C'est une grande nouveauté législative décidée en catimini par la CNIL (Commission Nationale de l'Informatique et des Libertés). La commission semble désormais accepter de sous-traiter aux multinationales ses responsabilités sur la protection des données à caractère personnel détenues par les entreprises (et elles sont nombreuses !).

Des règles existaient jusque là, certaines pour l'Europe, d'autres pour les pays "de bonne volonté". Et semblait donner satisfaction au législateur et au citoyen.

Traitement dérogatoire

Pouvoir faire circuler, exploiter et stocker les données personnelles concernant ses salariés, dans n'importe quelle société du groupe à travers le monde. L'histoire commence au printemps 2008, quand IBM France demande à la CNIL un traitement dérogatoire. Motif ? Pouvoir faire circuler, exploiter et stocker les données personnelles concernant ses salariés, dans n'importe quelle société du groupe à travers le monde. En s'affranchissant, bien sûr, de certaines contraintes de la loi "Informatique & Libertés", celles-ci étant trop lourdes à son goût. Les agents de la CNIL font valoir que cette demande pose des problèmes par rapport à la loi de janvier 1978, et les discussions s'enlisent.

Jusqu'à ce qu'IBM décide de s'adresser directement au bon Dieu. Illico, un petit-déjeuner est organisé entre Daniel Chaffraix, président d'IBM et Alex Türk, président de la CNIL (et accessoirement Sénateur UMP). Et là, bingo ! En une heure, tout est arrangé.

• IBM repart avec le super paquet cadeau : l'autorisation de diffuser et planquer à travers toute la planète les données personnelles de ses troupes françaises. En échange (défense de rire), IBM se porte garant de la bonne utilisation et de la protection des données dans le monde entier.

Interpellée par la CFDT lors du CCE du 17 juillet 2009, la direction générale a essayé de minimiser l'affaire en se contentant de parler de la nomination du CIL (correspondant informatique & libertés), alors qu'il a ce titre depuis de nombreux mois.

Version officielle (et floue sur l'essentiel) d'IBM : le "Legal France Data Privacy Manager" a obtenu un succès remarquable grâce aux bonnes relations avec la CNIL. En effet, suite à la visite récente d'Alex Türk, président de la CNIL, à Daniel Chaffraix, président d'IBM France, et suite à 14 mois de négociations, IBM a reçu une autorisation spécifique de la CNIL. Tout est dans ce "spécifique" ...

Des multinationales qui peuvent être tentées de délocaliser les données sensibles vers des "paradis informatiques"
En fait, ce cadeau fait à IBM (en attendant que les autres multinationales se jettent sur cette opportunité) cache l'impuissance de la CNIL à assumer totalement son rôle fondamental de contrôle et d'instruction des dossiers. Des efforts en moyens financiers et humains ont certes été consentis suite à la loi de 2004 transposant en droit français les principes édictés par la directive européenne de 1995.

Mais l'ampleur de la tâche est trop considérable pour imaginer pouvoir réellement contrôler l'ensemble des entreprises et notamment les multinationales qui peuvent être tentées de délocaliser les données sensibles vers des "paradis informatiques" (en termes pudiques : des pays "ne disposant pas d’un niveau de protection adéquate").

Bien au-delà des attributions du correspondant informatique et libertés

D'un point de vue pratique, la loi avait déjà instauré la désignation dans chaque entreprise d'un CIL. Son rôle est de veiller à l’application de la loi en ce domaine, avec un assouplissement des formalités de déclaration pour la plupart des fichiers. Mais l'étape franchie avec IBM dépasse bien évidemment ce cadre, sinon pourquoi un accord particulier ayant nécessité la rencontre des deux présidents ? La mondialisation fait un nouveau pas, et la CNIL, théoriquement gardienne du sanctuaire, lui donne un coup de pouce en chargeant les grandes sociétés de s'auto-contrôler...

On a vu ce que ça donnait avec Enron, Vivendi, et les grandes banques. Et la CFDT a de bonnes raisons de craindre que la surveillance informatique des salariés ait encore de beaux jours devant elle, avec la dissémination des données personnelles dans des lieux hors de portée tant des individus concernés que de leurs représentants. IBM avait déjà trouvé le truc pour a priori s'affranchir de ses responsabilités : tout simplement en contraignant ses salariés à signer un engagement sur des "règles de bonne conduite" à sens unique, conforme au vieil adage patronal : "Pile, je gagne, face, tu perds".

Les données personnelles étant "sensibles" à bien des égards, certaines applications de type "auto-évaluation" où les résultats individuels s'affichent font l'objet du même engagement du salarié, qui le rend systématiquement responsable en cas de dissémination des données. IBM bétonne du côté de la loi (merci la CNIL), et en interne du côté de ses employés. De quoi pouvoir garder les mains libres et "propres" en toutes circonstances...