La loi informatique, fichiers et libertés modifiée et les organismes de

LA LOI INFORMATIQUE, FICHIERS ET LIBERTÉS MODIFIÉE
ET LES ORGANISMES DE PRESSE ÉCRITE ET AUDIOVISUELLE
par
Jean FRAYSSINET
Professeur à l’Université Paul Cézanne - Aix-Marseille III
Directeur de l’IREDIC
La relation entre les droits consacrés des personnes physiques et l’activité des
organismes de presse écrite et audiovisuelle est constante, évidente et fréquente à
travers les notions de protection de la vie privée, du droit à l’image, des infractions
attachées à la loi du 29 juillet 1881 sur la liberté de la presse, des principes établis à
l’article 1er de la loi du 30 septembre 1986 relative à la liberté de communication
applicable au secteur audiovisuel, à travers aussi le respect de nombreuses dispositions
du droit pénal, du droit du travail, du droit de la consommation etc. Les règles, et les
jurisprudences rattachées, sont en définitive nombreuses, variées quant à la valeur
sociale protégée, à leur champ d’application qui peut parfois se combiner et se
cumuler ; cela constitue même une difficulté pour la compréhension et la maîtrise du
droit applicable pour les praticiens comme pour la doctrine.
Dans ce contexte, il est frappant de constater l’absence de prise en considération
des rapports pourtant obligatoires entre les droits et obligations qui découlent de la loi
du 6 janvier 1978 relative à l’Informatique, aux fichiers et aux libertés, texte qui doit
être considéré à la lumière de la doctrine d’interprétation et d’application de la
Commission nationale de l’informatique et des libertés (CNIL), et les différentes
formes d’activité des organismes de presse écrite et audiovisuelle, pour reprendre le
vocable relativement flou utilisé à l’article 67 de ladite loi.
L’occasion est offerte de rectifier ce manque d’intérêt injustifié à travers le vote
de la loi n° 2004-801 du 6 août 2004 relative à la protection des personnes physiques à
l’égard des traitements de données à caractère personnel et modifiant la loi n° 78-17
du 6 janvier 1978 relative à l’informatique, aux fichiers et libertés. Votée avec un
grand retard, la loi du 6 août 2004 avait pour objet principal de transposer dans le droit
français les dispositions de la directive 95/28/CE du 24 octobre 1995 relative à la
protection des personnes physiques à l’égard du traitement des données à caractère
personnel et à la libre circulation de ces données. La directive tend à l’application du
droit commun de la protection des données personnelles aux organismes de presse
écrite et audiovisuelle. Seul son article 9 donne la possibilité aux Etats de prévoir des
1
exemptions et dérogations aux règles générales uniquement en faveur « des traitements
de données à caractère personnel effectués aux seules fins de journalisme ou
d’expression artistique ou littéraire ». On retrouve ceci à travers l’article 67 de la loi de
1978 modifiée.
La loi du 6 août 2004 n’abroge pas la loi du 6 janvier 1978 qui reste la référence
de droit positif ; par contre il y a une réécriture formelle du texte même dans les cas de
conservation des règles de fond ; aussi on parlera de la loi du 6 janvier 1978 modifiée
qui sur bien des points essentiels reste dans l’esprit du texte originaire. Il y a évolution
dans la continuité et non pas rupture entre les deux versions de la loi Informatique,
fichiers et libertés, y compris en ce qui concerne la CNIL. Pour l’application de la loi
modifiée est intervenu le décret n° 2005-1309 du 20 octobre 2005 qui a précisé
certaines règles et procédures.
L’objectif de la loi reste inchangé à travers la permanence de son article 1er. Il
s’agit d’empêcher que les traitements manuels et automatisés des données à caractère
personnel portent atteinte à l’identité humaine, aux droits de l’homme, à la vie privée,
aux libertés individuelles ou publiques des personnes physiques ; la directive (art. 1er)
vise « la protection des droits et libertés fondamentaux des personnes physiques,
notamment de leur vie privée ». La loi de 1978 modifiée crée des droits spécifiques en
faveur des personnes physiques concernées par les données à caractère personnel
traitées et des obligations particulières pour le responsable juridique du traitement
manuel ou automatisé mis en œuvre. Cet ensemble normatif, dont la violation
débouche sur la responsabilité civile et pénale du responsable du traitement, doit être
impérativement pris en compte chaque fois qu’un organisme de presse écrite ou
audiovisuelle, pour des utilisations aux finalités nombreuses, diversifiées, à risques ou
non, communes ou particulières, simples ou complexes, entendra traiter des données
personnelles contenues dans trois principaux gisements internes : les données relatives
aux abonnés, clients et aux bénéficiaires de services divers ; les données relatives à la
gestion du personnel ; les données utilisées pour l’accomplissement des activités
journalistiques (I). On examinera en outre, l’intérêt présenté par une nouveauté créée
en 2004 dont peuvent bénéficier les organismes de presse écrite et audiovisuelle :
l’institution volontaire de correspondants à la protection des données personnelles (ou
correspondant informatique et libertés – CIL) qui fera apparaître la spécificité de
certaines règles de la loi de 1978 modifiée lorsqu’elles s’appliquent à certaines
activités des organismes de presse écrite ou audiovisuelle (II).
