Avez-vous déclaré votre site web ?

Le Tribunal correctionnel de Villefranche-sur-Saône, suivi en cela par la Cour d'appel de Lyon, dans une décision du 25 février 2004, vient en effet de sanctionner pour défaut de déclaration préalable de traitement d'informations nominatives auprès de la Cnil, le responsable d'un site web. Des sanctions pénales ont été prononcées. Cette première décision, très attendue dans le domaine d'Internet, vient donc confirmer expressément que tout site web doit faire l'objet d'une déclaration auprès de la Cnil. Cette décision confirme également que tout responsable, n'ayant pas procédé aux déclarations de ses fichiers, peut-être sanctionné.

Déclarations et audit

Les articles 15 et 16 de la loi du 6 janvier 1978 imposent que tout traitement automatisé d'informations nominatives, et donc les fichiers, fasse l'objet de déclarations auprès de la Commission nationale de l'informatique et des libertés (Cnil). L'article 226-16 du Code pénal réprime le fait, y compris par négligence, de procéder ou de faire procéder à de tels traitements sans que soient respectées les formalités préalables à leur mise en œuvre. Des sanctions particulièrement lourdes s'appliquent en cas d'omission, puisqu'elles peuvent s'entendre de peines d'emprisonnement pouvant aller jusqu'à trois ans et d'amendes, d'un montant extrêmement élevé. De même, des sanctions civiles peuvent s'appliquer. En l'espèce, la Cour d'appel de Lyon vient de confirmer qu'un site web s'entend bien d'un traitement automatisé d'informations nominatives, au sens de l'article 5 de la loi du 6 janvier 1978, qui doit, dès lors être déclaré auprès de la Cnil. Par conséquent, toute société et plus particulièrement tout responsable de site internet doit s'assurer, préalablement à l'ouverture de son site, l'avoir déclaré auprès de la Cnil. Bien évidemment, cette société devra également s'assurer que l'intégralité de ses fichiers a été déclarée auprès de la Cnil. Peu importe qu'il s'agisse de ses fichiers de prospection, clientèle, fournisseurs ou salariés. De même, la mise en place d'OCRM, de PABX, de badges d'accès… devront également avoir été déclarés. Un véritable audit des fichiers mis en place au sein de l'entreprise doit donc être mené.

Déclarations et mise en œuvre des traitements

Deuxième originalité de la décision du 25 avril 2004 : la date à laquelle la Cnil a délivré son récépissé. En l'espèce, le responsable du site internet avait bien déclaré son site. Il l'avait fait par courrier sans pour autant que cette déclaration soit avalisée par la Cnil. La Cnil ne délivrera son récépissé qu'en 2001 et dès lors, les sanctions ont été prononcées pour l'absence de déclaration au cours des périodes antérieures. Par conséquent, avant de mettre en œuvre un fichier ou un traitement automatisé quelconque, encore convient-il d'avoir préalablement reçu le récépissé de la Cnil. A défaut, les peines d'emprisonnement ou d'amendes s'appliquent. Il en est de même en cas de modification des fichiers pour lesquels la Cnil a adressé un récépissé. En effet, toute modification de finalité, de matériel, de mesures de sécurité, tout nouveau traitement informatique ou toute insertion de nouvelles informations devront faire l'objet de nouvelles déclarations dites déclarations de modification. A cet égard, un audit s'impose aux fins d'examiner les traitements initialement déclarés de ceux existants.

Déclarations et déclarants

Face à cette obligation de déclaration, qui est responsable ? Telle est la question qui se pose à toute entreprise aux fins d'éviter des sanctions pénales mais également à toutes personnes décidant de la création d'un fichier. En effet, la personne qui a le pouvoir de décider de la création ou de l'évolution du fichier doit respecter les formalités déclaratives. En conclusion, l'obligation de déclaration, s'imposant à toute entreprise ainsi qu'à toute personne décidant de la création ou de l'évolution d'un fichier, doit être respectée préalablement à la mise en œuvre de ces fichiers ou de leurs évolutions. Une véritable réflexion doit donc être menée au sein de toute entreprise aux fins de clairement identifier les fichiers sur lesquels des déclarations n'auraient pas été effectuées ou ayant évolué suite à ces déclarations. De même, l'identification claire des personnes à même de gérer et de faire évoluer ces fichiers doit être effectuée. Aujourd'hui, ces obligations s'imposent en effet plus que jamais puisque la décision de la Cour d'appel de Lyon a clairement rappelé que les internautes eux-mêmes peuvent poursuivre les entreprises, mais également les personnes responsables de ces entreprises, pour défaut d'obligation.