Procéder à la déclaration d’un traitement de données personnelles consiste à informer la CNIL de la mise en place de ce traitement ainsi que de ses modalités pratiques, en précisant notamment la catégorie des données collectées et la finalité poursuivie.
Or, les fichiers de données personnelles sont des traitements qui évoluent au fur et à mesure des décisions de modification adoptées par l’entité qui les collectent: à ce titre, il incombe au responsable de traitement de s’assurer régulièrement que la déclaration effectuée auprès de la CNIL lors de la mise en œuvre initiale de ce traitement, reste conforme au traitement réalisé et ce, malgré les évolutions de son fichier et de l’utilisation qui en est faite. Dans le cas contraire, il conviendra d’informer la CNIL des modifications apportées au traitement.
Quelles modifications déclarer? La Chambre sociale de la Cour de cassation a eu à s’interroger de manière incidente sur ce point alors qu’elle était principalement saisie d’un litige portant sur la licéité du licenciement d’un salarié pour faute grave résultant d’une insubordination réitérée. En effet, le salarié avait refusé de saisir les données à caractère personnel concernant des mineurs bénéficiant d’actions de prévention, arguant que ce traitement était illicite au motif d’une absence de déclaration auprès de la CNIL de la modification ainsi opérée.
La Cour d’appel d’Aix-en-Provence avait considéré que malgré la mise à jour du logiciel en cause, l’employeur ne pouvait pas garantir que seules des données anonymisées étaient enregistrées et qu’à ce titre, il ne pouvait pas arguer du codage pour justifier de l’absence de déclaration modificative à la CNIL.
La Chambre sociale de la Cour de cassation a néanmoins cassé cet arrêt en relevant que « seule une modification substantielle portant sur les informations ayant été préalablement déclarées doit être portée à la connaissance de la CNIL ; qu’une simple mise à jour d’un logiciel de traitement de données à caractère personnel n’entraîne pas l’obligation pour le responsable du traitement de procéder à une nouvelle déclaration ».
La terminologie utilisée par la Cour de cassation est importante car cette dernière oppose la « simple mise à jour » à la « modification substantielle ». En effet, une mise à jour d’un logiciel correspond nécessairement à la modification d’une solution et, à ce titre, peut proposer de nouvelles fonctionnalités modifiant le périmètre des finalités.
L’utilisation des adjectifs « simple mise à jour » et « modification substantielle » n’est donc pas anodine et permet de confirmer que l’opportunité d’une modification de la déclaration auprès de la CNIL doit être appréciée in concreto avec une seule question : « le traitement mis en œuvre est-il toujours conforme à la déclaration effectuée ? ».
Olivier HAYAT
