La difficile application en entreprise de la Loi n° 1.165 relative à la protection des informations nominatives

Les entreprises mettant en œuvre des traitements contenant des informations nominatives sont soumises à un ensemble de formalités visant à garantir le respect des droits et libertés fondamentaux des personnes auxquelles se rapportent ces informations, et au contrôle de la CCIN (Commission de Contrôle des Informations Nominatives).

La Loi 1.165 du 02/12/1993 relative à la protection des informations nominatives, modifiée, fait peser de lourdes contraintes quant à l’accomplissement des formalités de déclaration préalable et au fonctionnement sécurisé des traitements. La complexité et le manque de souplesse du texte rendent délicate sa mise en œuvre par les entreprises. Faute d’une vigilance continue, celles-ci s’exposent à des sanctions administratives, pénales et pécuniaires pouvant considérablement impacter leur économie.

L’article 2 de la Loi 1.165 du 02/12/1993 relative à la protection des informations nominatives, modifiée, a créé la Commission de Contrôle des Informations Nominatives (CCIN), une Autorité Administrative Indépendante dont la mission est « de contrôler et vérifier le respect des dispositions législatives et réglementaires » par les personnes mettant en œuvre des traitements contenant des informations nominatives.

Le vaste champ d’application de la Loi et l’ambiguïté de certains termes rendent sa mise en œuvre délicate[1], tandis que son manque de souplesse et la complexité des formalités de déclaration des traitements semblent peu compatibles avec la vie des entreprises. Un manquement à l’accomplissement de ces formalités peut rapidement conduire à une situation d’illégalité et produire des conséquences particulièrement dommageables pour les entreprises. Dans ce contexte, l’adéquation des obligations légales et des contrôles opérés par la CCIN au regard de l’objectif poursuivi par la Loi 1.165 est soulevée.

I. Des mesures contraignantes pour les entreprises

Afin de se conformer aux exigences de la Loi 1.165, les entreprises sont tenues d’accomplir des formalités qui peuvent s’avérer difficilement réalisables. Rapportée aux risques relatifs de dérives, la pertinence de certains types de contrôles opérés par la CCIN se pose.

I.1. Un accomplissement des formalités peu aisé

Hormis les cas de déclarations simplifiées concernant en particulier les traitements relatifs à la gestion de paie du personnel ou ceux relatifs à la gestion des fichiers de fournisseurs[2] qui permettent une gestion simple des formalités[3], une grande majorité des traitements est soumise à d’autres régimes qui font peser, sur le plan formel, des contraintes importantes sur les entreprises.

En pratique, il est rare qu’une entreprise mette uniquement en œuvre des traitements soumis au régime de déclaration simplifiée de conformité. Dans leur majorité, les traitements sont assujettis à la procédure de déclaration ordinaire (article 6, alinéa 1 de la Loi n° 1.165). C’est le cas par exemple, lorsque l’entreprise dispose d’un site Internet qui fait mention d’informations nominatives, ou lorsqu’un annuaire (qui peut être un simple document Word) ou trombinoscope des salariés est mis en place, ou bien encore lorsque des listings (de type Excel) permettent de gérer les congés des employés, les absences, les tickets restaurants, les mutuelles, etc.

Dans la plupart des cas[4], il est donc nécessaire de remplir un formulaire dédié dans lequel le traitement doit être intégralement détaillé. Cela représente une charge de travail considérable car il faut fournir une quantité d’informations importante : établir les différentes finalités ou objectifs du traitement, détailler toutes les informations traitées et indiquer la durée de conservation de celles-ci, renseigner les catégories de personnes ayant accès aux informations et le cas échéant indiquer vers où s’opère le transfert de données, joindre un schéma qui explique le fonctionnement du traitement des informations (qui peut aussi varier selon les informations traitées ou les catégories de personnes concernées), et indiquer les moyens techniques utilisés pour stocker les informations (ce qui implique un schéma des flux de données et des détails concernant le fonctionnement du serveur de l’entreprise). La liste n’est pas exhaustive mais permet déjà de constater que la mise en œuvre d’un traitement s’accompagne de lourdes contraintes administratives.

