Dixième épisode d’une série sur les droits et obligations de l’entreprise en matière de données personnelles
Un principe de loyauté
La collecte et le traitement des données à caractère personnel doivent être effectués de façon licite et loyale, pour une finalité déterminée, explicite et légitime (L. 6 janv. 1978, art. 6). La Commission nationale de l’informatique et des libertés (Cnil) a eu l’occasion de rappeler, dans un avertissement en date du 9 mars 2004 adressé au Crédit Mutuel stéphanois, que « seules des informations strictement liées à la finalité du traitement et ayant un caractère objectif, c’est-à-dire dépourvues de jugement de valeur sur les personnes » peuvent être enregistrées par les banques. Par ailleurs, la Cnil a également constaté des manquements dans l’utilisation des fichiers de la Banque de France : inscriptions à tort ou, au contraire, « défichages » tardifs du fichier des surendettés (FICP) ou du fichier des interdits bancaires (FCC). Aussi, la Cnil a-t-elle fait savoir, lors de sa séance du 21 avril 2005, que ces fichiers ne devaient pas être détournés de leur finalité et, en particulier, pour constituer des listes noires de mauvais clients.
Exclusion des données sensibles
Les informations ne doivent en aucun cas concerner des données sensibles, comme par exemple les origines raciales ou ethniques, les opinions politiques, philosophiques ou religieuses ou encore l’appartenance syndicale des personnes, la santé ou des informations relatives à la vie sexuelle.
Cependant, il convient de noter que la Commission des lois de l’Assemblée nationale, avait proposé un amendement au projet de loi relatif à la maîtrise de l’immigration, à l’intégration et à l’asile, en date du 12 septembre 2007, visant à modifier la loi informatique et libertés afin de faciliter les recherches en matière de mesures de la diversité des origines, de la discrimination et de l’intégration. S’inspirant d’une recommandation de la Cnil présentée dans son rapport du 15 mai 2007, il était prévu que les données faisant directement ou indirectement apparaître les origines raciales ou ethniques des personnes puissent être recueillies pour les besoins d’études ayant pour finalité « la mesure de la diversité des origines des personnes, de la discrimination et de l’intégration » mais que leurs traitements restent soumis à l’autorisation de la CNIL et que les personnes concernées conservent leur droit d’opposition à ce traitement. Mais, le Conseil constitutionnel a censuré cette décision, le 15 novembre 2007, en estimant qu’il était « sans lien » avec la loi et que « si les traitements nécessaires à la conduite des études sur la mesure de la diversité des origines peuvent porter sur des données objectives, ils ne sauraient, sans méconnaître le principe énoncé par l’article 1er de la Constitution, reposer sur l’origine ethnique ou la race ».
Une règle de proportionnalité
Un traitement est licite si la collecte des données est adéquate au regard des finalités du traitement de données qui doivent être exactes, complètes et conservées sous une forme permettant l’identification des personnes concernées. Les données à caractère personnel faisant l’objet d’un traitement doivent quant à elles, être adéquates, pertinentes et non excessives par rapport aux finalités pour lesquelles elles ont été enregistrées.
C’est en application de cette règle de « proportionnalité » que la Cnil a défini un principe de sectorisation. Elle a ainsi considéré que la mise en oeuvre et l’accès à partir d’un site internet, d’un fichier recensant des locataires « mauvais payeurs », devaient être limités à un secteur, en l’occurrence aux seuls professionnels du secteur immobilier. Une large diffusion, tous secteurs confondus, de telles informations constitueraient une atteinte disproportionnée à la vie privée en raison du risque de détournement de finalité. Cette appréciation a été validée par le Conseil d’Etat, dans un arrêt du 28 juillet 2004.
C’est encore en application de cette règle que la Cnil a refusé, le 8 mars 2007, d’autoriser la création d’une base de donnée centralisée sur les crédits aux particuliers qui serait accessible par tous les établissements de crédit qui l’alimenteraient. La Cnil a en effet considéré que ce fichier n’était pas proportionné aux finalités annoncées.
Responsabilités
La collecte par un moyen frauduleux, déloyal ou illicite et le détournement de finalité du fichier constituent donc des fautes susceptibles d’engager la responsabilité civile délictuelle de leur auteur, sur le fondement de l’article 1382 du Code civil, ou encore sa responsabilité pénale sur le fondement de l’article 226-18 du Code pénal (5 ans d’emprisonnement et 300.000 euros d’amende). Ce dernier texte est d’incrimination large et la Cour de cassation a pu considérer, dans un arrêt du 3 novembre 1987, que « caractérise des moyens frauduleux, déloyaux ou illicites, la collecte auprès de tiers à l’insu des intéressés et sans déclaration de traitement ».
De même, l’article 226-21 du même Code incrimine « le fait, par toute personne détentrice de données à caractère personnel à l’occasion de leur enregistrement, de leur classement, de leur transmission ou de toute autre forme de traitement, de détourner ces informations de leur finalité telle que définie par la disposition législative, l’acte réglementaire ou la décision de la Commission nationale de l’informatique et des libertés autorisant le traitement automatisé, ou par les déclarations préalables à la mise en oeuvre de ce traitement » (également 5 ans d’emprisonnement et 300 000 euros d’amende).
Jurisprudence sanctionnant la collecte frauduleuse, déloyale ou illicite
C’est en considération de ces fautes que, par une délibération du 9 juillet 2002, la Cnil a dénoncé au parquet de Nanterre les agissements d’une société qui, entre les deux tours des élections présidentielles de 2002, avait procédé par courrier électronique à un sondage politique présenté comme « anonyme ». Si les destinataires étaient invités à préciser le candidat pour lequel ils avaient l’intention de voter, ils devaient également indiquer leur civilité, leur année de naissance, leur situation professionnelle ainsi que leur adresse électronique, dans la mesure où ils souhaitaient être informés des résultats du sondage. Le contrôle effectué par la Cnil a permis d’établir que les réponses reçues avaient été enregistrées et conservées dans un fichier pour être mises à disposition de tiers.
Par jugement en date du 4 juin 2004, le tribunal correctionnel de Nanterre a déclaré le « sondeur » coupable de collecte des données nominatives par un moyen frauduleux, déloyal ou illicite (C. pén., art. 226-18), d’enregistrement et conservation de données nominatives sensibles sans l’accord des intéressés (C. pén., art. 226-21) et de détournement de la finalité d’un traitement automatisé d’informations nominatives, et l’a condamné au paiement d’une amende de 5 000 euros.
