La protection des données personnelles en droit allemand : étude comparée

Un vaste scandale de trafic commercial de données privées a éclaté en Allemagne mi-août, dans un pays sourcilleux depuis le nazisme d'éviter les fichages abusifs et qui se souciait surtout jusque-là des intrusions de l'État dans la vie privée. Des millions d'informations confidentielles s'acquièrent sur internet moyennant finance et certaines peuvent servir à des prélèvements bancaires frauduleux: c'est le constat public qu'ont fait lundi 25 août 2008 les autorités chargées de la protection des données.

Scandale en Allemagne : sanction insuffisante

«Ce commerce illégal avec adresses et numéros de comptes dépasse tout ce qu'on connaissait», a déclaré lundi le responsable berlinois du secteur, Alexander Dix.

Deux jours de recherches sur internet ce week-end ont suffi à un agent de l'État pour acquérir illégalement un fichier de 6 millions de données. Prix: 850 euros (1330 $). «Et ce n'est que la face émergée de l'iceberg», reconnaît M. Dix.

Depuis plus d'un an, lutte antiterrorisme oblige, le débat tournait autour des limites à imposer à l'État qui, dans sa quête d'informations pour traquer les cyber-terroristes, réclamait l'accès à des données confidentielles de citoyens.

La loi a été durcie. La police et la justice peuvent désormais espionner les communications et les ordinateurs de suspects et les sociétés de téléphonie doivent conserver pendant six mois l'historique des appels. Le gouvernement a argué de la sécurité nationale.

Mais l'affaire présente est, elle, entièrement commerciale.

C'est un employé d'un centre de démarchage téléphonique qui a fait éclater le scandale. Detlef Tiegel, 36 ans, a envoyé il y a huit jours à une centrale de consommateurs du Schleswig-Holstein (nord) un CD contenant 17 000 données confidentielles acquises illégalement par son employeur, dont moult numéros de comptes bancaires. Selon lui, sa société disposait d'au moins 1,5 million et demi d'informations illégalement acquises.

La centrale de consommateurs a depuis lors reçu deux autres CD.

Les autorités fédérales ont voulu vérifier par elles-mêmes si l'on peut acquérir facilement de telles données. La réponse est oui, y compris des informations bancaires, dont le commerce est strictement interdit par la loi allemande --tout comme l'est en théorie depuis le 1er janvier le démarchage téléphonique sans accord préalable de l'intéressé--.

La justice a ouvert plusieurs enquêtes contre des «Call Center» (centres d'appels) et effectué des perquisitions. Un homme à Hanovre (nord) s'est dénoncé. Il affirme avoir vendu des informations issues du fichier d'une loterie du sud de l'Allemagne, la SKL.

Or depuis des semaines, des plaintes de détournement de sommes allant de 30 à 100 euros affluent par centaines contre des sociétés de loterie.

La SKL affirme n'avoir rien fait d'illégal. Elle rejette la faute sur son centre d'appels. «Par mesure de précaution», le groupe Bertelsmann a suspendu vendredi certains de ses démarchages commerciaux.

 «Le commerce de données personnelles est une affaire où se jouent des milliards, avec des structures mafieuses», souligne Bernd Carstensen, un haut responsable de la police criminelle.

Les entreprises allemandes investissent plus de 50 milliards d'euros par an dans des appels et des courriers de démarchage. Des millions de «fichiers clients» s'achètent, y compris sur E-Bay. Quelque 1 300 sociétés allemandes sont spécialisées dans leur compilation et leur commercialisation, selon le Chaos Computer Club (CCC).

Pour Christian Fronczak, porte-parole de la Fédération allemande des organisations de consommateurs (VZbV), «il faut renforcer le contrôle et les sanctions».

La Fédération des fonctionnaires de police criminelle réclame des enquêteurs spécialisés. Le responsable fédéral de la protection des données, Peter Schaar, veut un lifting de la loi. Les députés pourraient s'y attaquer dès l'automne.

La proposition faite par le gouvernement allemand, serait d’obliger les sociétés qui agglomèrent des fichiers de manière illégale à rembourser au centime près les bénéfices qu’elles auront réalisés en les revendant.

COMMENT REMEDIER A L’IMPRUDENCE DES ALLEMANDS ?

