Pourquoi respecter la loi informatique et libertés (loi 78-17 du 6 janvier 1978) ? La question peut paraître incongrue, mais elle est régulièrement posée, sous une forme indirecte par les DSI, notamment.

En d’autres termes, pourquoi investir quelques milliers d’euros et s’ennuyer à respecter la loi (obligation de déclarations, voire d’autorisations, des traitements, désignation d’un Correspondant Informatique et Libertés etc.) ?

De manière assez réaliste (cynique ?), certains DSI (ou web marketers) rétorquent que les risques sont faibles à ne pas respecter cette loi.

Si on dresse un rapide panorama de ce que peut coûter la non-conformité à la loi, on peut citer :

– le risque pénal (le non-respect de la loi est sanctionné par une peine de prison pouvant aller jusqu’à 5 ans). En vrai (IRL :) ? aucun risque. J’ai fait condamner par un tribunal correctionnel un détective privé qui avait mis un boîtier GPS sous la voiture de sa « cible » ce qui constituait une infraction à la loi I&L. Résultat : trois mois avec sursis. Pas de commentaire…

– le risque de sanction pécuniaire : depuis 2004, la CNIL peut prononcer des sanctions pécuniaires de quelques dizaines de milliers d’euros contre les organismes résistant à ses invitations à respecter la loi. Les sanctions moyennes sont de l’ordre de 5.000 à 10.000 euros. Le nombre de contrôle par an ? environ 300 nous a révélé le dernier rapport annuel, dont la moitié dans la région parisienne (on a même la géolocalisation des contrôles !).

– le risque social : dans un arrêt remarqué du 6 avril 2004, la cour de cassation avait retenu qu’un licenciement fondé sur un système non déclaré à la CNIL n’était pas valable. Un salarié contestait le « pointage » par un système à l’entrée dans l’entreprise. Il a été licencié. Licenciement non valable parce que, selon la cour de cassation, les données émanant du système non déclaré ne pouvaient pas être retenues comme preuves. Malheureusement, cette jurisprudence paraît assez isolée (et la tendance de la chambre sociale de la cour de cassation qui admet depuis quelques années à peu près tout comme mode de preuve pourvu que les fichiers, données ou mails aient été créés par les ordinateurs de l’entreprise ne va pas motiver les DSI et/ou les DRH à faire très attention à la loi).

– le risque marketing. Voilà un argument qui commence à monter : les responsables d’entreprise savent que leurs clients sont sensibles à la notion de respect de la vie privée.

– et aujourd’hui, le risque que les fichiers ne vaillent rien. Rien du tout ! Dans un arrêt du 25 juin 2013, la cour de cassation pose qu’un fichier clients soumis à la loi informatique et libertés qui n’a pas été déclaré ne vaut… rien (pour l’arrêt de la cour d’appel de Rennes du 17 janvier 2012). En d’autres termes : la vente conclue sur un tel fichier est nulle. Donc le client peut réclamer le remboursement total des sommes payées !

La cour de cassation emprunte un chemin classique : un objet juridique (un fichier par exemple, mais ça marche aussi pour un jean…) qui est affecté d’un vice juridique n’est pas dans le commerce. La cour de cassation vise l’article 1128 du code civil qui dispose que seules les choses qui sont dans le commerce peuvent faire l’objet d’une convention. En d’autres termes, il ne peut y avoir de contrat valable que sur un objet légal.

Donc le fichier non déclaré est « hors commerce ». La même solution avait été retenue à propos de jean contrefaits (de mémoire, je n’arrive pas à retrouver l’arrêt ! référence à suivre).

Les conséquences de l’arrêt sont gravissimes pour les sociétés dont les fichiers figurent à l’actif (c’est-à-dire ont été isolés au bilan pour leur valeur comptable). Au prochain audit, leurs commissaires aux comptes devraient leur demander de justifier de la conformité de leurs fichiers à la loi I&L. A défaut, disparition de l’actif du fichier et traitement fiscal cauchemardesque en vue.