CV : Thierry Gaufryau dirige le cabinet "Le Correspondant", dont l'activité est d'offrir aux structures un environnement juridique sécurisé quant à l'utilisation de nouvelles technologies (mise en conformité de sites web, assistance à la mise en place de "correspondants Informatique et libertés", propriété industrielle, rédaction de contrats'). Son réseau compte à ce jour une douzaine de collaborateurs répartis sur tout le territoire (avocats, formateurs, juristes...), mais il travaille également avec des partenaires sensibles au respect de la protection des données et à la mise en conformité légale des structures :
- Orne Développement et l'Echangeur de Basse Normandie, avec lesquels ont été mises en oeuvre des actions en faveur des TPE-PME.
- Les clubs Business 75 et 49 (mis en place par B2R), spécialisés dans l'établissement et le développement de réseau d'affaires dans le respect de la protection des données.

Interview :

Quelles sont les entreprises concernées par la loi "Informatique et libertés" ?

Toutes les structures (entreprises, associations, organismes…) qui réalisent, par des moyens automatiques, des opérations portant sur des données à caractère personnel. Cela couvre une gamme d'actions très large allant de la simple collecte de données à leur enregistrement, leur modification, leur conservation, leur transmission et leur destruction.
Comme vous le constatez, les entreprises soumises à cette réglementation sont beaucoup plus nombreuses qu'on le pense. La loi "Informatique et libertés" ne concerne pas uniquement celles qui exploitent et diffusent ces données en établissant des interconnexions et rapprochements de fichiers ! Malheureusement les entreprises sont rarement correctement informées de leurs obligations…

Qu'appelez-vous "données à caractère personnel" ?

Il s'agit de tous les éléments qui permettent d'identifier une personne directement ou indirectement (nom, prénom, photo, numéro de téléphone, adresse mail, numéro d'immatriculation, etc.) ou encore par recoupement d'informations de type date de naissance, lieu de résidence, éléments biométrique, etc.
Imaginons par exemple qu'à la suite d'une formation je réalise un traitement de données en séparant les hommes et les femmes qui ont participé à cette séance. S'il n'y a qu'un seul homme, le critère "sexe" sera considéré comme une donnée à caractère personnel, car il permettra, à lui seul, d'identifier la personne.

Les données relatives aux salariés de l'entreprise en font-elles partie ?

Oui bien sûr ! Sont concernés toutes les listes et traitements associés relatifs aux salariés de l'entreprise, à ses clients, fournisseurs, etc. En résumé : toutes les listes qui se trouvent dans un ordinateur !

Quelles sont les obligations liées à cette loi ?

Elles ont été modifiées par la nouvelle loi "Informatique et libertés" du 6 août 2004. D'une manière générale, les entreprises doivent déclarer leurs traitements, tels que définis ci-dessus, à la Cnil (Commission nationale de l'informatique et des libertés) ainsi que les modifications qui sont apportées aux fichiers concernés ou à leur utilisation.
Certains traitements sont toutefois exonérés de déclaration, d'autres correspondent à une norme simplifiée, d'autres encore nécessitent une demande d'autorisation avant leur mise en œuvre…
La nouvelle loi prévoit que tous les traitements de données qui ont été mis en œuvre avant sa parution doivent être mis à jour avant le 6 août 2007.

Dans quelles situations une autorisation de la Cnil est-elle nécessaire ?

Lorsque le traitement envisagé concerne des données sensibles (origines raciales ou ethniques, opinions politiques, philosophiques, religieuses, appartenance syndicale, santé, vie sexuelle), des données génétiques, biométriques, des infractions, condamnations ou mesures de sûreté, le numéro de sécurité sociale, etc.
Un hôtel de luxe bien connu a par exemple dû démonter un équipement biométrique permettant l'accès à ses chambres suite au refus de sa demande d'autorisation qui avait été faite "après coup".

Qu'en est-il des sites internet ?

Ils n'ont plus à être déclarés en tant que tels depuis juillet 2006. Néanmoins, les formalités d'information des internautes demeurent, ainsi que l'obligation de déclarer les traitements de données associés à ces sites, comme par exemple le recueil de données pour l'envoi d'une documentation, d'une lettre d'information, d'un badge, etc.
Rappelons que doivent notamment figurer sur chaque site internet :
- une rubrique "mentions légales" permettant d'identifier la structure,
- des mentions relatives à la protection des données et à la confidentialité de celles-ci,
- une rubrique "conditions générales de ventes" s'il s'agit d'un site de vente en ligne, etc.
Des précautions doivent également être prises en cas de mise en ligne de formulaires et/ou d'espaces de discussions. Toutes ces obligations sont rassemblées dans une guide intitulé : "Je monte un site internet : recommandations pratiques" disponible sur le site de la Cnil.