Les spécialistes de la protection des données estiment toutefois une telle proposition très difficile à mettre en œuvre. Ils suggèrent plutôt les sociétés en question à obtenir l’accord exprès des personnes sur lesquelles ils recueillent des informations avant de pouvoir les diffuser. A l’heure actuelle, les consommateurs doivent à l’inverse, exprimer d’eux-mêmes leur refus d’être ainsi enregistrés.

Le ministre de l’Intérieur, Wolfgang Schaüble, veut convoquer un sommet de crise pour le mois de septembre, auquel participeraient Madame Zypries en charge de la Protection des consommateurs et les responsables de la protection des données. Le ministre en charge de ces questions du Land de Bade-Würtemberf appelle, en outre, à une initiative au sein du Bundesrat (la Chambre haute).

SANCTION "INSUFFISANTE"

Première à réagir, la ministre de la justice, Brigitte Zypries (SPD), s'est prononcée pour un durcissement de la loi. Actuellement, un tel trafic expose à des amendes allant jusqu'à 250 000 euros, une sanction "insuffisante" selon Mme Zypries. La ministre souhaite contraindre les entreprises qui détiennent des fichiers clients et procèdent à leur commercialisation illicite à rembourser au centime près les bénéfices engrangés.

Le ministre de l'économie, Michael Glos (CSU), a même évoqué l'option d'une interdiction totale du commerce de données personnelles Autre proposition, plébiscitée par Mme Zypries et par le ministre responsable de la protection des consommateurs, Horst Seehofer (CSU) : inscrire dans la loi l'obligation, pour toute entreprise détenant des informations confidentielles, d'obtenir l'accord circonstancié des consommateurs concernés avant de les transmettre. Cette suggestion a reçu le soutien des spécialistes de la protection des données.

Certains députés Verts et SPD ont aussi avancé l'idée d'introduire la protection des données dans la loi fondamentale, sans recevoir de réel écho au sein des ministères.

M. Schäuble s'est dit sceptique sur la nécessité de promulguer une nouvelle loi. Un tel jugement est partagé par le Bitkom : selon l'association allemande des télécommunications, des technologies de l'information et des nouveaux médias, la loi allemande de protection des données est déjà l'une des plus sévères au monde. La multiplication des dérives tient en réalité de sa mauvaise application.

Cette réalité nous amène à une étude de droit comparé sur les correspondants à la protection des données.

Etude de droit comparé sur les correspondants à la protection des données : remède efficace ?

L’article 18 de la directive 95/46 dispose que les États membres peuvent prévoir une simplification de l’obligation de notification ou une dérogation à cette obligation lorsque le responsable du traitement désigne un « détaché à la protection des données à caractère personnel chargé notamment d'assurer, d'une manière indépendante, l'application interne des dispositions nationales prises en application de la présente directive, de tenir un registre des traitements effectués par le responsable du traitement, et garantissant de la sorte que les traitements ne sont pas susceptibles de porter atteinte aux droits et libertés des personnes concernées ».

Le projet de loi modifiant la loi de 1978 (article 22)  prévoit, à la suite de l’adoption par le Sénat d’un amendement présenté par M. Alex Türk, rapporteur de la commission des lois, la possibilité pour les entreprises ou collectivités publiques, la possibilité de la désignation d’un « correspondant à la protection des données à caractère personnel » (CPD).

Dans ce contexte, il est intéressant de considérer quelques systèmes existants sur ce sujet dans les autres pays de l’Union Européenne, afin d’en connaître les caractéristiques.

1. L'experience allemande : désignation facultative ou obligatoire du CDP

L’Allemagne a une grande expérience de ce système, qui préexistait largement à l’adoption de la directive 95/46, laquelle s’est d’ailleurs inspiré de l’expérience allemande sur ce point. La désignation d’un « délégué à la protection des données » y est obligatoire dans différents cas, limitativement énumérés par la loi :

