Adoption du décret d’application de la loi Informatique et Libertés modifiée
Paru dans les Echos le 7 novembre 2005
Laurent Caron(*)
le législateur a adopté en août 2004 une loi réformant profondément la loi Informatique et Libertés du 6 janvier 1978 encadrant les traitements et fichiers de données à caractère personnel. Un décret d’application, très attendu, a été publié au « Journal officiel » du 22 octobre 2005. Mettant fin à plusieurs incertitudes portant sur le champ d’application de la loi, il précise surtout le statut du correspondant à la protection des données à caractère personnel.
En premier lieu, le nouveau texte précise l’organisation de la Commission nationale de l’informatique et des libertés (CNIL). Il fixe le cadre définitif des formalités préalables obligatoires (délais, dématérialisation des procédures) pour les entreprises et organismes, précise les contours des pouvoirs de la CNIL en matière de contrôle sur place, de vérification, d’audition et de sanction administrative. Le décret achève ainsi la mise en place d’un dispositif global introduit par le législateur en août 2004. Les traitements du domaine de la santé bénéficient aussi d’aménagements, de même que les droits reconnus aux personnes physiques dans ce cadre.
Côté pouvoirs de la CNIL, le décret précise en particulier l’articulation des rôles entre la CNIL et le procureur de la République et favorise la coopération avec les autorités de contrôle homologues de la CNIL au sein de la Communauté européenne. Le processus des sanctions administratives ou financières est définitivement figé. Les droits des entreprises et organismes contrôlés sont consacrés, notamment par l’introduction de droits et recours en cas de contrôles de la CNIL ou d’utilisation des procédures exceptionnelles de mise en conformité à la loi (urgence, référé). Le décret maintient les sanctions applicables (contravention de cinquième classe) en cas de non-respect de l’obligation d’information des personnes lors de la collecte de données à caractère personnel.
La partie maîtresse du décret, en tout cas la plus attendue, concerne l’épineuse question du correspondant à la protection des données à caractère personnel. La loi Informatique et Libertés modifiée permet en effet aux entreprises ou organismes d’être exemptés des formalités les plus courantes devant la CNIL en contrepartie de la désignation d’un correspondant chargé d’assurer l’application de la loi et la tenue d’une liste des traitements existants. Certaines questions hypothéquaient de fait les bénéfices attendus de cette innovation. Le correspondant allait-il pouvoir être interne et externe ? Serait-il indépendant par rapport à son employeur ?
Le décret apporte des réponses, mais laisse à la pratique le soin de trouver des solutions. Certes, des précisions sont fournies sur la procédure de désignation, de notification et de révocation, la chronologie à prendre en compte, ainsi que sur les missions du correspondant. Aussi, outre les précisions concernant les incompatibilités, la question du correspondant interne/externe est définitivement arbitrée. Le correspondant peut être externe uniquement lorsque 50 personnes sont chargées de la mise en oeuvre ou ont directement accès aux traitements ou catégories de traitements. La nomination peut par ailleurs être optimisée dans le cadre de sociétés soumises à un même contrôle, d’un GIE, ou encore d’organismes professionnels au sein d’un même secteur d’activité. Le décret n’apporte en revanche pas de réponse définitive au statut controversé du correspondant. Ce dernier ne peut en effet théoriquement recevoir aucune instruction pour l’exercice de sa mission visant à assurer le respect des obligations de la loi Informatique et Libertés.
Quel est l’impact réel des 100 articles du décret pour la stratégie informatique et libertés des entreprises et organismes ? En fait, le décret consacre le travail accompli par la CNIL autour de la nouvelle loi depuis août 2004 : simplification des formalités et pédagogie, instruction soutenue des plaintes et multiplication des contrôles sur place, mise en oeuvre des premières procédures de sanction. Pour ce qui est du correspondant, l’innovation devra prouver en pratique qu’au-delà des contraintes légales elle peut constituer un gage de confiance et de maîtrise du risque informatique et libertés au quotidien.
(*) Directeur du pôle informatique et libertés
« Laurent Caron »
laurent-caron@alain-bensoussan.com