Faut il vraiment respecter la loi informatique et libertés ?

• Thiébaut Devergranne

C’est un peu la question que l’on peut se poser au regard des dernières décisions pronnoncées par la CNIL. En fait, la discussion est systématique et récurrente depuis l’adoption de la loi informatique et libertés. Quand bien même le risque juridique ne vient pas réellement de la CNIL (mais plutôt des infractions pénales qui existent), il n’en reste pas moins que l’absence de sanctions administratives prononcées par la CNIL encourage souvent les organisations à traiter la question par dessus la jambe en « gestion de risques ».

Il me semble personnellement qu’il ne faut pas condamner cette approche car finalement pour quelle raison les organisations devraient-elles faire les frais de mise en conformité s’il leurs chances d’être sanctionnées sont quasiment inexistantes ? A l’heure actuelle, il existe en France environ 90 Codes, 10.000 lois et 500.000 règlements. Il est tout à fait illusoire de penser que les organisations sont à même de respecter toutes les règlementations. Naturellement, elles apprécient la nécessité de respecter les normes en fonction des risques réels – pragmatisme oblige – c’est-à-dire des coûts potentiels induits. En effet, pourquoi dépenser 10.000€ de frais de mise en conformité CNIL, si les sanctions potentielles ne coutent que 1.000€ (et encore à supposer que l’organisation se fasse prendre) ? La CNIL n’ayant qu’à augmenter le niveau de risque si elle souhaite que les organisations respectent la loi, ce qu’elle n’a jamais fait (sauf contre Google !). Donc statu quo.

Voilà en résumé le discours récurrent – et relativement justifié  – en matière informatique et libertés. Il suffit d’observer deux dernières « sanctions » prononcées par la CNIL, pour se convaincre de la justesse de cette approche. La première, relativement à la faille de sécurité de la société Orange dans laquelle on note sur le site de la Commission :

A la suite d’une faille de sécurité concernant les données de plus d’un million de clients, la CNIL a effectué un contrôle au sein de la société ORANGE et de ses prestataires. Des lacunes de sécurité ayant été identifiées, la formation restreinte prononce un avertissement public.

Et donc 1 million de fiches clients dans la nature = un avertissement public. Difficile de décrédibiliser plus l’idée de sanctions !

Et la seconde relativement, à l’affaire DHL :

La formation restreinte de la CNIL a sanctionné la société DHL en raison d’un défaut de sécurité ayant affecté la confidentialité de plusieurs centaines de milliers de fiches de clients.

684.778 fiches clients pour être plus précis, tel que relevé par la CNIL et librement accessible via les moteurs de recherche, et juste un avertissement public !

Dans ces deux cas, la CNIL ne prononce aucune sanction pécuniaire. Le message est clair : dès lors, pourquoi s’embêter à respecter la loi !

En fait, on ne voit pas trop ce que la CNIL pourrait faire de mieux si elle voulait encourager les entreprises à ne pas la respecter…

Logiquement, se pose la question de savoir dans quels cas faut-il vraiment s’astreindre au respect de cette norme de droit ?

Les véritables zones à risque

La première chose à constater c’est qu’il y a tout de même quelques véritables zones à risque ! Ce risque, on le voit, n’est pas du côté de la CNIL – car il est toujours possible de le gérer – mais plutôt côté infractions pénales.

En effet, de très nombreuses dispositions font peser un risque pénal aux personnes qui mettent en oeuvre les traitements de données personnelles, ce qui peut fragiliser le responsable du traitement. Par exemple, dans l’affaire Orange précitée, un client pourrait parfaitement déposer plainte au pénal pour les défauts de sécurisation de ses données personnelles. D’ailleurs, rien ne dit que des clients victimes de ces failles de sécurité ne l’aient pas fait – même si la presse n’en parle pas. De même, les salariés pourraient également tirer parti de ces infractions pour influer stratégiquement sur les relations sociales.

Le périmètre pénal étant très large, le meilleur conseil que l’on puisse donner est qu’il convient de s’assurer d’avoir de quoi argumenter ! Ainsi, par exemple il est difficile de se défendre si le responsable du traitement n’a fait aucune déclaration CNIL. Car ici l’infraction pénale sanctionne le fait – y compris par négligence – de ne pas avoir réalisé une déclaration. A contrario, par exemple le fait d’avoir fait un mimum d’efforts en matière de sécurité permet d’avoir de la matière pour défendre le fait que des mesures de sécurité adéquates ont été mises en oeuvre.

Tout l’art consiste donc à peser le coût induit par les mesures de conformité à mettre en oeuvre et le degré de protection juridique assurée.


Commentaires...

