« Le domaine Informatique et Libertés comporte encore beaucoup de questions » a estimé Denis Beautier, Responsable du Mastère Informatique et Libertés de l'ISEP (Institut Supérieur d'Électronique de Paris) le 4 décembre 2013. Lors de la rencontre organisée à l'occasion de la soutenance des thèses professionnelles de ce mastère, il a mis en avant les résultats des travaux de quelques uns des étudiants soulevant des questions sensibles.
Ces travaux, avec les questions soulevées, ont, parfois, été jusqu'à provoquer une démarche de réflexion à la CNIL voire de mise en route d'une modification des procédures simplifiées (autorisations uniques, dispenses de déclarations). Un sujet actuel de réflexion est le Big Data qui, outre la problématique de l'objet du traitement qui doit être prévu au départ, pose la question de ce qu'est une donnée personnelle. Denis Beautier a ainsi affirmé : « le Big data peut amener à rendre personnelles des données qui, au départ, ne l'étaient pas », par le jeu des regroupements et des croisements.
Les entreprises, personnes morales avec des droits propres
Parmi les points soulevés, la question des fichiers comportant des données sur les entreprises a fait l'objet de l'une des thèses. La loi de 1978 modifiée en 2004 ne s'applique a priori qu'aux seules personnes physiques. Mais les personnes morales -comme les sociétés- se sont vues reconnaître, au fil de la jurisprudence, certains droits propres identiques ou proches. La France ne dispose pas, contrairement à d'autres pays européens (Allemagne, Liechtenstein...), encore de législation spécifique pour la protection des données « personnelles » des personnes morales.
L'une des bases de cette extension est le fait qu'une personne morale est un regroupement de personnes physiques voire qu'une entreprise peut se confondre avec une personne physique. Ces entreprises unipersonnelles sont clairement assimilées à des personnes physiques par la jurisprudence et des fichiers comportant des données sur celles-ci doivent donc être considérés comme des fichiers de données personnelles. Cela implique notamment des procédures de déclarations, une durée de conservation, une sécurité d'accès, etc. mais aussi un droit à la consultation, à l'opposition et à la rectification.
La « vie privée », le « domicile » et les « correspondances privées » des entreprises se sont vus également reconnaître un droit à la protection. Cette évolution jurisprudentielle est notamment à l'origine d'une modification dans les procédures de la CNIL qui s'astreint désormais à une information préalable à tout contrôle.
La billettique multimodale et les limites de responsabilité
Parfois, des cas concrets lancent de vrais pavés dans la mare. Par exemple, la Région Haute-Normandie a mis en oeuvre un système billettique multimodal à l'échelle de la région. Ce système regroupe des systèmes billettiques de réseaux municipaux indépendants comme de grandes agglomérations (Le Havre, Rouen) ainsi que la SNCF (via son TER). De fait, le système aboutit à des partages de données entre acteurs différents, partages initialement non-prévus.
Comme, en France, la notion de co-responsabilité (ou de responsabilité collective) n'existe pas, chaque acteur doit donc être responsable pour ce qui le concerne. La Région doit donc déclarer et se porter responsable pour le système de partage et la fédération billettique des petites entités, les collectivités dotées de leurs propres systèmes devant prendre en charge ceux-ci, y compris pour les échanges opérés.
Denis Beautier a indiqué que la CNIL travaillait à la réforme de l'autorisation unique concernant les transports multimodaux suite aux questions posées par l'étudiante ayant étudié ce cas.
Prévenir les risques psycho-sociaux
Un sujet plus délicat encore est celui des fichiers comportant des données sensibles voire plus ou moins médicales en lien avec la prévention des risques psycho-sociaux. Dans certains cas, les entreprises se retrouvent en effet confrontées à des injonctions paradoxales : d'un côté, il est nécessaire de mémoriser les incidents pour éviter leur répétition, de l'autre les stockages de certaines informations peuvent être très réglementés voire prohibés.
Les entreprises ont en effet une véritable obligation de résultat dans la prévention de problèmes comme le harcèlement, la discrimination, etc. Or la gestion des incidents signalés et des réponses de l'employeur doit être soumise à une série de contraintes dont la durée de conservation. Mais l'impact d'un incident peut se ressentir sur des années. Par exemple, une procédure de mise en cause de la responsabilité de l'employeur suite à un suicide peut être lancée dix ans après que le salarié décédé ait quitté l'entreprise. De la même manière, des données de « ressenti » (stress, fatigue, angoisse...) doivent-elles être considérées comme médicales avec les contraintes induites ?
La réponse des DRH est souvent d'effectuer des traitements en mode « secret défense » faute de disposer de vraies réponses à ces questions. Nul ne peut s'en satisfaire.
« Le Big data peut amener à rendre personnelles des données qui, au départ, ne l'étaient pas »
L'ISEP a organisé une rencontre autour de la protection des données personnelles à l'occasion de la soutenance des thèses professionnelles de son mastère Informatique et Libertés.