Juriscom.net - droit des technologies de l'information

Monument du patrimoine législatif relatif à la protection des données personnelles, la loi du 6 janvier 1978 [legifrance.gouv.fr] a subi le 6 août 2004 [legifrance.gouv.fr] un important ravalement de façade, destiné à transposer la Directive 1995/46/CE sur les données personnelles, à accroître les pouvoirs de contrôle de la CNIL et à intégrer un certain nombre de règles issues de la doctrine de la Commission. Sans révolution, le texte offrait à l’autorité administrative indépendante la plus célèbre de France les moyens juridiques d’accomplir sa mission.

Le décret n° 2005-1309 du 20 octobre 2005 [legifrance.gouv.fr] est venu compléter les règles ainsi mises en place. Très attendu par les praticiens, il remplace les décrets du 17 juillet 1978, du 28 décembre 1979 et du 23 décembre 1981 qui fixaient le détail des règles de la loi de 1978 et parachève ainsi le lifting de l’honorable dame.

Si le décret suscite l’intérêt, c’est principalement pour les précisions qu’il apporte sur le correspondant à la protection des données personnelles[*] institué par l’article 22 de la loi « informatique et libertés » modifiée. Ce relais de la CNIL au cœur des organismes publics ou privés constituait l’une des innovations remarquées de la loi de 2004, inspirée par la Directive sur les données personnelles. L’article 18 du texte communautaire ouvre une dérogation au principe de notification des traitements à l’autorité nationale en cas de désignation par le responsable du traitement d’un « détaché à la protection des données à caractère personnel », caractérisé par son indépendance et chargé d’assurer l’application des dispositions relatives à la protection des données personnelles et doit tenir un registre des traitements effectués.

Le législateur français, à l’instar de ses homologues allemand, suédois, batave et luxembourgeois, a mis en œuvre cette faculté originale, à travers la création du « correspondant informatique et libertés » (ou CIL), selon la terminologie de la CNIL. Le CIL est investi d’une double mission : il tient un registre des traitements réalisés et doit diffuser au sein de son organisme la culture et les principes de la loi de 1978. En contrepartie de la mise en place d’un CIL, le responsable du traitement de données se voit dispensé de la déclaration imposée par l’article 22. I de la loi de 1978.

L’article 22. III de la loi modifiée reste en revanche laconique sur le statut et les missions du CIL, réservant le détail au décret d’application qui vient d’être publié. Il est précisé qu’il doit disposer des « qualifications requises pour exercer ses missions ». Son indépendance est soulignée (alinéa 1). Les instances représentatives du personnel sont d’ailleurs informées de sa désignation (alinéa 2) et le CIL ne peut subir de sanction de la part de son employeur du fait de ses missions (alinéa 3).

À l’occasion du contrôle de constitutionnalité de la loi du 6 août 2004, le Conseil constitutionnel a rappelé l’importance de garantir l’indépendance du CIL. Le gouvernement a néanmoins écarté l’idée d’en faire un salarié protégé. L’article 46 du décret rappelle que dans le cadre de ses missions, le CIL ne reçoit aucune instruction de son employeur.

Selon l’article 44 du décret, le CIL doit être interne à l’entreprise ou à l’organisme dont il contrôle les traitements, dès lors que plus de 50 personnes sont chargées de leur mise en œuvre ou y ont accès. Un CIL unique peut être nommé pour l’ensemble du groupe de sociétés auquel il appartient.

Les interrogations sur la formation du CIL (initiale ou continue) ne sont guère levées par le décret.

Le correspondant dispose du droit de formuler des recommandations au responsable du traitement. Il est consulté préalablement à la mise en œuvre des traitements et assure le respect des obligations du responsable, notamment à l’égard des personnes concernées par les traitements.

Afin d’éviter les risques de conflits, une information préalable à la saisine de la CNIL est prévue.

En cas de manquement à ses obligations, le CIL peut être déchargé de ses fonctions à la demande de la CNIL ou par le responsable du traitement. Dans le second cas, la CNIL est saisie pour avis des motifs de décharge.

Les juridictions prud’homales seront vraisemblablement conduites à affiner les garanties d’indépendance du CIL.

Par ailleurs, le décret rajeunit les anciens textes. Il simplifie nombre de procédures et grave dans l’airain certaines pratiques de la CNIL, comme la déclaration par voie électronique.

Le décret fixe encore les règles applicables aux traitements de données dans le domaine de la santé et détermine les modalités d’exercice des pouvoirs de la CNIL. Enfin, il encadre les traitements de l’article 26 qui intéressent la sûreté de l’État et les fichiers de police.

[1] Voir à ce sujet le dossier sur la loi informatique et libertés et l’entreprise, Revue Lamy Droit de l’immatériel, octobre 2005 et tout particulièrement l’article de Gilles Vercken, Gwendoline Van Ossel et Céline Serpagli, Le « correspondant à la protection des données » : une création inachevée ?, n 269