Enfin, il faut raisonner en termes de finalité et non de traitement, ce qui implique un formulaire par finalité et non pas un formulaire par traitement. Des formulaires séparés doivent être établis pour les informations collectées et regroupées sur un seul et même logiciel ou fichier, dès lors que ces informations sont employées en vue de remplir différents objectifs. C’est le cas par exemple d’un fichier Excel intitulé « salarié » créé pour gérer les absences, les congés, les formations, etc. Il faudra alors dans ce cas précis émettre autant de formulaires que les traitements présentent de finalités, quand bien même le traitement des informations est strictement identique.

Le renseignement de ces formulaires peut, dans ce contexte, s’avérer particulièrement contraignant. Et pour certaines professions qui peuvent traiter toutes sortes d’informations pour des durées très variables, le renseignement des formulaires peut s’avérer encore plus délicat.

I.2. La pertinence des contrôles opérés par la CCIN

Dans la mesure où la loi impose de raisonner par finalité et de détailler très précisément le fonctionnement des traitements, les entreprises sont confrontées à de lourdes formalités qui conduisent à s’interroger sur leur opportunité, à la lumière de l’objectif de la Loi 1.165.

I.2.1. La ratio legis

L’objectif initial de la Loi 1.165 du 23/12/1993 sur les informations nominatives était de protéger les administrés contre les abus possibles de l’administration et les éventuelles « mises en fiche ». Sa modification intervenue le 04/12/2008 a renforcé le dispositif en vue de protéger également les personnes concernées par des traitements mis en œuvre par des entreprises, le développement des nouvelles technologies ayant considérablement modifié les pratiques informatiques depuis 1993. La ratio legis visait alors à protéger les individus contre une utilisation dangereuse de leurs informations par les entreprises que l’on pouvait craindre avec la commercialisation des données, les transferts via Internet, etc.[5]

Le champ d’application et les définitions très larges de la Loi[6] ont eu pour effet de soumettre de très nombreux traitements à ces formalités préalables. Or certains traitements mis en œuvre par des entreprises ne sont pourtant pas de nature à susciter d’inquiétudes dans la mesure où ils ne portent pas de facto atteinte aux libertés individuelles. En réalité, il semble que les traitements réellement dangereux concernent les données sensibles, les transferts de données et les problèmes liés à la surveillance[7].

Imposer aux entreprises de détailler l’ensemble du mécanisme du traitement pour le soumettre au contrôle d’une Autorité Administrative Indépendante ne semblait pas nécessaire, la plupart des traitements mis en œuvre ne présentant qu’un faible risque de dérives du point de vue des libertés individuelles.

Un contrôle a posteriori en cas de plainte aurait peut-être dû être préféré à un contrôle a priori et systématique de la quasi-totalité des traitements générés, surtout dans un contexte où la notion de traitement était aussi étendue. A défaut d’avoir retenu cette option, étendre le champ d’application des régimes de la déclaration simplifiée et de la dispense pourrait être une solution pour alléger les formalités qui s’imposent aux entreprises.

I.2.2. Un possible allégement des formalités

Des arrêtés ministériels peuvent dispenser « des catégories de traitements ne comportant manifestement pas d’atteinte aux libertés et droits fondamentaux » de toute obligation de déclaration, ou les soumettre au régime de la déclaration simplifiée (article 6, alinéa 2 de la Loi 1.165).

D’une part, le régime de la déclaration simplifiée concerne des traitements dont les conditions sont strictement édictées par les arrêtés ministériels. Il suffit, par exemple, de collecter une information supplémentaire que l’arrêté ministériel ne prévoit pas pour ne plus pouvoir bénéficier de ce régime. De lourdes contraintes s’imposent alors et ces dernières peuvent être disproportionnées par rapport au but poursuivi, surtout si l’information supplémentaire collectée n’est pas de nature à porter atteinte aux libertés individuelles.

D’autre part, il est regrettable que le régime de dispense ne puisse s’appliquer davantage en Principauté, faute d’arrêtés ministériels pris en ce sens. La seule dispense résulte de la loi et concerne les traitements mis en œuvre par des particuliers pour un usage privé.