2
I / L’INCONTOURNABLE APPLICATION DE LA LOI DU 6 JANVIER 1978 MODIFIÉE AUX
ORGANISMES DE PRESSE
On conçoit mal comment un organisme de presse écrite (papier ou électronique)
ou audiovisuelle peut fonctionner sans que soient utilisées des données de toutes
significations qui directement ou indirectement peuvent être rapportées à des
personnes physiques identifiées ou identifiables. Il suffit que ces données à caractère
personnel soient gérées, traitées, par un fichier manuel ou par un moyen automatique
(ordinateur ou autres machines, comme un autocommutateur téléphonique ou une
badgeuse électronique ou à travers des applications variées sur l’internet, nécessitant la
collecte de données personnelles), en dehors du strict cadre de la vie personnelle d’un
individu, pour que le responsable du traitement se situe obligatoirement dans le champ
d’application de la loi du 6 janvier 1978 modifiée. Mais il ressort que les règles à
respecter seront différentes selon que le traitement banal ou complexe des données
personnelles a pour finalité d’assurer la gestion des organismes de presse ou sert de
support à leur activité éditoriale journalistique.
A – L’application des règles du droit commun aux traitements des données
personnelles à finalité de gestion
Concrètement les données personnelles concernées sont celles relatives à la
gestion des abonnés-clients de la presse écrite, audiovisuelle ou électronique, celles
liées à des actions individualisées de promotion, d’actions, de services et de
prospection commerciale par tous moyens y compris par internet, et les services
rattachés (envoi d’articles archivés, recherche et envoi d’informations ou d’émissions
profilées selon des critères déterminés à la personne, etc…). Ce sont aussi toutes les
informations relatives à la gestion des personnels de toute nature et des actionnaires
par exemple.
Le traitement de ces données personnelles par des fichiers manuels ou des
moyens automatiques par un responsable établi sur le territoire français, termes
entendus au sens des définitions contenues dans les articles 2 et 3 de la loi de 1978
modifiée, doivent, pour être légaux, respecter les règles de la loi informatique, fichiers
et libertés, interprétées par la CNIL et le juge. En cas de manquement, le responsable
du traitement pourra voir sa responsabilité civile et sa responsabilité pénale engagées
(essentiellement les articles 226-16 à 226-24 du code pénal, prévoyant pour les délits
une peine de cinq ans d’emprisonnement et de 300 000 euros d’amende et les articles
R 625-9 à 13 du code pénal pour les sanctions contraventionnelles). Sur le fond des
règles, qu’on ne fera que survoler, il existe malgré des différences parfois notables une
3
large continuité d’esprit entre les droits et obligations institués par la loi de 1978 avant
et après sa révision en 2004.
La personne concernée par les données traitées (l’abonné, l’internaute identifié,
comme un membre du personnel) a le droit d’obtenir librement sans justification des
renseignements sur le traitement de la part du responsable du traitement (finalité,
nature des données traitées, destinataires), de savoir si le traitement comprend des
données le concernant, d’accéder aux données et de se les voir communiquer par
délivrance d’une copie, de contester leur légalité, qualité et véracité pour provoquer
leur rectification ou effacement ; en cas de désaccord c’est au responsable du
traitement de supporter la charge de la preuve, de la légalité et de la qualité du
traitement des données (articles 39 et 40 de la loi modifiée). La personne concernée
dispose aussi du droit de s’opposer pour des raisons légitimes à ce que des données
personnelles la concernant fassent l’objet d’un traitement ; ainsi par exemple un
abonné pourra explicitement s’opposer à la cession de ses données quand le journal
cèdera tout ou partie de son fichier d’abonnés à un tiers ou s’opposer à des actions de
prospection notamment commerciale. Le droit d’opposition sera renforcé pour les
données personnelles relatives au personnel figurant sur le site internet de l’organisme
de presse par exemple, mais il ne s’applique pas si le traitement répond à une
obligation légale (article 38).
