Quand la CNIL déconcentre : le dispositif du correspondant à la protection des données personnelles en voie d’être adopté, par Oriane COINTET (analyse).

L’Assemblée nationale a adopté en 2° lecture, le 29 avril dernier, le projet de loi relatif à la protection des personnes physiques à l’égard des traitements de données à caractère personnel modifiant la loi du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés.La transposition de la directive européenne 95/46 du 24 octobre 1995 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données est devenue urgente. En effet, la France est le dernier Etat à ne pas encore y avoir procédé alors que le projet de loi a été déposé à l’Assemblée nationale depuis le 18 juillet 2001 et que la date limite de transposition était fixée au 24 octobre 1998.

Au nombre des changements apportés à la loi de 1978, un seul, signe d’un tournant dans l’approche de la protection des données personnelles, retiendra ici notre propos : le dispositif du correspondant à la protection des données personnelles. Nous verrons que l’adoption à titre de mesure générale du dispositif avait été écartée par les rédacteurs du projet de loi initial déposé en 2001 mais que le changement de majorité lui a donné une nouvelle chance.

Un dispositif introduit dans la directive sur demande de l’Allemagne

Ce dispositif, prévu par l’article 18 paragraphe 2 de la directive offre la possibilité aux Etats membres de dispenser de l’obligation de déclaration à l’autorité de contrôle, les responsables de traitements qui auront procédé à la désignation d’un "détaché à la protection des données à caractère personnel [...] chargé d’assurer, d’une manière indépendante, l’application interne des dispositions nationales" et "de tenir un registre des traitements effectués par le responsable du traitement [...] garantissant de la sorte que les traitements ne sont pas susceptibles de porter atteinte aux droits et libertés des personnes concernées".

Le rapport Braibant opposé à la généralisation du procédé

Guy Braibant, dans son rapport (1) remis au Premier Ministre sur la transposition de la directive, avait exprimé son opposition à une généralisation du dispositif des correspondants hors du domaine de la presse. Guy Braibant ne croyait pas au succès de la reprise en France d’un dispositif introduit dans la directive sur les instances de l’Allemagne qui l’expérimentait déjà et tenait à pouvoir le conserver. Il craignait qu’il n’instaure une situation d’inégalité entre les organismes selon qu’ils feraient ou non le choix d’en nommer un. Il s’inquiétait également du risque que le correspondant ne puisse pas se conformer à l’exigence d’indépendance, posée par la directive, à l’égard de son employeur surtout en l’absence d’un statut de salarié protégé. Le dispositif proposé par la directive n’avait donc pas été retenu à titre de mesure générale dans le projet de loi initial mais limité au seul secteur de la presse.

Le projet de loi initial limitait le dispositif au secteur de la presse

La directive de 1995 a cherché à concilier liberté d’expression et protection de la vie privée. Le choix a été fait de ne pas exclure la presse de l’application des dispositions relatives à la protection des données personnelles. Cependant, la directive laisse aux Etats membres la possibilité de prévoir des exemptions et dérogations à certaines dispositions pour les traitements de données à caractère personnel effectués à des fins de journalisme ou d’expression littéraire ou artistique.
Le projet de loi initial, déposé à l’Assemblée nationale sous la précédente législature, a retenu le dispositif du correspondant exclusivement dans son article 67 2° nouveau. Cet article introduit dans la loi de 1978 des dispositions dérogatoires concernant les traitements ayant pour finalité le journalisme ou l’expression littéraire et artistique. Ce nouvel article doit venir pallier les difficultés rencontrées avec les dispositions en vigueur.

En effet, le législateur de 1978 avait prévu un régime dérogatoire, dans son article 33, octroyant aux organismes de la presse écrite ou audiovisuelle une dispense de l’obligation de se conformer à certaines dispositions restrictives. Il s’agit des dispositions relatives : à la transmission vers l’étranger d’informations nominatives, aux traitements automatisés d’infractions, condamnations ou mesures de sûreté et à la protection renforcée des données sensibles telles que les origines raciales, les opinions politiques, philosophiques ou religieuses, les appartenances syndicales et les moeurs.

