Corporate Finance, Fintech, DeFi, Blockchain, Web 3 News
Financial Year Financial Year
Corporate Finance News, Hybrid Finance News

The Bridge Between TradFi & DeFi, Traditional Finance and Decentralized Finance





Dimanche 19 Mars 2006

Expertise | Le régime renforcé : l'autorisation (Loi Informatique et Libertés)

Dans le précédent article, nous avons abordé le régime « standard » et classique de la Déclaration, pour lequel la CNIL exerce principalement un contrôle formel. Au-delà de ces traitements « légers », la loi Informatique et Libertés énumère depuis la réforme d'août 2004 un ensemble de domaines pour lesquels un contrôle a priori s'avère nécessaire – et pour lesquels elle impose désormais une autorisation préalable de mise en oeuvre du traitement.


La loi définit trois procédures d'autorisation :
- les autorisations de la CNIL (article 25),
- les autorisations pris par arrêté ministériel (article 26),
- les autorisations pris par décret en Conseil d'Etat ou arrêté (article 27).

Concrètement, ces deux dernières procédures (pour lesquelles la CNIL ne donne qu'un avis) ne concernent que les traitements mis en oeuvre pour le compte de l'Etat (par exemple, organisation du recensement, décrets d'application de la loi sur le fichage des délinquants sexuels) ; elles ne concernent donc pas les acteurs du privé, sauf s'ils gèrent un service public. Nous ne les envisagerons pas dans cet article.

Les traitements à risques soumis à autorisation de la CNIL

La réforme de la loi Informatique et Libertés assigne à la Commission un pouvoir de contrôle en amont sur certains traitements à risque. Ces demandes d'autorisations sont examinées et débattues au cours des séances plénières de la Commission, la sentence étant l'acceptation ou le rejet.

Notons dès à présent que le régime de l'Autorisation est – pour le déposant comme pour la Commission – une procédure lourde et longue ; la réforme autorise cependant la Commission à définir des « Autorisations Uniques » pour des cas très particuliers de mise en oeuvre de ces traitements à risque, pendant des « Normes Simplifiées » disponibles pour les Déclarations.
L'Autorisation étant un régime d'exception à la Déclaration, la loi délimite strictement les traitements soumis à autorisation de la CNIL : l'article 25 énumère huit catégories de traitements.

1. Données sensibles

La catégorie de traitements « sensibles » comporte en premier lieu ceux mettant en jeu des données sensibles, soit celles dont la collecte est normalement interdite : « Il est interdit de collecter ou de traiter des données à caractère personnel qui font apparaître, directement ou indirectement, les origines raciales ou ethniques, les opinions politiques, philosophiques ou religieuses, ou l'appartenance syndicale des personnes, ou qui sont relatives à la santé ou la vie sexuelle de celles-ci » (article 8.I de la LIL).

L'autorisation ne sera accordée aux organisations « normales » (hors églises, associations, syndicats, partis...) que si ces données sont appelées à faire l'objet d'une anonymisation dans un bref délai, ou si la collecte et le traitement sont justifiés par l'intérêt public, ce qui écarte le consentement de l'individu. On peut penser par exemple à l'indemnisation des victimes de spoliation durant la Seconde guerre mondiale. Enfin, les traitements statistiques de l'INSEE ou des ministères sont aussi soumis à autorisation de la CNIL. Les traitements automatisés et non automatisés sont concernés.

2. Données génétiques

L'autorisation de la CNIL est également requise lorsque les traitements automatisés portent sur les données génétiques, sauf (en gros) lorsqu'elles sont nécessaires dans le cadre de soins. Le risque de stigmatisation ou de discrimination fondée sur les caractéristiques héréditaires emporte une attention particulière sur ce type de données. Le « Groupe de l'article 29* » a produit un document de travail sur ces données et les cas de traitement correspondants.

