par Jean FRAYSSINET Professeur à l Université Paul Cézanne - Aix-Marseille III Directeur de l IREDIC



Documents pareils
Les données à caractère personnel

LES OUTILS. Connaître et appliquer la loi Informatique et Libertés

Vu la Loi n du 23 décembre 1993 relative à la protection des informations nominatives, modifiée ;

CODE DE DEONTOLOGIE DE LA COMMUNICATION DIRECTE ELECTRONIQUE

REGLES INTERNES AU TRANSFERT DE DONNEES A CARACTERE PERSONNEL

«Marketing /site web et la protection des données à caractère personnel»

Les fiches déontologiques Multicanal

Commission nationale de l informatique et des libertés

Cadre juridique de la Protection des Données à caractère Personnel

CODE PROFESSIONNEL. déontologie

des données à caractère personnel A. Les cinq principes clefs à respecter Page 2 Fiche n 1 : Les fichiers relatifs aux clients Page 13

JE MONTE UN SITE INTERNET

FICHE N 2 LA GESTION COMMERCIALE DES CLIENTS ET PROSPECTS POUR LE SECTEUR DES ASSURANCES (NS 56)

CHARTE DE L ING. Code relatif à l utilisation de coordonnées électroniques à des fins de prospection directe

DELIBERATION N DU 20 MAI 2015 DE LA COMMISSION DE CONTROLE

GUIDE DE LA GÉOLOCALISATION DES SALARIÉS. Droits et obligations en matière de géolocalisation des employés par un dispositif de suivi GSM/GPS

Quelles nouveautés pour les rapports à présenter à l assemblée générale ordinaire annuelle?

COMMUNICATION POLITIQUE ObligationS légales

Règlement d INTERPOL sur le traitement des données

CODE PROFESSIONNEL. déontologie. Code de déontologie sur les bases de données comportementales

Les bases de données clients dans le cadre du commerce B2B : Quelques aspects juridiques

Photos et Droit à l image

Charte d'hébergement des sites Web sur le serveur de la Mission TICE de l'académie de Besançon

Guide de la pratique sur les réserves aux traités 2011

Délibération n du 27 septembre 2010

PRINCIPES GENERAUX ET CRITERES ORDINAUX D APPLICATION DE L ARTICLE L DU CODE DE LA SANTE PUBLIQUE

Directive cadre du groupe. Protection des données des clients et des partenaires.

(Document adopté par la Commission le 19 janvier 2006)

Être plus proche, mais pas à n importe quel prix

France Luxembourg Suisse 1

CENTRE DE RECHERCHE GRENOBLE RHÔNE-ALPES

CHARTE DES BONS USAGES DES MOYENS NUMERIQUES DE L UNIVERSITE

Code approuvé par l Assemblée Générale Ordinaire annuelle du 30 mai 2005

DÉCISION DEC022/2015-A001/2015 du 1 er juillet 2015

Jurisanimation.fr Tous droits réservés. Les docs de LA RESPONSABILITE DU DIRECTEUR D ACM

1. Procédure. 2. Les faits

Convention sur la réduction des cas d apatridie

FICHE N 8 - LES ACTIONS EN RECOUVREMENT DES CHARGES DE COPROPRIETE

Sommaire. 1. Préambule

L EVALUATION PROFESSIONNELLE

LOI N portant Code des Postes

Le Traitement des Données Personnelles au sein d une Association

LETTRE CIRCULAIRE N

La délégation de pouvoirs

- La mise en cause d une personne déterminée qui, même si elle n'est pas expressément nommée, peut être clairement identifiée ;

le Fichier central des chèques (FCC) et le Fichier national des chèques irréguliers (FNCI),

LOI N DU 7 MARS 1961 déterminant la nationalité sénégalaise, modifiée

BULLETIN OFFICIEL DU MINISTÈRE DE LA JUSTICE n 102 (1 er avril au 30 juin 2006)

Loi n du 7 juillet 1993 relative à la participation des organismes financiers à la lutte contre le blanchiment de capitaux

Les responsabilités à l hôpital

CHARTE D UTILISATION DU SYSTÈME D INFORMATION ET EN PARTICULIER DES RESSOURCES INFORMATIQUES.

CONDITIONS GENERALES YOUSIGN v1.4 A - CONDITIONS APPLICABLES A TOUTES LES PRESTATIONS YOUSIGN

Décrets, arrêtés, circulaires

DROIT AU DEREFERENCEMENT

Commission nationale de l informatique et des libertés

Conditions d'utilisation de la plateforme Défi papiers

GUIDE LA PUB SI JE VEUX!

Le CHARTE DE BON USAGE DES RESSOURCES INFORMATIQUES DU

Quelles sont les informations légales à faire figurer sur un site Internet?

Continuité d activité. Enjeux juridiques et responsabilités

Extension de garantie Protection juridique

CHARTE D HEBERGEMENT DES SITES INTERNET SUR LA PLATE-FORME DE L ACADEMIE DE STRASBOURG

Agrément des hébergeurs de données de santé. 1 Questions fréquentes

Les nouveaux guides de la CNIL. Comment gérer des risques dont l impact ne porte pas sur l organisme

Charte d'hébergement des sites Web

SÉNAT PROPOSITION DE LOI

MINISTÈRE DU TRAVAIL, DE L EMPLOI ET DU DIALOGUE SOCIAL CONVENTIONS COLLECTIVES. Convention collective nationale IDCC : CABINETS DENTAIRES

Article 1. Enregistrement d un nom de domaine

RÈGLEMENT COMPLET DU CONCOURS "LA CRÈME DES LIMOUSINS" LA LAITERIE DES LIMOUSINS DEPUIS Reglement CONCOURS.indd 1 09/03/ :36

Politique de conformité relative à la lutte contre la corruption et la Loi sur les manœuvres frauduleuses étrangères

Délivrance de l information à la personne sur son état de santé

Charte d hébergement de site web

LOI ALUR : Quoi de nouveau dans les copropriétés?