Frédérique D

Bonjour,

Tout à fait d'accord avec votre article et en particulier une application du droit, ou devrais-je dire, une priorisation de l'application des règles de droit de manière pragmatique, c'est à dire en appréciation du risque réel. C'est à mon avis le rôle du juriste en entreprise.

Mais ici, la CNIL, avec un avertissement public plutôt qu'une sanction financière, ne fait-elle pas le pari de la sanction "réputationnelle", dont les conséquences pour des entreprises de cette taille peuvent s’avérer plus néfaste ?

Frédérique D

OLIVE

Merci pour ce discourt de vérité !

Juste un remarque : y a-t-il déjà eu des condamnations pénales au motif de négligence de protection ou de déclaration ?

Thiébaut Devergranne

Bonjour Frédérique !

Je partage totalement votre vision du rôle du juriste d'entreprise ;)

Vous avez tout à fait raison sur le fait que la CNIL tape un peu là ou cela fait mal, à savoir la réputation de l'entreprise, qui est un levier effectif d'action !

Mais d'un autre côté en général les clients ont assez vite oublié la mauvaise presse, d'une part, et d'autre part dans l'affaire Orange la CNIL est intervenue disons "après" que l'affaire ait fait grand bruit donc la sanction en termes de communication a été quasi nulle.

Thiébaut Devergranne

Bonjour Olive,

Oui, il y en a eu de nombreuses ! J'en mentionne certaines sur ce blog (voir les pages relatives aux obligations de sécurité par exemple). Donc à prendre en compte tout de même ;)

dervishe

Bonjour,

Il me semble que votre argumentation repose principalement sur la carotte et le baton. Certe le fait probabilistiquement parlant de ne pas être sanctionné en ne se conformant pas à des rêglements en vigueur induit une grande tentation de ne pas les suivre mais vous occultez le côté éthique de la chose. Même si cela a un coût, la protection des données des utilisateurs n'est pas optionnelle, cela relève du respect de ses utilisateurs et donc par là de ses "clients"... Si je pousse le raisonnement plus loin en grossissant le trait, ce n'est pas parce que les sanctions contre les "crimes" environnementaux sont "légères" qu'ils faut dégrader notre environnement en ne s'en souciant pas. A mon avis, ce type de comportement négligeant avec la loi ou les rêglements en vigueur participe du désaveu plus ou moins généralisé de la population envers les "élites" et les entreprises (du genre: "de toutes façons, ils peuvent tout se permettre", "tous pourris", "too big to fail", j'en passe et des meilleures).

remi

Je partage largement l'opinion contenue dans ce billet,

ayant animé des formations sur la protection des données de santé, j'avais recherché des jurisprudences sur des condamnations CNIL, la seule que j'ai trouvée concernait un hébergeur de données de santé (donc cadre précis) qui avait effectué une "déclaration mensongère", données médicales non chiffrées constatées lors d'un contrôle alors que la déclaration indiquait le chiffrement systématique, la sanction avait été un avertissement privé ! (donc même pas de problème de réputation) http://www.cnil.fr/linstitution/actualite/article/article/la-cnil-sanctionne-une-declaration-mensongere-dun-hebergeur-de-donnees-de-sante/

Manifestement ce qui est le plus sanctionné est de ne pas leur répondre ... à partir du moment ou on répond le risque est considérablement diminué, donc ne pas "investir" préventivement tant qu'il n'y a pas eu de contrôle ne semble pas être une mauvaise gestion des risques (aux limites pénales que vous soulignez -je n'ai trouvé sur votre site qu'une jurisprudence et encore sans indication de la sanction).

Certes lors de sa réforme la CNIL a acquis le pouvoir de sanction (en échange de l'abandon d'une partie de ses pouvoirs sur les fichiers d'états-donc de son ame) mais comment s'en sert-elle ? (lorsque j'avais effectué une recherche il y a 2 ans, je me souviens avoir observé un gouffre entre les sanctions de certains autres pays et la France).

En revanche il y a de gros travaux à réaliser, importants pour la société et sur laquelle je n'ai pas vu beaucoup(assez) de résultats :

*les conditions générales qu'il faut accepter (en principe après avoir lu les 5 pages minimum écrites petit en termes juridiques) avant de bénéficier d'un service (licence, ...) et qui ne prévoient que le tout (acceptation tel-quel, donc communication de vos données pour faire ce que la société veut) ou rien (vous ne voulez pas donc vous n'avez aucun service)

(la majorité des mises en œuvres de la directive cookies semblent rentrer dans ce cadre)

*poursuivre et concrétiser avec des mesures réellement dissuasives, la distinction entre :

-les informations indispensables (normalement sur les sites/formulaires bien fait il y a une étoile et cela doit correspondre aux items indispensables pour le traitement),

-les informations complémentaires (permettent de faciliter les accès futurs),

-les informations commerciales dédiées au site (vous proposer les articles ressemblant à ceux que vous avez regardé ou les promotions correspondantes)

-les informations commerciales au sens large (aussi bien la communication de vos coordonnées à des tiers que l'usage de ces données pour cibler les publicités de tiers)

- que les limitations de services liées au choix de l'utilisateur par rapport à ses données soit clairement explicitées et motivées.