Cependant, l’obligation d’accomplir les formalités préalables à la mise en oeuvre des traitements était tout de même applicable aux organismes de presse et leur accomplissement n’a pas manqué d’apparaître dans ce milieu comme une atteinte à la liberté de la presse. La CNIL s’était d’ailleurs prononcée à ce sujet dans une délibération (2) en date du 24 janvier 1995 qui posait le problème de la liberté de la presse dans le cadre de la protection des données nominatives. La délibération reconnaissait une certaine incompatibilité entre la loi de 1978 et celles de 1881 et 1982 sur certains principes.

Selon la délibération, " l’accomplissement par les organismes de la presse écrite ou audiovisuelle des formalités préalables à la mise en oeuvre de ces traitements ne doit pas conduire à soumettre leur activité journalistique et rédactionnelle à une procédure d’autorisation" et "la reconnaissance aux personnes concernées d’un droit d’accès[...] de rectification ne doit pas priver de leur substance " la loi du 29 juillet 1881 et du 29 juillet 1982". Elle recommandait déjà, en conclusion, la désignation, dans les organismes de presse écrite ou audiovisuelle, d’un correspondant de la CNIL. La délibération a été suivie de peu d’effets n’ayant aucune valeur obligatoire. Mais la réforme a repris cette proposition en utilisant la possibilité offerte de manière générale à l’art 18 de la directive de déroger à l’obligation de notification si un " détaché " à la protection des données est nommé.

L’art 67 nouveau prévoit que les traitements ayant pour seules fins " l’exercice à titre professionnel de l’activité de journaliste " bénéficieront d’une exemption de l’obligation de déclaration prévue par l’article 22. Cependant, cette dispense sera subordonnée à " la désignation par le responsable du traitement d’un correspondant à la protection des données appartenant à un organisme de presse écrite ou audiovisuelle, chargé de tenir un registre des traitements mis en oeuvre par ce responsable et d’assurer, d’une manière indépendante, l’application des dispositions de la présente loi". Le projet de loi initial avait employé le terme de "délégué" auquel l’Assemblée nationale a préféré substituer celui de " correspondant " lors de l’adoption du texte en 1ère lecture. Le terme se veut plus respectueux du principe d’indépendance de la presse. Ainsi, le dispositif du correspondant ne devait pas se généraliser et son adoption devait rester limitée, justifiée par le respect du principe de la liberté de la presse.

Le Sénat change la donne

Il y a un peu plus d’un an, en avril 2003, sur l’initiative du sénateur Alex TŸrk, rapporteur de la commission des lois et président de la CNIL depuis février dernier, le Sénat a adopté en 1ère lecture de nombreux amendements qui modifient profondément le texte initial, l’un d’entre eux concerne le dispositif des correspondants.

Ce qui constituera le nouveau régime de déclaration (désormais régime de droit commun) des traitements automatisés privés et publics se trouve dans le projet de loi à l’article 22 §1 nouveau. Selon cet article, à l’exception des traitements relevant de la procédure d’autorisation, tous les traitements doivent être déclarés à la CNIL. Cependant, le §II du même article prévoit des dispenses à l’obligation de déclaration. Ces dispenses concernaient seulement dans le projet initial les traitements portant sur des données sensibles mais mises en oeuvre par les associations ou organismes à caractère religieux, syndical, politique ou encore les traitements ayant pour seul objet la tenue d’un registre destiné à l’information du public (vise notamment les registres cadastraux, le registre du commerce et des sociétés, les hypothèques...).

Afin d’exonérer le plus possible des formalités ceux qui mettent en oeuvre des traitements, le Sénat a adopté l’amendement visant à étendre cette dispense à tous les responsables de traitements (entreprises, administrations, collectivités locales) qui auront fait le choix de nommer un correspondant à la protection des données à caractère personnel. A ce correspondant incombera la mission d’assurer la conformité des traitements aux obligations imposées par la loi.

La préservation des intérêts économiques dans le cadre de la protection des données, la réduction des coûts liés à l’accomplissement des formalités et le développement d’un esprit de collaboration entre la CNIL et les responsables des traitements sont les idées directrices invoquées pour réaliser ce changement d’orientation. Le rapporteur y voit également un moyen supplémentaire de lutter contre les fichiers clandestins dont le nombre est estimé à plusieurs millions pour 800000 fichiers déclarés.