3. Données biométriques

Dans un registre proche de celui des données génétiques, les traitements automatisés comportant des données biométriques nécessaires au contrôle de l'identité des personnes sont soumis à autorisation. La CNIL a rendu de nombreuses décisions en ce domaine, une doctrine commençant à apparaître sur cette question. La Commission analyse entre autres les points suivants :

- quelles sont les données traitées ? Iris de l'oeil, empreintes digitales, contour palmaire… ?
- quelle est la finalité poursuivie ? Accès sécurisés à des locaux « stratégiques », gestion des horaires sur le lieu de travail ?
- le recours à la biométrie est-il une mesure impérative ou facultative ?
- les données sont-elles stockées dans une base de données centralisée ou locale ?

La combinaison des réponses à ces questions conduira à l'acceptation ou au refus de l'autorisation. Ainsi, une demande d'autorisation de dispositif à empreintes digitales dans le cadre de la gestion des 35 heures a été rejetée.

4. Infractions et condamnations

Les traitements, automatisés ou non, relatifs aux infractions et condamnations, doivent obtenir l'autorisation de la CNIL.
De tels traitements mis en oeuvre par les auxiliaires de justice pour la défense de leurs clients sont dispensés d'autorisation et ne relèvent que du droit commun – donc le régime de la Déclaration.
En mars 2005, la CNIL a ainsi autorisé le Syndicat des Editeurs de Logiciels de Loisirs (SELL) à mettre en œuvre un traitement automatisé de détection des infractions au code de la propriété intellectuelle. Ce dispositif est destiné à adresser des messages de prévention aux internautes téléchargeant et mettant à disposition des logiciels copiés illégalement sur les réseaux « peer to peer », ainsi qu'à relever, dans des cas limités, l’adresse IP d’internautes mettant à disposition des logiciels de loisirs copiés illégalement sur ces réseaux « peer to peer ».

5. NIR – Numéro de Sécurité Sociale

Lorsque le NIR** , c'est à dire le numéro de Sécurité Sociale, fait l'objet de traitement (de la saisie à l'archivage) par une personne privée, morale ou physique, il est nécessaire d'obtenir l'autorisation préalable de la CNIL. La règle s'applique également aux traitements consultant le Répertoire sans inclure le NIR dans la requête ou dans la réponse. Cette protection du NIR est « historique » puisqu'elle est à l'origine de l'affaire SAFARI ayant conduit à la création de la CNIL. Cette catégorie de traitement a connu des atténuations puisque les traitements de gestion de rémunération, au sein desquels figurent le NIR, ne sont plus soumis à notification (voir la dispense de déclaration n°2 du 9 décembre 2004. Notons qu'a contrario, jusqu'à cette date, toute société établissant un bulletin de paie devait déposer une « déclaration normale » (procédure relativement complexe, désormais disparue)… Quant aux traitements de ce fameux NIR par les organismes publics, ils relèvent selon les cas d'un arrêté, voire d'un décret en Conseil d'Etat.

6. Appréciation sur les Difficultés Sociales


Les traitements automatisés de données comportant des appréciations sur les difficultés sociales des personnes sont aussi soumis à autorisation. La CNIL a ainsi refusé une demande de ce type pour le traitement « ANAISS »destiné à gérer les dossiers des usagers des services sociaux. (Voir la délibération n°2005-038 du 10 mars 2005

7. Exclusion d'un bénéfice


L'autorisation est de rigueur pour les traitements automatisés susceptibles d'exclure des personnes du bénéfice d’un droit, d’une prestation ou d’un contrat, sauf si cette exclusion repose sur une condition légale ou réglementaire. Ici, ce n'est plus la nature des données qui conditionne le régime d'autorisation, mais la finalité poursuivie par le traitement. A noter que le régime d'autorisation s'applique même si le traitement n'exclut personne – il suffit qu'il soit susceptible de le faire.

On peut illustrer ceci par les traitements de scoring, c'est à dire la notation des individus pour l'obtention ou non d'un crédit. Cette technique vise à évaluer les risques liés à la solvabilité de l'emprunteur en fonction de divers paramètres. Il en va de même pour les « listes noires », par exemple un fichier de « mauvais payeurs » : l'inscription dans cette liste est ainsi susceptible d'exclure une personne du droit à un prêt. C'est pourquoi la CNIL dispose d'un droit de regard sur ces traitements pouvant porter préjudice aux individus.