• Dans le secteur privé :
  • si le responsable de traitement emploie au moins 5 personnes pour traiter des données personnelles de manière automatisée (ou au moins 20 personnes pour des traitements non-automatisés)
  • si le responsable de traitement met en œuvre des traitements soumis à autorisation préalable
  • si le responsable de traitement est une société d’un type particulier, visant en particulier les sociétés de marketing direct ou de « credit referencing » (c'est à dire des sociétés fournissant des informations personnelles pour la finalité d’octroi de crédit, entre autres).
• Dans le secteur public fédéral :
  • si le responsable de traitement met en œuvre des traitements automatisés, quelque soit le nombre de personnes employées ;
  • si le responsable de traitement emploie au moins 20 personnes pour des traitements non-automatisés de données ; Il est alors possible aux autorités fédérales de nommer un seul délégué pour plusieurs départements ou organismes publics.
• Dans le secteur public au niveau des Länder, ce sont les lois locales qui régissent la question :
  • la majorité des lois de protection des données personnelles des Länder impose la désignation d’un CIL dans chaque autorité locale, quelque soit le nombre de personnes employées ;
  • il est loisible aux petites collectivités locales de se regrouper pour désigner un CIL commun.

2. Le système des CDP en Suède et aux Pays-Bas

La nomination d’un tel délégué est optionnelle. La loi dispose alors expressément que cette nomination ne préjuge en rien des compétences et des pouvoirs détenus par l’autorité de protection des données.

Aux Pays-Bas, par ailleurs, il est possible qu’une organisation professionnelle regroupant plusieurs organisations (ex : syndicat professionnel) désigne un CPD qui soit compétent pour l’ensemble de cette branche. Le succès de ce système aux Pays-Bas a par ailleurs poussé les CPD à créer leur propre syndicat professionnel, qui a établi ses propres standards que les CPD sont tenus d’appliquer dans leurs organisations, et qui est devenu un interlocuteur quotidien de l’autorité de protection des données.

Il ressort de la comparaison des différentes situations existantes que le choix d’un système de désignation optionnelle est préférable à un système obligatoire : hormis l’attrait indéniable que présente cette désignation, qui permet de ne plus avoir à notifier les traitements à l’autorité de protection, les organisations qui choisissent de désigner un CPD le font en règle générale dans un esprit d’ouverture et de sensibilisation aux questions de protection des données personnelles ; cet état d’esprit offre a priori de meilleures garanties de qualité de travail aux CPD que si leur désignation ne résultait que de la volonté de remplir une obligation légale sans conviction quant à sa justification.

3. Statut du CPD

Dans tous les cas, le CPD doit être une personne possédant les qualifications nécessaires à l’exercice de ses fonctions, qu’il doit pouvoir exercer en toute indépendance. Le délégué ne reçoit, dans le cadre de l’exercice de ses fonctions, aucune instruction de la part du responsable de traitement ou de l’organisation qui l’a désigné. Le responsable de traitement doit également accorder au CPD les moyens matériels nécessaires à l’exercice de ses fonctions (en terme de personnel, de ressources, d’équipement, etc.).

La loi allemande prévoit par ailleurs que le CPD doit être rattaché directement au directeur de la société ou de l’organisation ; il ne peut être ni le chef de l’organisation, ni son administrateur système, ni son directeur des ressources humaines. L’objectif est d’éviter les « conflits d’intérêt » sur les projets mis en œuvre par le responsable de traitement.

Dans le secteur privé il est autorisé que le CPD soit une personne extérieure à l’entreprise ; cela n’est admis pour les organisations du secteur public que dans la mesure où la personne travaille dans un autre organisme remplissant une mission de service public.

Le CPD ne peut être révoqué que pour des raisons importantes ; dans le secteur privé cette révocation peut avoir lieu à la demande de l’autorité de protection des données compétente.

La loi néerlandaise consacre également un système de salarié protégé. Elle dispose d’ailleurs que les délégués disposent, pour accomplir leur mission, de compétences équivalentes à celles prévues par les dispositions de loi générale de réglementation de l’administration traitant des pouvoirs des autorités de contrôle administratives et des conditions dans lesquelles ces autorités peuvent exercer ces pouvoirs (ex. : obligation de coopération des personnes approchées par l’autorité ; pouvoir d’enquête ; droit de perquisition, etc.).

Le délégué est soumis au secret professionnel et a l’obligation de considérer comme confidentielle toute information portée à sa connaissance à l’occasion d’une plainte ou de la demande d’une personne concernée, à moins que la personne ne consente au fait de rendre ces informations publiques.