Pour sa part le responsable du traitement est tenu au respect de multiples
obligations. Un traitement ne peut porter que sur des données personnelles collectées
et traitées de manière loyale et licite, pour des finalités déterminées, explicites et
légitimes. Les données doivent être adéquates, pertinentes et non excessives,
conservées pour un temps lié à la réalisation de la finalité ou au respect de dispositions
légales ; elles doivent être exactes, complètes, mises à jour (article 6). Le traitement
doit avoir reçu le consentement de la personne concernée sauf exception (exécution
d’un contrat ou de mesure contractuelle par exemple) ou correspondre à l’intérêt
légitime de son responsable à mettre en équilibre avec les droits et libertés des
personnes concernées (article 7). Il est interdit de collecter ou de traiter, sauf avec le
consentement exprès de l’intéressé ou si celui-ci les a rendues publiques, les données
faisant apparaître, directement ou indirectement, les origines raciales ou ethniques, les
opinions politiques, philosophiques ou religieuses ou l’appartenance syndicale des
personnes ou qui sont relatives à la santé ou à la vie sexuelle de celles-ci (article 8). Il
est aussi interdit de traiter les données personnelles relatives aux infractions et
condamnations des personnes (article 9). Au moment de la collecte des données, ou si
les données sont cédées à des tiers, il faut donner aux personnes certaines informations
(article 32) qui doivent aussi figurer sur les questionnaires et formulaires papier ou
électroniques.
4
Le responsable du traitement est tenu par une lourde obligation de moyen
imporsant de prendre toutes précautions utiles pour préserver la sécurité des données
personnelles traitées contre les risques internes et externes, en particulier pour que des
tiers non autorisés ne puissent pas y accéder ou les endommager (article 34). Pour être
légaux, les traitements automatisés de données personnelles doivent faire l’objet,
préalablement à leur mise en œuvre, des formalités de déclaration ou de demande
d’autorisation auprès de la CNIL, sous peine de sanction pénale pour le responsable du
traitement (chapitre IV). Selon les cas, les traitements automatisés des organismes de
presse pourront relever des cas de dispense de déclaration établis par la CNIL, de
déclaration simple (article 23), de déclaration simplifiée (article 24) (gestion du
personnel : norme simplifiée n° 46 ; contrôle d’accès au locaux et horaires : n° 42 ;
fichier client et prospect : n° 48 ; téléphone-autocommutateur : n° 43 ; gestion
d’adresses, envoi d’informations, sauf sollicitation commerciale : n° 15…) ou d’un
régime d’autorisation (article 25).
Enfin le transfert des données personnelles de gestion vers des Etats
n’appartenant pas à la Communauté européenne n’est possible que vers les Etats
assurant un niveau de protection suffisant au regard des règles européennes ou avec le
consentement exprès de la personne concernée, ou pour l’exécution d’un contrat ou de
mesures précontractuelles ou dans le cadre d’engagements contractuels de protection
pris par l’organisme étranger traitant les données (chapitre XII).
La CNIL, autorité administrative indépendante et pièce maîtresse de la loi
informatique, fichiers et libertés, garde la même composition et ses compétences
variées (article 11). Elle peut toujours se saisir elle-même ou être saisie par simple
plainte individuelle de tout manquement à la loi et son pouvoir d’investigation sur le
terrain est encadré pour le respect des droits de la défense. Son niveau de collaboration
avec les organismes professionnels est renforcé pour l’élaboration notamment de
règles de conduite homologuées (chapitres III et VI). Elle peut dénoncer au Parquet les
infractions constatées, adresser des avertissements et mises en demeure et même
maintenant prononcer de lourdes sanctions financières sous le contrôle du juge
(chapitre VII).
5
B – Les règles spécifiques aux traitements de données à caractère personnel aux
fins de journalisme et d’expression littéraire et artistique
Le texte originaire de la loi du 6 janvier 1978 prévoyait dans un article 33 que
certaines règles ne s’appliquaient pas « aux informations nominatives traitées par les
organismes de la presse écrite ou audiovisuelle dans le cadre des lois qui les régissent
et dans les cas où leur application aurait pour effet de limiter l’exercice de la liberté
d’expression » dans le souci d’empêcher que le droit de la protection des données
personnelles vienne imposer des contraintes et limites excessives à la liberté
d’expression et à la liberté de la presse. La CNIL, par la délibération n° 95-012 du 24
janvier 1995, émettait en ce sens une recommandation relative aux données
personnelles traitées ou utilisées par des organismes de la presse écrite ou
audiovisuelle à des fins journalistiques et rédactionnelles.
On retrouve la même intention du législateur de concilier des libertés
fondamentales dans la loi du 6 janvier 1978 modifiée par la loi du 6 août 2004 à
travers un nouveau chapitre XI : Traitements de données à caractère personnel aux fins
de journalisme et d’expression littéraire et artistique composé du seul article 67 dont
le contenu est proche de celui de l’ancien article 33. Il est prévu que le 5° de l’article
6, les articles 8, 9, 22, les 1° et 3° du I de l’article 25, les articles 32, 39, 40 et 68 à 70
de la loi modifiée ne s’appliquent pas aux traitements de données personnelles, que le
traitement soit manuel ou automatisé, mis en œuvre aux seules fins d’expression
littéraire et artistique (ce qui concerne le secteur de l’édition et la presse du secteur
désigné) ou « d’exercice, à titre professionnel, de l’activité de journaliste, dans le
respect des règles déontologiques de cette profession ».
