Articles 2003

---

Accueil > Publication > Aricles 2003

DU BON USAGE DE LA DECLARATION CNIL DES SITES INTERNET

(article mis en ligne le 30 mai 2003)

Extraits d'un article paru dans « Expertises des systèmes d'information », mensuel du droit de l'informatique et du multimedia. N°269 - avril 2003.

 

Du temps perdu pour ceux qui répondent, pas de sanctions pour les autres. Avec une vision management des risques, la déclaration CNIL, notamment pour les sites Internet est, pour le secteur privé, une formalité dont il serait logique de se dispenser. Pourtant, l'intérêt de cette déclaration est réel si l'on est capable de la détourner de son objet initial.

C'est un fait établi : la déclaration à la CNIL des traitements informatisés d'informations nominatives est obligatoire. Cet impératif s'applique notamment aux sites Internet dès l'instant où ils comportent un volet informations personnelles. L'adresses e-mail étant une donnée nominative, autant dire qu'ils sont pratiquement tous concernés.

Les sanctions encourues en cas de manquement sont particulièrement lourdes. L'article 226-16 du Code Pénal énonce : "Le fait, y compris par négligence, de procéder ou de faire procéder à des traitements automatisés d'informations nominatives sans qu'aient été respectées les formalités préalables à leur mise en œuvre est puni de trois ans d'emprisonnement et de 45 000 euros d'amende". Des sanctions aussi sévères devraient avoir un effet particulièrement dissuasif. Or, à l'évidence, la déclaration CNIL des sites Internet - sans même aborder la question des déclarations pour les autres traitements - demeure une pratique marginale.

Allons jusqu'au bout de l'évidence, la déclaration CNIL n'a pas la même portée en pratique que la déclaration de TVA ou la déclaration à l'URSSAF auxquelles les entreprises sont autrement plus attentives. On retrouve ici une nouvelle illustration d'un thème traditionnellement débattu. Le droit de l'informatique et des libertés, remarquable dans ses principes et très répressif sur le plan des peines théoriquement encourues, est en pratique peu mis en œuvre.

Si l'on abandonne un moment la vision du juriste pour prendre celle du gestionnaire des risques en entreprise, le verdict est cynique mais logique. Puisqu'on ne risque pratiquement rien en ne faisant pas la déclaration, autant éviter le temps perdu à effectuer cette formalité. Les sites négligents ou mal informés n'étant pas poursuivis, on peut considérer que les plus respectueux sont injustement assujettis à un «impôt temps» qui les pénalise.

Et pourtant, il est tout de même nécessaire de procéder à ces déclarations. La première raison, plutôt de nature juridique, est que l'on peut toujours avoir quelques chose d'autre à se reprocher, un jour, notamment dans le domaine des atteintes à la vie privée. En cas de crise, l'absence de déclaration sera considérée comme une circonstance aggravante. Dans ces contextes, ce qui a été au départ une distraction sans conséquence devient immédiatement une violation sérieuse.

La déclaration CNIL du site : un label vie privée ?

Une autre raison, plus positive, et valable pour les seuls sites internet, peut être avancée pour défendre l'intérêt de la déclaration CNIL. Elle peut être facilement transformée - certains diront dévoyée - en un label vie privée. Rappelons qu'il n'existe pas en France de label privacy sur le modèle en vigueur aux états-Unis avec des initiatives telles que Truste ou BBBOnline. Et pour cause, théoriquement toutes les entreprises françaises sont censées accorder un haut niveau de protection par le seul respect de la Loi. Inversement, aux états-Unis ces initiatives d'autorégulation visent à combler le vide réglementaire en proposant un minimum de règles. Certaines marques de confiance françaises sur Internet comportent toutefois un important volet données personnelles avec des exigences qui vont au-delà des obligations réglementaires. C'est notamment le cas de Labelsite dont 9 des 27 règles portent sur la protection des données. Cependant ce n'est pas l'objet exclusif de ces labels qui couvrent également d'autres aspects de la confiance en ligne comme l'existence réelle du commerçant, la sécurité des paiements, la clarté de l'information tarifaire, le respect des délais de livraison, etc.