4. Existence d'un registre central des CDP

Contrairement au choix du législateur allemand, qui n’a pas imposé aux responsables de traitement l’obligation de notifier le nom du CPD qu’ils ont désignés aux autorités de protection des données personnelles (et où par conséquent il est, de l’aveu des autorités allemandes, difficile de savoir si les responsables de traitement ont bien respecté leur obligation de désignation ou pas), le législateur néerlandais a imposé cette obligation d’information des autorités après désignation d’un CPD. Le CPD ne peut d’ailleurs prendre ses fonctions qu’une fois que le responsable de traitement l’a enregistré auprès de l’autorité de protection des données, qui tient à jour une liste des délégués à la protection des données, publiée sur son site Web.

5. Obligations et fonctions du CPD

Dans les trois systèmes étudiés, les CPD ont des obligations et des fonctions similaires :

• diffusion en interne des informations relatives à la loi de protection des données et actions de pédagogie ;
• supervision interne des traitements mis en œuvre ;
• tenue d’un registre des traitements mis en œuvre dans l’organisation ; le niveau de détail de ce registre peut être défini par la loi elle-même ;
• détection des problèmes potentiels au sein de l’organisation ;
• traitement des plaintes internes à l’organisation ;
• devoir de prendre contact avec l’autorité de protection des données en cas de problème identifié ou de doute sur un dossier ;
• rédaction d’un rapport annuel (aux Pays-Bas, ce rapport n’est pas systématiquement communiqué à l’autorité de protection des données mais doit être tenu à sa disposition ; des contrôles inopinés auraient été réalisés sur ce point) ; 
• éventuellement rédaction de règlements, de standards et de codes de conduite internes à l’entreprise, relatifs aux traitements de données personnelles.

6. Relations avec les autorités de protection des données

Les CPD exercent par nature une profession proche de celle des autorités de protection des données, avec lesquelles ils entretiennent une relation privilégiée : les autorités allemande, suédoise et néerlandaise considèrent ainsi que les CPD constituent, pour eux, un relais extrêmement efficace de leur action. Un CPD véritablement indépendant et actif est, d’un avis commun, un atout considérable pour les autorités dont les moyens limités (en termes de personnel et de moyens financiers) ne permettraient pas un contrôle aussi étendu.
A l’usage, il apparaît que les liens entre CPD et autorités sont plus ou moins resserrés selon les pays et l’organisation générale du système ; or de la qualité de ces liens dépend manifestement la qualité du travail des CPD (et donc leur utilité et leur efficacité).
Ainsi, en Allemagne, l’animation d’un tel réseau paraît très difficile aux autorités, et ce pour différentes raisons. D’une part, aucune liste exhaustive n’existe qui donne les noms de tous les CPD désignés : toute prise de contact devient de ce fait très difficile. D’autre part la conséquence du caractère obligatoire de la désignation d’un CPD est que cette contrainte est ressentie comme une contrainte bureaucratique par les organisations : elle en est mal comprise et par conséquent, souvent mal mise en œuvre ; les CPD ne sont parfois même pas désignés. Enfin, la structure excessivement complexe des autorités de protection des données en Allemagne (distinction secteurs public/privé ; fédéral/Länder) constitue une autre barrière à la constitution d’un réseau resserré.
 
En Suède et aux Pays-Bas, le système rencontre spontanément un franc succès. Toutefois, au vu de leur expérience, les autorités de protection suédoise et néerlandaise insistent fortement sur la nécessaire évaluation préalable des besoins à mettre en place au sein des autorités avant qu’un tel réseau de CPD ne soit mis en place, car l’autorité est entièrement responsable de son animation. A ce titre, l’on peut mentionner les initiatives suivantes :