Cette expression est peu heureuse puisque plus que la personne du journaliste
c’est la fonction éditoriale du secteur de la presse écrite et audiovisuelle qui est visée ;
c’est pourquoi nous estimons que la qualité de journaliste doit être entendue au sens
large, les photographes de presse, les pigistes étant par exemple concernés. La
terminologie de l’article 67 de la loi de 1978 modifiée doit être à l’évidence
rapprochée de celle de l’article L 761-2 du code du travail donnant les critères
caractérisant le journaliste professionnel, avec toutes les incertitudes qu’on connaît
reflétées par la jurisprudence. Par souci de cohérence, on peut espérer que la CNIL,
placée dans un contexte différent, ne cherchera pas à appliquer une conception
différente de la notion de journaliste professionnel. Pour le journaliste professionnel du
secteur de l’audiovisuel, il convient de se référer à l’article 93 de la loi du 29 juillet
1982 sur la communication audiovisuelle maintenu en vigueur par la loi du 30
septembre 1986 sur la liberté de communication. Par contre, un particulier qui ferait un
travail éditorial analogue à celui du journaliste sans le faire à titre professionnel
n’entrerait pas dans la prévision de l’article 67. On observe que dans le cadre de
6
l’internet, par le truchement de pages personnelles ou d’un blog, des personnes
peuvent avoir une activité éditoriale périodique ou non, éventuellement de forte
notoriété, sans forcément entrer dans les catégories de publication de presse ou
d’activité journalistique professionnelle.
Se pose la question de l’application ou non de l’article 67 au blog du journaliste
intégré au site de l’organisme de presse écrite ou audiovisuelle. Selon nous la réponse
est positive, le blog étant alors un traitement lié à la fonction professionnelle
journalistique de l’intéressé et non à l’exercice de sa vie personnelle ; dans le cadre de
la vie personnelle il faudra que le responsable du blog se réfère au contenu de la
délibération n° 1005-285 du 22 novembre 2005 de la CNIL portant recommandation
sur la mise en œuvre par des particuliers de sites web diffusant ou collectant des
données à caractère personnel dans le cadre d’une activité exclusivement personnelle
qui sans mettre le blog ou le site personnel en dehors du champ d’application du droit
commun de la loi de 1978 modifiée le dispense de toute déclaration à la CNIL.
Dans l’esprit du législateur et de la CNIL, le régime dérogatoire institué à
l’article 67 ne concerne que les traitements automatisés ou non de données
personnelles, entendus au sens de l’article 2, alinéa 3 de la loi de 1978 modifiée,
directement ou indirectement liés à la fonction éditoriale du journaliste indépendant ou
du salarié d’un organisme de presse écrite sur papier ou voie électronique ou
audiovisuelle (journaux, hebdomadaires, périodiques, agences de presse, chaînes de
radio ou de télévision…). Il s’agit à l’évidence des traitements de textes, d’images
fixes ou animées attachés à la rédaction mais aussi des traitements supports comme les
bases de données documentaires générales et biographiques, les bases d’archivage des
contenus publiés, l’exploitation des fils d’actualité au format RSS etc., à la condition
d’être mis en œuvre exclusivement aux seules fins de l’exercice professionnel du
journalisme. Il importe peu que les données soient dans un serveur à la disposition de
tous les journalistes de la rédaction ou qu’elles soient dans un fichier personnel de
l’ordinateur portable du journaliste.
Les traitements automatisés ou les fichiers manuels de données à caractère
personnel entrant dans la zone d’attraction quelque peu imprécise de l’article 67 ne
sont pas en dehors du champ d’application de la loi informatique, fichiers et libertés
modifiée ; ils bénéficient seulement de dérogations précises et compréhensibles pour la
protection de la liberté d’expression, de presse et de communication audiovisuelle.
C’est dire a contrario que toutes les dispositions législatives non exclues expressément
par l’article 67 s’appliquent aux traitements de données personnelles liés à l’activité
7
professionnelle journalistique, ce qui est une invitation au renforcement de la vigilance
des organismes de presse écrite et audiovisuelle.
