Les faits sont pour le moins sordides puisque lors d’un contrôle la CNIL a découvert que l’établissement collectait des données sensibles sur ses locataires, avec des appréciations telles que : « séropositif« , « cancer« , « sous chimiothérapie« , « n’est pas de nationalité française« , ou encore « alcoolique »…
Ce traitement de données personnelles est d’autant plus problématique qu’il semble qu’une diversité de destinataires avait accès à ces informations, comme en témoigne le communiqué de la Commission : « Les contrôles opérés auprès de l’OPH PARIS HABITAT dans le cadre de l’instruction de ces plaintes ont permis de constater que certains de ses gardiens avaient effectivement accès au compte locatif des personnes résidant dans l’immeuble auquel ils étaient affectés. Ces gardiens avaient également accès à des informations relatives à tous les locataires de l’OPH, y compris ceux qui ne logeaient pas dans l’immeuble dont ils avaient la charge« .
Trois points méritent ici une attention particulière : d’abord les risques juridiques qu’une telle situation fait courir à une organisation ; ensuite, l’origine exacte du problème, qu’il convient de déterminer afin de pouvoir protéger une organisation contre ces risques ; enfin évidemment la réaction de la CNIL face à ce traitement.
1.- Les risques juridiques d’une telle situation pour une organisation
a. Une collecte illlicite de données sensibles ? D’un point de vue juridique, on sait que la loi sanctionne sévèrement la collecte illicite de données sensibles. En effet, le fait de collecter des données de santé hors cadre légal (c’est-à-dire par exemple, sans avoir obtenu le consentement exprès des personnes dont les données sont collectées) est puni de 5 ans d’emprisonnement et 300.000€ d’amende (soit 1.500.000 € pour les personnes morales) ; dixit l’article 226-19 du Code pénal :
Article 226-19
Le fait, hors les cas prévus par la loi, de mettre ou de conserver en mémoire informatisée, sans le consentement exprès de l’intéressé, des données à caractère personnel qui, directement ou indirectement, font apparaître les origines raciales ou ethniques, les opinions politiques, philosophiques ou religieuses, ou les appartenances syndicales des personnes, ou qui sont relatives à la santé ou à l’orientation sexuelle de celles-ci, est puni de cinq ans d’emprisonnement et de 300 000 Euros d’amende.
Voici donc un premier risque susbtantiel à considérer avant d’entrer une appréciation telle que « séropositif » dans un fichier ! Ce n’est évidemment pas notre rôle ici de nous prononcer sur l’existence, ou non, d’une infraction pénale (respect de la présomption d’innocence), mais ce que l’on peut dire c’est que dans pareille situation, le premier réflexe d’une organisation devrait être de prendre tous les moyens possibles pour éviter ces écueils.
Et pourtant, ce n’est pas tout…
b. Une collecte déloyale de données personnelles ? En effet, la seconde interrogation qui se pose est de savoir si cette collecte de données de santé est vraiment proportionnée à la finalité du traitement (celle-ci n’est pas précisément mentionnée par la CNIL). L’article 8 de la loi de 1978 autorise effectivement un responsable à opérer un traitement de données sensibles mais uniquement dans le respect de conditions strictes et notamment « dans la mesure où la finalité du traitement l’exige ». On se demande donc bien ici, dans la présente affaire, ce qui peut justifier une telle collecte ? En réalité, ces conditions, imposées par la loi, ne sont que la simple manifestation des principes de proportionnalité et de loyauté dans le traitement, dont la violation est également sanctionnée pénalement, ici par l’article 226-18 du Code pénal, puisque :
Article 226-18
Le fait de collecter des données à caractère personnel par un moyen frauduleux, déloyal ou illicite est puni de cinq ans d’emprisonnement et de 300 000 Euros d’amende.
En résumé voici donc un second problème majeur qui devrait être réglé par l’organisation.
Et pourtant, ce n’est pas tout…
c. Un détournement de finalité ? A la lecture du communiqué, une troisième interrogation surgit, qui tient naturellement à la declaration CNIL ; comme chacun le sait, la loi impose que tout traitement de données personnelles fasse l’objet de formalités préalables (déclaration ou autorisation, régime spécifique, etc.). La question que le communiqué invite à se poser est de savoir si la finalité de « collecte de données sensibles » a bien été l’objet de formalités préalables, sans quoi cette collecte est naturellement illicite… A supposer que la finalité originelle n’ait pas été de collecter des données sensibles, on peut donc se demander s’il n’y a pas ici un détournement de finalité, ce qui ferait alors jouer l’infraction de l’article 226-21 du code pénal :
Article 226-21
Le fait, par toute personne détentrice de données à caractère personnel à l’occasion de leur enregistrement (…) de détourner ces informations de leur finalité [définie lors de la déclaration] (…) est puni de cinq ans d’emprisonnement et de 300 000 Euros d’amende.