Dès lors, la déclaration CNIL devient souvent le label privacy de fait du site internet. On observe en la matière différentes approches. Généralement, les plus sobres se contenteront de la mention « site déclaré à la CNIL » sous la rubrique consacrée aux mentions légales. Souvent le numéro de récépissé est indiqué pour renforcer la crédibilité de l'affirmation. Certains vont plus loin et proposent à ce niveau un lien vers l'annuaire des sites déclarés qui figure sur le site Internet de la CNIL. On peut y voir une incitation pour que le visiteur vérifie lui-même la véracité de l'affirmation auprès d'un tiers digne de confiance. A moins qu'il ne s'agisse de l'inviter à vérifier que les concurrents ne sont pas inscrits dans cet annuaire. On pourrait s'irriter d'une telle pratique qui consiste à transformer une obligation de portée générale en un critère distinctif de valorisation marketing. Puisque la déclaration est obligatoire, pourquoi prendre la peine de dire qu'elle a été effectuée ? C'est peut-être regrettable mais les entreprises qui le font ne peuvent être tenues pour responsables. C'est une forme de réaction logique. Puisque les fautifs ne sont pas punis, les civiques doivent au moins pouvoir trouver une forme de récompense. La pratique ne semble pas condamnable et on peut considérer qu'elle est utile aux internautes. Finalement, elle est même favorable aux intérêts de la CNIL qui voit ainsi son rôle reconnu et valorisé par de très nombreux sites.

La déclaration CNIL du site, outil de dialogue et de coordination

Pour autant, la véritable utilité de la déclaration CNIL des sites web réside principalement dans sa contribution à la qualité des projets internet. Il convient d'abord de souligner que tout projet Internet mené sérieusement devrait intégrer une dimension données personnelles. Ce point étant acquis, pourquoi dès lors ne pas utiliser comme guide d'action un document qui existe déjà et qui est bien conçu ? Un document qui permet de se poser à temps toutes les bonnes questions. Pour que la déclaration CNIL puisse jouer ce rôle, deux préalables sont toutefois à respecter : elle doit être travaillée suffisamment en amont et elle doit faire l'objet d'un véritable travail coopératif entre les différents départements concernés : par exemple, la Direction juridique, la Direction des Systèmes d'information et le marketing.

La déclaration va d'abord être un outil de dialogue qui permettra à chacun de prendre conscience des cultures, des pratiques et des contraintes des autres services. A titre d'illustration, les différents départements n'ont pas la même vision de ce que représente les cookies. Pour les uns, c'est la clé obligatoire pour mettre en ?uvre la personnalisation des services, pour les autres c'est un dispositif standard qui fait partie intégrante de l'architecture technique retenue, pour les derniers, enfin, c'est une donnée indirectement nominative.

La déclaration CNIL oblige ensuite à se poser les bonnes questions dans le contexte d'un travail pluridisciplinaire. Toujours en conservant l'exemple des cookies, les questions suivantes vont apparaître rapidement : A-t-on vraiment besoin de cookies ? Si oui, pourquoi faut-il des cookies persistants ? Si oui, pourquoi une telle durée de conservation ? N'est-il pas possible de permettre l'accès au site à ceux qui refusent les cookies, même sous une forme dégradée ? Quelle information à propos des cookies sera délivrée aux visiteurs du site ? Comment accédera-t-on à cette information ? etc.

Toutes ces questions, il est préférable de les introduire suffisamment en amont du projet de façon à aboutir aux meilleurs arbitrages possibles entre les souhaits du marketing, les contraintes de l'informatique et les recommandations du juridique. La déclaration CNIL joue pleinement son rôle lorsqu'elle ne se contente pas d'enregistrer passivement le descriptif du site mais lorsqu'elle est aussi un facteur qui peut influencer, voire réorienter sa conception..

On le voit, l'essentiel n'est sans doute pas d'envoyer la déclaration à la CNIL mais de choisir le mode de fonctionnement qui permettra de la remplir efficacement. Ceci dit, une fois qu'elle est correctement remplie, autant prendre quelques minutes pour la faire parvenir à son légitime destinataire. On peut même choisir de la faire parapher au plus haut niveau hiérarchique. Avec un peu de chance le signataire regardera en diagonal le document et il prendra conscience à cette occasion que les données personnelles ne sont pas des données comme les autres ? et peut-être même arrivera-t-il à la conclusion qu'un secteur aussi sensible mériterait bien quelques efforts budgétaires.

A Belleil