T : F : info@cms-bfl.com Neuilly-sur-Seine, le 14 décembre 2011

LETTRE D INFORMATION IMMOBILIER

Décrets, arrêtés, circulaires

LA DÉCISION D'URGENCE PROPOS INTRODUCTIFS

Les Cahiers du Conseil constitutionnel Cahier n 24

CODE DE CONDUITE ET D ÉTHIQUE DES ADMINISRATEURS

ALGERIE Loi de finances complémentaire pour 2009 Mesures fiscales

DU CORRESPONDANT INFORMATIQUE ET LIBERTES

Nous constatons de nos jours

Loi n du relative à la protection des données à caractère personnel

Conditions Générales de Vente Internet. 7, rue Alfred Kastler CAEN. informatiquetélécominternet

Charte de nommage du «.tn»

TABLE DES MATIERES. Section 1 : Retrait Section 2 : Renonciation Section 3 : Nullité

La responsabilité juridique des soignants

SITES INTERNET CREATION ET FONCTIONNEMENT D UN SITE INTERNET POUR UN LABORATOIRE DE BIOLOGIE MEDICALE

Réponses aux questions de la page 2 du questionnaire RESPONS sur la responsabilité sociale des cadres

WIPO/GRTKF/IC/7/3 ANNEXE I

Commentaire. Décision n QPC du 29 janvier Association pour la recherche sur le diabète

Conférence des Cours constitutionnelles européennes XIIème Congrès

Projet de loi n o 30 (2003, chapitre 25)

CODE DE CONDUITE DES AGENTS IMMOBILIERS CHARTE DE DÉONTOLOGIE

CONDITIONS GENERALES DE VENTE DE LA LICENCE SERVEUR

RÈGLEMENT. sur la collaboration avec les intermédiaires

Communication sur l'obligation faite aux banques d'établir une convention de compte au bénéfice de leur clientèle

LETTRE CIRCULAIRE n

ACCORD DU 24 JUIN 2010

Transcription:

LA LOI INFORMATIQUE, FICHIERS ET LIBERTÉS MODIFIÉE ET LES ORGANISMES DE PRESSE ÉCRITE ET AUDIOVISUELLE par Jean FRAYSSINET Professeur à l Université Paul Cézanne - Aix-Marseille III Directeur de l IREDIC La relation entre les droits consacrés des personnes physiques et l activité des organismes de presse écrite et audiovisuelle est constante, évidente et fréquente à travers les notions de protection de la vie privée, du droit à l image, des infractions attachées à la loi du 29 juillet 1881 sur la liberté de la presse, des principes établis à l article 1 er de la loi du 30 septembre 1986 relative à la liberté de communication applicable au secteur audiovisuel, à travers aussi le respect de nombreuses dispositions du droit pénal, du droit du travail, du droit de la consommation etc. Les règles, et les jurisprudences rattachées, sont en définitive nombreuses, variées quant à la valeur sociale protégée, à leur champ d application qui peut parfois se combiner et se cumuler ; cela constitue même une difficulté pour la compréhension et la maîtrise du droit applicable pour les praticiens comme pour la doctrine. Dans ce contexte, il est frappant de constater l absence de prise en considération des rapports pourtant obligatoires entre les droits et obligations qui découlent de la loi du 6 janvier 1978 relative à l Informatique, aux fichiers et aux libertés, texte qui doit être considéré à la lumière de la doctrine d interprétation et d application de la Commission nationale de l informatique et des libertés (CNIL), et les différentes formes d activité des organismes de presse écrite et audiovisuelle, pour reprendre le vocable relativement flou utilisé à l article 67 de ladite loi. L occasion est offerte de rectifier ce manque d intérêt injustifié à travers le vote de la loi n 2004-801 du 6 août 2004 relative à la protection des personnes physiques à l égard des traitements de données à caractère personnel et modifiant la loi n 78-17 du 6 janvier 1978 relative à l informatique, aux fichiers et libertés. Votée avec un grand retard, la loi du 6 août 2004 avait pour objet principal de transposer dans le droit français les dispositions de la directive 95/28/CE du 24 octobre 1995 relative à la protection des personnes physiques à l égard du traitement des données à caractère personnel et à la libre circulation de ces données. La directive tend à l application du droit commun de la protection des données personnelles aux organismes de presse écrite et audiovisuelle. Seul son article 9 donne la possibilité aux Etats de prévoir des 1

