Certifier la conformité aux autorisations uniques de la CNIL

1.12.3 Une source d'insécurité juridique pour les entreprises

Cette procédure d'auto-certification à une Autorisation unique nous semble également porteuse d'insécurité juridique pour les entreprises que les utilisent.

La délivrance d'une autorisation préalable par la CNIL constitue pour l'entreprise un élément de sécurité juridique dans la mesure où elle donne l'assurance formelle à celle-ci que le traitement mis en oeuvre dans les conditions présentées lors de sa demande d'autorisation respecte bien la réglementation.

35 Le « Safe Harbour principles» est un programme d'auto-certification initié par la Federal Trade Commission américaine (FTC) afin de répondre aux exigences de l'Union Européenne en matière de niveau «protection adéquat» pour des flux de données personnelles transitant entre l'Europe et les Etats-Unis.

Une présentation du dispositif de «Safe Harbor» est disponible sur le site de la CNIL à cette adresse http://www.cnil.fr/fileadmin/documents/Vos responsabilites/Transferts/CNIL-transferts-SAFE HARBOR.pdf

Le site officiel du Safe Harbor de la Federal Trade Commission en anglais évidemment : http://www.export.gov/safeharbor/

36 «10th Anniversary of Safe Harbor - many reasons to act, but none to celebrate» Communiqué de presse - Datenshutz Schleswig Holstein 23 juillet 2010 " https://www.datenschutzzentrum.de/presse/20100723-safe-harbor en.htm

C'est de surcroît l'autorité publique en charge d'édicter ces règles que le lui assure. L'entreprise peut donc croire que sa responsabilité ne sera pas engagée dès lors qu'elle se conforme aux conditions validées par la CNIL.

Cette validation formelle par l'autorité de contrôle n'existe pas dans le cadre de la déclaration de conformité volontaire aux Autorisations Uniques. Seule une application stricte des dispositions contenues dans l'Autorisation unique assure l'entreprise de sa conformité sans qu'aucun élément de preuve ne vienne l'assurer.

Un premier risque réside dans le fait que les dispositions contenues dans l'Autorisation Unique puissent être sujettes à interprétation. Nous en avons parlé plus haut. Un autre risque réside dans le fait qu'elles peuvent être mal appliquées car éventuellement mal comprises. L'entreprise ne peut alors compter que sur sa bonne foi pour prouver qu'elle ne l'a pas fait intentionnellement. Bonne foi qui n'est pas toujours facile à prouver.

Cette situation génère à notre sens une insécurité juridique qui pour des grands groupes dotées de nombreuses filiales peut constituer un incertitude inconfortable.

Il y a fort à parier que le jour ou le risque « informatique et libertés » deviendra plus pressant en termes de responsabilité juridique et financière, cette procédure de déclaration de conformité volontaire sera remise en cause sous sa forme actuelle ou alors « sécurisée » par une certification émanant d'un tiers.

Nous irions même jusqu'à conseiller aux entreprises qui souhaitent sécuriser ces procédures de faire une demande d'autorisation préalable plutôt qu'une déclaration de conformité. Il n'est pas sûr d'ailleurs que la CNIL la prenne ne considération et ne renvoie pas le responsable de traitement vers la procédure simplifiée si au cours de l'analyse de la demande elle constatait que le cas s'inscrit parfaitement dans le cadre d'une Autorisation unique.

On peut douter qu'il soit possible d'exiger de la part de la CNIL qu'elle délivre une Autorisation préalable dans le cas ou le traitement relève d'une Autorisation unique même si cela est justifié volontairement pour des raisons de sécurité juridique. En revanche, rien n'empêche de modifier quelque peu le traitement pour qu'il n'entre plus exactement dans le cadre défini par l'Autorisation unique.