Cyril Pierre-Beausse (Allen & Overy) (Photo: Julien Becker)

Cyril Pierre-Beausse (Allen & Overy) (Photo: Julien Becker)

Combien de dirigeants d’entreprise savent-ils qu’ils sont pénalement responsables en cas de manquement en matière de protection des données à caractère personnel détenues au sein de leur société? A l’article 25 de la loi du 2 août 2002 relative à la protection des personnes à l’égard du traitement des données à caractère personnel (la même qui a créé la CNPD, Commission Nationale pour la Protection des Données), il est clairement indiqué que «quiconque effectue un traitement en violation des règles relatives à la confidentialité ou à la sécurité [sous-entendu des données à caractère personnel] (...) est puni d’un emprisonnement de huit jours à six mois et d’une amende de 251 à 125.000 euros, ou d’une de ces peines seulement».

Le Luxembourg, dans ce domaine, est réellement à la pointe, car rares sont les pays qui disposent d’une législation aussi stricte. Il constitue même un modèle pour certains pays étrangers. A commencer par la Grande-Bretagne qui a récemment eu sa dose en matière de pertes d’informations à caractère personnel.

En novembre 2007, deux disques durs informatiques, non cryptés, contenant des données sur près de 25 millions de citoyens britanniques (noms, adresses, numéros de sécurité sociale et parfois informations bancaires) ont été perdus lors d’un simple transfert par voie postale. Plus récemment, une clé USB a été perdue contenant une base de données relatives à près de 130.000 détenus et délinquants récidivistes d’Angleterre et du Pays de Galles... Au final, quelques têtes sont tombées au sein des administrations concernées, mais sans plus.

Du coup, l’Information Commissioner’s Office (ICO, l’équivalent anglais de la CNPD) a ouvertement souhaité que la législation de son pays soit renforcée à l’image de celle du Luxembourg et prévoit des sanctions pénales pour des manquements de cette nature.

Qu’est-ce que qu’un «bien de l’entreprise»?

Du reste, l’exception luxembourgeoise n’en est plus une, puisque l’Allemagne a également introduit, cet été, des sanctions assorties de l’obligation, pour les entreprises, de rendre publics les cas de fraude dont elles seront victimes. «Peut-être faudrait-il y réfléchir chez nous aussi», s’interroge Cyril Pierre-Beausse, avocat chez Allen & Overy, spécialisé dans les technologies de l’information, la protection des données et le commerce électronique, qui ne peut que constater la très grande frilosité des entreprises soucieuses de leur image de marque, évidemment incompatible avec la révélation de telles affaires.

«Ici, il y a un chiffre noir gigantesque en matière de fraude informatique. Nous sommes régulièrement consultés pour des cas de hacking, y compris par de grandes entreprises. Mais au final, il n’y a que peu de plaintes  déposées, les sociétés n’ayant aucune envie de faire de la publicité autour de ça.… En témoigne l’histoire déjà ancienne de cette banque qui, après avoir perdu plus d’un million d’euros suite à un piratage informatique, a préféré se contenter de faire passer son préjudice en pertes et profits sans faire de vagues.»

En attendant, la loi en vigueur et notamment les restrictions en matière de surveillance ont de quoi frustrer les juristes, pour deux raisons. La première est son caractère très réducteur, qui ne permet pas aux entreprises de pouvoir pousser la surveillance aussi loin qu’elles le voudraient et parfois le devraient, même en cas de soupçon de fraude.

La loi de 2002 et le Code du travail disposent en effet que la surveillance informatique des employés ne peut être effectuée que «pour les besoins de protection des biens de l’entreprise». C’est justement cette définition de la notion de «biens de l’entreprise» qui est sujette à discussion.

C’est à la CNPD que revient la responsabilité de déterminer qu’est-ce qui entre, ou pas, dans le champ d’application de cet article de la loi. «Pour nous, il est toujours très délicat de faire cet exercice et de prendre position, sans trancher avec le contexte volontairement favorable à l’activité économique luxembourgeoise ni sans que l’on nous fasse le reproche d’avoir été trop laxistes», reconnaît Gérard Lommel, le président de la CNPD. Savoureux paradoxe d’une loi qui, d’un côté, impose de tout mettre en œuvre pour assurer une bonne protection de ses données et, de l’autre, empêche de procéder aux surveillances qui pourraient permettre d’y parvenir…

M. Lommel reconnaît être confronté, de plus en plus régulièrement, à des aspects de surveillance «électronique» de l’employé sur le lieu de travail dont la complexité va en grandissant, dans un contexte de «recrudescence de la criminalité en col blanc qui est souvent la conséquence d’une période de crise économique», constate-t-il.

