Faut il vraiment respecter la loi informatique et libertés ?

C’est un peu la question que l’on peut se poser au regard des dernières décisions pronnoncées par la CNIL. En fait, la discussion est systématique et récurrente depuis l’adoption de la loi informatique et libertés. Quand bien même le risque juridique ne vient pas réellement de la CNIL (mais plutôt des infractions pénales qui existent), il n’en reste pas moins que l’absence de sanctions administratives prononcées par la CNIL encourage souvent les organisations à traiter la question par dessus la jambe en « gestion de risques ».

Il me semble personnellement qu’il ne faut pas condamner cette approche car finalement pour quelle raison les organisations devraient-elles faire les frais de mise en conformité s’il leurs chances d’être sanctionnées sont quasiment inexistantes ? A l’heure actuelle, il existe en France environ 90 Codes, 10.000 lois et 500.000 règlements. Il est tout à fait illusoire de penser que les organisations sont à même de respecter toutes les règlementations. Naturellement, elles apprécient la nécessité de respecter les normes en fonction des risques réels – pragmatisme oblige – c’est-à-dire des coûts potentiels induits. En effet, pourquoi dépenser 10.000€ de frais de mise en conformité CNIL, si les sanctions potentielles ne coutent que 1.000€ (et encore à supposer que l’organisation se fasse prendre) ? La CNIL n’ayant qu’à augmenter le niveau de risque si elle souhaite que les organisations respectent la loi, ce qu’elle n’a jamais fait (sauf contre Google !). Donc statu quo.

Voilà en résumé le discours récurrent – et relativement justifié  – en matière informatique et libertés. Il suffit d’observer deux dernières « sanctions » prononcées par la CNIL, pour se convaincre de la justesse de cette approche. La première, relativement à la faille de sécurité de la société Orange dans laquelle on note sur le site de la Commission :

A la suite d’une faille de sécurité concernant les données de plus d’un million de clients, la CNIL a effectué un contrôle au sein de la société ORANGE et de ses prestataires. Des lacunes de sécurité ayant été identifiées, la formation restreinte prononce un avertissement public.

Et donc 1 million de fiches clients dans la nature = un avertissement public. Difficile de décrédibiliser plus l’idée de sanctions !

Et la seconde relativement, à l’affaire DHL :

La formation restreinte de la CNIL a sanctionné la société DHL en raison d’un défaut de sécurité ayant affecté la confidentialité de plusieurs centaines de milliers de fiches de clients.

684.778 fiches clients pour être plus précis, tel que relevé par la CNIL et librement accessible via les moteurs de recherche, et juste un avertissement public !

Dans ces deux cas, la CNIL ne prononce aucune sanction pécuniaire. Le message est clair : dès lors, pourquoi s’embêter à respecter la loi !

En fait, on ne voit pas trop ce que la CNIL pourrait faire de mieux si elle voulait encourager les entreprises à ne pas la respecter…

Logiquement, se pose la question de savoir dans quels cas faut-il vraiment s’astreindre au respect de cette norme de droit ?

Les véritables zones à risque

La première chose à constater c’est qu’il y a tout de même quelques véritables zones à risque ! Ce risque, on le voit, n’est pas du côté de la CNIL – car il est toujours possible de le gérer – mais plutôt côté infractions pénales.

En effet, de très nombreuses dispositions font peser un risque pénal aux personnes qui mettent en oeuvre les traitements de données personnelles, ce qui peut fragiliser le responsable du traitement. Par exemple, dans l’affaire Orange précitée, un client pourrait parfaitement déposer plainte au pénal pour les défauts de sécurisation de ses données personnelles. D’ailleurs, rien ne dit que des clients victimes de ces failles de sécurité ne l’aient pas fait – même si la presse n’en parle pas. De même, les salariés pourraient également tirer parti de ces infractions pour influer stratégiquement sur les relations sociales.

Le périmètre pénal étant très large, le meilleur conseil que l’on puisse donner est qu’il convient de s’assurer d’avoir de quoi argumenter ! Ainsi, par exemple il est difficile de se défendre si le responsable du traitement n’a fait aucune déclaration CNIL. Car ici l’infraction pénale sanctionne le fait – y compris par négligence – de ne pas avoir réalisé une déclaration. A contrario, par exemple le fait d’avoir fait un mimum d’efforts en matière de sécurité permet d’avoir de la matière pour défendre le fait que des mesures de sécurité adéquates ont été mises en oeuvre.

Tout l’art consiste donc à peser le coût induit par les mesures de conformité à mettre en oeuvre et le degré de protection juridique assurée.

Téléchargez la formation conformité RGPD

Téléchargez gratuitement notre formation conformité RGPD et éliminez vos risques rapidement

Thiébaut Devergranne
Docteur en droit
Thiébaut Devergranne est expert en droit des nouvelles technologies depuis plus de 15 ans, dont 6 passés au sein des services du Premier Ministre. En savoir plus
Téléchargez la formation conformité RGPD (gratuit)
Téléchargez gratuitement notre mini formation conformité RGPD et réduisez vos risques rapidement, avec l'actualité de la conformité RGPD et nos offres de produits/service exclusives !
VOS CGV (gratuites)