8. Interconnexion de fichiers

Enfin, la loi soumet à autorisation de la Commission les traitements d'inter-connexion des fichiers de données à caractère personnel dont la finalité principale est différente : ceci s'applique à l'interconnexion de fichiers inter-entreprises pour le secteur privé, et de fichiers inter-organismes ou internes à un seul organisme pour le service public. Un Dossier de la Commission a étendu ce régime aux interconnexions public-privé, non explicitement abordées par la loi ; plus curieusement, il propose de l'étendre également aux interconnexions internes à l'entreprise… L'interconnexion est définie comme la mise en corrélation de fichiers gérés en temps normal séparément, par fusion, mise en relation, datamining, mise en place d'un portail… Une telle opération peut modifier la finalité des traitements et conduire à un risque pour la vie privée.

Décisions uniques d'autorisation


La CNIL peut émettre de telles décisions pour des traitements fréquemment soumis, répondant à la même finalité, portant sur des données identiques, etc. C'est par exemple le cas de la gestion du mécanisme d'alerte professionnelle ou whistleblowing : la CNIL a fixé un cadre de conformité auquel les responsables peuvent adhérer. Le gain en temps est considérable puisque la procédure peut s'effectuer en ligne en 30 minutes maximum. A ce jour, seulement trois Autorisations Uniques ont vu le jour (alerte professionnelle, gestion des bourses d'étudiant par les CROUS, mise en oeuvre de Système d'Information Géographique par des collectivités locales ou leurs groupements) mais cette possibilité est encore jeune puisqu'issue de la réforme de 2004

La procédure de demande d'autorisation


Lorsqu'elle est saisie d'une demande d'autorisation, la CNIL dispose de deux mois pour se prononcer. Ce délai peut être renouvelé une fois sur décision motivée du président de la Commission. Au delà de ce laps de temps, la demande d'autorisation est réputée rejetée.
L'examen en séance plénière souligne l'intérêt tout particulier de ces traitements « sensibles » ; le Commissaire du Gouvernement détaché auprès de la CNIL peut même procéder à des auditions lors de l'examen d'un dossier.
D'un point de vue formel, l'article 30 de la loi décrit le contenu de la demande d'autorisation ; le responsable de traitement doit indiquer :

a) son identité et son adresse – ou celle de son représentant, s’il n’est établi ni sur le territoire national ni sur celui d’un autre État membre de la Communauté européenne,

b) la ou les finalités du traitement, ainsi que la description générale de ses fonctions,

c) les interconnexions, les rapprochements ou toutes autres formes de mise en relation avec d’autres traitements,

d) les données à caractère personnel traitées, leur origine, les catégories de personnes concernées par le traitement et la durée de conservation des informations traitées,

e) le service chargé de mettre en œuvre le traitement ainsi que les catégories de personnes qui, en raison de leurs fonctions ou pour les besoins du service, ont directement accès aux données enregistrées,

f) les destinataires ou catégories de destinataires habilités à recevoir communication des données,

g) la fonction de la personne ou le service auprès duquel s’exerce le droit d’accès ainsi que les mesures relatives à l’exercice de ce droit,

h) les dispositions prises pour assurer la sécurité des traitements et des données et la garantie des secrets protégés par la loi et, le cas échéant, l’indication du recours à un sous-traitant,

i) le cas échéant, les transferts de données à caractère personnel envisagés à destination d’un État non membre de la Communauté européenne, sous quelque forme que ce soit, à l’exclusion des traitements qui ne sont utilisés qu’à des fins de transit sur le territoire français ou sur celui d’un autre État membre de la Communauté européenne.

En interne, le dossier sera affecté à une Division de la Direction des Affaires Juridiques, étudié par un juriste spécialiste du domaine (transport, banque, commerce, collectivités locales…) et un commissaire qui rapportera le dossier devant la Commission Plénière.