L’Assemblée nationale complète le dispositif

Le texte ainsi modifié par le Sénat n’a pas été remis en cause lors de son examen en 2nde lecture par l’Assemblée nationale le 29 avril dernier. Il a seulement été complété par des dispositions supplémentaires visant à préciser le nouveau dispositif qui devait l’être par décret.

La commission des lois constitutionnelles, de la législation et de l’administration générale de la République de l’Assemblée nationale, sur rapport de F. Delattre, membre titulaire de la CNIL, est longuement revenue sur le sujet. Favorable au dispositif, elle a néanmoins insisté sur la nécessité d’encadrer et de "conforter ", selon les propres termes du rapporteur, le statut du correspondant. La question principale qui a présidé aux débats a été celle du moyen d’assurer son indépendance, indépendance considérée par la directive comme la condition nécessaire à l’efficacité de sa mission.

L’examen du droit comparé fait apparaître que les pays qui utilisent le dispositif, s’ils peuvent aujourd’hui se déclarer pleinement satisfait du système, l’ont néanmoins entouré de précautions solides. Ainsi, la loi allemande exige des personnes nommées qu’elles présentent les qualités et capacités nécessaires à l’exercice de leur mission et que leur statut leur permette d’exercer cette mission en toute indépendance. La loi néerlandaise va jusqu’à rappeler qu’il doit s’agir de personnes dignes de confiance.

Les deux législations mettent l’accent sur la place hiérarchique qu’il doit occuper la loi allemande précisant même qu’il doit-être placé directement sous l’autorité du directeur de l’entreprise afin d’éviter de subir des pressions intermédiaires. Il doit également être libre de toute instruction dans l’exercice de sa fonction, ne doit subir aucune discrimination du fait de l’exercice de celle-ci et enfin doit-être doté des moyens nécessaires dans les deux législations.

S’inspirant de l’étude du droit comparé, l’amendement n°14 de la commission, présenté par le rapporteur, a été adopté en séance publique le 29 avril dernier. Il en résulte une modification de l’article 22 II 3° nouveau sur deux points essentiels : le statut des futurs correspondants et le champ d’application exact de la dispense.

Un statut particulier mais pas une nouvelle catégorie de salarié protégé

Le premier point complète le dispositif imaginé par le Sénat. L’amendement visait à compléter le statut du correspondant issu de la rédaction du Sénat. L’accent est mis sur l’exercice à titre indépendant de sa mission, se conformant ainsi à la directive et alignant son statut sur celui du correspondant de la presse. Il doit présenter certaines qualités afin d’exercer de manière effective sa mission. Le correspondant devra être d’après la nouvelle rédaction "une personne bénéficiant des qualifications requises pour exercer ses missions". Que faudra-t-il entendre par qualification ? Le terme même de qualification suggère-t-il l’attribution d’un titre ? Il semble évident que le correspondant devra avoir des connaissances juridiques mais également être sensibilisé au domaine informatique.

Il semble que le but de cette disposition soit de mettre les entreprises face à leurs responsabilités quant au recrutement des personnes qui seront chargées de ce poste très particulier. En effet c’est le responsable du traitement et non la CNIL qui devra le désigner. Une procédure de notification de sa désignation à l’instance de contrôle est bien prévue mais son agrément ne sera pas nécessaire. Des obligations en terme de formation continue devront être endossées aussi bien par le responsable du traitement que par la CNIL, ce qui ne manquera pas de constituer un coût important autant à la charge de la CNIL que des responsables de traitements.

La nouvelle disposition règle également la question de la fin de ses fonctions qui ne pourra être envisagée qu’en cas de manquement à ses devoirs sur demande de la CNIL ou de l’employeur, mais dans ce dernier cas elle nécessitera une consultation de la CNIL. A la faculté de révocation prévue par le Sénat, l’Assemblée a préféré une "décharge" automatique en cas de manquement constaté. Dans cette éventualité le responsable du traitement serait l’objet d’une injonction de la CNIL à procéder aux formalités dont l’accomplissement aurait été omis. Mais avant d’en arriver à cette extrémité le correspondant pourra saisir la CNIL s’il estime qu’il rencontre des difficultés dans l’exercice de sa mission. Il ne pourra pas non plus faire l’objet d’une quelconque sanction de la part de son employeur dans l’accomplissement de sa mission.

