Le contrôle a priori de la CNIL

Le rôle de la CNIL

La CNIL, instituée par la loi du 6 janvier 1978 dite « Loi informatique et libertés », accompagne les professionnels dans leur mise en conformité et aide les particuliers à maîtriser leurs données personnelles et exercer leurs droits. Elle analyse l’impact des innovations technologiques sur la vie privée et les libertés, notamment des travailleurs.

La CNIL définit ses principales missions en quatre points : informer, contrôler et sanctionner, accompagner et enfin anticiper.

Elle assure un rôle tout particulier dans la protection des travailleurs à l’heure où le numérique ne cesse de se développer en entreprise : elle peut ainsi se révéler très dissuasive auprès des entreprises peu soucieuses du respect des règles en matière d’informatique et liberté grâce à son pouvoir de sanctions pécuniaires.

Outre ce pouvoir de sanction, la CNIL contrôle en amont la conformité des dossiers qui lui sont soumis par rapport à la loi informatique et libertés. Elle joue ainsi un rôle de prévention pour éviter d’arriver jusqu’à la sanction.

Pour éviter que ce rôle intrusif de la CNIL dans les entreprises ne pousse ces dernières à se délocaliser lorsqu’elles sont sanctionnées, l’autorité collabore avec d’autres CNIL étrangères pour tenter au maximum d’harmoniser leurs positions. Toutefois, la CNIL française est critiquée outre-manche en raison de son rigorisme à l’encontre de certaines entreprises étrangères qui sont habituées à des législations plus souples en matière de gestion des données, et son laxisme vis-à-vis d’autres acteurs économiques, notamment ceux dans le domaine de la santé. La doctrine parle d’ailleurs d’explosion de l’activité de la Commission en 2014[1]

A l’heure où la CNIL établit un nouveau record en 2017 avec 8360 plaintes reçues par des particuliers, il convient de s’interroger sur son rôle et sur son influence quant à la protection des travailleurs à l’ère du numérique. Plus précisément, il s’agit de se demander si la CNIL exerce une influence directe et pratique sur le cadre juridique tendant à protéger les droits et libertés du salarié au sein de l’entreprise, malgré l’intrusion quasi absolue du numérique au sein de sa vie de travailleur.

Le contrôle a priori de la CNIL

Ancien régime. Jusque très récemment, la Loi de 1978 prévoyait en son article 22 une obligation de déclaration préalable à la charge de l’employeur de tout traitement automatisé des données personnelles des salariés.

La CNIL vérifiait si la finalité du système était légitime. L’employeur invoquait généralement la prévention des atteintes aux biens et aux personnes ou à la sécurité informatique.[2] La commission observait également si le dispositif était proportionné au regard de l’objectif poursuivi, et notamment au regard de l’atteinte à la vie privée des salariés.

Cette formalité de déclaration à la CNIL conditionnait alors la licéité du moyen de preuve. La chambre sociale a établi que « Les informations collectées par un système de traitement automatisé de données personnelles avant déclaration à la CNIL constituent un moyen de preuve illicite »[3].

Nouveau régime. Le 25 mai 2018, le RGPD[4] est entré en vigueur et a modifié les attributions de la CNIL. Il vient supprimer l’obligation de déclaration préalable à la CNIL des entreprises qui procèdent à des traitements de données.

Nous passons ainsi d’un régime obligatoire de déclaration à un régime d’obligation de rendre le traitement de données à caractère personnel conforme au RGPD. En contrepartie, le règlement instaure un système de responsabilisation et de transparence des administrations.

Quel est alors l’impact de la suppression de déclaration préalable à la CNIL des systèmes permettant la collecte des données sur la protection du travailleur ? Avec l’obligation de déclaration préalable, une fois validé par la CNIL, le système de traitement de données (par exemple, un système de vidéo-surveillance) était un moyen de preuve loyal et incontestable par le travailleur qui pouvait être ainsi sanctionné. En effet, dans cette hypothèse le travailleur qui était licencié pour faute grave parce qu’il était filmé en train de voler dans un entrepôt sous surveillance ne pouvait contester le moyen de preuve en lui-même, puisque la CNIL l’avait autorisé. Or, si à partir de l’entrée en vigueur du RGPD, cette même entreprise met en place un système de vidéo-surveillance permanent, ce système qui n’aurait pas été validé par la CNIL dans le cadre de son contrôle préalable pourra désormais servir de moyen de preuve pour sanctionner un travailleur alors même qu’il s’agit d’un moyen inadapté de collecte de données. Ce sera alors à celui-ci de contester la sanction dont il a fait l’objet au regard du moyen de preuve utilisé. Il est alors possible à cet égard d’évoquer dans une certaine mesure un recul de la protection du travailleur, puisque ce qui aurait pu être évité avec un contrôle préalable ne peut l’être aujourd’hui qu’après la naissance d’un contentieux engagé par ce-dernier. Il devra attaquer pour voir rétablir ses droits là où avant il était protégé en amont.

Ainsi, la CNIL devra adopter de plus en plus de référentiels ou de recommandations pour éviter toute méprise des employeurs dans la gestion de systèmes de collecte de données : en effet, quand la CNIL adopte depuis 2010 environ 16 000 décisions, elle n’adopte que cinq recommandations entre 2013 et 2017.

Pourtant ce point deviendra de plus en plus essentiel, puisque l’absence de recommandations et de référentiels précis risque de conduire, après mise en œuvre du RGPD, à une insécurité juridique pour les responsables de traitement mais aussi et surtout à un affaiblissement du niveau de protection des travailleurs. La difficulté réside ainsi dans la capacité de l’autorité à délivrer ces référentiels pour que les professionnels ne soient pas livrés à eux-mêmes du fait qu’ils ne bénéficient plus de la protection que pouvait constituer le dépôt d’une déclaration à la CNIL, et ainsi assurer la protection des travailleurs.

C’est pourquoi le nouveau projet de loi informatique et libertés complète l’article 11 de la loi de 1978 et confie de nouvelles missions à la CNIL pour qu’elle utilise de nouveaux instruments de droit souple et dont la normativité est graduée.[5]

Jean-Baptiste GIGON

Avocat

[1] O. DUFOUR, « CNIL Une activité « extrêmement intense » en 2014 », Petites Affiches, n°78, 20 Avril 2015, p.3

[2] E. de GIVRY, « TIC et surveillance du salarié : regards de la CNIL », JCP S, n° 41, 8 Octobre 2013

[3] Cass. Soc. 8 Octobre 2014, n°13-14991

[4] Règlement Général sur la Protection des Données

[5] Loi n°78-17 du 6 Janvier 1978 relation à l’informatique, aux fichiers et aux libertés