Institut numerique

SECTION 2 : La responsabilité en cas d’atteinte aux données personnelles, principal enjeu

Un grand nombre d’informations dont disposent les entreprises font l’objet d’une obligation de confidentialité. Cette obligation peut être imposée par la loi ou bien contractuellement par un client ou un fournisseur, s’agissant de données commerciales notamment. Dans ce dernier cas, une divulgation des informations concernées engagerait la responsabilité contractuelle de l’entreprise, avec les conséquences pécuniaires éventuellement prévues au contrat (pénalités contractuelles, voire résiliation du contrat par le cocontractant victime).

Mais c’est aussi et surtout la protection de la vie privée qui est en jeu en cas d’atteinte, puisque parmi les données des entreprises, il y a potentiellement un grand nombre d’informations personnelles concernant des clients ou encore des salariés. L’article 9 du Code civil ainsi que l’article 8 de la Convention Européenne des Droits de l’Homme prévoient que tout individu a droit au respect de sa vie privée. Tout personne est donc en droit d’obtenir réparation lorsque sa vie privée est violée, et c’est bien le cas lorsque des informations personnelles la concernant sont divulguées sans qu’elle ne l’ait souhaité.

En parallèle du fondement de la protection de la vie privée, une législation spécifique est intervenue très tôt en France pour protéger les données personnelles dans le cadre de leur traitement informatique : il s’agit de la loi Informatique et Libertés du 6 janvier 1978(98). Cette loi impose de nombreuses obligations aux entreprises traitant des données personnelles, notamment en ce qui concerne la sécurité, ce qui nous intéresse plus particulièrement.

Pour mesurer la responsabilité qui pèse sur les entreprises s’agissant du traitement de données personnelles, il convient de déterminer le contenu de cette législation.

Nous commencerons par évoquer le contexte de l’adoption de cette loi (§1) avant de définir son champ d’application (§2) et la nature des obligations qu’elle impose aux entreprises (§3) ainsi que les sanctions encourues en cas de défaillance (§4).

§1 : Contexte

La protection des données personnelles fait l’objet d’une législation particulière en France, comme dans beaucoup d’autres pays aujourd’hui. Avec l’adoption de la loi Informatique et Libertés du 6 janvier 1978 qui vise à encadrer la collecte et le traitement des données à caractère personnel, la France fut l’un des premiers pays à s’inquiéter des dangers du développement de l’informatique au regard des droits des personnes sur lesquelles des informations sont recueillies. Cette législation a d’ailleurs inspiré la directive communautaire de 1995 qui constitue le texte de référence en matière de protection des données à caractère personnel au niveau européen(99).

Dès le premier article de la loi de 1978, le ton est donné : l’informatique « ne doit pas porter atteinte ni à l’identité humaine, ni aux droits de l’Homme, ni à la vie privée, ni aux libertés individuelles ou publiques ». Afin de protéger les citoyens, cette loi prévoit plusieurs obligations à la charge des personnes ou organismes qui recueillent et/ou traitent des données à caractère personnel. A ce titre, la plupart des entreprises sont concernées puisqu’elles détiennent forcément des informations personnelles sur leurs clients ou leurs salariés, dans des proportions plus ou moins importantes.

Elle impose tout d’abord une obligation de déclaration à la Commission nationale de l’informatique et des libertés (CNIL) pour la création de tout fichier ou traitement automatisé contenant des informations à caractère personnel. Une autorisation préalable est même requise s’agissant de données particulièrement sensibles (opinion politique ou religieuse, par exemple).

En outre, tout détenteur de données personnelles doit un certain nombre d’informations aux personnes concernées (identité du responsable du fichier, finalité du traitement des données, etc.).

Enfin, des obligations de sécurité et de confidentialité sont mises à la charge des responsables de traitement, et ce sont ces obligations qui nous préoccupent plus particulièrement dans le cadre de ces développements. En effet, si le non-respect de toutes les obligations précitées est sanctionné pénalement et peut conduire éventuellement à l’engagement de la responsabilité civile du « responsable » du traitement, les obligations de sécurité et de confidentialité sont intimement dépendantes de la sécurité du système d’information de l’entreprise et de son appréhension des différentes menaces que nous avons évoquées dans le premier chapitre.