exemptions et dérogations aux règles générales uniquement en faveur «des traitements de données à caractère personnel effectués aux seules fins de journalisme ou d expression artistique ou littéraire». On retrouve ceci à travers l article 67 de la loi de 1978 modifiée. La loi du 6 août 2004 n abroge pas la loi du 6 janvier 1978 qui reste la référence de droit positif ; par contre il y a une réécriture formelle du texte même dans les cas de conservation des règles de fond ; aussi on parlera de la loi du 6 janvier 1978 modifiée qui sur bien des points essentiels reste dans l esprit du texte originaire. Il y a évolution dans la continuité et non pas rupture entre les deux versions de la loi Informatique, fichiers et libertés, y compris en ce qui concerne la CNIL. Pour l application de la loi modifiée est intervenu le décret n 2005-1309 du 20 octobre 2005 qui a précisé certaines règles et procédures. L objectif de la loi reste inchangé à travers la permanence de son article 1 er. Il s agit d empêcher que les traitements manuels et automatisés des données à caractère personnel portent atteinte à l identité humaine, aux droits de l homme, à la vie privée, aux libertés individuelles ou publiques des personnes physiques ; la directive (art. 1 er ) vise «la protection des droits et libertés fondamentaux des personnes physiques, notamment de leur vie privée». La loi de 1978 modifiée crée des droits spécifiques en faveur des personnes physiques concernées par les données à caractère personnel traitées et des obligations particulières pour le responsable juridique du traitement manuel ou automatisé mis en œuvre. Cet ensemble normatif, dont la violation débouche sur la responsabilité civile et pénale du responsable du traitement, doit être impérativement pris en compte chaque fois qu un organisme de presse écrite ou audiovisuelle, pour des utilisations aux finalités nombreuses, diversifiées, à risques ou non, communes ou particulières, simples ou complexes, entendra traiter des données personnelles contenues dans trois principaux gisements internes : les données relatives aux abonnés, clients et aux bénéficiaires de services divers ; les données relatives à la gestion du personnel ; les données utilisées pour l accomplissement des activités journalistiques (I). On examinera en outre, l intérêt présenté par une nouveauté créée en 2004 dont peuvent bénéficier les organismes de presse écrite et audiovisuelle : l institution volontaire de correspondants à la protection des données personnelles (ou correspondant informatique et libertés CIL) qui fera apparaître la spécificité de certaines règles de la loi de 1978 modifiée lorsqu elles s appliquent à certaines activités des organismes de presse écrite ou audiovisuelle (II). 2

I / L INCONTOURNABLE APPLICATION DE LA LOI DU 6 JANVIER 1978 MODIFIÉE AUX ORGANISMES DE PRESSE On conçoit mal comment un organisme de presse écrite (papier ou électronique) ou audiovisuelle peut fonctionner sans que soient utilisées des données de toutes significations qui directement ou indirectement peuvent être rapportées à des personnes physiques identifiées ou identifiables. Il suffit que ces données à caractère personnel soient gérées, traitées, par un fichier manuel ou par un moyen automatique (ordinateur ou autres machines, comme un autocommutateur téléphonique ou une badgeuse électronique ou à travers des applications variées sur l internet, nécessitant la collecte de données personnelles), en dehors du strict cadre de la vie personnelle d un individu, pour que le responsable du traitement se situe obligatoirement dans le champ d application de la loi du 6 janvier 1978 modifiée. Mais il ressort que les règles à respecter seront différentes selon que le traitement banal ou complexe des données personnelles a pour finalité d assurer la gestion des organismes de presse ou sert de support à leur activité éditoriale journalistique. A L application des règles du droit commun aux traitements des données personnelles à finalité de gestion Concrètement les données personnelles concernées sont celles relatives à la gestion des abonnés-clients de la presse écrite, audiovisuelle ou électronique, celles liées à des actions individualisées de promotion, d actions, de services et de prospection commerciale par tous moyens y compris par internet, et les services rattachés (envoi d articles archivés, recherche et envoi d informations ou d émissions profilées selon des critères déterminés à la personne, etc ). Ce sont aussi toutes les informations relatives à la gestion des personnels de toute nature et des actionnaires par exemple. Le traitement de ces données personnelles par des fichiers manuels ou des moyens automatiques par un responsable établi sur le territoire français, termes entendus au sens des définitions contenues dans les articles 2 et 3 de la loi de 1978 modifiée, doivent, pour être légaux, respecter les règles de la loi informatique, fichiers et libertés, interprétées par la CNIL et le juge. En cas de manquement, le responsable du traitement pourra voir sa responsabilité civile et sa responsabilité pénale engagées (essentiellement les articles 226-16 à 226-24 du code pénal, prévoyant pour les délits une peine de cinq ans d emprisonnement et de 300 000 euros d amende et les articles R 625-9 à 13 du code pénal pour les sanctions contraventionnelles). Sur le fond des règles, qu on ne fera que survoler, il existe malgré des différences parfois notables une 3

large continuité d esprit entre les droits et obligations institués par la loi de 1978 avant et après sa révision en 2004. La personne concernée par les données traitées (l abonné, l internaute identifié, comme un membre du personnel) a le droit d obtenir librement sans justification des renseignements sur le traitement de la part du responsable du traitement (finalité, nature des données traitées, destinataires), de savoir si le traitement comprend des données le concernant, d accéder aux données et de se les voir communiquer par délivrance d une copie, de contester leur légalité, qualité et véracité pour provoquer leur rectification ou effacement ; en cas de désaccord c est au responsable du traitement de supporter la charge de la preuve, de la légalité et de la qualité du traitement des données (articles 39 et 40 de la loi modifiée). La personne concernée dispose aussi du droit de s opposer pour des raisons légitimes à ce que des données personnelles la concernant fassent l objet d un traitement ; ainsi par exemple un abonné pourra explicitement s opposer à la cession de ses données quand le journal cèdera tout ou partie de son fichier d abonnés à un tiers ou s opposer à des actions de prospection notamment commerciale. Le droit d opposition sera renforcé pour les données personnelles relatives au personnel figurant sur le site internet de l organisme de presse par exemple, mais il ne s applique pas si le traitement répond à une obligation légale (article 38). Pour sa part le responsable du traitement est tenu au respect de multiples obligations. Un traitement ne peut porter que sur des données personnelles collectées et traitées de manière loyale et licite, pour des finalités déterminées, explicites et légitimes. Les données doivent être adéquates, pertinentes et non excessives, conservées pour un temps lié à la réalisation de la finalité ou au respect de dispositions légales ; elles doivent être exactes, complètes, mises à jour (article 6). Le traitement doit avoir reçu le consentement de la personne concernée sauf exception (exécution d un contrat ou de mesure contractuelle par exemple) ou correspondre à l intérêt légitime de son responsable à mettre en équilibre avec les droits et libertés des personnes concernées (article 7). Il est interdit de collecter ou de traiter, sauf avec le consentement exprès de l intéressé ou si celui-ci les a rendues publiques, les données faisant apparaître, directement ou indirectement, les origines raciales ou ethniques, les opinions politiques, philosophiques ou religieuses ou l appartenance syndicale des personnes ou qui sont relatives à la santé ou à la vie sexuelle de celles-ci (article 8). Il est aussi interdit de traiter les données personnelles relatives aux infractions et condamnations des personnes (article 9). Au moment de la collecte des données, ou si les données sont cédées à des tiers, il faut donner aux personnes certaines informations (article 32) qui doivent aussi figurer sur les questionnaires et formulaires papier ou électroniques. 4