Jusqu’où un employeur peut-il contrôler la fréquence d’utilisation d’un clavier pour déterminer l’ardeur au travail d’un de ses salariés? Dans quelle mesure peut-il surveiller les échanges de mails, et où se trouve la frontière entre courriels professionnels et à caractère privé? Et comment faire lorsque, sous couvert de mails «privés», sont diffusées des informations confidentielles auprès de personnes extérieures à la société? Ce ne sont là que quelques-unes des innombrables questions qui se posent sur le sujet. La CNPD a été saisie de quelques centaines de demandes de surveillance de ce type, soit environ un dixième de ce qui lui est, par ailleurs, soumis en matière de vidéosurveillance.

Conflit de lois

«L’idée n’est pas du tout d’arriver à un système de type Big Brother, qui ne serait de toute façon pas gérable ni même rentable économiquement parlant, prévient Cyril Pierre-Beausse. En tant que citoyen, il faut évidemment se réjouir d’un bon niveau de protection de la vie privée. Mais il y a sans doute matière à réflexion dans les cas, malheureusement fréquents en pratique, où l’employé a manifestement un comportement frauduleux, mais où la loi peut aboutir à lui accorder une certaine immunité contre les investigations de son employeur. La CNPD a une attitude qui est tout à fait légitime dans le cadre de ses missions et du cadre législatif existant, mais ce cadre lui impose justement parfois des décisions difficiles à expliquer à de grands clients nationaux ou étrangers.»

Et de regretter que l’arbitrage effectué entre la protection de la vie privée des employés et les intérêts légitimes des entreprises soit très souvent défavorable à ces dernières, notamment dans le cas d’agissements susceptibles de porter atteinte à l’image de marque. «En effet, la CNPD considère que l’image de marque d’une entreprise n’est pas un ‘bien’ de nature à justifier une surveillance. Ce que les entreprises ont bien du mal à accepter», note-t-il.

Un autre problème, purement juridique, vient se greffer sur cette situation. A l’origine de la loi de 2002, il y avait deux articles distincts régissant la surveillance des tiers (par exemple, des clients ou visiteurs d’une entreprise) et celle des employés. Or, lors de l’élaboration du Code du travail, les dispositions relatives à la surveillance des employés ont été purement et simplement «transférées» dans le Code du travail (article 261-1).

Or, le champ d’application territorial des deux textes n’est en effet pas le même, puisque l’application de la loi sur la protection des données à caractère personnel dépend du lieu d’établissement de l’employeur, alors que l’application du Code du travail dépend essentiellement de la loi applicable au contrat de travail et, du moins pour ce qui concerne les dispositions d’ordre public, du lieu d’activité de l’employé.

Autrement dit, une société peut tout à fait, et dans le même temps, entrer dans le champ d’application d’une loi mais pas de l’autre selon l’endroit où se trouve son établissement et celui où se trouvent ses salariés. Cette situation rend en outre complexe toute initiative tendant à améliorer ou moderniser ces textes.

«Nous sommes très satisfaits de voir que le nouveau gouvernement a prévu, dans son programme, d’étudier l’opportunité de préciser, voire de compléter ces dispositions du Code du travail sur la base de nos travaux, indique Gérard Lommel. D’une manière générale, il est nécessaire que la loi s’adapte régulièrement aux évolutions technologiques et que, parallèlement, à la CNPD, nous développions notre rôle de guidance et de communication afin de mieux expliquer nos prises de position et donner aux chefs d’entreprise ou aux managers des réponses accessibles aux questions types qu’ils se posent.»

Cette thématique de la responsabilité pénale des dirigeants d’entreprise sera, en tous les cas, au centre des débats de la table ronde organisée par le paperJam Business Club, ce 29 septembre, de 17 à 19 heures.