Et les blogs ?

S'ils sont réalisés à titre professionnel, les blogs sont concernés par la loi "Informatique et libertés" et soumis à des obligations informatives et/ou déclaratives, car ils comportent souvent des traitements de données : les internautes s'inscrivent à une lettre, font des réponses, ajoutent des commentaires… Si on peut les identifier indirectement, une déclaration s'impose, sauf si l'on entre dans un des cas d'exonération. Une salariée de l'entreprise Nissan s'est par exemple retrouvée récemment en correctionnelle pour avoir cité une ancienne collègue sur son blog. Contrairement à ce que pensent les gens, on ne peut pas tout faire dans un blog !

Les structures qui ne respectent pas ces obligations prennent-elles des risques ?

Tout à fait, car le code pénal a été modifié pour permettre aux particuliers de porter leurs différents non pas uniquement devant de la Cnil, mais également devant des tribunaux.
Il existe donc désormais deux types de sanctions : les sanctions de la Cnil, qui consistent généralement en une suspension du traitement et des sanctions financières modérées, et les sanctions pénales pouvant aller jusqu'à 5 ans d'emprisonnement et 300 000 euros d'amende…

Y a-t-il des cas récents de condamnations ?

Oui, les sanctions sont de plus en plus fréquentes. Un Centre Leclerc a ainsi été condamné par le tribunal correctionnel, en novembre dernier, à 2 000 euros d'amende et au versement de dommages et intérêts pour avoir illégalement fiché des clients "mauvais payeurs" dans une "black-list". Une black-list n'est pas illégale en tant que telle, mais doit avoir fait l'objet d'une demande d'autorisation après de la Cnil avant sa mise en œuvre.
Dans une autre affaire, le licenciement d'un salarié qui refusait de pointer a été jugé "abusif" car l'employeur n'avait pas déclaré la badgeuse à la Cnil.
Un cabinet d'huissier vient, quant à lui, d'être condamné à 5 000 euros d'amende pour non déclaration de fichiers et pour avoir accompagné ses dossiers de plusieurs "remarques" portant atteinte à la vie privée.
France-télécom et le Crédit Lyonnais font également partie des entreprises récemment sanctionnées à ce titre.

Les risques sont donc bien réels !

Naturellement, d'autant plus que, d'une part, les moyens de la Cnil ont été renforcés en 2006, et que, d'autre part, la notion de "négligence" a été ajoutée dans les textes : "le fait, y compris par négligence, de procéder ou de faire procéder à des traitements de données à caractère personnel sans qu'aient été respectées les formalités préalables à leur mise en œuvre…" (article 226-16 du code pénal). C'est pour cette raison que je recommande vivement la désignation, au sein des structures, d'un Correspondant à la protection des données à caractère personnel, appelé couramment "Correspondant informatique et libertés". C'est à mon avis, le moyen le plus sûr et le plus simple à mettre en œuvre pour se protéger et respecter la loi.

Pouvez-vous nous en dire plus sur ce Correspondant informatique et libertés ?

Cette fonction a été créée par la loi du 6 août 2004 dans le but d'alléger les procédures et d'éviter leur centralisation auprès de la Cnil.
Le fait pour une entreprise de désigner un Correspondant informatique et libertés la dispense de toutes les déclarations obligatoires. Le Correspondant tient, au sein de la structure, un registre des traitements de données à caractère personnel et le maintient à jour en toutes circonstances (changement d'affectation de salariés, nouveaux traitements, suppression de traitements…). Il veille à l'application de la loi dans l'entreprise et diffuse la "culture informatique et libertés" après de ses collègues et dirigeants. Il rend compte de son action à la Direction de l'entreprise dans un bilan annuel tenu à disposition de la Cnil.

L'entreprise est alors exonérée de toute obligation déclarative ?

Oui, à l'exception des demandes d'autorisation qui demeurent obligatoires.

Qui peut être désigné en tant que Correspondant informatique et libertés ?

Toute personne en interne ayant un minimum de compétences juridiques, techniques et pédagogiques. Elle doit en effet connaître la loi "Informatique et libertés", être capable de suivre le déploiement des applications informatiques et conseiller sa Direction.
Il ne peut s'agir d'un dirigeant ou d'un associé, car cette fonction nécessite une certaine indépendance et objectivité.
Dans les structures de moins de 50 personnes, le correspondant peut être une personne extérieure : salarié d'une autre structure ou professionnel indépendant.
La nomination du correspondant prend effet un mois après l'envoi à la Cnil des informations le concernant (un formulaire est disponible sur le site de la Cnil). Il dispose alors d'une période de 3 mois pour mettre l'entreprise en conformité.