Avant de détailler ces obligations, il convient de préciser le champ d’application de la loi Informatique et Libertés.

§2 : Champ d’application

La loi Informatique et Libertés s’applique aux traitements automatisés ou non de données à caractère personnel. Plusieurs définitions s’imposent : celles des « données à caractère personnel » (A) et de leur « traitement » (B), naturellement, mais aussi du champ d’application territorial de ces dispositions (C), et enfin du « responsable de traitement » (D).

A) Les données à caractère personnel

Tout d’abord, qu’entend-t-on par « données à caractère personnel ». Selon l’article 2 de la loi de 1978, il s’agit de « toute information relative à une personne physique identifiée ou qui peut être identifiée, directement ou indirectement, par référence à un numéro d’identification ou à un ou plusieurs éléments qui lui sont propres ». On pense immédiatement au nom, prénom, date de naissance, au numéro de sécurité sociale ou encore aux coordonnées bancaires d’un individu. Mais il peut s’agir aussi de toute information qui, sans être associée au nom d’une personne, peut permettre de l’identifier et de connaître ses habitudes, ses goûts, par exemple : « le propriétaire du véhicule 432TRH88 ».

Ce même article donne également la définition du traitement de données.

B) Le traitement de données

L’article 2 de la loi de 1978 vise « toute opération ou tout ensemble d’opérations portant sur de telles données, quel que soit le procédé utilisé, et notamment la collecte, l’enregistrement, l’organisation, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, ainsi que le verrouillage, l’effacement ou la destruction ». C’est extrêmement large et l’on comprend que toute entreprise, quelle que soit son activité, peut être concernée, pour ne pas dire est concernée. En effet, sans avoir des listings impressionnants de données clients, toute entreprise détient au moins des informations personnelles sur ses salariés, pour des raisons et dans des buts variés.

C) Territorialité

S’agissant du champ d’application territorial de ces dispositions, là encore, le législateur français a vu large en encadrant non seulement les traitements effectués par toute entreprise française mais également tous ceux qui sont concrètement réalisés en France. Sont en effet concernés, selon l’article 5 de la loi Informatique et Libertés, les traitements de données personnelles dont le responsable est établi sur le territoire français, quelle que soit la forme juridique de son installation en France. Mais y sont également soumis les traitements dont « le responsable, sans être établi sur le territoire français ou sur celui d’un autre Etat membre de la communauté européenne, recourt à des moyens de traitement situés sur le territoire français, à l’exclusion des traitements qui ne sont utilisés qu’à des fins de transit sur ce territoire ou sur celui d’un autre Etat membre de la Communauté européenne ».

Cette loi impose un certain nombre d’obligations aux personnes ou organisations qui traitent des données personnelles au sens de la loi. Reste à savoir qui est le débiteur exact de ces obligations. Il s’agit du « responsable du traitement ».

D) Le responsable du traitement

Il est défini comme « la personne, l’autorité publique, le service ou l’organisme qui détermine ses finalités et ses moyens »(100). Lorsqu’une entreprise détient des données personnelles, qu’elles concernent des clients ou des salariés, c’est bien elle qui en détermine les « finalités » et les « moyens » par lesquels elle réalise ce traitement.

Le périmètre de la loi Informatique et Liberté étant tracé, intéressons nous au contenu des obligations qu’elle impose aux entreprises qui traitent des données personnelles.

§3 : Les obligations du responsable de traitement

On l’a déjà évoqué, diverses obligations sont mises à la charge des responsables de traitement par la loi Informatique et Libertés, nous nous concentrons sur les obligations qui sont directement liées à la sécurité des systèmes d’information : les obligations de confidentialité (A) et de sécurité (B), ainsi que les prescriptions en matière de durée de conservation des données personnelles (C).

A) Obligation de confidentialité

Une obligation de confidentialité est tout d’abord imposée aux responsables de traitement de données à caractère personnel. L’entreprise doit donc s’assurer que l’accès à ces données est réservé uniquement aux personnes désignées ou à des tiers qui détiennent une autorisation spéciale et ponctuelle (service des impôts, police, etc.).

