III - LE REGIME DECLARATIF

La règle posée à l'article 18 de la directive est celle de la notification des traitements à l'autorité de contrôle avant leur mise en oeuvre. Il s'agit d'un régime déclaratif qui ne laisse pas place à un contrôle a priori, mais seulement a posteriori, et qui doit s'appliquer à la très grande majorité des traitements. La mise en oeuvre de ce régime appelle cependant des choix pour le législateur national sur un certain nombre de points.

1 - Les exonérations

Si la déclaration est la règle, la directive ouvre la possibilité (article 18-2) d'une exonération pure et simple de déclaration, dans le cas des traitements qui "ne sont pas susceptibles de porter atteinte aux droits et libertés des personnes concernées". Dans ces cas, les Etats sont invités à préciser : la finalité des traitements en cause ; les données ou catégories de données traitées ; les catégories de personnes concernées ; les destinataires et la durée de conservation des données.

L'opposition au principe même de toute exonération se réclame généralement des considérations suivantes : les traitements en question portent bien sur des données à caractère personnel; quel que soit le parti retenu sur l'obligation de notification, ils doivent en tout état de cause être conformes aux dispositions de fond de la directive ; s'ils ne sont pas déclarés, leur existence même ne sera pas connue, et ils échapperont à toute possibilité de contrôle ; les personnes concernées ne pourront exercer leurs droits (d'accès, de rectification, etc.) à l'égard de ces traitements.

Ces considérations ne sont pas sans force, mais il ne faut pas négliger l'intérêt, en termes de simplification, des exonérations, notamment vis à vis des opérateurs privés ; une forte demande s'exprime d'ailleurs en ce sens. Or nous pensons qu'il est possible de déterminer des catégories de traitements qui eu égard à leur finalité et à la nature des données traitées, ne sont manifestement pas susceptibles de porter atteinte aux droits et libertés des personnes. La CNIL s'était d'ailleurs engagée elle-même dans cette voie en exemptant de déclaration, par une délibération de 1980, les traitements de comptabilité générale. On peut songer à d'autres exemples, comme les fichiers de bibliothèques. La loi de transposition ne devrait donc pas exclure toute possibilité de dérogation à l'obligation de notification, et renvoyer au décret en Conseil d'Etat la détermination, aussi précise que possible, des catégories de traitements en cause, conformément aux prescriptions du 2 de l'article 18 précité. La CNIL, au titre de son pouvoir d'édicter des normes simplifiées, devrait aussi avoir la possibilité de compléter (mais non de restreindre) cette liste.

2 - Les simplifications

Pour les mêmes catégories de traitements que celles visées à l'article 18-2 précité, et dans les mêmes conditions (préciser les finalités, les données traitées, etc.), la directive prévoit la possibilité de simplifications sans autre précision. A ce sujet, toutes les contributions reçues et les personnes entendues ont souligné l'intérêt de la procédure de déclaration par simple référence aux normes simplifiées mentionnées à l'article 17 de la loi du 6 janvier 1978 ; par rapport à la charge que représente la déclaration ordinaire, c'est un allégement très apprécié. La directive n'utilise pas expressément cette notion de normes simplifiées, mais rien ne s'oppose à ce que la loi de transposition reprenne sur ce point les dispositions de la loi de 1978.

Dans le même temps, pourraient être recherchés les moyens de répondre à certaines demandes tendant au renforcement de cette procédure :

• une demande de généralisation ou de multiplication des normes simplifiées, à des niveaux plus fins : par professions par exemple (certains proposent de les appeler désormais : normes professionnelles) ; la solution sur ce point peut sans doute être trouvée dans les conditions d'une meilleure association des professionnels à la détermination des normes simplifiées.

• une demande d'association des professionnels (notamment du secteur privé), aussi bien en ce qui concerne l'initiative des normes simplifiées que leur élaboration. Personne ne conteste que l'autorité de contrôle soit la mieux placée pour la définition et la mise au point de ces normes : nous avons pensé un instant qu'une compétence concurrente, dans la définition des normes simplifiées, pourrait être dévolue au pouvoir réglementaire, mais en définitive il nous paraît préférable de laisser cette responsabilité à l'autorité de contrôle. Toutefois, pour favoriser la multiplication des normes simplifiées, l'autorité de contrôle pourrait être saisie :

- soit de demandes, qu'elle serait tenue d'instruire ;

- soit, directement, des propositions élaborées par les professionnels, qu'elle serait tenue d'examiner.