En pratique, il faut tout de même signaler que la CNIL connaît quelques difficultés à répondre aux nombreuses demandes qui lui sont faites (193 demandes d'autorisation en 2005). Le délai de deux mois, même renouvelé, s'avère souvent trop court – l'instruction d'un dossier a pu atteindre un an ; un dialogue continu entre l'organisme demandeur et la CNIL permet alors d'éviter le rejet tacite de la demande.

Préparer dans les meilleures conditions sa demande d'autorisation

Par rapport à « l'ancien régime » de la demande d'avis, la CNIL est plus sévère (vingt refus d'autorisation en 2005). La préparation d'un tel dossier passe par l'étude des autorisations déjà délivrées par la Commission, afin de comprendre les attentes des dix-sept sages (bien que la jeunesse de ce dispositif ne permette pas toujours de disposer d'une vision claire…). Et puisque la CNIL est aussi un espace de conseil, il n'est pas vain de se rapprocher des services juridiques de la Commission pour évaluer tous les points « sensibles » du dossier avant sa remise et son passage en séance plénière.

Expertise | Le régime renforcé : l'autorisation (Loi Informatique et Libertés)
Déposer un dossier de demande d'autorisation auprès de la CNIL est un gros travail : il faut justifier « clairement, concrètement et précisément » chacun des critères d'évaluation (finalité, sécurité, proportionnalité…) pour justifier la demande d'exonération des dispositions normales. [Ces critères seront présentés dans nos prochains articles]. Un dossier peut facilement atteindre plus de 100 pages avec ses annexes !

Retenez ce principe de base : la demande d'autorisation est un régime d'exception, que le responsable de traitements doit défendre avec toutes les garanties possibles. La CNIL appréciera en particulier les risques sur un plan qualitatif et non pas quantitatif : le nombre de risques auxquels sont exposés les individus importe moins que la possibilité ne serait-ce que d'un seul risque envers les libertés. Une attention extrême doit donc être portée à la légitimité du traitement, aux mesures de sécurité, etc. L'autorisation ne sera délivrée que pour les traitements les moins intrusifs possibles.

A noter

L'existence du Correspondant Informatique et Liberté emporte dispense des Déclarations, pas des Autorisations ; cependant, sa mission peut être étendue à la gestion des demandes d'auto-ri-sations : spécialiste en la matière, il conseillera efficacement son organisme lors d'une demande d'autorisation. Ses rapports privilégiés avec la CNIL abou-tissent également à faciliter la mise en relation évoquée précédemment ; le CIL devrait donc être, en ce domaine aussi, un facteur de gain de temps et d'efficacité.

Enfin, au même titre que le Déclaration, l'oubli de procéder à une demande d'autorisation pour mettre en oeuvre un traitement est puni de 5 ans d'emprisonnement et de 300 000 € d'amende.

Cédric Crépin est juriste, titulaire d'un DESS - Master II en Droit des Technologies de l'Information et de la Communication à la Faculté de Lille 2. Il a rédigé son Mémoire de fin d'étude : « Le Correspondant Informatique et Libertés : un nouvel outil de régulation pour la protection des données à caractère personnel » dans le cadre d'un stage à la CNIL.

Cédric (cedric.crepin@cabinet-cilex.com) a rejoint le Cabinet Cilex (http://www.cabinet-cilex.com[ début 2006. Le Cabinet fournit des prestations de Conseil, de Formation et d'externalisation dans le domaine du Correspondant Informatique et Libertés.]i

* Le Groupe dit de l'article 29 est un organe consultatif permettant à toutes les « CNIL européennes » de travailler ensemble et de coordonner leurs actions. Pour consulter le site sur Europa : http://europa.eu.int/comm/justice_home/fsj/privacy/workinggroup/index_fr.htm
** NIR pour Numéro d'Inscription des personnes au Répertoire national d'identification des personnes physiques


Offres d'emploi


Offres de stages


Nominations


Dernières actualités


Populaires