Mais, il y a le droit, et le réel. Et, l’observation du réel force à constater que cette loi permet aujourd’hui – sur le papier – de mettre en prison pratiquement n’importe qui de la manière la plus arbitraire qui soit, tant son champ d’application est démesuré.
Reprenons la loi.
Pour que celle-ci s’applique – et en particulier ses dispositions pénales – il suffit de traiter des données à caractère personnelle.
Le terme de données personnelles est entendu au sens entendu au sens légal, c’est-à-dire : la simple référence à un nom, un prénom, une photo, une vidéo d’une personne, ou même plus simplement une adresse IP, dès lors que le traitement est fait à titre professionnel (et non pour ses besoins privés, auquel cas la loi ne s’applique pas). En pratique, la loi régit toutes les informations qui permettent d’identifier directement ou indirectement une personne physique.
Pour que le texte s’applique, il suffit par exemple qu’un employé ouvre un fichier Excel et y ajoute une adresse IP. Rien de plus.
Dès lors il faudra impérativement faire une déclaration CNIL pour le traitement, sous peine de 5 ans d’emprisonnement et 300.000€ d’amende. Et cela, même s’il n’y a aucun risque pour les droits et libertés des personnes…
Et même si l’adresse IP n’est là que pour des opérations statistiques : la loi s’applique.
Des infractions qui datent… de 1978
La loi, adoptée en 1978, a été bardée d’infractions pénales dans l’espoir qu’elle soit effectivement respectée. Prenons par exemple l’article 226-16 du Code pénal (à consulter sur Legifrance) qui dit que :
Le fait, y compris par négligence, de procéder ou de faire procéder à des traitements de données à caractère personnel sans qu’aient été respectées les formalités préalables [c’est-à-dire la déclaration CNIL] à leur mise en oeuvre prévues par la loi est puni de cinq ans d’emprisonnement et de 300 000 euros d’amende.
En clair, cela signifie que légalement, si vous oubliez – même par une simple négligence – de déclarer votre fichier Excel à la CNIL, vous tomberez alors sous le coup d’une condamnation maximale de 5 ans d’emprisonnement (ferme) et 300.000€ d’amende (la saisie de l’intégralité de vos biens, somme toute). En fait, pour être vraiment précis, il faut ajouter que votre organisation risque également, en plus de votre condamnation personnelle, une amende de 1.500.000€ (le montant de l’amende x5, tel que prévu par l’article 226-24 du Code pénal).
On pourrait toujours tenter de s’en défendre :
1 – Dire en l’occurrence que l’adresse IP n’est pas une donnée à caractère personnelle… mais le débat est aujourd’hui stérile, il suffit de consulter le site de la CNIL qui la mentionne spécifiquement ou toute la série de jurisprudence rendue en la matière : la réponse est toujours la même.
2 – Dire que l’amende est un plafond maximum et dire qu’un juge n’irait jamais jusqu’aux 5 ans… C’est vrai, mais cela ne mérite pas d’être emprisonné 5 ans, alors on se demande pourquoi la loi le prévoit expressément ? Disons que le paradoxe est assez grand pour une loi qui prétend protéger les droits et libertés de faire peser sur les épaules des informaticiens un risque pénal à ce point disproportionné.
La voie la plus simple est évidemment de respecter la loi et de déclarer tous ses traitements ! Evidemment personne n’est en mesure de respecter cette obligation tant les traitements informatiques sont légions dans une organisation. En fait plus l’organisme est grand et plus vous avez de chance de voir votre responsabilité pénale personnelle engagée. Imaginez une entreprise du CAC40 avec 100.000 employés. Comment s’assurer que personne sur un poste informatique quelque part n’entre pas un nom ou un prénom dans un fichier qui n’ait pas préalablement été déclaré… La tâche est tout bonnement impossible. Forcément, à un moment donné ou à un autre, l’organisation oublie de déclarer un traitement. Et paf, 5 ans…
Et ces exemples de droit périmé dans la loi sont légions…
Il est urgent d’apporter de la sécurité juridique aux organisations
La réalité, et pour ce qui concerne l’article 226-16 du Code pénal, la loi a été pensée en 1978, à un moment ou les organisations pouvaient matériellement recenser tous les traitements informatiques, car ceux-ci étaient extrêmement rares ! Mais la situation a pour le mois évoluée…
Or, dans le texte de loi, le point de difficulté est le précepte pris par défaut par la loi est que tous les traitements de données personnelles sont forcément attentatoire aux droits et libertés ! Ce qui n’est évidemment pas le cas en pratique, et en particulier depuis que nos sociétés se sont massivement informatisées.
Et non : copier-coller le nom et le prénom d’une personne sur un fichier Excel ne mérite certainement pas qu’on menace d’emprisonner une personne pendant 5 ans !
A l’heure ou les entreprises de hautes technologies fuient massivement la France en raison de ses aberrations administratives il est maintenant urgent d’offrir aux organisations le minimum de sécurité juridique dont elles ont besoin pour prospérer. Et certainement ne pas leur dire que si elles ont le toupet d’inventer des moyens informatiques, que leurs créateurs risquent la garde à vue et voir leur responsabilité engagée.
Que l’on sanctionne une organisation pour avoir monté un fichier discriminant est une très bonne chose.
Mais les organisations de bonne foi sont en droit d’exiger le minimum de sécurité juridique pour ne pas voir leur responsabilité pénale engagée de manière arbitraire et systématique.
La question que l’on pose maintenant est qui saisira l’opportunité de libérer la France de cette aberration du droit ?