Sur habilitation législative, ces procédures seraient prévues par décret en Conseil d'Etat.

3 - Organisation du contrôle

Dans le principe, la notification est faite à l'autorité de contrôle, instance chargée d'effectuer le contrôle a posteriori et, le cas échéant, l'examen préalable de certains traitements.

Toutefois, à titre de simplification, la directive ouvre la possibilité de substituer à ce régime le système du "détaché (il vaudrait mieux dire : délégué) à la protection des données", inspiré du droit allemand et introduit dans la directive, pour les besoins de la négociation, à la demande expresse de l'Allemagne.

Dans ce système, le détaché dépend directement de la direction de l'organisme ou de l'entreprise, dont il peut être le salarié quand il est choisi à l'intérieur (il peut aussi être choisi à l'extérieur, dans le cas de petites entreprises par exemple). Toutes les entreprises sont tenues de nommer un délégué, qui est le premier garant, dans l'entreprise ou l'organisme auprès duquel il est placé, du respect de la législation sur la protection des données. Dans l'exercice de cette mission, le délégué entretient des liens étroits avec l'autorité de surveillance, qui lui apporte son soutien, et dont il constitue le premier interlocuteur.

A noter qu'aux termes de la directive, le pouvoir du délégué est important puisque :

- pour les traitements soumis au régime déclaratif, la désignation d'un "détaché" dispense le responsable de l'obligation de déclaration ; c'est alors à ce détaché, conformément à l'exemple allemand, être le garant de l'application, par l'entreprise ou l'organisme public, de la législation en vigueur en matière de protection des données. Le détaché a, dans ce cadre, la responsabilité de tenir le registre des traitements effectués par l'entreprise ou l'organisme auquel il est rattaché ;

- s'agissant des traitement soumis à examen préalable, c'est au détaché (article 20-2 de la directive) qu'il incombe d'effectuer cet examen. La directive prévoit seulement qu"'en cas de doute", il "doit consulter l'autorité de contrôle", ce qui en l'absence de toute autre précision, lui laisse une grande marge de manoeuvre, y compris dans ses rapports avec l'autorité de contrôle.

Ce système appelle les observations suivantes :

• dans le principe, il est séduisant en ce qu'il représente un exemple extrême de décentralisation de l'instance de contrôle, et par-là même de multiplication des compétences et de diffusion du savoir faire en matière de protection des données. Comme le note le document de présentation de la loi fédérale relative à la protection des données : "L'expérience acquise dans le domaine de la protection des données est positive. Il existe deux associations professionnelles. Le profil professionnel du délégué est également reconnu par la jurisprudence. La presse spécialisée est abondante, les possibilités de formation initiale et de formation continue sont multiples et de nombreux congrès sont organisés".

• mais sa transposition dans le contexte français supposerait que soient résolus de manière satisfaisante deux problèmes redoutables :

. celui de l'indépendance du délégué par rapport à l'entreprise ou l'organisme auquel il est rattaché ;

. celui de la nature du lien qui le relie à l'autorité de contrôle, et de l'articulation de son rôle avec celui de cette autorité. Par-là même se trouve posé le problème du statut du détaché, qui dans notre contexte, serait totalement à inventer.

C'est pourquoi il nous paraît douteux que puisse être transposé, pour le moment, le système du délégué à la protection des données dans le contexte français. Mais il n'est pas pour autant interdit d'envisager une évolution progressive dans cette direction. Cela pourrait commencer par la désignation, dans chaque entreprise, collectivité ou organisme public, d'un correspondant fonctionnel de l'autorité de contrôle, chargé de suivre plus particulièrement l'ensemble des questions relatives à l'application de la loi sur la protection des données, et d'en rendre compte, le cas échéant, à l'autorité de contrôle. Dans les ministères, existent déjà les "correspondants CNIL", dont le rôle pourrait être renforcé dans le même sens.

Par ailleurs, l'analyse du système du détaché à la protection des données n'épuise pas toutes les questions relatives à l'organisation du contrôle, et la transposition de la directive pourrait être l'occasion de réfléchir à nouveau sur une éventuelle déconcentration de la CNIL sur le modèle des comités techniques régionaux (CTR) du CSA. Sous réserve que cette question puisse être traitée par le pouvoir réglementaire sur habilitation législative, la réflexion pourrait donc se poursuivre parallèlement à la mise au point du texte de transposition. La question mérite à notre sens d'être sérieusement posée : est-il véritablement réaliste de continuer à faire reposer tout le système de contrôle - même réorienté dans le sens du contrôle a posteriori - sur un organisme central unique ? La recherche devrait porter : sur l'échelon territorial pertinent (la région probablement) ; sur la composition de l'instance locale (on pense a priori aux magistrats, mais il faut songer à une pluralité de compétences).

