Déclaration CNIL et autorisation CNIL : ce que vous devez savoir

• Thiébaut Devergranne

L’essentiel : la loi impose que tout traitement de données personnelles fasse l’objet de formalités préalables (déclaration, demande d’autorisation), sous peine de sanctions pénales (5 ans d’emprisonnement, 300.000 euros d’amende). Des formalités simplifiées sont prévues pour les traitements présentant peu d’enjeux en termes de droits et libertés des personnes.

1. – La « déclaration CNIL » est un des pilliers de la loi Informatiques et Libertés. Toutefois, attention car ce n’est pas la seule obligation posée par la loi. Celle-ci impose aussi des obligations d’information, de sécurité, et des conditions générales de mise en œuvre du traitement, qu’il est nécessaire de respecter. D’un point de vue très pratique, la déclaration représente 10 à 15% du processus de conformité.

La déclaration représente 10-15% du processus de conformité

De manière générale, le terme de déclaration est réducteur des méandres de la complexité administrative dont nous a fait don le législateur en couchant sur papier le régime juridique de la loi du 6 janvier 1978 modifiée. En effet, quitte à parler de déclaration, il conviendrait mieux de parler « des déclarations ». Car il y en a 5 types différents : la déclaration CNIL normale, la déclaration simplifiée (déclaration de conformité à une norme simplifiée), la déclaration de modification, la déclaration de suppression, la déclaration CNIL unique et une dernière, qui est simplement la dispense de déclaration !

La liste n’est évidemment pas terminée, puisque au-delà des déclarations, il faut encore ajouter le régime des autorisations de la CNIL avec l’autorisation unique, l’autorisation normale, ainsi que les autorisations spécifiques au secteur public (l’autorisation par arrêté du ou des ministre(s) compétent(s) après avis motivé et publié de la CNIL, l’autorisation par arrêté ou par l’organe délibérant, après avis motivé et publié de la CNIL et l’autorisation par décret en Conseil d’Etat, pris après avis motivé et publié de la CNIL) – encore que nous ne mentionnons pas ici les régimes spécifiques liés aux traitements de santé ou aux transferts hors UE de données personnelles.

Déclaration cnil

Entre personnes autorisées, on parle donc plus volontiers de « formalités préalables » plutôt que de déclaration à la CNIL, mais on n’incriminera personne pour un excès de language.  Comprendre qu’il existe une déclaration, finalement, c’est déjà bien !

2. – Légitimement, on peut donc s’interroger sur les raisons d’être d’une telle complexité. La réponse est paradoxale en fait. Car si aujourd’hui l’on doit faire la différence entre une dizaine de régimes différents de formalités préalables à tout traitement de données personnelles, c’est uniquement et seulement par souci de simplifier les formalités préalables à réaliser…

Pour en comprendre la substance il faut se rappeler qu’avant 2004, c’est-à-dire avant la transposition de la directive européenne de 1995, la loi imposait un régime de formalités qui était distinct selon que le responsable du traitement était une personne publique ou privée. La loi utilisait en fait un critère que l’on appelle « organique » (on procède à une distinction selon l’organe responsable du traitement, selon qu’il soit de nature privé ou publique) pour définir le régime de formalités imposé. Comme initialement la loi avait été adoptée pour cadrer les traitements de données personnelles réalisés par l’Administration, c’est le régime de formalités pour les personnes publiques qui s’avérait être le plus contraignant. Mais cette logique est passée à la postérité avec la directive du 24 octobre 1995. Celle-ci ne s’intéresse plus vraiment aux personnes (publiques/privées) mais uniquement aux risques que sont susceptibles de poser les traitements de données personnelles sur les droits et libertés. Autrement dit, peu importe qui vous êtes, plus vous réalisez des traitements à risque, plus les formalités seront contraignantes.

Il existe plus de 10 formalités préalables différentes !

L’objectif était de simplifier la réalisation de formalités pour les traitements courants, comportant peu de risques. Aujourd’hui, en effet, plus personne ne comprend vraiment pourquoi il est obligatoire de déclarer les traitements de données personnelles les plus courants, tels qu’un intranet d’une entreprise par exemple, tant ceux-ci font partie du paysage professionnel. Concentrons-nous sur les traitements à risques. Le problème est que le schéma final élaboré par la loi Informatique et Libertés a dévié de l’axe initial de simplicité.

Sanctions pénales et jurisprudence

3. – La loi sanctionne l’omission de réalisation des formalités préalables, puisque celle-ci fait l’objet de sanctions pénales, définies par l’article 226-16 du Code pénal : « Le fait, y compris par négligence, de procéder ou de faire procéder à des traitements de données à caractère personnel sans qu’aient été respectées les formalités préalables à leur mise en œuvre  prévues par la loi est puni de cinq ans d’emprisonnement et de 300 000 € d’amende (…) ». La loi est sévère car elle vise également la négligence. Oublier de déclarer un traitement de données personnelles est condamnable au même titre que son omission volontaire.

