Logiciels et traitements de données personnelles : différences et conséquences

Publié le 20/05/2013 - CIO Online - E. Papin

La Cour de Cassation vient d’apporter une précision importante sur les obligations en matière de déclaration à la CNIL lorsqu’un logiciel évolue. Le concept de « traitement », indiqué dans la Loi, reste en effet très flou.

La mise en oeuvre par une entreprise d’un « traitement » informatisé de données à caractère personnel requiert un formalisme parfois lourd et lui impose le respect d’un certain nombre d’obligations rigoureuses. Le tout est contenu dans la loi du 6 janvier 1978 « Informatique et Libertés ». Mais qu’est-ce qu’un traitement de données à caractère personnel ? Une décision du 23 avril 2013 de la Cour de cassation nous donne l’occasion de revenir sur cette question.

Au commencement

La notion de traitement de données à caractère personnel a fait son apparition en droit français il y a maintenant plus de 30 ans.

La France fut parmi les premiers pays, si ce n’est le premier, à se doter d’une législation ayant pour objet le traitement informatisé des données portant sur les personnes physiques. Utiliser un ordinateur pour « traiter » des informations relatives à des individus ne fut plus un acte libre de contraintes légales à compter de la loi du 6 janvier 1978 « Informatique et Libertés ».

Cette entorse à la liberté, et le régime juridique institué par cette loi, pouvaient se comprendre en 1978 dans le contexte de son adoption. Seuls l’Etat et les plus grosses entreprises disposaient de la surface financière pour acquérir les monstres de calcul de l’époque qu’un smartphone d’aujourd’hui supplante en capacité de traitement. L’ordinateur tenait encore en 1978 de la science-fiction et du mythe. Avec cette appréhension des capacités balbutiantes de l’informatique, se conjugua la crainte d’un Etat orwellien qui utiliserait l’informatique pour « ficher » les individus, pour mieux les contrôler et les régir. On apprécie aujourd’hui tout ce que cette crainte avait d’irrationnel voir de simpliste.

Au moins, dans sa forme initiale, cette loi avait-elle sa ratio legis – sa raison d’être : il s’agissait de protéger le citoyen contre un usage incontrôlé de l’informatique par l’Administration, usage qui aurait pu être attentatoire à ses libertés. Objectif louable. Il en résulta une dichotomie fondatrice de ce régime juridique : les « traitements » de données personnelles mis en oeuvre par les personnes publiques devaient être autorisés par une autorité indépendante : la Commission Nationale de l’Informatique et des Libertés (Cnil) tandis que ceux des personnes privées n’avaient qu’à lui être déclarés. Cette dichotomie a disparu en 2004, nous y reviendrons.

Le traitement, noeud gordien de la législation

Le traitement, qui est la notion centrale de cette législation, est paradoxalement celle qui est la moins bien définie.

Le traitement est défini par l’article 2 alinéa 3 de la loi du 6 janvier 1978 comme « toute opération ou tout ensemble d’opérations portant sur [des données à caractère personnel], quel que soit le procédé utilisé, et notamment la collecte, l’enregistrement, l’organisation, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, ainsi que le verrouillage, l’effacement ou la destruction ».

A vrai dire, la définition qu’en fait la loi vide de sens le concept normatif de traitement en l’étendant à l’absurde : dès qu’une action est réalisée sur une donnée personnelle, nous avons à faire à un traitement. Tout est traitement.

Il en résulte une grande perplexité des entreprises lorsqu’il s’agit de déterminer quels sont les traitements qu’elles mettent en oeuvre : où commencent-ils, où s’arrêtent-ils, comment s’établit la frontière entre eux ? Pourtant, la loi nous oblige à raisonner par « traitement » car c’est chacun de ces traitements qui doit faire l’objet d’une formalité auprès de la Cnil.

Traitement et application : liens et différences

Doit-on considérer qu’une application est un traitement ? En conséquence, l’entreprise doit-elle déclarer à la Cnil chacune de ses applications, pour autant que celles-ci traitent des données personnelles (ce qui est tout de même le plus souvent le cas) ?

Il peut y avoir identité entre traitement et applicatif : un logiciel est utilisé pour un traitement. Par exemple, un progiciel de paie pour éditer la paie des personnels. Mais ce n’est pas obligatoire : un même traitement peut reposer sur plusieurs logiciels : par exemple, la gestion des clients et prospects qui associe des logiciels de CRM, de comptabilité, d’e-mailing, etc. A l’inverse, un même logiciel peut réaliser plusieurs traitements. C’est particulièrement le cas avec un ERP.

