Messages les plus consultés

lundi 27 mai 2013

Protection des données personnelles : qui est responsable en cas de manquement à la loi ?

Toute entreprise, quels que soient son domaine d’activité et sa taille, collecte et traite des données à caractère personnel concernant notamment ses employés et clients, pour des traitements divers (gestion du personnel, gestion clients, contrôles d’accès, etc.).

Les règles de collecte et de traitement de ces données doivent respecter les dispositions de la loi Informatique et Libertés. Cette loi impose au "responsable de traitement" le respect de nombreuses obligations, sous peine de sanctions administratives et pénales.(1)

En pratique, il n'est pas toujours facile de déterminer la personne ou l'entité sur laquelle pèsent ces obligations. Par ailleurs, les problèmes soulevés par le déploiement de nouveaux types de traitements ou de nouveaux services peuvent poser des questions complexes relatives à la conformité à la loi.

Nous rappelons ci-après la notion de responsable de traitement et les responsabilités et sanctions applicables en cas de manquement à la loi Informatique et libertés.


1. Le responsable de traitement de données personnelles

Un traitement de données à caractère personnel comprend tous types d'opérations, quel que soit le procédé utilisé, qui permettent d'identifier une personne physique, directement ou indirectement, et notamment, le fait de collecter, enregistrer, conserver, modifier, diffuser ou détruire des données personnelles.

La loi Informatique et Libertés définit le responsable de traitement de données personnelles comme la personne, l’autorité publique, le service ou l’organisme qui détermine les finalités et les moyens dudit traitement (art.3).

Dès lors, pour qu'une personne ou un organisme soit qualifié de responsable de traitement, les deux critères suivants doivent être réunis :

- Décider de la finalité du traitement : le responsable de traitement est la personne qui détermine les raisons du traitement, ainsi que les catégories de données collectées. La finalité correspond à des besoins propres à chaque organisme, tels que la nécessité de constituer un fichier clients/prospects pour les activités commerciales. 

- Décider des moyens du traitement : le responsable de traitement est la personne qui détermine les modalités de mise en oeuvre de ce traitement. Le responsable déterminera ainsi quels types de données seront collectées, pendant combien de temps elles seront conservées, qui sera le (ou les) destinataire(s) des données, comment les personnes dont les données sont collectées pourront exercer leurs droits (opposition, rectification), etc.

En conséquence, le responsable de traitement est la personne qui détermine et décide de la politique de gestion des données personnelles dans l’entreprise. Le responsable de traitement doit être distingué des personnes (salariés, responsables opérationnels, ou sous-traitants) qui mettent en oeuvre ces traitements, et ce quelque soit leur degré d'autonomie.

Le responsable de traitement est, en règle générale, le dirigeant de l'entreprise. Celui-ci peut cependant décider de mettre en place une délégation de pouvoirs à l’un de ses directeurs (DSI, directeur juridique, etc.) afin d’aménager sa responsabilité, et sous réserve de la validité de cette délégation de pouvoirs. (2)


2. La responsabilité et les sanctions encourues en cas d'infraction à la loi Informatique et Libertés

La collecte et le traitement des données personnelles doivent respecter les principes définis par la loi Informatique et Libertés. 

De nombreuses obligations pèsent sur le responsable de traitement, notamment : (i) déclarer à la CNIL tout traitement ou fichier automatisé de données (déclarations ou demandes d'autorisation et d'avis selon les données concernées et les traitements envisagés), préalablement à sa mise en oeuvre, (ii) faire une collecte loyale et licite des données, (iii) respecter la finalité du traitement, (iv) conserver les données pendant une durée raisonnable, (v) assurer l’intégrité des données en adoptant des mesures de sécurité et (vi) permettre aux personnes concernées par le traitement de leurs données, d’exercer leurs droits (droits d'accès, de contestation, de rectification et d’opposition).

En cas de manquement à ces obligations, le responsable de traitement encourt deux types de sanctions : des sanctions administratives, et des sanctions pénales.

    2.1 Qui encourt les sanctions administratives ?
La Commission Nationale de l'Informatique et des Libertés (CNIL) dispose de pouvoirs de contrôle et de sanction à l'encontre des responsables de traitements.