Les responsables des traitements relevant de l’article 67 sont ainsi autorisés à
conserver les données personnelles traitées sans limite dans le temps (contrairement à
l’article 6, 5°), à librement collecter et traiter – sans le consentement des intéressés –
les données à caractère personnel faisant apparaître, directement ou indirectement, les
origines raciales ou ethniques, les opinions politiques, philosophiques ou religieuses
ou l’appartenance syndicale des personnes, ou qui sont relatives à la santé ou à la vie
sexuelle des personnes (contrairement à l’article 8), à traiter les données relatives aux
infractions, condamnations et mesures de sûreté qui frappent les personnes
(contrairement à l’article 9). Contrairement à l’article 32, les personnes concernées par
les données traitées n’ont pas à être informées lors du recueil des données par le
responsable du traitement des renseignements énumérés au dit article (identité du
responsable, finalité du traitement, destinataires des données, etc.), ni, contrairement
aux articles 39 et 40, obtenir à leur demande les informations énumérées au dit article
(droit à la curiosité, figuration personnelle ou non dans le traitement, finalité du
traitement, nature des données traitées, destinataire des données…), ni exercer leur
droit d’accès de communication, de contestation, de rectification (sauf exercice du
droit de réponse) ou d’effacement des données. Au surplus le transfert de données
personnelles vers des Etats n’appartenant pas à la Communauté européenne pour y être
traitées est libre par dérogation aux articles 68 à 70 de la loi de 1978 modifiée.
On constate ainsi combien de dispositions essentielles du droit de la protection
des données personnelles sont mises entre parenthèses pour protéger la liberté du
journaliste et de l’organisme de presse écrite et audiovisuelle. Mais il est bien précisé
que le journaliste bénéficie de ces dérogations dans le respect imposé des règles
déontologiques de la profession ; on peut aussi y ajouter le respect des règles du code
civil, du code pénal et de la loi de 1881, l’ensemble venant border en dehors – ou en
combinaison – de la loi de 1978 modifiée l’utilisation fautive de données personnelles
dans le cadre de l’activité journalistique.
En ce qui concerne les formalités légales à accomplir préalablement à la mise en
œuvre des traitements journalistiques, l’article 67 de la loi modifiée contient deux
dispositions en leur faveur. D’une part, contrairement à la règle énoncée à l’article 25
de la loi modifiée, ces traitements automatisés ou non lorsqu’ils contiennent les
données sensibles visées par les articles 8 et 9 précités de la loi ne sont pas soumis au
régime d’autorisation délivré par la CNIL puisque ces données, on l’a vu, peuvent être
traitées librement aux fins exclusives de journalisme. D’autre part, les traitements de
ce type dérogent à l’article 22 de la loi modifiée imposant leur déclaration préalable
auprès de la CNIL grâce à l’accomplissement des formalités légales. Mais l’alinéa 2 de
8
l’article 67 de la loi modifiée subordonne cette dérogation à la désignation préalable
par le responsable des traitements d’un correspondant à la protection des données
personnelles ayant des caractéristiques spécifiques.
II / UNE FONCTION NOUVELLE DANS L’ORGANISME DE PRESSE : LE
CORRESPONDANT À LA PROTECTION DES DONNÉES À CARACTÈRE PERSONNEL
La création de la fonction de correspondant à la protection des données à
caractère personnel (la CNIL utilise aussi le vocable « correspondant informatique et
libertés », CIL) est probablement la nouveauté qui a soulevé le plus d’intérêt depuis la
révision de la loi informatique, fichiers et libertés en 2005.
La nouvelle fonction relève pour les organismes de la presse écrite et
audiovisuelle de deux dispositions législatives différentes à distinguer nettement, ce
qui constitue une originalité du secteur. On observera que déjà dans la délibération
n° 95-012 du 24 janvier 1995 portant recommandation relative aux données
personnelle traitées ou utilisées par des organismes de la presse écrite ou audiovisuelle
à des fins journalistiques et rédactionnelles, la CNIL préconisait explicitement la
désignation « d’une personne, correspondant de la CNIL pour les questions relatives à
l’application de la présente recommandation », conseil qui fut fort peu suivi…
Pour les traitements automatisés de données personnelles relatifs à la gestion des
clients-abonnés, aux services personnalisés offerts aux internautes, aux actions de
prospection et promotion ou attachés à la gestion du personnel par leur finalité, il
convient de se référer aux dispositions de l’article 22, III, de la loi de 1978 modifiée et
au titre III, chapitre 1er du décret n° 2005-1309 du 20 octobre 2005.
Pour les traitements automatisés de données à caractère personnel mis en œuvre
aux seules fins d’expression littéraire et artistique ou surtout aux seules fins d’exercice
à titre professionnel de l’activité de journaliste, il convient alors de se référer aux
dispositions de l’article 67 de la loi de 1978 modifiée et au chapitre II du titre III du
décret du 20 octobre 2005.
Il en résulte que selon les finalités des traitements de données à caractère
personnel, les organismes de presse écrite et audiovisuelle pourraient disposer de
plusieurs correspondants à vocation sectorielle (« gestion » ou « presse ») sans exclure
la possibilité d’avoir un seul correspondant couvrant le tout mais en opérant un
dédoublement fonctionnel ; les textes ne prennent pas position explicitement sur cet
9
aspect, la CNIL étant prête à adopter une attitude pragmatique et ouverte dans le
respect du droit d’autant plus que nombre de règles sont communes.
