Avez-vous déclaré votre site web ?
Le Tribunal correctionnel de Villefranche-sur-Saône, suivi en cela par la
Cour d'appel de Lyon, dans une décision du 25 février 2004, vient en effet de
sanctionner pour défaut de déclaration préalable de traitement d'informations
nominatives auprès de la Cnil, le responsable d'un site web. Des sanctions
pénales ont été prononcées. Cette première décision, très attendue dans le
domaine d'Internet, vient donc confirmer expressément que tout site web doit
faire l'objet d'une déclaration auprès de la Cnil. Cette décision confirme
également que tout responsable, n'ayant pas procédé aux déclarations de ses
fichiers, peut-être sanctionné.
Déclarations et audit
Les articles 15 et 16 de la loi du 6 janvier 1978 imposent que tout traitement
automatisé d'informations nominatives, et donc les fichiers, fasse l'objet de
déclarations auprès de la Commission nationale de l'informatique et des
libertés (Cnil). L'article 226-16 du Code pénal réprime le fait, y compris par
négligence, de procéder ou de faire procéder à de tels traitements sans que
soient respectées les formalités préalables à leur mise en œuvre. Des
sanctions particulièrement lourdes s'appliquent en cas d'omission, puisqu'elles
peuvent s'entendre de peines d'emprisonnement pouvant aller jusqu'à trois ans
et d'amendes, d'un montant extrêmement élevé. De même, des sanctions civiles
peuvent s'appliquer. En l'espèce, la Cour d'appel de Lyon vient de confirmer
qu'un site web s'entend bien d'un traitement automatisé d'informations
nominatives, au sens de l'article 5 de la loi du 6 janvier 1978, qui doit, dès
lors être déclaré auprès de la Cnil. Par conséquent, toute société et plus
particulièrement tout responsable de site internet doit s'assurer,
préalablement à l'ouverture de son site, l'avoir déclaré auprès de la Cnil.
Bien évidemment, cette société devra également s'assurer que l'intégralité de
ses fichiers a été déclarée auprès de la Cnil. Peu importe qu'il s'agisse de
ses fichiers de prospection, clientèle, fournisseurs ou salariés. De même, la
mise en place d'OCRM, de PABX, de badges d'accès… devront également avoir été
déclarés. Un véritable audit des fichiers mis en place au sein de l'entreprise
doit donc être mené.
Déclarations et mise en œuvre des traitements
Deuxième originalité de la décision du 25 avril 2004 :
la date à laquelle la Cnil a délivré son récépissé. En l'espèce, le
responsable du site internet avait bien déclaré son site. Il l'avait fait par
courrier sans pour autant que cette déclaration soit avalisée par la Cnil. La
Cnil ne délivrera son récépissé qu'en 2001 et dès lors, les sanctions ont été
prononcées pour l'absence de déclaration au cours des périodes antérieures. Par
conséquent, avant de mettre en œuvre un fichier ou un traitement automatisé
quelconque, encore convient-il d'avoir préalablement reçu le récépissé de la
Cnil. A défaut, les peines d'emprisonnement ou d'amendes s'appliquent. Il en
est de même en cas de modification des fichiers pour lesquels la Cnil a adressé
un récépissé. En effet, toute modification de finalité, de matériel, de mesures
de sécurité, tout nouveau traitement informatique ou toute insertion de
nouvelles informations devront faire l'objet de nouvelles déclarations dites
déclarations de modification. A cet égard, un audit s'impose aux fins
d'examiner les traitements initialement déclarés de ceux existants.
Déclarations et déclarants
Face à cette obligation de
déclaration, qui est responsable ? Telle est la question qui se pose à toute
entreprise aux fins d'éviter des sanctions pénales mais également à toutes
personnes décidant de la création d'un fichier. En effet, la personne qui a le
pouvoir de décider de la création ou de l'évolution du fichier doit respecter
les formalités déclaratives. En conclusion, l'obligation de déclaration,
s'imposant à toute entreprise ainsi qu'à toute personne décidant de la création
ou de l'évolution d'un fichier, doit être respectée préalablement à la mise en
œuvre de ces fichiers ou de leurs évolutions. Une véritable réflexion doit donc
être menée au sein de toute entreprise aux fins de clairement identifier les
fichiers sur lesquels des déclarations n'auraient pas été effectuées ou ayant
évolué suite à ces déclarations. De même, l'identification claire des personnes
à même de gérer et de faire évoluer ces fichiers doit être effectuée.
Aujourd'hui, ces obligations s'imposent en effet plus que jamais puisque la
décision de la Cour d'appel de Lyon a clairement rappelé que les internautes
eux-mêmes peuvent poursuivre les entreprises, mais également les personnes
responsables de ces entreprises, pour défaut d'obligation.