Le responsable du traitement est tenu par une lourde obligation de moyen imporsant de prendre toutes précautions utiles pour préserver la sécurité des données personnelles traitées contre les risques internes et externes, en particulier pour que des tiers non autorisés ne puissent pas y accéder ou les endommager (article 34). Pour être légaux, les traitements automatisés de données personnelles doivent faire l objet, préalablement à leur mise en œuvre, des formalités de déclaration ou de demande d autorisation auprès de la CNIL, sous peine de sanction pénale pour le responsable du traitement (chapitre IV). Selon les cas, les traitements automatisés des organismes de presse pourront relever des cas de dispense de déclaration établis par la CNIL, de déclaration simple (article 23), de déclaration simplifiée (article 24) (gestion du personnel : norme simplifiée n 46 ; contrôle d accès au locaux et horaires : n 42 ; fichier client et prospect : n 48 ; téléphone-autocommutateur : n 43 ; gestion d adresses, envoi d informations, sauf sollicitation commerciale : n 15 ) ou d un régime d autorisation (article 25). Enfin le transfert des données personnelles de gestion vers des Etats n appartenant pas à la Communauté européenne n est possible que vers les Etats assurant un niveau de protection suffisant au regard des règles européennes ou avec le consentement exprès de la personne concernée, ou pour l exécution d un contrat ou de mesures précontractuelles ou dans le cadre d engagements contractuels de protection pris par l organisme étranger traitant les données (chapitre XII). La CNIL, autorité administrative indépendante et pièce maîtresse de la loi informatique, fichiers et libertés, garde la même composition et ses compétences variées (article 11). Elle peut toujours se saisir elle-même ou être saisie par simple plainte individuelle de tout manquement à la loi et son pouvoir d investigation sur le terrain est encadré pour le respect des droits de la défense. Son niveau de collaboration avec les organismes professionnels est renforcé pour l élaboration notamment de règles de conduite homologuées (chapitres III et VI). Elle peut dénoncer au Parquet les infractions constatées, adresser des avertissements et mises en demeure et même maintenant prononcer de lourdes sanctions financières sous le contrôle du juge (chapitre VII). 5

B Les règles spécifiques aux traitements de données à caractère personnel aux fins de journalisme et d expression littéraire et artistique Le texte originaire de la loi du 6 janvier 1978 prévoyait dans un article 33 que certaines règles ne s appliquaient pas «aux informations nominatives traitées par les organismes de la presse écrite ou audiovisuelle dans le cadre des lois qui les régissent et dans les cas où leur application aurait pour effet de limiter l exercice de la liberté d expression» dans le souci d empêcher que le droit de la protection des données personnelles vienne imposer des contraintes et limites excessives à la liberté d expression et à la liberté de la presse. La CNIL, par la délibération n 95-012 du 24 janvier 1995, émettait en ce sens une recommandation relative aux données personnelles traitées ou utilisées par des organismes de la presse écrite ou audiovisuelle à des fins journalistiques et rédactionnelles. On retrouve la même intention du législateur de concilier des libertés fondamentales dans la loi du 6 janvier 1978 modifiée par la loi du 6 août 2004 à travers un nouveau chapitre XI : Traitements de données à caractère personnel aux fins de journalisme et d expression littéraire et artistique composé du seul article 67 dont le contenu est proche de celui de l ancien article 33. Il est prévu que le 5 de l article 6, les articles 8, 9, 22, les 1 et 3 du I de l article 25, les articles 32, 39, 40 et 68 à 70 de la loi modifiée ne s appliquent pas aux traitements de données personnelles, que le traitement soit manuel ou automatisé, mis en œuvre aux seules fins d expression littéraire et artistique (ce qui concerne le secteur de l édition et la presse du secteur désigné) ou «d exercice, à titre professionnel, de l activité de journaliste, dans le respect des règles déontologiques de cette profession». Cette expression est peu heureuse puisque plus que la personne du journaliste c est la fonction éditoriale du secteur de la presse écrite et audiovisuelle qui est visée ; c est pourquoi nous estimons que la qualité de journaliste doit être entendue au sens large, les photographes de presse, les pigistes étant par exemple concernés. La terminologie de l article 67 de la loi de 1978 modifiée doit être à l évidence rapprochée de celle de l article L 761-2 du code du travail donnant les critères caractérisant le journaliste professionnel, avec toutes les incertitudes qu on connaît reflétées par la jurisprudence. Par souci de cohérence, on peut espérer que la CNIL, placée dans un contexte différent, ne cherchera pas à appliquer une conception différente de la notion de journaliste professionnel. Pour le journaliste professionnel du secteur de l audiovisuel, il convient de se référer à l article 93 de la loi du 29 juillet 1982 sur la communication audiovisuelle maintenu en vigueur par la loi du 30 septembre 1986 sur la liberté de communication. Par contre, un particulier qui ferait un travail éditorial analogue à celui du journaliste sans le faire à titre professionnel n entrerait pas dans la prévision de l article 67. On observe que dans le cadre de 6