Cette obligation de confidentialité est intimement liée à l’obligation de sécurité par ailleurs imposée par la loi.

B) Obligation de sécurité

L’article 34 de la loi Informatique et Libertés oblige en effet le responsable du traitement de « prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment empêcher qu’elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès ». Cette obligation vise à protéger les personnes contre toute atteinte aux données à caractère personnel les concernant et qui seraient traitées, collectées ou stockées.

Il s’agit d’une obligation de moyens(101) qui se traduit concrètement par la mise en place de mesures de sécurité physiques (sécurisation de l’accès aux locaux notamment) mais aussi par la protection logique du système d’information. Ces mesures doivent garantir un niveau de sécurité approprié, reste toutefois la question de savoir quel niveau de protection serait jugé suffisant pour estimer que l’entreprise a bien respecté son obligation de sécurité. Si la loi n’est pas plus précise, la CNIL a publié plusieurs documents et autres guides destinés à éclairer les entreprises sur le contenu de leur obligation de sécurité. Elle a notamment publié, le 12 octobre 2009, « 10 conseils pour sécuriser votre système d’information », expliquant un ensemble de mesures que les détenteurs de données à caractère personnel doivent mettre en oeuvre pour satisfaire à leur obligation de sécurité. Dans ce document, la CNIL entend préciser ce que le législateur entend par « précautions utiles ». A titre d’exemple, il est ainsi conseillé d’adopter une politique de mot de passe rigoureuse, d’identifier qui peut avoir accès aux fichiers concernés, ou encore d’anticiper et de formaliser une politique de sécurité.

Plus récemment, la CNIL a publié deux nouveaux guides sécurité « avancés » composés d’une méthode de gestion des risques sur les libertés et la vie privée et d’un ensemble détaillé de mesures pour aider les organismes à gérer concrètement ces risques. On y trouve par exemple des conseils plus concrets en matière de chiffrement des données ou de sauvegarde(102).

C) Durée de conservation

Enfin, notons que les données personnelles ne peuvent pas être détenues indéfiniment. Le responsable de traitement doit fixer une durée de conservation raisonnable en fonction de l’objectif du fichier (article 36 de la loi Informatique et Libertés).

Toute violation de ces obligations fait naturellement l’objet de sanctions.

§4 : Les sanctions

Le responsable de traitement qui ne respecterait pas les prescriptions de la loi Informatique et Libertés encourt des sanctions pénales (A), des sanctions civiles (B) ainsi que des sanctions administratives (C).

A) Sanctions pénales

La conservation des données pour une durée supérieure à celle qui a été déclarée (art 226-20 du Code pénal), le non-respect de l’obligation de sécurité (art 226-17 du Code pénal) et la communication d’informations à des personnes non-autorisées (art. 226-22 du Code pénal) sont passibles de cinq ans d’emprisonnement et de 300 000 euro d’amende. Quant à la divulgation d’informations commise par imprudence ou négligence, elle est tout de même punie de 3 ans d’emprisonnement et de 100 000 euro d’amende (art. 226-22 du Code pénal).

Les poursuites sont nécessairement dirigées contre le responsable de traitement au sens de la loi Informatique et Libertés.

B) Sanctions civiles

Ces obligations sont parallèlement sources de responsabilité civile délictuelle mais aussi éventuellement contractuelle (dans le cas d’un partenaire commercial par exemple qui serait co-responsable de traitement). S’agissant de la responsabilité délictuelle, la victime devra démontrer qu’elle a subi un préjudice (atteinte à sa vie privé, usurpation d’identité notamment) directement causé par les manquements de l’entreprise aux obligations de confidentialité et de sécurité imposées par la loi (par exemple, insuffisance des protections logiques du système d’information).

En cas d’incident causant par exemple une divulgation massive de données personnelles, on imagine l’ampleur du risque en termes de responsabilité pour l’entreprise qui devra faire face à de multiples procès avec les coûts que cela implique : frais de défense et dommages et intérêts. Naturellement, plus il y a de réclamations et plus cela coûte cher à l’entreprise.

