La loi dite « Informatique et Libertés » (loi du 6 janvier 1978 modifiée par la loi du 6 août 2004) est encore trop peu respectée, principalement par manque de connaissance de son application et de ses implications concrètes. Or, son non-respect peut entrainer des conséquences fâcheuses.
Nous ne reviendrons pas ici sur le principe de la loi et l’étendue des traitements à prendre en compte : TOUTES les sociétés sont concernées, tant pour des traitements « externes » (clients, prospects, …) que « internes » (personnel, droits d’accès, …).
Il s’agit là des sanctions tant pénales que celles décidées par la CNIL.
Citons ici quelques exemples.
D’un point de vue pénal
Peines allant jusque 5 ans d’emprisonnement et 300.000 euros d’amende pour les faits suivants :
- Mise en oeuvre d’un traitement de Données à Caractère Personnel (DCP) sans avoir accompli de déclaration à la C.N.I.L ;
- Mise en oeuvre d’un traitement de DCP sans avoir pris les mesures nécessaires pour assurer la sécurité des données ;
- Mise en oeuvre d’un traitement de DCP malgré l’opposition de la personne concernée ;
- Conservation ou traitement de DCP au-delà de la durée autorisée ;
- Détournement des DCP de leur finalité initiale déclarée à la C.N.I.L ;
- Communication de DCP à des personnes non autorisées à les connaître ;
- Collecte de DCP par un moyen frauduleux, déloyal ou illicite.
Il est important de rappeler que ce sont des sanctions pénales.
Sanctions que peut prononcer la CNIL
De son côté, la CNIL peut également imposer des sanctions plus ou moins « pénibles » :
- Avertissement
- Mise en demeure (de rendre conforme ce qui ne l’est pas dans un délai fixé sous peine de sanction plus grave)
- Sanctions pécuniaires : jusque 150.000 euros lors du premier manquement constaté puis 300.000 euros, ou 5% du chiffre d’affaire hors taxes du dernier exercice, dans la limite de 300.000 euros
- Injonction de cesser le traitement : si par exemple un fichier de gestion de la clientèle contient des informations diffamatoires ou interdites (opinions politiques, philosophiques ou religieuses par exemple), la CNIL peut l’interdire.
On comprend aisément la gravité de la sanction pour une société !
- « Publication » sur le site de la CNIL (ce qui a de bonnes chances d’être relayé par certains médias). Là c’est l’image de la société qui risque d’être sérieusement entachée !
Le non respect de la loi peut avoir pour conséquence de rendre un licenciement infondé.
En effet, si le motif du licenciement repose sur un traitement de données à caractère personnelles (« pointeuse », système de géolocalisation, contrôle de la productivité) qui n’a pas fait l’objet d’une déclaration auprès de la CNIL, alors ce traitement sera considéré comme illégal et ses données ne pourront donc pas servir de base à une sanction et a fortiori un licenciement.
Exemple : en 2004, la chambre sociale de la Cour de cassation a estimé que l'absence de déclaration auprès de la CNIL d'un système de contrôle par badges des entrées et des sorties du personnel a pour conséquence d'interdire à l'employeur de sanctionner un salarié qui refuserait d'utiliser un tel système.
Liste non exhaustive des traitements (et dispositifs) devant faire l’objet d’une déclaration auprès de la CNIL :
- Badgeuses et autre systèmes de contrôles d’accès et systèmes biométriques (N.B. : certains nécessitent des autorisations de la CNIL, d’autres sont interdits)
- Pointeuses
- Tous les systèmes de contrôle de la productivité ; exemples :
o Comptage du nombre de pièces produites
o Comptage du nombre d’appels émis
- Contrôle de l’utilisation d’internet et de la messagerie
- Vidéosurveillance
- Géolocalisation
- Gestion de la téléphonie
- Suivi du personnel (par exemple les entretiens annuels s’ils sont sur support informatique)
N.B. : au delà des risques sociaux, l’omission de déclaration entraine des risques juridiques comme vu plus haut.
déclarer un traitement n’est qu’un aboutissement ; le plus important est de comprendre la loi et de respecter les « règles du jeu », c’est à dire les principes de la loi ; exemple : pour chaque traitement, une durée de conservation des données doit impérativement être défini … et respecté.
Christophe CHAMPOUSSIN
Conseil Informatique et Libertés
www.anaxia-cil.fr