l internet, par le truchement de pages personnelles ou d un blog, des personnes peuvent avoir une activité éditoriale périodique ou non, éventuellement de forte notoriété, sans forcément entrer dans les catégories de publication de presse ou d activité journalistique professionnelle. Se pose la question de l application ou non de l article 67 au blog du journaliste intégré au site de l organisme de presse écrite ou audiovisuelle. Selon nous la réponse est positive, le blog étant alors un traitement lié à la fonction professionnelle journalistique de l intéressé et non à l exercice de sa vie personnelle ; dans le cadre de la vie personnelle il faudra que le responsable du blog se réfère au contenu de la délibération n 1005-285 du 22 novembre 2005 de la CNIL portant recommandation sur la mise en œuvre par des particuliers de sites web diffusant ou collectant des données à caractère personnel dans le cadre d une activité exclusivement personnelle qui sans mettre le blog ou le site personnel en dehors du champ d application du droit commun de la loi de 1978 modifiée le dispense de toute déclaration à la CNIL. Dans l esprit du législateur et de la CNIL, le régime dérogatoire institué à l article 67 ne concerne que les traitements automatisés ou non de données personnelles, entendus au sens de l article 2, alinéa 3 de la loi de 1978 modifiée, directement ou indirectement liés à la fonction éditoriale du journaliste indépendant ou du salarié d un organisme de presse écrite sur papier ou voie électronique ou audiovisuelle (journaux, hebdomadaires, périodiques, agences de presse, chaînes de radio ou de télévision ). Il s agit à l évidence des traitements de textes, d images fixes ou animées attachés à la rédaction mais aussi des traitements supports comme les bases de données documentaires générales et biographiques, les bases d archivage des contenus publiés, l exploitation des fils d actualité au format RSS etc., à la condition d être mis en œuvre exclusivement aux seules fins de l exercice professionnel du journalisme. Il importe peu que les données soient dans un serveur à la disposition de tous les journalistes de la rédaction ou qu elles soient dans un fichier personnel de l ordinateur portable du journaliste. Les traitements automatisés ou les fichiers manuels de données à caractère personnel entrant dans la zone d attraction quelque peu imprécise de l article 67 ne sont pas en dehors du champ d application de la loi informatique, fichiers et libertés modifiée ; ils bénéficient seulement de dérogations précises et compréhensibles pour la protection de la liberté d expression, de presse et de communication audiovisuelle. C est dire a contrario que toutes les dispositions législatives non exclues expressément par l article 67 s appliquent aux traitements de données personnelles liés à l activité 7

professionnelle journalistique, ce qui est une invitation au renforcement de la vigilance des organismes de presse écrite et audiovisuelle. Les responsables des traitements relevant de l article 67 sont ainsi autorisés à conserver les données personnelles traitées sans limite dans le temps (contrairement à l article 6, 5 ), à librement collecter et traiter sans le consentement des intéressés les données à caractère personnel faisant apparaître, directement ou indirectement, les origines raciales ou ethniques, les opinions politiques, philosophiques ou religieuses ou l appartenance syndicale des personnes, ou qui sont relatives à la santé ou à la vie sexuelle des personnes (contrairement à l article 8), à traiter les données relatives aux infractions, condamnations et mesures de sûreté qui frappent les personnes (contrairement à l article 9). Contrairement à l article 32, les personnes concernées par les données traitées n ont pas à être informées lors du recueil des données par le responsable du traitement des renseignements énumérés au dit article (identité du responsable, finalité du traitement, destinataires des données, etc.), ni, contrairement aux articles 39 et 40, obtenir à leur demande les informations énumérées au dit article (droit à la curiosité, figuration personnelle ou non dans le traitement, finalité du traitement, nature des données traitées, destinataire des données ), ni exercer leur droit d accès de communication, de contestation, de rectification (sauf exercice du droit de réponse) ou d effacement des données. Au surplus le transfert de données personnelles vers des Etats n appartenant pas à la Communauté européenne pour y être traitées est libre par dérogation aux articles 68 à 70 de la loi de 1978 modifiée. On constate ainsi combien de dispositions essentielles du droit de la protection des données personnelles sont mises entre parenthèses pour protéger la liberté du journaliste et de l organisme de presse écrite et audiovisuelle. Mais il est bien précisé que le journaliste bénéficie de ces dérogations dans le respect imposé des règles déontologiques de la profession ; on peut aussi y ajouter le respect des règles du code civil, du code pénal et de la loi de 1881, l ensemble venant border en dehors ou en combinaison de la loi de 1978 modifiée l utilisation fautive de données personnelles dans le cadre de l activité journalistique. En ce qui concerne les formalités légales à accomplir préalablement à la mise en œuvre des traitements journalistiques, l article 67 de la loi modifiée contient deux dispositions en leur faveur. D une part, contrairement à la règle énoncée à l article 25 de la loi modifiée, ces traitements automatisés ou non lorsqu ils contiennent les données sensibles visées par les articles 8 et 9 précités de la loi ne sont pas soumis au régime d autorisation délivré par la CNIL puisque ces données, on l a vu, peuvent être traitées librement aux fins exclusives de journalisme. D autre part, les traitements de ce type dérogent à l article 22 de la loi modifiée imposant leur déclaration préalable auprès de la CNIL grâce à l accomplissement des formalités légales. Mais l alinéa 2 de 8

