Renforcement du droit à la vie privée et au respect de l'identité, augmentation des contrôles a posteriori… autant de domaines où la CNIL souhaite renforcer son action.

Les conférences organisées dernièrement par Ernst & Young Société d’Avocats avec la participation d’Alex Türk, président de la CNIL, ont permis de faire le point sur les orientations de la CNIL en matière de politique de contrôle et de promotion de la réglementation de la protection des données à caractère personnel.

L’accent a été mis sur le contexte de plus en plus intrusif des nouvelles technologies (RFID, dispositifs biométriques, procédés de géo-localisation des biens et des personnes…) et la pression de droits étrangers, notamment nord-américain, qui comportent une approche de la protection de la vie privée différente de l’approche européenne. Ont été rappelées les orientations de la politique de la CNIL, attentive à la recherche d’un équilibre vertueux entre la protection des libertés fondamentales, notamment le droit à la vie privée, et les évolutions technologiques. A cet égard, il a été fait mention de la volonté de la CNIL de faire consacrer au niveau constitutionnel, à l’instar de nombreux pays européens, le droit à la vie privé et au respect de l’identité.
L’accent a également été mis sur la simplification des formalités déclaratives qui est indissociable d’un renforcement des contrôles a posteriori. Dans cette optique, la CNIL s’est fixée un objectif de 1.000 contrôles par an (comme c’est le cas en Espagne) contre environ 200 actuellement. Cette approche s’accompagne aussi d’une vigilance accrue de la CNIL sur les modalités de son action, compte tenu de la reconnaissance récente par le Conseil d’Etat de son statut de « juridiction » au sens de l’article 6-1 de la Convention européenne de sauvegarde des droits de l’homme et des libertés fondamentales. Le rappel a été fait de l’éventail assez large des moyens d’actions de la CNIL : pour l’essentiel, mise en demeure, avertissement publié dans la presse, verrouillage du système informatique, sanctions pécuniaires pouvant aller jusqu’à 300.000 euros en cas de manquement réitéré, transmission au pénal des poursuites ou la possibilité de saisir le premier ministre en vue de la destruction immédiate du système informatique (jamais utilisé en pratique).

Parmi les autres chantiers prioritaires de la CNIL, il a été insisté sur l’impulsion que la CNIL, entendait donner, notamment à l’occasion de la présidence française de l’Union Européenne, au développement des Binding Corporate Rules, outil destiné à faciliter les transferts de données à caractère personnel dans les groupes multinationaux.

L’échange sur les bonnes pratiques en matière de conformité à la loi Informatique et Libertés, a permis de mettre en exergue le rôle particulièrement important des CIL (Correspondant Informatique et Liberté) et des actions de sensibilisation dans les entreprises. Pour autant la question de la clarification des responsabilités du CIL reste une interrogation. Aujourd’hui, l’ambiguïté qui entoure sa responsabilité personnelle explique, en partie, l’hésitation des entreprises quant à sa désignation. Selon notre expérience, il est possible de traiter, dès aujourd’hui, cette problématique en donnant plus de lisibilité à son action et à son articulation avec les autres fonctions impliquées (juridique, informatique, conformité, contrôle interne…). Sur l’épineuse question des effets collatéraux en matière de non-conformité Informatique et Libertés, un point a été fait sur la jurisprudence sociale, rappelant en particulier que le licenciement d’un salarié qui avait refusé de se soumettre aux règles de contrôle d’accès dans son entreprise avait été invalidé car son employeur n’avait pas déclaré le dispositif concerné à la CNIL.

Par Fabrice Nafalski - Avocat Associé - (17/06/2008)