Ce risque reste néanmoins beaucoup moins important en France qu’aux Etats-Unis, notamment du fait des actions de groupe (« class actions ») qui peuvent conduire à des condamnations de plusieurs millions de dollars. La menace des class actions est d’ailleurs extrêmement dissuasive pour les entreprises américaines, qui de fait, consacrent beaucoup plus d’énergie et de moyens à la protection des données personnelles qu’elles utilisent.

Si à ce jour les actions de groupe ne sont pas possibles en France, il n’est pas exclu qu’elles soient consacrées un jour ou l’autre. Une proposition de loi « portant réforme de la responsabilité civile », enregistrée au Sénat le 9 juillet 2010, prévoit la modification du régime général de droit commun et l’introduction des actions de groupe lorsque plusieurs personnes sont victimes de dommages matériels similaires.

Au niveau européen, également, on s’intéresse aux actions de groupe. Dans le cadre de la révision de la directive 95/46 CE, une communication du 4 novembre 2010 envisage « la possibilité d’accorder le pouvoir de saisir les juridictions nationales aux autorités chargées de la protection des données et aux associations de la société civile, ainsi qu’à d’autres groupements représentant les intérêts légitimes des personnes concernées… »(103).

Les exemples de condamnations civiles comme pénales restent assez rares en France. Nous citerons la condamnation du président et du directeur du Syndicat interprofessionnel des médecins du travail du pays d’Aix (SIMTPA) à respectivement 50 000 francs et 30 000 francs d’amende pour violation de la loi de 1978 et notamment de l’obligation de sécurisation des données ainsi que pour violation du secret médical : le système informatique de l’ensemble des services du SIMTPA n’assurait pas une protection suffisante de la confidentialité des données médicales enregistrées, accessibles notamment par le personnel administratif(104).

Autre illustration, la condamnation du directeur de la Centrale professionnelle d’information sur les impayés (CPII) à une amende de 50 000 francs en raison d’une absence de précautions dans la collecte, l’enregistrement et la diffusion des éléments de l’état civil de personnes (absence systématique d’enregistrement du lieu de naissance ayant rendu possible des homonymies)(105).

C) Sanctions administratives

A l’issue de missions de contrôle ou de plaintes, la formation restreinte de la Commission Nationale de l’Informatique et des Libertés (CNIL)(106), composée de cinq membres et d’un Président distinct du Président de la CNIL, peut prononcer diverses sanctions à l’égard des responsables de traitements qui ne respecteraient pas la loi.

Lorsque des manquements à la loi sont portés à sa connaissance, la formation contentieuse de la CNIL peut prononcer à l’égard du responsable de traitement fautif un avertissement, qui peut être rendu public, une injonction de cesser le traitement ou encore un retrait de l’autorisation accordée par la CNIL en application de l’article 25 de la loi (traitements de données pour lesquels une autorisation est requise).

Mais la CNIL peut également prononcer des sanctions pécuniaires d’un montant maximal de 150 000 €, pouvant aller jusqu’à 300 000 € en cas de récidive. Cette sanction peut être rendue publique, ce qui est lourd de conséquence pour la réputation de l’entreprise concernée. La formation contentieuse peut même ordonner l’insertion de sa décision dans la presse, aux frais de l’organisme sanctionné.

Notons qu’un projet de règlement européen(107) dont nous reparlerons plus avant prévoit une augmentation significative des amendes administratives. Elles devraient aller de 0,5% à 2% du chiffre d’affaires global pour les personnes morales, et de 250 000 euro à 1 million d’euro pour les personnes physiques, en fonction de la gravité des manquements.

En pratique, quelques avertissements mais peu d’amendes ont été prononcés par la CNIL à ce jour. En 2012 par exemple, seules 4 sanctions pécuniaires sont à dénombrer, allant de 1 000 à 20 000 euro, et aucune d’entre elles n’a été prononcée en raison d’une violation de données mais principalement pour des manquements aux obligations concernant la collecte d’informations personnelles(108).