l article 67 de la loi modifiée subordonne cette dérogation à la désignation préalable par le responsable des traitements d un correspondant à la protection des données personnelles ayant des caractéristiques spécifiques. II / UNE FONCTION NOUVELLE DANS L ORGANISME DE PRESSE : LE CORRESPONDANT À LA PROTECTION DES DONNÉES À CARACTÈRE PERSONNEL La création de la fonction de correspondant à la protection des données à caractère personnel (la CNIL utilise aussi le vocable «correspondant informatique et libertés», CIL) est probablement la nouveauté qui a soulevé le plus d intérêt depuis la révision de la loi informatique, fichiers et libertés en 2005. La nouvelle fonction relève pour les organismes de la presse écrite et audiovisuelle de deux dispositions législatives différentes à distinguer nettement, ce qui constitue une originalité du secteur. On observera que déjà dans la délibération n 95-012 du 24 janvier 1995 portant recommandation relative aux données personnelle traitées ou utilisées par des organismes de la presse écrite ou audiovisuelle à des fins journalistiques et rédactionnelles, la CNIL préconisait explicitement la désignation «d une personne, correspondant de la CNIL pour les questions relatives à l application de la présente recommandation», conseil qui fut fort peu suivi Pour les traitements automatisés de données personnelles relatifs à la gestion des clients-abonnés, aux services personnalisés offerts aux internautes, aux actions de prospection et promotion ou attachés à la gestion du personnel par leur finalité, il convient de se référer aux dispositions de l article 22, III, de la loi de 1978 modifiée et au titre III, chapitre 1 er du décret n 2005-1309 du 20 octobre 2005. Pour les traitements automatisés de données à caractère personnel mis en œuvre aux seules fins d expression littéraire et artistique ou surtout aux seules fins d exercice à titre professionnel de l activité de journaliste, il convient alors de se référer aux dispositions de l article 67 de la loi de 1978 modifiée et au chapitre II du titre III du décret du 20 octobre 2005. Il en résulte que selon les finalités des traitements de données à caractère personnel, les organismes de presse écrite et audiovisuelle pourraient disposer de plusieurs correspondants à vocation sectorielle («gestion» ou «presse») sans exclure la possibilité d avoir un seul correspondant couvrant le tout mais en opérant un dédoublement fonctionnel ; les textes ne prennent pas position explicitement sur cet 9

aspect, la CNIL étant prête à adopter une attitude pragmatique et ouverte dans le respect du droit d autant plus que nombre de règles sont communes. A La désignation des correspondants et ses effets Pour les deux types de correspondant, la désignation d un CIL n est pas obligatoire ; elle relève de la seule décision du responsable des traitements automatisés de données personnelles, qualité qui doit être entendue à la lumière de la définition donnée à l article 3, I, de la loi de 1978 modifiée, c est-à-dire la personne généralement morale dans notre contexte qui décide la création du traitement, détermine ses finalités et les moyens employés, quel que soit son statut juridique de droit public ou de droit privé ou sa taille. S inspirant d institutions similaires déjà présentes à l étranger (en Allemagne spécialement), utilisant la possibilité ouverte par l article 18 paragraphe 2 de la directive de 1995 et sous l influence de la CNIL, la loi de 1978 modifiée poursuit un double objectif à travers l institution du CIL. En premier lieu la désignation d un ou plusieurs CIL est textuellement lié, à travers l article 22 III de la loi, à la simplification des formalités préalables à la mise en œuvre des traitements à accomplir auprès de la CNIL qui conditionnent la légalité du traitement sous peine de commettre, y compris par simple négligence, l infraction prévue par l article 226-16 du code pénal. Pour les traitements de gestion des abonnés, des internautes et du personnel, l existence d un «CIL-gestion» désigné par le responsable des traitements entraîne la dispense des formalités de déclaration ordinaire (art.23) ou simplifiée (art. 24) sauf lorsqu un transfert de données à caractère personnel à destination d un Etat non membre de la Communauté européenne est envisagé. La dispense s applique aussi aux traitements relatifs à l exercice professionnel de l activité de journaliste : l alinéa 2 de l article 67 de la loi modifiée précise a contrario que faute de désignation d un «CIL-presse» répondant aux caractéristiques exigées par la loi, les traitements de ce type ne seront pas dispensés des formalités préalables déclaratives à accomplir auprès de la CNIL avant leur mise en oeuvre ; ils relèveront alors de l infraction prévue par l article 226-16 du code pénal. Pour les traitements journalistiques de données personnelles, la loi de 1978 modifiée semble marquer un recul par rapport à l application du texte originaire qui permettait une dispense générale sans condition des formalités déclaratives : le point d équilibre entre le droit de la presse et le droit de la protection de données personnelles se trouve modifié. Mais il serait possible de revenir à la situation initiale si pour ces traitements à finalité journalistique déclarables faute d un CIL, la CNIL mettait en œuvre l article 24, II de 10