A titre comparatif, ce dernier régime est plus étendu en France. En premier lieu, la Loi 78-17 du 6 janvier 1978, modifiée, prévoit plusieurs dispenses. Le responsable de traitements a la faculté de désigner un correspondant informatique et libertés (article 22 III) au sein de l’entreprise, ou en externe, lequel tient un registre des traitements et veille au respect des dispositions de la loi. La mise en place de ce correspondant permet de dispenser le responsable de traitements des formalités qui relèvent du régime de la déclaration. Aussi, les traitements mis en œuvre aux seules fins d’expression littéraire et artistique, ou mis en œuvre par des journalistes professionnels, sont sous certaines conditions dispensés de déclaration (article 67). En second lieu, des dispenses peuvent être également accordées par la Commission nationale de l’informatique et des libertés (CNIL), l’équivalent français de la CCIN. Par exemple, sont dispensés de déclaration les traitements constitués à des fins d’information ou de communication externe (délibération 2006-138 du 09/05/2006), les traitements automatisés mis en œuvre par des organismes à but non lucratif (délibération 2010-229 du 10/06/2010).

Par analogie, ces régimes dérogatoires devraient être favorisés en Principauté en vue d’alléger les formalités qui pèsent sur les entreprises.

Si la consécration d’une Autorité Administrative Indépendante était nécessaire pour assurer le respect de cette loi afin de garantir la protection des informations nominatives et les libertés individuelles de chacun, il apparaît regrettable que le système ne soit pas davantage adapté à la vie des entreprises qui subissent déjà d’importantes obligations administratives. La complexité du texte et les lourdes contraintes qui en résultent peuvent conduire les entreprises à ne s’acquitter que partiellement de cette obligation. Or les conséquences juridiques et économiques peuvent être importantes en cas de non respect de la Loi 1.165.

II. Les conséquences dommageables du non respect de la Loi 1.165

Le non respect de la Loi sur les informations nominatives peut résulter, entre autres, de la mise en œuvre d’un traitement non déclaré (défaut de déclaration, de demande d’avis ou d’autorisation) ou de l’utilisation d’un traitement à d’autres fins que celles déclarées. Compte tenu du manque de clarté du texte et de sa complexité, il n’est pas rare que les entreprises se retrouvent en situation d’illégalité pour n’avoir pas correctement effectué les formalités préalables à la mise en œuvre d’un traitement. Dans de tels cas, les conséquences peuvent être particulièrement dommageables.

II.1. Les sanctions prévues par la Loi 1.165

Deux catégories de sanctions sont prévues par la Loi 1.165 sur la protection des informations nominatives, modifiée : administratives d’une part, pénales d’autre part (articles 19 à 23).

II.1.1. Les sanctions administratives

Lorsque des irrégularités sont relevées, le président de la CCIN peut adresser à la personne responsable du traitement, un avertissement ou une mise en demeure de mettre fin à ces irrégularités (article 19, alinéa 1).

Le président de la CCIN signale sans délai au Procureur Général les irrégularités constitutives d’infractions pénales (article 19, alinéa 2).

Si une sanction pénale est prononcée, la cessation de plein droit des effets de la déclaration ou de l’autorisation et la radiation du répertoire des traitements automatisés est prévue (article 23, alinéa 1).

II.1.2. Les sanctions pénales

Le manquement à l’obligation de déclaration des traitements est puni d’un à six mois d’emprisonnement et/ou d’une amende de 9 000 à 18 000 euros (article 21).

Les mêmes sanctions s’appliquent à ceux qui empêchent volontairement les personnes intéressées d’exercer leur droit d’accès aux informations nominatives ou leur droit de suppression ou de modification, à ceux qui ne protègent pas suffisamment les informations nominatives qu’ils détiennent[8], à ceux qui les divulguent, à ceux qui conservent des informations nominatives au-delà de la durée indiquée à la CCIN, à ceux qui transfèrent des données dans des pays qui n’ont pas un niveau de protection adéquat, et à ceux qui recueillent des informations sans en avoir informé la personne concernée (article 21).