A – La désignation des correspondants et ses effets
Pour les deux types de correspondant, la désignation d’un CIL n’est pas
obligatoire ; elle relève de la seule décision du responsable des traitements automatisés
de données personnelles, qualité qui doit être entendue à la lumière de la définition
donnée à l’article 3, I, de la loi de 1978 modifiée, c’est-à-dire la personne
généralement morale dans notre contexte qui décide la création du traitement,
détermine ses finalités et les moyens employés, quel que soit son statut juridique de
droit public ou de droit privé ou sa taille.
S’inspirant d’institutions similaires déjà présentes à l’étranger (en Allemagne
spécialement), utilisant la possibilité ouverte par l’article 18 paragraphe 2 de la
directive de 1995 et sous l’influence de la CNIL, la loi de 1978 modifiée poursuit un
double objectif à travers l’institution du CIL.
En premier lieu la désignation d’un ou plusieurs CIL est textuellement lié, à
travers l’article 22 III de la loi, à la simplification des formalités préalables à la mise
en œuvre des traitements à accomplir auprès de la CNIL qui conditionnent la légalité
du traitement sous peine de commettre, y compris par simple négligence, l’infraction
prévue par l’article 226-16 du code pénal.
Pour les traitements de gestion des abonnés, des internautes et du personnel,
l’existence d’un « CIL-gestion » désigné par le responsable des traitements entraîne la
dispense des formalités de déclaration ordinaire (art.23) ou simplifiée (art. 24) sauf
lorsqu’un transfert de données à caractère personnel à destination d’un Etat non
membre de la Communauté européenne est envisagé.
La dispense s’applique aussi aux traitements relatifs à l’exercice professionnel de
l’activité de journaliste : l’alinéa 2 de l’article 67 de la loi modifiée précise a contrario
que faute de désignation d’un « CIL-presse » répondant aux caractéristiques exigées
par la loi, les traitements de ce type ne seront pas dispensés des formalités préalables
déclaratives à accomplir auprès de la CNIL avant leur mise en oeuvre ; ils relèveront
alors de l’infraction prévue par l’article 226-16 du code pénal. Pour les traitements
journalistiques de données personnelles, la loi de 1978 modifiée semble marquer un
recul par rapport à l’application du texte originaire qui permettait une dispense
générale sans condition des formalités déclaratives : le point d’équilibre entre le droit
de la presse et le droit de la protection de données personnelles se trouve modifié.
Mais il serait possible de revenir à la situation initiale si pour ces traitements à finalité
journalistique déclarables faute d’un CIL, la CNIL mettait en œuvre l’article 24, II de
10
la loi modifiée lui permettant de dispenser de déclaration simplifiée certaines
catégories de traitements. La Commission a déjà établi plusieurs cas de dispenses mais
aucun ne concerne encore le secteur de la presse écrite et audiovisuelle et spécialement
les activités journalistiques. Il serait judicieux que la commission procède en ce sens
pour marquer sa volonté de protéger fortement la liberté de la presse sans risque
excessif pour les droits et libertés des personnes concernées par les données traitées
dans le cadre des activités journalistiques puisqu’elle disposent de multiples moyens
de défense de leurs intérêts offerts par le droit commun ou le droit de la presse.
D’ailleurs le 2° de l’article 67 de la loi modifiée fait référence au respect des règles
déontologiques de la profession de journaliste.
La dispense de formalités préalables engendrée par la désignation d’un CIL n’est
cependant pas possible pour tous les traitements de gestion. S’il existe un transfert des
données personnelles à destination d’un Etat non membre de la Communauté
européenne, il convient de procéder à une déclaration à la CNIL. Par contre pour les
traitements à finalité journalistique le transfert de donnée personnelle en dehors de la
Communauté européenne est libre (art. 67, al. 1er). L’existence d’un « CIL-gestion » ne
supprime pas l’obligation d’obtenir l’autorisation préalable de la CNIL si le traitement
de gestion, automatisé ou manuel, relève des cas énumérés à l’article 25 de la loi
modifiée. La demande d’autorisation peut concerner par exemple des traitements de
gestion du personnel comportant des données biométriques pour le contrôle de
l’identité des personnes ou des données relatives aux infractions, condamnations ou
mesures de sûreté, alors que le traitement de ces dernières données est libre pour les
traitements journalistiques.