la loi modifiée lui permettant de dispenser de déclaration simplifiée certaines catégories de traitements. La Commission a déjà établi plusieurs cas de dispenses mais aucun ne concerne encore le secteur de la presse écrite et audiovisuelle et spécialement les activités journalistiques. Il serait judicieux que la commission procède en ce sens pour marquer sa volonté de protéger fortement la liberté de la presse sans risque excessif pour les droits et libertés des personnes concernées par les données traitées dans le cadre des activités journalistiques puisqu elle disposent de multiples moyens de défense de leurs intérêts offerts par le droit commun ou le droit de la presse. D ailleurs le 2 de l article 67 de la loi modifiée fait référence au respect des règles déontologiques de la profession de journaliste. La dispense de formalités préalables engendrée par la désignation d un CIL n est cependant pas possible pour tous les traitements de gestion. S il existe un transfert des données personnelles à destination d un Etat non membre de la Communauté européenne, il convient de procéder à une déclaration à la CNIL. Par contre pour les traitements à finalité journalistique le transfert de donnée personnelle en dehors de la Communauté européenne est libre (art. 67, al. 1 er ). L existence d un «CIL-gestion» ne supprime pas l obligation d obtenir l autorisation préalable de la CNIL si le traitement de gestion, automatisé ou manuel, relève des cas énumérés à l article 25 de la loi modifiée. La demande d autorisation peut concerner par exemple des traitements de gestion du personnel comportant des données biométriques pour le contrôle de l identité des personnes ou des données relatives aux infractions, condamnations ou mesures de sûreté, alors que le traitement de ces dernières données est libre pour les traitements journalistiques. En second lieu, par delà la dispense des formalité déclaratives qui est la «carotte» pour inciter les responsables des traitements à désigner un CIL, la CNIL entend constituer un réseau avec les correspondants pour propager la culture «protection des données personnelles» et l application de la loi de 1978 dans les structures publiques et privées en organisant la circulation de l information et de sa doctrine dans le sens ascendant et descendant. La Commission s est organisée en interne en ce sens en souhaitant que les responsables des traitements trouvent dans leur CIL un interlocuteur spécialisé, un conseiller pour la réduction des risques juridiques et autres, pour créer un climat de confiance vis-à-vis des personnes concernées par les données. C est dire que le correspondant devra exercer sa fonction de manière pédagogique et transparente, disposer de moyens matériels et humains suffisants, bénéficier d une certaine autorité vis-à-vis des services, son rattachement à un niveau élevé de direction étant pour cela préconisé. Ces caractéristiques générales seront adaptées selon qu il s agit du «CIL-gestion» ou du «CIL-presse». 11

B Le statut des correspondants La désignation d un CIL passe par le respect des dispositions légales et réglementaires qui établissent son statut reposant sur les principes d indépendance et de compétence, l article 22, III, précisant que le correspondant ne peut faire l objet d aucune sanction de la part de l employeur du fait de l accomplissement de ses missions (sans en faire pour autant un salarié protégé au sens du code du travail) et ne doit recevoir aucune instruction pour l exercice de sa mission. Les règles de la loi de 1978 modifiée sont précisées par le décret d application du 20 octobre 2005 ; elles distinguent là encore le «CIL-gestion» et le «CIL-presse». Le «CIL-gestion» n et pas forcément un employé de l organisme de la presse écrite audiovisuelle. En application de l article 44 du décret du 20 octobre 2005, peut être désignée comme correspondant seulement une personne exclusivement attachée au service du responsable du traitement (ce qui donne une certaine souplesse à la qualification de lien juridique) lorsque plus de cinquante personnes sont chargées de la mise en oeuvre ou ont directement accès aux traitements ou catégories de traitements automatisés entrant dans le champ de compétence du CIL. La terminologie employée ne facilite pas la détermination exacte des personnes concernées. L article 44 prévoit certaines dérogations à la règle. Par exemple, lorsque le responsable des traitements est une société qui contrôle ou qui est contrôlée au sens de l article L 233-3 du code de commerce, le correspondant peut être désigné parmi les personnes au service de la société qui contrôle, ou de l une des sociétés contrôlées par cette dernière. Ceci peut concerner les groupes de presse. Par contre si le seuil précité de cinquante personnes n est pas atteint, le responsable peut désigner librement le CIL qui peut être un salarié ou un professionnel prestataire extérieur, personne physique ou personne morale (avocat, expertcomptable, consultant) Le responsable des traitements ou son représentant légal ne peut être désigné comme correspondant et les fonctions ou activités exercées concurremment par le correspondant ne doivent pas être susceptibles de provoquer un conflit d intérêt avec l exercice de sa mission. La désignation d un CIL doit être portée d abord à la connaissance de l instance représentative du personnel par le responsable du traitement puis ensuite notifiée à la CNIL grâce à un formulaire téléchargeable sur le site de la Commission. La désignation prend effet un mois après la date de réception de la notification par la CNIL. Le CIL a une double fonction. D une part il doit dresser dans les trois mois qui suivent sa désignation une liste des traitements automatisés pour lesquels il a été 12