... C'est toujours un plaisirs de lire de bons billets ...

Thiébaut Devergranne

Bonjour !

Oui je suis d'accord avec vous sur ce point là, il y a totalement un côté éthique. Par contre lorsque l'on observe le marché de manière générale, sans régulations aucune (cf. ce qui se fait aux US), on voit que les comportements des responsables de traitement sont très... hummm... disons flexibles (cf. affaires FB et autres ;)

Donc bon, disons, instinctivement, naturellement l'absence de régulation ne donne pas forcément les meilleurs résultats. Mais c'est un débat en soi, je vous l'accorde totalement !

Thiébaut Devergranne

Merci de votre retour très intéressant !

Pour information il y a tout de même des jurisprudences sur la question, je dois en avoir une bonne 20aine au total (ce qui n'est pas énorme il faut le dire, mais ce n'est pas rien non plus). J'en traite en long, large et en travers dans mes formations CIL et effectivement assez peu sur mon blog.

Pinoch

Bravo, le simple fait de poser la question fait "poil à gratter" pour l'ensemble des acteurs du sujet .

Thiébaut Devergranne

Merci ;)

Oui l'objectif ici est de poser les vraies questions !

Après, côté organisations cela fait assez longtemps que ce système perdure, donc je pense que le poil à grater sera plutôt côté CNIL, mais il est nécessaire de mettre les choses à plat à un moment donné.

Dr. Dhalila KHOODORUTH

Bonjour Thiébaut,

la question est bien posée " Faut il vraiment respecter la loi informatique et libertés ?"....

Bonne Continuation,

Dhalila

Back6

Bonjour

Il me semble quand même que les exemples que vous prenez ne correspondent pas à ce qui est le coeur d'informatique et liberté. Je m'explique; ici, il y a des manquements à la sécurité, dont les effets sont spectaculaires, soit ! Mais les fichiers étaient déclarés et la nature des données collectées dans ses fichiers jugée conforme à la finalité. Ce qui est l'essence même de la loi !

J'ai déjà vu la CNIL plus teigneuse dans les cas de violation de ces principes.

http://www.afcdp.net/Sanctions-de-la-CNIL,96

Pascale Richard

Une nouvelle illustration : Apple Retail France mis en demeure le 30 octobre 2014 au titre de la cybersurveillance abusive de ses salariés en AppleStore... A part le dommage de réputation, je pense que la Direction de l'entreprise va gentiment pousser l'affaire sous le tapis.

Vivement 2017 !!!

Thiébaut Devergranne

Oui, bien vu Pascale (bravo pour la rapidité) !

fraderic

Bonjour,

je ne suis pas tout à fait de votre point de vue :

la clémence de la CNIL peut être trompeuse et à double tranchant:

Dernièrement la banque CIC EST c'est retrouvée attaquée pour escroquerie en bande organisée car le CIL qu'elle a désigné ne fait pas respecter les droits des personnes concernées par le traitement automatisé.

Il faut rappeler que si le non respect des obligations de l'article 32 de la loi 78-17 modifiée ne constitue qu'une contravention, cependant ces faits peuvent être aussi retenu comme élément matériel justifiant des poursuites pour escroquerie.

Aussi il faut rappeler que la plus part des infractions sont des infractions matérielles et qui se prêtent bien aux citations directes exemples: une banque citée sur le fondement de l'article 226-16-1 A du code pénal pour le non respect de la norme NS 13. autre exemple un moyen de preuve ne respectant pas les normes simplifiées écarté par une cour d'appel sur le fondement de l'article 9 de code de procédure civil...etc...

Thiébaut Devergranne

Bonjour !

Commentaire très intéressant. Je suis d'accord avec vous sur le fond, par contre matériellement la mise en place de ces actions reste très rare car si juridiquement les infractions pénales sont bien en vigueur, en pratique leur mise en oeuvre relève d'un tout autre monde.

Elaine

Une bible ce site. En parlant de laxisme de la CNIL, j'ai fait une petite découverte : http://privacyfails.com/vie-privee/quand-la-cnil-ne-respecte-pas-les-recommandations-de-la-cnil/


Les commentaires sont fermés
Thiébaut Devergranne

Thiébaut Devergranne est docteur en droit. Il travaille en droit des nouvelles technologies depuis plus de 15 ans, dont 6 passés au sein des services du Premier Ministre. En savoir plus.

formation RGPD

VOS CGV (gratuit)