalablement à la connaissance du salarié ou du candidat à un emploi ».

[1] Pour une étude, cf. Alain Bensoussan, « Informatique et Télécoms », Ed. Fr. Lefebvre 1997, mis à jour en mai 1999

[2] Directive 95/46/CE du 24 octobre 1995 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, JOCE (L) 281 du 23 novembre 1995

[3] Cf. Ariane Mole, « Les transferts internationaux de données nominatives sous surveillance », L’Usine Nouvelle n° 2752, octobre 2000

[4] Cf., Joëlle Berenguer-Guillon, « Contrôle des salariés : Gare aux déconvenues », L’informatique Professionnelle, n° 187, octobre 2000.

« Pascal Arrigo »

Avocat-Directeur du département ICE et Expertises judiciaires

pascal-arrigo@alain-bensoussan.com