Fichiers non déclarés, responsabilité engagée Sylvain Staub, Avocat à la Cour, et Emmanuelle Ressmann, Attorney at law, Cabinet Staub & Associés

Très récemment, deux décisions majeures et un projet de loi capital ont rappelé avec force l’obligation pour toute entreprise de déclarer ses traitements automatisés de données personnelles.

Par un arrêt du 25 février 2004, la Cour d’appel de Lyon a pénalement condamné le responsable d’un site web pour ne l’avoir pas déclaré dés sa création. Par un arrêt du 6 avril 2004, la Cour de cassation a refusé de retenir une cause réelle et sérieuse au licenciement d’un salarié qui n’avait pas utilisé son badge d’entreprise, en raison de l’absence de déclaration du fichier y afférent.

Enfin, le projet de loi adopté en deuxième lecture le 29 avril 2004 par l’Assemblée Nationale devrait très prochainement permettre de modifier la fameuse loi « informatique et libertés » de 1978, notamment en alourdissant la responsabilité des sociétés et de leurs dirigeants et en conférant à la Commission nationale de l’informatique et des libertés (CNIL) de nouveaux pouvoirs de sanction.

La non déclaration des sites web sanctionnée par les tribunaux

L’arrêt de la Cour d’appel de Lyon du 25 février 2004 est le premier à porter sur les déclarations de sites web. Les sites web doivent en effet être déclarés, dés lors qu’ils contiennent des données permettant d’identifier une personne physique ou permettent la collecte de données personnelles, telles que les adresses électroniques.

Au même titre que les fichiers clients, fournisseurs, salariés, et traitement PABX ou ERP, les sites web entraînent dans la plupart des cas une déclaration préalable auprès de la CNIL. Bien plus, il convient de s’assurer de la mise à jour de cette déclaration en cas d’évolution, souvent fréquente, des sites web.

Les fichiers non déclarés ne peuvent servir de moyen de preuve devant les tribunaux

L’arrêt de la Cour de cassation du 6 avril 2004 rappelle que c’est préalablement au traitement de données nominatives qu’un fichier informatique doit être déclaré auprès de la CNIL. Bien qu’une déclaration postérieure à la création du fichier informatique soit toujours possible, elle est dépourvue de tout effet rétroactif et ne saurait donc valider l’utilisation illicite du fichier et des données personnelles.

En conséquence, l’absence de déclaration préalable du traitement automatisé de données personnelles a pour effet de rendre irrecevables les preuves qui en sont issues. C’est ainsi que le licenciement d’un salarié fondé sur des éléments de preuve issus de fichiers non déclarés a fréquemment été considéré comme sans cause réelle et sérieuse (Cour cass., 20 novembre 1991 - CPH Paris, 13 janvier 2000).

La particularité de cet arrêt de Cour de cassation est d’avoir condamné la société, alors même que le salarié connaissait, au travers du règlement intérieur, l’existence du système de contrôle par badges, ainsi que l’obligation d’utiliser le badge à cet effet. Cette décision peut sembler sévère puisque le salarié, parfaitement informé, avait sciemment et en toute connaissance de cause enfreint par 19 fois le règlement intérieur. Cependant, elle fait en réalité une stricte application de l’article 226-16 du Code pénal. En effet, en matière de traitement de données nominatives au sein de l’entreprise, le respect des obligations de transparence et d’information ne dispense pas pour autant le dirigeant des obligations de déclaration préalable.

En outre, en application de la loi « informatique et libertés », l’intéressé doit être informé du caractère obligatoire ou facultatif des réponses, des conséquences d’un défaut de réponse, des destinataires des données collectées et de l’existence d’un droit d’accès et de rectification aux données collectées (CA Paris, 31 mai 1995 - Cour cass., 14 mars 2000). Dans l’entreprise, ceci pourra notamment être porté à la connaissance des salariés au travers du contrat de travail et du règlement intérieur. Par ailleurs, tout gestionnaire de fichier nominatif doit recueillir le consentement de l’intéressé lors de la collecte de données personnelles, la collecte déloyale ou frauduleuse, notamment à l’insu de l’intéressé, étant illicite.

Un renforcement des moyens de sanctions

Les entreprises, ainsi que leurs dirigeants, encourent jusqu’à 5 ans d’emprisonnement et 300.000 euros d’amende en cas de violation des dispositions pénales de la loi de 1978. La mise en cause de la responsabilité pénale des sociétés et de leurs dirigeants supposait toutefois que la CNIL dénonce l’infraction auprès du Procureur de la République.

Désormais, si dans les prochaines semaines le Sénat adopte de manière conforme en deuxième lecture le texte voté le 29 avril 2004 par l’Assemblée Nationale, le pouvoir de sanction de la CNIL sera très largement renforcé.

La CNIL pourra directement prononcer des sanctions pécuniaires pouvant atteindre 150.000 euros, et 5% du bénéfice hors taxe de la société plafonnées à 300.000 euros en cas de récidive. Les tribunaux pourront par ailleurs condamner un responsable de fichier, alors même qu’il aura déjà fait l’objet de sanctions prononcées par la CNIL (Cour cass., 19 décembre 1995).

A ce jour déjà, et en plus de leur responsabilité pénale, les entreprises peuvent engager leur responsabilité civile et être condamnées à des dommages et intérêts, dés lors qu’un préjudice personnel et direct résulte d’une infraction à la loi « informatique et libertés » (CA Agen, 1er octobre 1997 - TGI Paris, 17 novembre 2000).

Un audit juridique précis des fichiers informatiques, existants ou en projet, est en conséquence indispensable afin de permettre la mise en place interne d’une véritable politique de gestion des fichiers nominatifs. Il en va de la protection des entreprises, de leurs dirigeants et plus généralement des gestionnaires de fichiers.

Cabinet Staub & Associés