désigné. L article 48 du décret du 20 octobre 2005 précise les rubriques à faire figurer sur la liste que chaque traitement, informations qui doivent être mises à jour en permanence. La liste des traitements avec le détail est à la disposition de toute personne qui en fait la demande, une copie pouvant être délivrée à l intéressé qui la demande contre paiement d une somme qui ne peut pas excéder le coût de reproduction. Le demandeur un abonné comme un salarié pourra alors connaître l existence d un traitement automatisé de données personnelles, son responsable, ses finalités, la nature des données traitées et leurs destinataires etc., à titre de simple curiosité ou pour exercer ses droits d accès, d opposition ou de contestation. Si un traitement, dispensé des formalités à accomplir auprès de la CNIL en raison de l existence d un CIL, ne figure pas volontairement ou involontairement dans le registre du traitement que celui-ci doit tenir, cela constitue-t-il l infraction prévue à l article 226-16 du code pénal qui sanctionne pénalement la mise en oeuvre des traitements automatisés non déclarés à la CNIL? En raison du principe d interprétation stricte des textes pénaux, on penche pour une réponse négative car l article 22, III, de la loi ne présente pas expressément l inscription du traitement dans le registre tenu par le CIL comme une formalité préalable à sa mise en oeuvre, condition prévue par le texte pénal. Tant que le juge ne se sera pas prononcé explicitement, on peut voir dans l impossibilité d appliquer l article 226-16 du code pénal un argument favorisant la désignation d un CIL par le responsable du traitement puisque cela diminue pour lui le risque de sanction pénale, l infraction visée pouvant au surplus résulter d une simple négligence. D autre part le CIL doit veiller au respect des obligations variées prévues par la loi de 1978 modifiée pour les traitements au titre desquels il a été désigné. Il peut faire des recommandations, est consulté pour les nouveaux traitements, reçoit les demandes et réclamations des personnes concernées par les données personnelles traitées, informe le responsable du traitement des manquements constatés, établit un bilan annuel d activité tenu à la disposition de la CNIL. Il est prévu que le responsable des traitements peu, avec l accord du CIL, lui confier la mission de veiller à l application de la loi pour la totalité des traitements, c est-à-dire y compris pour ceux qui ne figurant pas sur le registre tenu relevent du régime de déclaration préalable ou du régime d autorisation auprès de la CNIL (article 50 du décret du 20 octobre 2005). Enfin les textes organisent les rapports entre le responsable du traitement et le CIL en cas de conflit entre eux et donnent à la CNIL la possibilité de demander au responsable du traitement de décharger le CIL de ses fonctions s il manque aux devoirs de sa mission ou au contraire de venir appuyer et protéger le correspondant si le responsable du traitement ne respecte pas ses obligations légales. 13

On notera la grande indigence des textes sur les éléments permettant de s assurer de la compétence du CIL exigée par la loi. Il est vrai que son portrait robot aboutit à dessiner un mouton à cinq pattes ; il doit à la fois être compétent en droit de la protection des données personnelles, en d autres droits spécialisés et en droit général, connaître les nouvelles technologies, leurs usages et évolutions rapides, comprendre le contexte des applications, faire preuve de motivation personnelle, de pédagogie, de diplomatie, d autorité et d indépendance, être expert et généraliste. C est beaucoup demander à un seul homme ; aussi un marché de la formation du correspondant s est rapidement ouvert avec des prestations de qualité variable ; les organismes de presse écrite et audiovisuelle seraient avisés de concevoir des formations adaptées en leur sein tant la connaissance des us et coutumes des secteurs et milieux professionnels est importante pour l efficacité de la fonction de correspondant. La désignation du «CIL-presse» s inscrit dans le même cadre général mais obéit à des règles particulières. Le correspondant prévu au quatrième alinéa de l article de la loi de 1978 modifiée doit être obligatoirement désigné parmi les personnes attachées au service de l organisme ayant qualité de responsable de traitements de données personnelles aux fins de journalisme mis en œuvre dans un organisme de presse écrite ou audiovisuelle ; il n est pas obligatoire qu il soit journaliste. Le recours a un correspondant d origine externe est donc impossible contrairement au «CIL gestion». Il est soumis aux règles exposées précédemment qui connaissent quelques aménagements : sa désignation doit être portée à la connaissance de la CNIL grâce à un formulaire adapté mais pas à celle de l instance représentative du personnel ; le contenu de la liste des traitements de journalisme qu il tient est allégé, et n est pas mis à la disposition des tiers demandeurs qui ne peuvent donc en obtenir copie ; il ne peut pas informer le responsable des traitements des manquements constatés. Sur le plan fonctionnel, le «CIL-presse» pourrait être rattaché à la direction de l organe de presse et mieux encore au responsable de la rédaction. La désignation d un correspondant n emporte aucune exonération de responsabilité civile ou pénale pour le responsable des traitements automatisés de données personnelles. Le «CIL-presse», outre l application de la loi de 1978 pourrait être chargé de veiller au respect de l ensemble des droits relatifs aux personnes physiques : droit à la vie privée et à l image, infractions à la loi sur la liberté de presse etc. La révision de la loi du 6 janvier 1978 donne l occasion aux organismes de presse de procéder à une forme d audit interne sur le respect effectif des dispositions de la loi informatique, fichiers et libertés, sur la légalité des traitements automatisés existants, sur l estimation des risques juridiques, techniques et médiatiques en cas de manquement. La désignation d un CIL ne peut être érigée en règle : elle dépend de nombreux éléments contextuels propres à chaque organisme de presse, d une volonté 14

managériale, de la prise en compte des coûts et des problèmes d organisation. C est aussi une invitation à mieux prendre conscience des enjeux constitués par les usages anciens ou nouveaux à travers les technologies des données personnelles sous toutes leurs formes dans un secteur qui se trouve être depuis longtemps d une sensibilité particulière sur le sujet. On réalisera ainsi l importance trop méconnue de la loi informatique, fichiers et libertés, pour le fonctionnement, dans le respect de la loi, de l ensemble du secteur de la presse. 15

2024 © DocPlayer.fr Politique de confidentialité | Conditions de service | Feed-back