Et pourtant, ce n’est pas tout…
d. Une atteinte à la confidentialité du traitement ? On ne va tout de même pas passer à côté de l’atteinte à la confidentialité du traitement, puisque la lecture du communiqué laisse penser également que les données auraient pu avoir été communiquées à des tiers non autorisés ! L’acte lui-même est directement sanctionné par l’article 226-17 du Code pénal :
Article 226-17
Le fait de [ne pas avoir pris toutes les _précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu’elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès] _est puni de cinq ans d’emprisonnement et de 300 000 Euros d’amende.
Et pourtant, ce n’est pas tout…
e. Une divulgation illicite ? Ah, oui, j’allais oublier de mentionner l’article 226-22 du Code pénal qui sanctionne aussi la divulgation de données personnelles, lorsque celles-ci portent atteinte à l’intimité de la vie privée d’une personne (dixit le rapport de la CNIL qui invite à considérer l’existence de cette infraction) :
Article 226-22
Le fait, par toute personne qui a recueilli, à l’occasion de leur enregistrement, de leur classement, de leur transmission ou d’une autre forme de traitement, des données à caractère personnel dont la divulgation aurait pour effet de porter atteinte à la considération de l’intéressé ou à l’intimité de sa vie privée, de porter, sans autorisation de l’intéressé, ces données à la connaissance d’un tiers qui n’a pas qualité pour les recevoir est puni de cinq ans d’emprisonnement et de 300 000 Euros d’amende.
La divulgation prévue à l’alinéa précédent est punie de trois ans d’emprisonnement et de 100 000 Euros d’amende lorsqu’elle a été commise par imprudence ou négligence.
Dans les cas prévus aux deux alinéas précédents, la poursuite ne peut être exercée que sur plainte de la victime, de son représentant légal ou de ses ayants droit.
Pour résumer tout cela on peut donc dire qu’une telle situation fait courir un risque juridique majeur à une organisation. Somme toute, cela fait tout de même cinq infractions pénales qui pourraient s’appliquer à une telle situation !
Avant d’analyser la position de la CNIL par rapport à cette affaire, il nous semble nécessaire d’aborder une question primordiale à savoir : comment une organisation peut-elle éviter ces risques ?
2. – L’origine du problème (et comment l’éradiquer définitivement)
En réalité il y a une raison simple pour laquelle l’ensemble de ces données ont été collectées par l’organisation, qui est celle-ci :
Eh oui, la faute au formulaire !
En effet, il suffit de cela pour provoquer une catastrophe : un simple formulaire de saisie laissant un champ ouvert à de libres appréciations sur les personnes ! Tout ne tient donc qu’à un fil…
Dans la pratique, ces « champs libres » sont responsables de nombre de ces errements ; en effet, il suffit d’ouvrir un champ « observations complémentaires », ou « renseignements divers », pour que les opérateurs de saisie, souvent croyant bien faire, ajoutent des notes déplacées et potentiellement illicites.
C’est l’évidence malsaine de la loi des nombres : sur 1.000 saisies, la subjectivité humaine introduira nécessairement son lot de fâcheuses appréciations (on a déjà analysé un cas très similaire sanctionné par la CNIL dans la newsletter, abonnez-vous maintenant pour en avoir le détail – le service est gratuit).
Donc**,** si vous pilotez un CRM, un réseau social, un logiciel RH, ou une base de données, proscrivez définitivement les champs libres, cela vous évitera nombre de déconvenues potentielles. Remplacez-les par des appréciations moins subjectives (ex : cases à cocher), en particulier si vous confiez leur saisie à un personnel qui n’a pas eu un vernis informatique et libertés.
Et enfin, le plus intéressant : observons la position de la CNIL dans cette affaire.
3. – La réponse de la CNIL !
On a donc vu que quatre, non, cinq infractions pénales pouvaient potentiellement jouer sur une telle collecte de données personnelles.
Réponse de la CNIL après contrôle du responsable du traitement : une mise en demeure ajoutant que : « c_ette mise en demeure ne constitue pas une sanction. En effet, si l’OPH PARIS HABITAT se conforme à la loi dans un délai de deux mois, aucune suite ne sera donnée à cette procédure_« .
A la lecture de ces éléments, il est tout de même difficile de ne pas se demander quelle est la nature réelle du message qu’envoie la CNIL…