Il ne s'agirait en aucune manière de multiplier des autorités de contrôle indépendantes, appliquant chacune sa propre doctrine. Un lien fort devrait être maintenu avec l'autorité de contrôle centrale, permettant de maintenir l'homogénéité de la pratique dans l'application de la loi. Dans le même temps, l'autorité centrale serait désengorgée, et pourrait dégager les ressources d'une animation des instances régionales.

Il faut noter toutefois que ce système n'est pas exactement compatible avec celui du détaché à la protection des données, tel qu'il fonctionne par exemple dans le modèle allemand. Il faudra donc nécessairement faire un choix.

4 - Procédure

La déclaration d'un traitement donne lieu à délivrance d'un récépissé. Il y a lieu d'en préciser les modalités, notamment en ce qui concerne les délais, par des dispositions réglementaires de procédure qui compléteront celles de la loi. De ces dispositions il devra ressortir qu'aucun contrôle a priori ne peut être réintroduit dans le cadre de l'application du régime déclaratif. Le récépissé ne devrait pouvoir être refusé que dans des cas très précis, tenant à l'insuffisance de la composition du dossier, sans qu'il soit possible à ce stade d'apprécier la conformité du traitement envisagé aux dispositions de fond de la loi.

5 - Fichiers manuels

L'obligation de notification au sens de la directive s'applique aux traitements entièrement ou partiellement automatisés (article 18-1). En revanche, s'agissant des traitements non automatisés de données à caractère personnel, la directive dispose seulement que les Etats membres peuvent prévoir que ces traitements ou certains d'entre eux font l'objet d'une notification éventuellement simplifiée. Il n'y a donc pas d'obligation, et ce point doit être examiné en opportunité. Aux termes de la directive, la règle paraît être celle de l'absence de notification, et tel est le cas sous le régime de la loi du 6 janvier 1978 (article 45), qui n'impose aucune formalité de procédure aux responsables de fichiers manuels, mais seulement de se mettre en conformité avec certaines dispositions de fond de la loi.

De la consultation préalable, une forte tendance se dégage en faveur de ce statu quo : c'est-à-dire de l'absence d'obligation de notification. La position inverse est généralement justifiée par le souci d'éviter tout contournement de la loi par le recours à un fichier manuel là où un traitement automatisé entrerait dans le champ d'application de la loi. A vrai dire, eu égard à la diffusion de l'informatisation, ce risque paraît assez faible, mais on ne peut exclure, à la marge, des comportements d'évitement de ce genre.

Nous pensons donc qu'il n'y aurait lieu, ni d'exclure par principe toute notification de fichiers manuels, ni d'imposer de manière générale cette notification. La loi pourrait renouer à un décret en Conseil d'Etat la détermination des catégories de fichiers manuels qui seraient soumis à déclaration, sous réserve que le pouvoir réglementaire en ait la possibilité constitutionnelle : mais c'est sans doute une question de formulation de l'habilitation législative. Cette énumération limitative comprendrait au moins les fichiers correspondant à des traitements qui lorsqu'ils sont automatisés, sont soumis à examen préalable de l'autorité de contrôle. En tout état de cause, la formalité de notification des fichiers manuels devrait être simplifiée.

6 - Points particuliers

Pour des raisons d'allégement et de simplification, la loi de transposition devrait prévoir, conformément aux possibilités ouvertes par la directive aux 3 et 4 de l'article 18 :

• une exonération de déclaration pour les traitements ayant pour seul objet la tenue d'un registre destiné, en vertu des des dispositions législatives ou réglementaires, à l'information du public et ouvert à la consultation ;

• une simplification de la notification pour les traitements effectués dans le cadre de leur objet par une fondation, une association, "ou tout autre organisme à but non lucratif et à finalité politique, philosophique, religieuse ou syndicale", lorsque ces traitements répondent aux caractéristiques mentionnées par la directive (se rapporter aux seuls membres de l'organisme ou aux personnes entretenant avec lui des contacts réguliers liés à sa finalité, etc.).

Contactez-nous : info@celog.fr

Retour à l'index