Les sanctions prononcées par la CNIL  - Des contrôles sur place (dans les locaux de l’entreprise) peuvent être réalisés, au cours desquels les agents de la CNIL peuvent demander la communication de tout document, recueillir tout renseignement utile et accéder aux programmes informatiques et aux données afin de vérifier la conformité à la loi. Ces contrôles peuvent être réalisés de façon inopinée pour répondre à des besoins ponctuels, dans le cadre de l'instruction de plaintes, à l’encontre d’un site web par exemple.

Lorsque des manquements à la loi sont relevés, la CNIL peut prononcer un avertissement ou mettre le responsable du traitement en demeure de faire cesser le manquement constaté dans un délai qu’elle fixe. Si le responsable du traitement ne se conforme pas à la mise en demeure, la CNIL peut prononcer une injonction de cesser le traitement, un retrait de l’autorisation éventuellement accordée ou une sanction pécuniaire d'un montant maximum de 300.000€ (ou 5% du chiffre d'affaires hors taxes du dernier exercice clos de l’entreprise, dans la limite de 300.000€). Le montant de la sanction est proportionné à la gravité des manquements commis et des avantages tirés de ces manquements.

Les personnes ou entités responsables  -  En pratique, les mises en demeure et autres sanctions délivrées par la CNIL concernent la société, personne morale, mais sont notifiées au chef d'entreprise, en sa qualité de représentant légal. Les traitements de données personnelles étant réalisés pour le compte de la personne morale, c'est généralement cette dernière qui va être sanctionnée par la CNIL. Même si le chef d'entreprise aura décidé des finalités et des moyens du traitement, ce dernier sera rarement sanctionné personnellement. Ce n'est donc pas lui qui va, le cas échéant, payer l'amende.

En principe, il en va de même dans l'hypothèse où le chef d'entreprise aurait délégué la gestion du traitement des données personnelles à un collaborateur. La délégation de pouvoirs ne vise qu'à exonérer le chef d'entreprise de sa responsabilité pénale. Or, dans l'hypothèse où la CNIL serait saisie d'un dossier, le chef d'entreprise n'engagerait pas sa responsabilité pénale en tant que telle, les sanctions prononcées par la CNIL étant d'ordre administratif.

    2.2 Qui encourt les sanctions pénales ?
Les infractions à la loi informatique et Libertés sont également sanctionnées pénalement.

Les sanctions pénales  -  La CNIL peut décider de dénoncer les infractions à la loi au procureur de la République. Par ailleurs, le procureur de la République pourra aviser le Président de la CNIL de toutes poursuites relatives aux infractions Informatiques et Libertés et le cas échéant, des suites qui leur sont données.

Le Code pénal prévoit, aux articles 226-16 et suivants, des sanctions spécifiques aux "atteintes aux droits de la personne résultant des fichiers ou des traitements informatiques". Ainsi, le fait de procéder, y compris par négligence, à des traitements de données personnelles non conformes à la loi Informatique et Libertés est sanctionné jusqu'à 5 ans d’emprisonnement et 300.000€ d’amende.

Ces sanctions concernent les personnes physiques, mais le Code pénal prévoit également des sanctions pour les personnes morales. En effet, les entreprises déclarées responsables pénalement des infractions à la loi Informatique et Libertés encourent jusqu'à 1.500.000€ d'amende et des peines complémentaires, telles que (i) l'interdiction, à titre définitif ou provisoire, d'exercer l'activité dans l'exercice ou à l'occasion de l'exercice de laquelle l'infraction a été commise et (ii) la diffusion de la décision de justice par tout moyen de communication au public.

Les personnes ou entités responsables
  - Deux catégories de personnes peuvent encourir des sanctions pénales en cas de manquement à la loi Informatique et Libertés : le responsable de traitement, personne morale et le responsable de traitement, personne physique.

- La responsabilité de l'entreprise : l'entreprise, personne morale, peut sous certaines conditions, engager sa responsabilité pénale, soit à la place de la personne physique auteur de l'infraction, soit conjointement avec l’auteur de l’infraction. L'entreprise peut être déclarée responsable pénalement d'infractions, sous réserve qu'elles aient été commises, d'une part, pour "son compte" et d'autre part, par ses organes ou représentants (article 121-2 Code pénal). Le traitement de données personnelles mis en oeuvre au sein d'une entreprise par son dirigeant, pour les besoins de l’entreprise, remplit ces deux conditions.