A l’inverse, certains pays s’illustrent par l’importance des amendes prononcées, notamment le Royaume-Uni. Par exemple, en août 2010, l’assureur Zurich Insurance s’est vu infliger par la FSA (Financial Services Authority, autorité britannique de régulation du secteur financier) une amende record de 2,28 millions de livres (soit 2,8 millions d’euros) pour manquement aux normes de sécurité ayant causé la perte d’informations confidentielles, notamment des informations bancaires, concernant 46 000 assurés.

Les faits se sont produits deux ans plus tôt, en août 2008. Zurich UK avait confié la gestion informatique de ses données clients à l’une de ses filiales, Zurich Insurance Company South Africa Limited (Zurich SA), laquelle a perdu un fichier non crypté à l’occasion d’un transfert « de routine » vers un centre de stockage de données.

La FSA relève que « dans la mesure où il n’y avait pas de structure de reporting adéquat, Zurich UK n’a été mis au courant de cet incident qu’une année plus tard ». Il est reproché à l’assureur de ne pas avoir veillé à l’efficacité de ses systèmes de sécurité visant à protéger les données de ses clients.
Etant donné que Zurich UK a souhaité coopérer au plus tôt avec la FSA, son amende a été réduite de 30%. Le montant initial avait été fixé à 3,25 millions de livres, soit 4 millions d’euro(109).

En outre, les amendes prononcées par l’autorité espagnole de protection des données (l’AGPD, Agencia Espanola de Proteccion de Datos) sont souvent bien plus élevées que celles prononcées par la CNIL. Par exemple, en juin 2010, la société Vodafone a été condamnée à 100 000 euros d’amende suite à la divulgation accidentelle d’informations personnelles de 22 clients sur le portail en ligne de l’entreprise.

En tant que responsables de traitement, les entreprises sont donc susceptibles d’engager leur responsabilité en cas d’atteintes aux données personnelles qu’elles détiennent. Cette responsabilité est bien sûr accrue lorsque l’entreprise brasse beaucoup de données personnelles. Bien que les exemples de condamnation ne soient pas légion en France, le risque reste entier. Il est même accru par certains facteurs, comme le probable durcissement à venir de la législation communautaire et la possible consécration de class actions à la française. En outre, pour une entreprise modeste, un seul procès peut avoir des conséquences financières lourdes.

Ce risque de responsabilité est par ailleurs intensifié en cas de recours à certaines pratiques, point que nous allons maintenant aborder.

98 Loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés
99 Directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données
100 Article 3 I. de la loi Informatique et Libertés
101 Forum des Compétences, Obligations en matière de sécurité des systèmes d’information, juin 2011
102 Guide CNIL, Gérer les risques sur les libertés et la vie privée, édition 2012
103 COM (2010) 609/3 Communication de la commission au parlement européen, au conseil, au comité économique et social européen et au comité des régions – Une approche globale de la protection des données à caractère personnel dans l’UE, 4 novembre 2010
104 Cass. Crim. 30 octobre 2001, Forum des Compétences, Obligations en matière de sécurité des systèmes d’information, juin 2011)
105 Cass. Com.19 décembre 1995, Forum des Compétences, Obligations en matière de sécurité des systèmes d’information, juin 2011
106 La Commission nationale de l’informatique et des libertés est chargée de veiller à ce que l’informatique soit au service du citoyen et qu’elle ne porte atteinte ni à l’identité humaine, ni aux droits de l’homme, ni à la vie privée, ni aux libertés individuelles ou publiques. Elle exerce ses missions conformément à la loi informatique et libertés qui la qualifie d’autorité administrative indépendante. (source : www.cnil.fr)
107 COM(2012) 11 final. 2012/0011 (COD) Proposition de Règlement du Parlement Européen et du Conseil relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (règlement général sur la protection des données, 25 janvier 2012
108 Les sanctions prononcées par la CNIL sont publiées sur son site internet : www.cnil.fr
109 DUFRÊNE (C.), Pertes de données: amende record pour Zurich, Argusdelassurance.com, publié le 24 août 2010).

Retour au menu : Les cyber-risques dans l’entreprise : enjeux et assurance