En second lieu, par delà la dispense des formalité déclaratives qui est la
« carotte » pour inciter les responsables des traitements à désigner un CIL, la CNIL
entend constituer un réseau avec les correspondants pour propager la culture
« protection des données personnelles » et l’application de la loi de 1978 dans les
structures publiques et privées en organisant la circulation de l’information et de sa
doctrine dans le sens ascendant et descendant. La Commission s’est organisée en
interne en ce sens en souhaitant que les responsables des traitements trouvent dans leur
CIL un interlocuteur spécialisé, un conseiller pour la réduction des risques juridiques
et autres, pour créer un climat de confiance vis-à-vis des personnes concernées par les
données. C’est dire que le correspondant devra exercer sa fonction de manière
pédagogique et transparente, disposer de moyens matériels et humains suffisants,
bénéficier d’une certaine autorité vis-à-vis des services, son rattachement à un niveau
élevé de direction étant pour cela préconisé. Ces caractéristiques générales seront
adaptées selon qu’il s’agit du « CIL-gestion » ou du « CIL-presse ».
11
B – Le statut des correspondants
La désignation d’un CIL passe par le respect des dispositions légales et
réglementaires qui établissent son statut reposant sur les principes d’indépendance et
de compétence, l’article 22, III, précisant que le correspondant ne peut faire l’objet
d’aucune sanction de la part de l’employeur du fait de l’accomplissement de ses
missions (sans en faire pour autant un salarié protégé au sens du code du travail) et ne
doit recevoir aucune instruction pour l’exercice de sa mission. Les règles de la loi de
1978 modifiée sont précisées par le décret d’application du 20 octobre 2005 ; elles
distinguent là encore le « CIL-gestion » et le « CIL-presse ».
Le « CIL-gestion » n’et pas forcément un employé de l’organisme de la presse
écrite audiovisuelle. En application de l’article 44 du décret du 20 octobre 2005, peut
être désignée comme correspondant seulement une personne exclusivement attachée
au service du responsable du traitement (ce qui donne une certaine souplesse à la
qualification de lien juridique) lorsque plus de cinquante personnes sont chargées de la
mise en oeuvre ou ont directement accès aux traitements ou catégories de traitements
automatisés entrant dans le champ de compétence du CIL. La terminologie employée
ne facilite pas la détermination exacte des personnes concernées.
L’article 44 prévoit certaines dérogations à la règle. Par exemple, lorsque le
responsable des traitements est une société qui contrôle ou qui est contrôlée au sens de
l’article L 233-3 du code de commerce, le correspondant peut être désigné parmi les
personnes au service de la société qui contrôle, ou de l’une des sociétés contrôlées par
cette dernière. Ceci peut concerner les groupes de presse.
Par contre si le seuil précité de cinquante personnes n’est pas atteint, le
responsable peut désigner librement le CIL qui peut être un salarié ou un professionnel
prestataire extérieur, personne physique ou personne morale (avocat, expertcomptable, consultant)…
Le responsable des traitements ou son représentant légal ne peut être désigné
comme correspondant et les fonctions ou activités exercées concurremment par le
correspondant ne doivent pas être susceptibles de provoquer un conflit d’intérêt avec
l’exercice de sa mission.
La désignation d’un CIL doit être portée d’abord à la connaissance de l’instance
représentative du personnel par le responsable du traitement puis ensuite notifiée à la
CNIL grâce à un formulaire téléchargeable sur le site de la Commission. La
désignation prend effet un mois après la date de réception de la notification par la
CNIL.
Le CIL a une double fonction. D’une part il doit dresser dans les trois mois qui
suivent sa désignation une liste des traitements automatisés pour lesquels il a été
12
désigné. L’article 48 du décret du 20 octobre 2005 précise les rubriques à faire figurer
sur la liste que chaque traitement, informations qui doivent être mises à jour en
permanence. La liste des traitements avec le détail est à la disposition de toute
personne qui en fait la demande, une copie pouvant être délivrée à l’intéressé qui la
demande contre paiement d’une somme qui ne peut pas excéder le coût de
reproduction. Le demandeur – un abonné comme un salarié – pourra alors connaître
l’existence d’un traitement automatisé de données personnelles, son responsable, ses
finalités, la nature des données traitées et leurs destinataires etc., à titre de simple
curiosité ou pour exercer ses droits d’accès, d’opposition ou de contestation.
Si un traitement, dispensé des formalités à accomplir auprès de la CNIL en raison
de l’existence d’un CIL, ne figure pas volontairement ou involontairement dans le
registre du traitement que celui-ci doit tenir, cela constitue-t-il l’infraction prévue à
l’article 226-16 du code pénal qui sanctionne pénalement la mise en oeuvre des
traitements automatisés non déclarés à la CNIL ? En raison du principe
d’interprétation stricte des textes pénaux, on penche pour une réponse négative car
l’article 22, III, de la loi ne présente pas expressément l’inscription du traitement dans
le registre tenu par le CIL comme une formalité préalable à sa mise en oeuvre,
condition prévue par le texte pénal. Tant que le juge ne se sera pas prononcé
explicitement, on peut voir dans l’impossibilité d’appliquer l’article 226-16 du code
pénal un argument favorisant la désignation d’un CIL par le responsable du traitement
puisque cela diminue pour lui le risque de sanction pénale, l’infraction visée pouvant
au surplus résulter d’une simple négligence.