Si la notion de traitement pouvait avoir sa logique en 1978, elle n’en a plus aujourd’hui, pour au moins deux raisons. En 1978, lorsqu’une administration ou une entreprise mettait en place un système informatique, c’était dans un but unique et déterminé : tenir la comptabilité, établir la paie, etc. La détermination du « traitement » de données personnelles en question était simple, il se confondait avec la fonctionnalité du système mis en place. Aujourd’hui, les systèmes informatiques des entreprises sont organisés dans une logique de mutualisation et de centralisation des données dans une base unique que chacun des applicatifs vient utiliser et enrichir. Ce sont les ERP ou PGI. Ainsi, les systèmes de gestion de bases de données relationnelles ont rendu obsolète la notion de traitement. La grande malléabilité des ERP permet aux entreprises de faire et défaire les « traitements » au gré de l’évolution de leurs besoins fonctionnels. Il n’y a plus de traitement, il n’y a plus que la possibilité d’appliquer des règles de gestion sur les données présentes dans la base.

De surcroît, en 35 ans, les moyens informatiques se sont généralisés jusqu’à pénétrer toutes les sphères de la vie quotidienne. L’informatique ne se confond plus avec des gros systèmes centraux. Elle est distribuée sur les postes de travail, jusque dans des appareils mobiles. Pour l’accomplissement de leurs tâches dans l’entreprise, les collaborateurs élaborent toute la journée des tableaux excel, qu’ils vont partager avec leurs collègues. Ces tableaux peuvent contenir de nombreuses données personnelles, que ce soit sur les salariés de la société, sur ses clients, sur ses prospects. Ils n’ont rien d’inquiétant. Ils sont juste nécessaires au travail des salariés qui les constituent. Autant de tableaux excel, autant de traitements à déclarer à la Cnil ?

Au contraire de la logique informatique, nous sommes aujourd’hui obligés de définir, de manière plus ou moins arbitraire, de manière plus ou moins macroscopique, des « traitements » en fonction des grands « pôles » d’organisation de l’entreprise : gestion du personnel, gestion des ventes, gestion des fournisseurs, etc. La détermination des traitements à déclarer à la Cnil est le premier grand mystère de la loi du 6 janvier 1978. Il s’épaissit lorsque l’on songe que ces traitements n’ont rien de figés dans le temps. Tout comme le système d’information de l’entreprise évolue en permanence, les traitements de données personnelles qu’il permet évoluent avec.

Il est suffisamment rare que la Cour de cassation ait à se prononcer sur ces questions pour ne pas relever son arrêt du 23 avril dernier.

Dans l’espèce soumise à la haute juridiction, une association départementale pour la sauvegarde de l’enfance utilisait un logiciel « EVA3 » pour mettre en oeuvre un traitement concernant « l’évaluation sociale des actions de prévention ». Ce traitement avait été déclaré à la Cnil. Un salarié de l’association a refusé de saisir des données dans la nouvelle version « EVA4 » de ce logiciel. Ce salarié motivait son refus par le fait, selon lui, que son employeur aurait dû déclarer à la Cnil la modification du traitement que constituait la montée de version. La Cour de cassation profite de cette affaire pour poser un principe : « Seule une modification substantielle portant sur les informations ayant été préalablement déclarées doit être portée à la connaissance de la Cnil ; une simple mise à jour d’un logiciel de traitement de données à caractère personnel n’entraîne pas l’obligation pour le responsable du traitement de procéder à une nouvelle déclaration ». Voilà qui est heureux.

Une législation en quête de sens

Dans les années 90, la Commission européenne voulut doter l’Union européenne d’une législation harmonisée en la matière. Il en résulta la directive du 24 octobre 1995 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel. Cette directive fut transposée en droit français par la loi du 6 août 2004. Cette loi brisa la distinction créée par la loi de 1978 entre les traitements mis en oeuvre par les personnes publiques et ceux mis en oeuvre par les personnes privées. Les traitements de données personnelles réalisés par les personnes privées étaient donc perçus par le législateur comme potentiellement aussi dangereux pour les libertés individuelles que ceux de l’administration. Le problème est que cette approche est une pétition de principe. Tandis que la crainte des dérives de l’utilisation de l’informatique par l’administration pour la « gestion » des administrés participait d’une volonté de contrôle de l’activité de l’Etat, par essence saine dans une société démocratique, considérer que les traitements des données personnelles par les entreprises engendrent per se un risque pour les libertés individuelles ne repose sur aucun fondement. On peut même penser que les traitements mis en oeuvre par les entreprises susceptibles de constituer un réel danger pour les individus sont finalement peu nombreux : traitements des données de santé, traitements des données bancaires, traitements liés aux contrôles des salariés et certainement quelques autres mais finalement en nombre limité.

On ne doit pas attendre un éclaircissement de la situation dans un avenir prévisible. La législation européenne en matière de protection des données personnelles est en cours de révision. La commission européenne a rendu public le 25 janvier 2012 un projet de règlement qui succédera à la directive de 1995. Ce projet reconduit à l’identique la notion de « traitement », sans venir la préciser.

Notre propos n’est pas de déconsidérer toute législation en la matière. De là à aboutir à notre législation byzantine, il y a forcément un moyen terme. Une réelle réflexion sur la ratio legis du texte aurait évité ces dérives législatives et réglementaires qui, nous le pensons, ne remplissent aucunement le but qu’on prétend leur avoir assigné : la protection de la liberté individuelle.

Autres publications