Le correspondant devra donc se contenter de la protection offerte par le nouveau texte à défaut de bénéficier d’un statut de salarié protégé. Les détracteurs du projet ont dénoncé une vision jugée "angélique" du monde de l’entreprise et le risque de pression de la part de l’employeur mais ses partisans ont défendu leur idée de collaboration pédagogique entre la CNIL et les entreprises et leur envie d’expérimenter un processus de confiance réciproque entre les acteurs. N’oublions pas qu’une liste des traitements est tenue par le correspondant qu’il devra rendre accessible à toute personne en faisant la demande ce qui peut constituer une forme efficace de contrôle. La CNIL espère ainsi voir "apparaître" des fichiers qui n’auraient pas été déclarés. Cette dernière se voyant pourvue par la réforme de pouvoirs accrus d’investigation et de contrôle a posteriori pourra toujours vérifier la conformité à la loi des traitements mis en oeuvre, dans la mesure de ses moyens.

La dispense ne portera que sur les traitements soumis à déclaration

Le second point a plutôt consisté en une clarification rendue nécessaire par le caractère ambigu de la rédaction proposée à l’examen de l’Assemblée nationale. En effet, l’article 22 nouveau prévoit textuellement un régime de dispense " des formalités préalables prévues au présent chapitre " c’est à dire au chapitre IV regroupant les dispositions relatives à la fois au régime de déclaration (art 23 et 24) et au régime d’autorisation (art 25 à 27). Pourtant le 3° nouveau ajouté par le Sénat ne fait référence qu’à une dispense de l’obligation de déclaration prévue à l’article 23.

Alors que désormais, avec la réforme, le critère de distinction entre régime d’autorisation préalable et régime de déclaration ne sera plus organique (distinction entre traitements du secteur public ou du secteur privé) mais matériel, c’est à dire en fonction du risque encouru par les personnes concernées par les traitements au regard de leurs droits et libertés, il était primordial de connaître le champ d’application exact de la dispense. Le rapporteur a assuré en séance publique que la mise en place d’un correspondant ne pourrait pas dispenser de la procédure d’autorisation un traitement dont la nature même le ferait relever du régime d’autorisation de l’article 25.

Ainsi, la dispense prévue ne pourra porter que sur l’obligation de déclaration, ce qui a rassuré les opposants au dispositif. En définitive, le choix de nommer un correspondant permettra aux organismes volontaires de se décharger de l’accomplissement des formalités de déclaration prévues à l’art 23 mais aussi logiquement des formalités simplifiées de l’art 24 concernant les traitements les plus courants ce que n’avait pas prévu le Sénat mais que l’Assemblée nationale a logiquement inclus. Les traitements de données à caractère personnel destinés à un transfert de données vers un pays non-membre de l’Union européenne resteront soumis à la procédure de déclaration à l’autorité de contrôle même en présence d’un correspondant.

Derrière cette idée revient sans cesse le problème d’une pénurie de moyens de l’autorité de contrôle française qui avec ses 80 agents actuels souffre d’un manque cruel d’effectifs pour remplir à bien ses missions dans une époque toujours plus informatisée et dans laquelle les données à caractère personnel représentent un véritable marché.

Dans ce contexte l’idée de déconcentrer son activité, non administrativement mais plutôt en impliquant les responsables au coeur de la protection des données est une idée neuve en France dont l’expérience révèlera si elle tiendra ses promesses. La CNIL s’apprête à mettre en place une procédure de liaison avec le réseau de correspondants qui va se constituer rapidement (dès que la loi entrera en vigueur) au fur et à mesure que les entreprises, les associations et les collectivités locales convaincues de leur intérêt à se doter d’un correspondant adopteront le dispositif.

(1) Rapport présenté au gouvernement sur la transposition en droit français de la directive européenne du 24 octobre 1995, relative au traitement des données et à leur libre circulation. 1998
2- Délibération 95-012 du 24 janvier 1995 portant recommandation relative aux données personnelles traitées ou utilisées par des organismes de la presse écrite ou audiovisuelle à des fins journalistiques et rédactionnelles.