• organisation par l’autorité de journées de rencontre, de séminaires et de conférences au bénéfice exclusif des CPD ; plus généralement, l’autorité doit mettre en place un système de formation continue pour ceux-ci (en Allemagne, il existe un système de cours optionnels) ;
•  suivi des personnes désignées : quand l’autorité néerlandaise est informée d’une nouvelle désignation, elle appelle la personne au bout de quelque temps pour juger de la qualité du travail effectué (en posant des questions sur la société, son fonctionnement, les traitements mis en œuvre, etc.) ;
• une partie du site Web de l’autorité, en mode d’accès restreint, est réservé aux CPD ; le système offre toutes sortes d’informations mais également des groupes de discussion ;
• une newsletter électronique et un journal d’information spécifique sont envoyés très régulièrement aux CPD pour les tenir au courant des évolutions législatives en la matière et des décisions de l’autorité ;
• création au sein de l’autorité d’une « hotline » et d’un centre d’appels téléphonique dédiés aux CPD ;
• une personne est spécialement désignée au sein de l’autorité pour être la personne de contact pour les CPD ; cette personne est employée à plein temps à cette activité.

7. La protection des données personnelles en France : création des CIL

La commission, chargée du respect de la vie privée, déploie des correspondants en entreprise. Le point sur leur activité, près de 2 ans après leur création.

Les CIL, les correspondants informatiques et libertés en entreprise, existent officiellement depuis le 20 octobre 2005, date de publication d'un décret d'application de la loi du 6 août 2004. En juillet 2007, la Cnil, leur organisme de tutelle, en dénombrait officiellement 450 répartis environ dans 850 organismes, publics et privés.

Quel est le rôle du CIL ?
C'est  un personnage clé dans la protection des données personnelles en entreprise. Il est un intermédiaire entre le responsable du traitement d'un fichier informatique et la Cnil. Son rôle est de veiller à la bonne application de la loi. Par exemple, il doit alerter le responsable du traitement en cas d'anomalies constatées dans la manipulation des données à caractère personnel.

Il a pour objectif de faire respecter cinq grands principes : la finalité du traitement des fichiers, la proportionnalité du traitement, la durée de conservation des données, la sécurité des traitements et l'information des personnes. Avec la désignation d'un correspondant, les formalités de déclarations des fichiers à la Cnil ont été considérablement simplifiées. Tous les traitements relevant du régime de déclaration normale ou simplifiée ne sont plus soumis à la CNIL mais enregistrés directement par le CIL.

Comment le CIL est-il perçu en entreprise ?
Un des points positifs, c'est certainement l'allègement de formalités déclaratives. Le CIL permet aussi à l'entreprise d'obtenir une réponse rapide, adaptée au contexte de son activité, lui permettant d'agir dans une plus grande sécurité juridique.

Comment les CIL sont-ils formés ?
La Cnil leur a mis en place un service dédié, avec pour objectif de les faire bénéficier des conseils, de l'information et de l'orientation nécessaires pour leur action. Nous avons aussi mis en place des ateliers d'information. Gratuits, ils sont déclinés en plusieurs modules thématiques. Un guide du Correspondant Informatique et Libertés, précisant ses droits et devoirs, a également été édité.

Par ailleurs, nous participons à des réunions, colloques ou séminaires qui s'intéressent au métier du CIL et nous essayons d'être présents en entreprises pour faire de la sensibilisation au rôle des CIL en interne.

Après deux ans de création, il semblerait que l'engouement pour les CIL s'essoufle. S'agirait-il d'un manque de moyens de la CNIL ou d'un désintérêt des entreprises face à ce nouveau personnage clé? Toujours est-il que nous ne sommes pas en avance par rapport à nos homologues européens et qu'un scandale comme celui qui s'est déroulé en Allemange serait une lourde affaire à gérer par notre pays.

Faut-il envisager une nouvelle réforme?

D’un avis général dans les pays voisins, la gestion et l’animation d’un tel réseau est une activité assez lourde pour l’autorité ; ceci serait toutefois la « rançon du succès » : les CPD sont des personnes généralement motivées qui veulent être en mesure d’exercer leurs fonctions de manière satisfaisante ; les autorités de protection des données sont, dans leur esprit, des « partenaires quotidiens » qu’ils doivent pouvoir contacter en toutes circonstances. Ces liens seraient aussi une garantie de l’indépendance des CPD : si ceux-ci se sentent soutenus dans leur action par les autorités, ils se sentent mieux armés pour défendre des positions parfois impopulaires auprès de la direction de leur organisation.

[1] Commission Nationale de l’Informatique et des Libertés 

[2] Correspondant Informatique et Libertés