La mise en œuvre du traitement des données à caractère personnel

By 6 July 2013

La mise en œuvre du traitement – Section 2.

773. Pluralité d’obligations. La légalité du traitement du point de vue de sa mise en œuvre suppose que soient réalisées un certain nombre de formalités préalables (§1). Les obligations du responsable du traitement ne se limitent cependant pas à ces formalités et pèsent sur lui les traditionnelles obligations du professionnel (§2)

§1. Obligations préalables à la mise en œuvre du traitement

774. Plan. Selon la nature du traitement, il devra être soit déclaré auprès de la CNIL, soit soumis à autorisation préalable. Le contenu de ces formalités (A) laisse apparaître un problème propre au secteur bancaire et financier, celui de la notation de la clientèle bancaire (B).

A. Contenu des obligations préalables

775. Déclaration du site. Selon l’article 22 de la loi de 1978 modifiée, les traitements automatisés de données à caractère personnel doivent faire l’objet d’une déclaration auprès de la CNIL. Afin de faciliter cette démarche, la CNIL a adopté le 7 juin 2005 une nouvelle norme destinée à alléger les procédures relatives à la gestion des fichiers clients1174. Ainsi, les sites Internet des établissements de crédit qui mettent en œuvre une collecte de données personnelles doivent être déclarés préalablement à leur mise en ligne. Il s’agit incontestablement d’une protection pour le consommateur puisqu’à la vue de cette déclaration, la CNIL pourra effectivement contrôler le bon respect de la légalité et de la finalité du traitement.

776. Traitement soumis à autorisation. En revanche, pour des traitements que l’on peut qualifier de sensibles qu’elle liste dans son article 25, la loi impose une autorisation préalable de la CNIL. Comme le souligne un auteur, « on peut se réjouir du renforcement du pouvoir de contrôle a priori de la CNIL résultant de l’autorisation qui correspond à des aspects importants de la protection, à des sujets sensibles dont certains ont donné lieu à polémique. Mais le risque est de voir dans la réalité des catégories de traitements dangereux nouvelles apparaître alors qu’elle ne sont pas prévues1175 ». Particulièrement, dans le secteur bancaire et financier, l’article 25 I 4° de la loi de 1978 soumet les traitements automatisés susceptibles, du fait de leur nature, de leur portée ou de leurs finalités, d’exclure des personnes du bénéfice d’un droit, d’une prestation ou d’un contrat en l’absence de toute disposition législative ou réglementaire. Ce principe trouve un large écho en droit bancaire en raison des pratiques de scoring1176 et doit être regardé avec celui posé par l’article 10 alinéa 2 selon lequel aucune décision produisant des effets juridiques à l’égard d’une personne ne peut être prise sur le seul fondement d’un traitement automatisé de données destiné à définir le profil de l’intéressé ou à évaluer certains aspects de sa personnalité.

777. Le correspondant à la protection des données1177. L’article 22 III de la loi prévoit enfin que les traitements pour lesquels le responsable a désigné un correspondant à la protection des données à caractère personnel1178 1179 chargé d’assurer, d’une manière indépendante, le respect des obligations prévues par la loi sont dispensés des formalités de déclaration, sauf lorsqu’un transfert de données à caractère personnel à destination d’un État non membre de la Communauté européenne est envisagé. En tout état de cause, cette désignation ne permettrait pas à l’établissement de crédit d’éluder purement et simplement les obligations de la loi ; en effet, cette nomination du correspondant doit être notifiée à la CNIL et portée à la connaissance des instances représentatives du personnel, de sorte que le contrôle soit toujours possible. De même, une liste des traitements effectués doit être tenue et mise à disposition de toute personne en faisant la demande. En réalité, la loi crée un nouveau salarié protégé puisque ce correspondant ne peut faire l’objet d’aucune sanction de la part de son employeur du fait de l’accomplissement de ses missions ; l’allègement des procédures de déclaration des traitements a donc son « revers de médaille », d’autant plus que le correspondant peut saisir la CNIL des difficultés qu’il rencontre dans l’exercice de ses missions. Le risque d’ingérence de la CNIL pèserait donc sur l’établissement de crédit comme une véritable épée de Damoclès.

1173 FRAYSSINET J., ibid.

1174 CNIL, Une nouvelle norme simplifiée pour la déclaration des fichiers de clients et de prospects, 22 juin 2005, disponible sur : www.cnil.fr ; PUEL H., Les fichiers clients des sites Web sous surveillance de la Cnil, 23 juin 2005, disponible sur : www.01net.fr ; DUMOUT E., Les e-commerçants bénéficient de la déclaration simplifiée de leurs fichiers clients, 27 juin 2005, disponible sur : www.zdnet.fr ; LE CLAINCHE J., Le consentement est mort, vive la prospection, 27 juin 2005, disponible sur : www.droit-ntic.com .

1175 FRAYSSINET J., art. préc., p. 14.

1176 Méthode statistique permettant d’analyser une situation, sur la base d’un ensemble de critères pertinents pondérés selon leur degré d’importance.

1177 Le décret n° 2005-1309 du 20 octobre 2005 portant sur l’application de la loi informatique et libertés, est venu déterminer le rôle exact de la fonction du correspondant pour la protection des données personnelles.

1178 Ou selon la terminologie employée par la CNIL, correspondant informatique et libertés (CIL).

1179 V. à ce sujet, PERRAY R., Protection des données personnelles : un correspondant pour quoi faire ?, disponible sur : www.droit-technologie.org, 15 décembre 2005 ; FENOLL-TROUSSEAU M.-P., Le correspondant informatique et libertés (CIL), JCP E, n° 49, 8 décembre 2005, p. 2084. Toutefois cette nouvelle fonction suscite de nombreuses interrogations quant au statut, la qualité et le régime de responsabilité applicable au correspondant, v. CREPIN C., Correspondant « Informatique et Libertés » : un encadrement juridique incomplet ?, disponible sur : http://www.droit-ntic.com/news/afficher.php?id=333, 29 novembre 2005 ; VERCKEN G. , VAN OSSEL G. et SERPAGLI C., Le « correspondant à la protection des données » : une création inachevée ?, RLDI, octobre 2005, n°9, p. 58.

Lire le mémoire complet ==> (L’Internet au service des opérations bancaires et financières)
Thèse pour le Doctorat en Droit
Université Panthéon-Assas (Paris II) – Droit- Economie- Sciences sociales