D’autre part le CIL doit veiller au respect des obligations variées prévues par la
loi de 1978 modifiée pour les traitements au titre desquels il a été désigné. Il peut faire
des recommandations, est consulté pour les nouveaux traitements, reçoit les demandes
et réclamations des personnes concernées par les données personnelles traitées,
informe le responsable du traitement des manquements constatés, établit un bilan
annuel d’activité tenu à la disposition de la CNIL.
Il est prévu que le responsable des traitements peu, avec l’accord du CIL, lui
confier la mission de veiller à l’application de la loi pour la totalité des traitements,
c’est-à-dire y compris pour ceux qui ne figurant pas sur le registre tenu relevent du
régime de déclaration préalable ou du régime d’autorisation auprès de la CNIL (article
50 du décret du 20 octobre 2005). Enfin les textes organisent les rapports entre le
responsable du traitement et le CIL en cas de conflit entre eux et donnent à la CNIL la
possibilité de demander au responsable du traitement de décharger le CIL de ses
fonctions s’il manque aux devoirs de sa mission ou au contraire de venir appuyer et
protéger le correspondant si le responsable du traitement ne respecte pas ses
obligations légales.
13
On notera la grande indigence des textes sur les éléments permettant de s’assurer
de la compétence du CIL exigée par la loi. Il est vrai que son portrait robot aboutit à
dessiner un mouton à cinq pattes ; il doit à la fois être compétent en droit de la
protection des données personnelles, en d’autres droits spécialisés et en droit général,
connaître les nouvelles technologies, leurs usages et évolutions rapides, comprendre le
contexte des applications, faire preuve de motivation personnelle, de pédagogie, de
diplomatie, d’autorité et d’indépendance, être expert et généraliste. C’est beaucoup
demander à un seul homme ; aussi un marché de la formation du correspondant s’est
rapidement ouvert avec des prestations de qualité variable… ; les organismes de presse
écrite et audiovisuelle seraient avisés de concevoir des formations adaptées en leur
sein tant la connaissance des us et coutumes des secteurs et milieux professionnels est
importante pour l’efficacité de la fonction de correspondant.
La désignation du « CIL-presse » s’inscrit dans le même cadre général mais obéit
à des règles particulières. Le correspondant prévu au quatrième alinéa de l’article de la
loi de 1978 modifiée doit être obligatoirement désigné parmi les personnes attachées
au service de l’organisme ayant qualité de responsable de traitements de données
personnelles aux fins de journalisme mis en œuvre dans un organisme de presse écrite
ou audiovisuelle ; il n’est pas obligatoire qu’il soit journaliste. Le recours a un
correspondant d’origine externe est donc impossible contrairement au « CIL–
gestion ». Il est soumis aux règles exposées précédemment qui connaissent quelques
aménagements : sa désignation doit être portée à la connaissance de la CNIL grâce à
un formulaire adapté mais pas à celle de l’instance représentative du personnel ; le
contenu de la liste des traitements de journalisme qu’il tient est allégé, et n’est pas mis
à la disposition des tiers demandeurs qui ne peuvent donc en obtenir copie ; il ne peut
pas informer le responsable des traitements des manquements constatés.
Sur le plan fonctionnel, le « CIL-presse » pourrait être rattaché à la direction de
l’organe de presse et mieux encore au responsable de la rédaction. La désignation d’un
correspondant n’emporte aucune exonération de responsabilité civile ou pénale pour le
responsable des traitements automatisés de données personnelles. Le « CIL-presse »,
outre l’application de la loi de 1978 pourrait être chargé de veiller au respect de
l’ensemble des droits relatifs aux personnes physiques : droit à la vie privée et à
l’image, infractions à la loi sur la liberté de presse etc.
La révision de la loi du 6 janvier 1978 donne l’occasion aux organismes de
presse de procéder à une forme d’audit interne sur le respect effectif des dispositions
de la loi informatique, fichiers et libertés, sur la légalité des traitements automatisés
existants, sur l’estimation des risques juridiques, techniques et médiatiques en cas de
manquement. La désignation d’un CIL ne peut être érigée en règle : elle dépend de
nombreux éléments contextuels propres à chaque organisme de presse, d’une volonté
14
managériale, de la prise en compte des coûts et des problèmes d’organisation. C’est
aussi une invitation à mieux prendre conscience des enjeux constitués par les usages
anciens ou nouveaux à travers les technologies des données personnelles sous toutes
leurs formes dans un secteur qui se trouve être depuis longtemps d’une sensibilité
particulière sur le sujet. On réalisera ainsi l’importance trop méconnue de la loi
informatique, fichiers et libertés, pour le fonctionnement, dans le respect de la loi, de
l’ensemble du secteur de la presse.
15