De plus lourdes sanctions sont prévues pour ceux qui « sciemment utilisent ou font utiliser des informations nominatives pour une autre finalité que celle mentionnée dans la déclaration, la demande d’avis ou la demande d’autorisation ». Il en va de même, entre autres, en cas d’utilisation de données sensibles[9], en cas de collecte frauduleuse d’informations nominatives, lors de la poursuite de traitement en dépit du droit d’opposition, et lors de la mise en œuvre de traitements à des fins de surveillance sans autorisation préalable de la CCIN. Ces infractions sont punies de trois mois à un an de prison et/ou d’une amende de 18 000 à 90 000 euros (article 22).

Enfin, le tribunal peut décider de la confiscation et de la destruction sans indemnité des supports des informations nominatives incriminées et interdire la réinscription au répertoire pendant une période pouvant aller de six mois à trois ans (article 23 de la loi).

Il peut arriver, par négligence ou méconnaissance, que les entreprises aient simplement procédé à une déclaration simplifiée, pensant accomplir de bonne foi les formalités de déclaration de leur traitement. Ceci est fréquent en pratique, et l’on peut s’interroger sur les sanctions encourues dans ce cas particulier.

Compte tenu de l’étendue du champ d’application de la Loi 1.165 et de l’importance des sanctions pénales, il convient d’être particulièrement vigilant lors du traitement d’informations nominatives, d’autant que le non respect de la loi a d’autres répercussions juridiques.

II.2. Les conséquences indirectes résultant de l’illégalité du traitement

Au-delà des sanctions pénales et administratives qui pèsent sur ceux qui n’accomplissent pas les formalités CCIN, un manquement à l’accomplissement des formalités requises est susceptible de créer d’autres conséquences dommageables, non explicitement prévues par la Loi 1.165.

II.2.1. L’irrecevabilité des preuves

L’étude de la jurisprudence française permet de constater l’incidence du défaut d’accomplissement des formalités sur la recevabilité des preuves. En effet, il est établi que la déclaration à la CNIL est un préalable nécessaire pour se prévaloir de certaines preuves. En cas de manquement à l’accomplissement de ces formalités, les tribunaux considèrent les preuves irrecevables.

La matière du droit social illustre bien cette problématique. Dans une affaire portée devant la Cour de cassation française[10] en 2004, un employé avait été licencié en raison du fait qu’il ne pointait plus, ou irrégulièrement, sur la pointeuse de l’entreprise. Dans cette espèce, le licenciement prononcé par l’employeur avait été jugé sans cause réelle et sérieuse, la Cour retenant qu’ « à défaut de déclaration à la Commission nationale de l’informatique et des libertés d’un traitement automatisé d’informations nominatives concernant un salarié, son refus de déférer à une exigence de son employeur impliquant la mise en œuvre d’un tel traitement ne peut lui être reproché ». Le défaut de déclaration entraîne donc l’irrecevabilité de certaines preuves. La brèche juridique est ainsi importante, et les formalités ne sont pas à prendre à la légère en ce qu’elles impactent la légalité d’une preuve. L’adresse électronique étant au sens de la loi une information nominative, on peut craindre, au même de titre, de voir certains écrits électroniques déclarés irrecevables en cas de non respect de la loi.

Dans une affaire plus récente[11], la Cour de cassation a précisé que la même sanction s’applique lorsqu’un traitement n’a pas été déclaré pour les finalités concernées. En l’espèce, le système de géolocalisation utilisé par l’employeur n’avait pas été déclaré à des fins de surveillance des salariés, mais uniquement afin « d’optimiser la production et analyser les temps de déplacement ». La Cour retient que « ce système de géolocalisation ne peut être utilisé par l’employeur pour d’autres finalités que celles qui ont été déclarées auprès de la Commission nationale de l’informatique et des libertés, et portées à la connaissance des salariés ». La Cour rappelle aussi le caractère cumulatif des conditions pour mettre en œuvre un traitement à des fins de surveillance et s’en prévaloir à titre de preuve. Il faut non seulement avoir accompli les formalités préalables auprès de l’autorité compétente, mais aussi informer les personnes concernées.