Dès lors, une entreprise peut être condamnée à payer une amende pour manquement à la loi relative à la protection des données personnelles. Toutefois, sa responsabilité pénale n'exclut pas celle des personnes physiques, auteurs ou complices des mêmes faits.

- La responsabilité du chef d'entreprise ou du titulaire d'une délégation de pouvoirs : le chef d'entreprise est généralement considéré comme le responsable du traitement des données personnelles mis en oeuvre au sein de sa société, car c'est lui qui détermine la politique de gestion des traitements.

La responsabilité pénale de l'employeur sera donc engagée en cas d'infraction à la loi Informatique et Libertés commise par l'un de ses salariés, dans l'hypothèse, par exemple, où il n'aurait pas pris les mesures de sécurité suffisantes pour éviter la perte de données personnelles. Dans ce cas, il sera reproché au chef d'entreprise une négligence fautive dans son devoir de contrôle de l'application de la réglementation par ses employés.

L'employeur poursuivi pour une infraction à la législation Informatique et Libertés peut-il cependant s’exonérer de sa responsabilité s'il justifie d'une délégation de pouvoirs ? En cas de délégation de pouvoirs, le délégataire pourrait être tenu responsable des infractions à la loi, sous réserve que la délégation recouvre le même domaine que celui de l'infraction poursuivie et remplisse les conditions de validité y afférentes.

La charge de la preuve de l’existence d’une délégation de pouvoirs valide incombera au chef d'entreprise ; cette preuve peut être rapportée par tous moyens. Aussi celui-ci devra démontrer que :
    (i) la délégation portait sur la gestion des traitements de données personnelles. En présence d'une délégation de pouvoirs écrite, cette dernière devra contenir une mention précise à cet effet, à savoir une clause spécifique Informatique et Libertés ;
    (ii) le délégataire est pourvu de l'autorité, de la compétence et des moyens nécessaires pour remplir sa mission. Déléguer cette mission à un simple exécutant, sans pouvoir décisionnaire, n'est pas valable.


Les questions relatives à la responsabilité des manquements à la protection des données personnelles feront encore l'objet de nombreux débats dans les mois à venir. En effet, la proposition de règlement européen portant sur la protection des données personnelles, censé être adopté d'ici 2015, prévoit deux nouveautés, dans sa première version (3) :
  - une augmentation sensible des sanctions financières en cas d'infractions : le projet de texte européen prévoit d’imposer des amendes pouvant s'élever à 2% du chiffre d’affaires annuel mondial de l’entreprise fautive ;
  - une définition étendue de la notion de responsable de traitement : le projet de texte européen prévoit que le responsable du traitement est "la personne physique ou morale, l’autorité publique, le service ou tout autre organisme qui, seul ou conjointement avec d’autres, détermine les finalités, les conditions et les moyens du traitement de données à caractère personnel”.

Cette nouvelle définition permettra la mise en oeuvre d’un système de co-responsabilité entre tous les acteurs ayant décidé, de manière autonome et concertée, de la création d’un traitement de données à caractère personnel, qu'ils soient salariés, responsables opérationnels ou sous-traitants. L’objet de cette nouvelle définition est notamment de prendre en compte la réalité imposée par les traitements gérés en mode Cloud, pour lesquels les conditions et les moyens de traitements sont généralement déterminés par le prestataire Cloud et non par l’entreprise. Cependant, cette co-responsabilité pourrait être source d’insécurité juridique dans sa mise en oeuvre.

                                               * * * * * * * * * * *

(1) Loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, modifiée.

(2) La délégation de pouvoir est soumise à des conditions de validité - conditions de fond et conditions de forme -pour pouvoir être considérée comme effective vis-à-vis du déléguant.

(3) Proposition de règlement du parlement européen et du conseil relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données du 25 janvier 2012, (2012/0011 (COD)


Bénédicte DELEPORTE
Betty SFEZ
Avocats

Deleporte Wentz Avocat
www.dwavocat.com

Mai 2013

Aucun commentaire:

Enregistrer un commentaire