Plan du site | Mentions légales | Crédits | Espace rédacteur

Membre du comité de rédaction de la lettre du CEJEM

Nos mots-clefs

Régulation   Bases de données   Droit d’auteur   Au jour le jour   Marques   Lettre du Cejem   Vie privée   Professions   Brevet   Conférences et colloques   Signes distinctifs   Noms de domaine   Contenu illicite   Contrats   Consommateurs  

Cliquez sur un mot pour afficher la liste des articles correspondant

A Noter

Les contrats informatiques par Jérôme Huet et Nicolas Bouche

Présentation de l’éditeur L’ouvrage Les contrats informatiques vise à donner au lecteur, étudiant ou praticien, sous (...)

Droit de la communication numérique de Jérôme Huet et Emmanuel Dreyer

Présentation de l’éditeur : Le droit de la communication numérique est une discipline récente mais en pleine (...)

L’arme fatale : la loi Informatique et libertés

Mots-clefs : Vie privée |

par Vanessa Younès, le mardi 11 mai 2004

La loi n°78-17 du 6 janvier 1978 relative à l’Informatique, aux fichiers et aux libertés est à l’honneur dans deux affaires récentes : dans un arrêt de la Cour d’appel de Lyon du 25 février 2004 et dans un arrêt de la Chambre sociale de la Cour de cassation du 6 avril 2004.

Dans les deux affaires, l’arme fatale à savoir la loi Informatique et libertés a permis la condamnation d’une personne physique d’une part, et d’une personne morale d’autre part, pour ne pas avoir déclaré leur traitement automatisé de données personnelles à la Commission Nationale de l’Informatique et des libertés (CNIL).

En effet, en vertu de l’article 16 de la loi Informatique et libertés, tout traitement automatisé de données personnelles doit faire l’objet préalablement à sa mise en œuvre d’une déclaration auprès de la CNIL par le responsable de traitement (c’est celui qui détermine les finalités et les moyens du traitement). L’absence de déclaration à la CNIL est sanctionnée pénalement de 3 ans d’emprisonnement et de 45 000 euros d’amende.

Dans la première affaire, un webmaster, étant également responsable de traitement, avait indiqué sur son site internet de lutte contre l’Eglise de scientologie, le nom de scientologues. Un des scientologues a porté plainte et les juges du fond ont considéré qu’un site internet comportant des données nominatives tel que le nom de personnes, qui permet une identification des personnes, est un traitement automatisé d’informations nominatives devant être déclaré à la CNIL. Le webmaster, n’ayant pas déclaré son site ou l’ayant mal fait à l’époque des faits, même si le site a été déclaré par la suite, a été condamné pénalement sur le fondement du non-respect de la loi Informatique et libertés.

Dans la deuxième affaire, la Chambre sociale de la Cour de cassation a confirmé la décision des juges du fond en considérant qu’une société qui n’a pas déclaré à la CNIL un traitement de système par badges permettant d’identifier les salariés à leur entrée et à la sortie des locaux de l’entreprise ne peut se prévaloir de ce système par badge. En effet, le règlement intérieur de la société faisait obligation aux salariés d’utiliser leur badge. Or, un salarié n’a pas voulu à 19 reprises utiliser ledit badge et la société l’a donc licencié. La Cour de cassation confirmant l’arrêt de la Cour d’appel de Nancy du 25 juin 2001 a décidé que le licenciement est sans cause réelle et sérieuse dans la mesure où le système par badge n’étant pas déclaré à l’époque des faits à la CNIL et étant donc illégal au regard de la loi Informatique et libertés, l’employeur était privé de la possibilité d’opposer au salarié le non-respect du règlement intérieur sur ce point. La Cour d ’appel de Paris dans un arrêt du 7 mars 1997 avait déjà considéré qu’un licenciement prononcé sur la base de la violation par le salarié d’une obligation imposée en méconnaissance de l’obligaton de déclaration à la CNIL, se voit dépourvu de cause réelle et sérieuse.

Dans les deux affaires de 2004, la régularisation de la situation intervenue par la déclaration du traitement à la CNIL a permis de faire courir le délai de prescription de l’action publique de 3 ans. En effet, le défaut de déclaration préalable constitue un délit continu et le délai de prescription de l’action publique en matière de délit ne commence à courir qu’à compter du jour où l’acte délictueux a pris fin (Cass.crim.23 mai 1991).

Par conséquent, la régularisation de la déclaration à la CNIL ne met fin au délit que pour l’avenir. Ceci étant, la prescription étant de 3 ans, il est vivement recommandé aux responsables de traitement de régulariser dès que possible leur situation conformément à la loi. La CNIL décrit sur son site internet "www.cnil.fr" la procédure à suivre.

La violation de la loi Informatique et libertés est donc sanctionnée et l’utilisation de cette loi permet donc à ceux qui s’en prévalent d’arriver à condamner toute personne physique ou morale détentrice d’un fichier informatique de données nominatives illégal.

25 ans après sa promulgation alors même qu’un projet de loi voté en seconde lecture à l’Assemblée Nationale le 29 avril 2004 lui apporte des modifications, la loi Informatique et libertés reste, à l’heure actuelle, l’arme fatale à l’encontre de détenteurs de fichiers informatiques de données nominatives illégaux.

Rappelons tout de même pour les responsables de traitement n’ayant toujours pas déclaré leur traitement que la sanction pénale prévue dans le projet de loi pour défaut de déclaration à la CNIL passe à 5 ans d’emprisonnement et à 300 000 euros d’amende !