Conférence Alcomfi consacrée au traitement des données à caractère personnel

Difficultés pratiques de la loi

Date : 01.04.2004

Conférencier : Me Claudine ERPELDING

A l’invitation de l’Association des conseils comptables et fiscaux (Alcomfi) dans le cadre de ses cycles de conférences, l’avocate Claudine Erpelding, de l’étude Kaufhold Wagener Ossola Erpelding, a présenté récemment au Parc Hôtel Alvisse devant un public nombreux les grandes lignes de la loi du 2 août 2002 sur la protection des personnes à l’égard du traitement des données à caractère personnel. Comme l’a souligné d’emblée l’avocate, cette loi, censée faire respecter deux principes fondamentaux, la protection des libertés et les droits individuels de la personne d’une part et l’intérêt supérieur qui permet précisément d’entraver cette protection de l’autre, pose bien des problèmes pratiques d’application. Notamment lorsqu’il s’agit de déterminer les données qui tombent ou non sous le coup de la notification auprès de la Commission nationale de la protection des données, gardienne du respect de la loi d’août 2002 et, le cas échéant, de remplir un formulaire. A ces premiers écueils s’ajoute une certaine incompréhension de la législation par le grand public : « Le but de la loi du 2 août 2002 est dans son intitulé même : il s’agit de protéger les personnes, pour leur éviter de voir notamment des données les concernant contenues dans des fichiers divulgués et utilisés à leur encontre par des tiers. » Le texte de la directive, à l’origine de la loi sur la protection des personnes à l’égard du traitement des données à caractère personnel, souligne bien que « les systèmes de traitement de données sont au service de l’homme » et qu’ils doivent à ce titre respecter ses libertés et droits fondamentaux dont la vie privée est un des piliers. Dans son exposé, Me Erpelding s’est tout d’abord attachée à rappeler quelques définitions contenues dans la loi, à commencer par celle du « destinataire », c’est-à-dire toute personne morale ou physique qui reçoit les données. Une explication de texte sur ce que recouvre une donnée à caractère personnel n’est pas inutile non plus pour comprendre la finalité de la loi. Une donnée à caractère personnel est assimilée à « toute information concernant une personne identifiée ou identifiable » comme par exemple une matriculede sécurité sociale. Cinq autres grandes notions sont également à retenir : celle de « fichier de données à caractère personnel » d’abord, un fichier étant « un ensemble structuré » auquel on peut accéder selon des critères déterminés. Tel est le cas par exemple d’un fichier recueillant les numéros de téléphone de la clientèle d’un professionnel auquel il peut accéder en entrant le nom de la « personne concernée ». Terme retenu pour désigner « toute personne physique ou morale qui fait l’objet d’un traitement de données à caractère personnel ». La troisième définition concerne le « responsable du traitement » qui est celui ou celle qui détermine la finalité et les moyens du traitement des données. A ne pas confondre avec le « sous-traitant », défini par la loi comme étant la personne qui traite les données pour les compte du « responsable du traitement ». Retenons enfin le « tiers », c’est-à-dire toute personne morale ou physique autre que le responsable du traitement ou le sous-traitant habilitée à traiter des données. Le traitement de données, a rappelé Me Claudine Erpelding, « doit être licite et légitime ». L’avocate s’est également attachée à décrire les différentes catégories de données qu’il est possible de traiter et à quelles conditions. Sur le lieu de travail notamment, le traitement des données à des fins de surveillance n’est possible que si la personne concernée a donné son accord et qu’il s’avère « nécessaire pour les besoins de sécurité et de santé des travailleurs ». Mais attention, a précisé Me Erpelding, le fait que la personne concernée ait donné son accord ne confère pas automatiquement un caractère légitime au traitement des données par l’employeur . Mais incontestablement pour l’avocate et pour bon nombre de responsables d’entreprises, les problèmes pratiques posés par la loi du 2 août 2002 se rencontrent surtout lors de la notification des traitements de données : les formulaires à remplir – et téléchargeables sur Internet uniquement ou à commander à la CNPD– sont loin d’être un exercice facile. La loi distingue entre la notification simplifiée qui n’est possible que lorsque les données traitées ne sont pas susceptibles de porter atteinte aux libertés et aux droits fondamentaux et la notification tout court. La Commission nationale de la Protection des données (CNPD) a publié le 1er août 2003 six directives précisant notamment les catégories de données pour lesquelles une notification simplifiée est suffisante. Tombent par exemple dans cette catégorie, l’administration du personnel et des collaborateurs externes y compris celle des rémunérations, l’enregistrement et l’administration des actionnaires ou associés, l’administration de la clientèle sur la base des achats ou des transactions commerciales…Les documents peuvent être consultés sur le site Internet de la CNPD, www.cnpd.lu. Pour toutes les autres finalités de traitement qui n’entrent pas dans le champ des directives, une notification complète à la CNPD est nécessaire. Dans certains cas, l’autorisation préalable de la Commission est même nécessaire : notamment pour des données dont le traitement est en principe interdit ou dans des cas de traitement concernant le crédit et la solvabilité des personnes concernées. Pour conclure son intervention, Me Erpelding a souligné le caractère en apparence paradoxal de la publicité du traitement qui est faite par la CNPD : « il peut paraître paradoxal, a-t-elle souligné, que la CNPD tienne un registre public des traitements qui est en ligne et accessible à tout le monde ».