Ce principe jurisprudentiel d’irrecevabilité des traitements non déclarés en tant que preuve est toutefois à nuancer. Une limite est posée par la Cour de cassation qui prévoit l’admissibilité d’une preuve provenant pourtant d’un traitement non déclaré, en retenant que le dispositif « devant obligatoirement être mis en œuvre par l’employeur, sous peine de sanction pénale, l’absence de déclaration auprès de la CNIL ne pouvait pas le priver de la possibilité de se prévaloir à l’égard du salarié des informations provenant de ce matériel »[12]. La jurisprudence française est abondante en droit social, surtout en matière de surveillance des salariés.

Il convient ainsi d’être vigilant concernant l’identification de tous les traitements et de toutes leurs finalités, leur déclaration et l’information des personnes concernées selon les conditions prévues par la Loi 1.165.

II.2.2. La nullité de certains actes

Le non respect des formalités préalables peut aussi entacher certains actes de nullité.

L’arrêt du 25/06/2013 rendu par la Chambre commerciale de la Cour de cassation française[13] est à ce sujet sans équivoque. En visant l’article 1128 du Code civil (l’équivalent de l’article 983 du Code civil monégasque) qui prévoit que seules les choses dans le commerce peuvent faire l’objet de conventions, la Cour a décidé que le fichier, objet de la vente, n’est pas dans le commerce et présente un objet illicite dans la mesure où ledit fichier n’a pas été déclaré à l’autorité compétente. Comme le signale un praticien[14], les conséquences de cet arrêt sont « gravissimes pour les sociétés dont les fichiers figurent à l’actif (c’est-à-dire ont été isolés au bilan pour leur valeur comptable) ».

L’accomplissement des formalités CCIN, dans ce contexte, semble primordial pour assurer la sécurité juridique et la pérennité d’une entreprise.

[1] Voir notre Newsletter #4.

[2] Le site internet de la CCIN présente une liste des arrêtés ministériels qui soumettent certains traitements au régime de la déclaration simplifiée.

[3] Il s’agit concrètement de signer un formulaire qui comporte l’engagement que le traitement respecte les conditions fixées par la Loi, sans détailler le fonctionnement des traitements et les informations nominatives collectées.

[4] Régimes déclaratifs, demandes d’autorisation, demandes d’avis.

[5] Exposé des motifs de la loi du 04/12/2008 modifiant la Loi 1.165 relative aux informations nominatives.

[6] Voir notre Newsletter #4.

[7] Etienne Papin, « Logiciels et traitements de données personnelles : différences et conséquences ».

[8] S’agissant de l’obligation de sécurisation des données, il convient de noter que la sanction pour un responsable de traitement qui n’assure pas la sécurité des données est sévère (d’un mois à six mois de prison et une amende entre 9 000 et 18 000 euros). Dans la mesure où le droit pénal monégasque n’est pas encore doté de dispositions spécifiques relatives à l’accès frauduleux à un système informatique, cette sanction, dans ce contexte, met en évidence un certain décalage : le droit pénal sanctionne la victime d’un piratage informatique pour la négligence que constitue le non respect de l’obligation de sécurisation des données mais pas la personne qui a accédé frauduleusement au système informatique. Comme nous l’avions déjà évoqué dans notre Newsletter #1, le droit pénal monégasque reste encore inadapté face à l’évolution des nouvelles technologies.

[9] Sauf dans les cas prévus par l’article 12 de la loi n°1.165 autorisant l’utilisation de données sensibles.

[10] Cass, Soc, arrêt du 06/04/2004, N° 01-45.227.

[11] Cass, Soc, arrêt du 03/11/2011, N°10-18.036.

[12] Cass, Soc, arrêt du 14/01/2014, N°12-16.218.

[13] Cass, Com, arrêt du 25/06/2013, N°12-17037.

[14] Bernard Lamon, « Le fichier non déclaré à la CNIL ne vaut… rien ».