Quelle est l'étendue de sa responsabilité ?

Comme tout salarié, il est responsable de sa mission au sein de l'entreprise, le dirigeant restant naturellement responsable pénalement vis-à-vis des tiers.
Il est donc vivement conseillé aux Correspondants de suivre une formation (d'une journée ou plus en fonction de la taille de l'entreprise) pour acquérir un minimum de connaissances concernant le Droit des NTIC et ainsi appréhender leurs nouvelles fonctions avec un maximum de sécurité. Le coût de cette formation peut être pris en charge au titre du droit individuel à la formation (DIF).

En quoi consiste cette formation ?

A appréhender toutes les notions nécessaires à l'accomplissement de sa mission dans les meilleures conditions :
- les principales définitions : données à caractère personnel, traitements de données, responsables de traitements...
- les éléments juridiques : la Loi Informatique et libertés, Code pénal...
- les principales sanctions : financières, pénales...
- les institutions : CNIL, juridictions compétentes...
- la mission de Correspondant informatique et libertés : obligations, droits et devoirs...
Ensuite, nous "assistons" le correspondant formé pendant 4 mois, afin qu'il puisse être épaulé lors du démarrage de sa fonction.
Nous avons également mis en œuvre une formation "déclarations Cnil", pour toutes les structures qui n'auraient pas les moyens humains et/ou financiers de procéder à la nomination d'un correspondant, ou dont la structure ne permettrait pas de mettre en œuvre un tel process (EURL, structures ne comportant pas de salariés…)

Un dernier conseil à l'attention des créateurs d'entreprises ?

Pensez que les traitements de données doivent être déclarés avant leur mise en œuvre. Ceci est une obligation légale au même titre que vos formalités déclaratives d'activité. Il vaut mieux s'en occuper de suite que d'attendre (on oublie souvent par la suite).
Soyez conscient que vous pouvez être assigné du jour au lendemain en correctionnelle par un client ou un salarié par négligence.
Pensez également à vous renseigner sur vos partenaires et sous traitants. Il leur incombe également de se mettre en conformité légale. En effet, toute opération provenant de traitements non déclarés devient illicite…

Propos recueillis en janvier 2007 par Laurence Piganeau

Pour en savoir plus sur le correspondant informatique et libertés, consulter :

- Le site Le Correspondant
- Le site de la Cnil

Sélection de questions posées sur le forum temporaire

Les associations sont-elles dispensées de faire une déclaration à la Cnil ?

Uniquement pour leurs fichier de membres et donateurs (dispense n°8 du 09/05/2006).

Les fichiers de clientèle et de prospects à usage uniquement interne doivent-ils être déclarés à la Cnil ?

Oui, les fichiers de clients et prospects, qu'ils soient à usage interne ou externe, se doivent d'être déclarés à la Cnil, dès lors qu'ils font l'objet de traitements (internes ou externes).

Je gère une galerie d'art. Je propose aux visiteurs de passage qui le souhaitent de me laisser leurs coordonnées (adresse, téléphone, e-mail) pour que je puisse leur adresser les mailings que je fais à l'occasion des expositions personnelles des artistes de la galerie. J'ajoute à ces données le mois de leur visite, un commentaire sur l'intérêt particulier pour tel ou tel artiste que le visiteur a manifesté ainsi que, le cas échéant, les achats qu'il effectue. Quelles sont mes obligations vis à vis de la Cnil, étant entendu que celle-ci a décidé le 22 mai 2006 de "dispenser de déclaration les listes d'adresses de contacts et correspondants constituées par des organismes publics ou privés à des fins d'information ou de communication externe"? Mon fichier entre-t-il dans cette catégorie?

Voici quelques éléments répondant à votre problématique.
La Cnil a bien publié le 09/05/2006 la dispense que vous évoquez. Je vous rappelle toutefois, que pour bénéficier d'une telle dispense, le traitement que vous mettez en oeuvre se doit de respecter TOUTES les conditions énoncées dans ladite dispense. Pour se rapprocher de votre cas :
1) votre mailing ne doit comporter AUCUNE sollicitation commerciale,
2) les achats effectués ne rentrent pas dans la catégorie des données traitées pouvant être prise en compte par la dispense,
3) n' oubliez pas d'informer les personnes auprès desquelles vous collectez ces informations, de la finalité du traitement ainsi que de leurs droits d'accès, de rectification de suppression des données les concernant.
En conclusion, seules les données concernant les achats posent problème concernant la dispense. Si vous maintenez cette donnée, vous devrez effectuer une déclaration normale.

27/02/2007