4. – Un bon exemple d’application de la loi peut être trouvé dans la jurisprudence du TGI de Versailles du 4 mars 2002, rendue en formation correctionnelle. Dans cette affaire la Cour sanctionnait le directeur des ressources humaines d’une grande entreprise pour avoir constitué un fichier d’évaluation du personnel interne de l’entreprise, sans avoir respecté l’obligation de déclaration préalable imposée par l’article 226-16 du Code pénal. Le raisonnement aboutissant à la condamnation du prévenu est simple et  – malheureusement – trop courant : la Cour constate tout d’abord que la loi impose de réaliser des formalités préalables ; elle constate ensuite que ces formalités n’ont pas été réalisées ; en conséquence elle juge l’auteur coupable du délit précité.

L’oubli de déclaration fait également l’objet de sanctions pénales

En fait on peut dire que l’absence de réalisation des formalités préalables est un des risques les plus importants en pratique, posé par la loi Informatique et Libertés, car il est quasiment impossible d’argumenter en défense d’un responsable de traitement n’ayant pas respecté cette obligation. Soit le traitement a été déclaré, soit il ne l’a pas été. Et dans le second cas, le délit est constitué, à la différence par exemple des obligations de sécurité pour lesquelles il est toujours possible d’argumenter en faveur de l’existence de certaines précautions de sécurité, par exemple.

Pointeuse

5. – L’absence de déclaration du traitement entraîne également de nombreuses conséquences juridiques, puisque, légalement, cela va alors priver de toutes bases juridiques l’ensemble des décisions ou actes qui se basent sur les données personnelles ayant été collectées. Un excellent  exemple est l’arrêt de la chambre sociale de la Cour de cassation le 6 avril 2004 ; dans cette affaire un employé avait été licencié en raison du fait qu’il ne pointait plus, ou irrégulièrement, sur la pointeuse de l’entreprise. Ici la Cour sanctionnait le licenciement prononcé par l’employeur pour le juger sans cause réelle et sérieuse ; l’argumentation est d’une rigueur exemplaire : « à défaut de déclaration à la Commission nationale de l’informatique et des libertés d’un traitement automatisé d’informations nominatives concernant un salarié, son refus de déférer à une exigence de son employeur impliquant la mise en œuvre d’un tel traitement ne peut lui être reproché » (Cass. Soc. 6 avril 2004).

Au-delà de l’absence de réalisation des formalités préalables, il faut également noter que l’article 226-16 sanctionne le fait de continuer à procéder à un traitement malgré l’injonction de la CNIL de cesser ou en cas de retrait d’autorisation. Ce délit n’appelle qu’à peu de commentaires car il est évident et très simple à éviter.

6. – Ce texte, relatif aux formalités préalables, n’est pas le seul en vigueur puisque l’article 226-16-1 A du Code pénal complète ce dispositif en sanctionnant le non respect des normes simplifiées : « Lorsqu’il a été procédé ou fait procéder à un traitement de données à caractère personnel dans les conditions prévues par le I ou le II de l’article 24 de la loi n° 78-17 du 6 janvier 1978 précitée, le fait de ne pas respecter, y compris par négligence, les normes simplifiées ou d’exonération établies à cet effet par la Commission nationale de l’informatique et des libertés est puni de cinq ans d’emprisonnement et de 300 000 € d’amende ».

Attention aux déclarations de conformité à des normes simplifiées !

Cette infraction est également sensible en pratique car il est fréquent que les responsables de traitements inscrivent ceux-ci dans une norme simplifiée, sans pour autant vérifier et s’informer des conditions, souvent très précises, dans lesquelles le traitement peut s’opérer. Enfin, l’article 226-16-1 du Code pénal sanctionne une infraction plus spécifique relative au numéro RNIPP, rarement rencontrée en pratique : « Le fait, hors les cas où le traitement a été autorisé dans les conditions prévues par la loi n° 78-17 du 6 janvier 1978 précitée, de procéder ou faire procéder à un traitement de données à caractère personnel incluant parmi les données sur lesquelles il porte le numéro d’inscription des personnes au répertoire national d’identification des personnes physiques, est puni de cinq ans d’emprisonnement et de 300 000 € d’amende ».

Les principales actions à mettre en œuvre

7. –  Il est nécessaire de mettre en place des actions permettant de détecter et mettre en conformité les traitements de données personnelles au sein de l’organisation ; les actions suivantes peuvent être mises en œuvre:

  • Effectuer des audits réguliers des traitements afin de détecter les nouveaux traitements.
  • Effectuer un suivi régulier des déclarations existantes. Ici l’audit se concentre sur une vérification de conformité de ce qui a été déclaré. Il est nécessaire de vérifier la pratique opérationnelle car les traitements évoluent régulièrement.
  • Sensibiliser les acteurs décisionnaires aux risques informatique et libertés. C’est en effet leur responsabilité qui sera engagée en premier lieu !
  • Effectuer une formation DPO des personnes concernées par les traitements (RSSI, équipes SSI, DI…).

Thiébaut Devergranne

Thiébaut Devergranne est docteur en droit. Il travaille en droit des nouvelles technologies depuis plus de 15 ans, dont 6 passés au sein des services du Premier Ministre. En savoir plus.

formation RGPD

VOS CGV (gratuit)