1.10 Quel est le champ d'application des Autorisations
uniques ? Le champ d'application des Autorisations uniques est circonscrit soit
:
- A une technologie dans un contexte. C'est le cas de la
biométrie (AU-007, AU-008, AU-009, AU-019) dans le cadre du
contrôle d'accès dans les écoles ou les entreprises.
- A une profession ou un groupement professionnel. C'est le
cas de l'AU-006 pour les notaires, de l'AU-005 pour les établissements
de crédit.
- A une entreprise ou un groupe d'entreprises. L'AU-022 est
ainsi uniquement destinée au groupe Caisse d'épargne. L'AU-023 au
Crédit Agricole.
- A une collectivité ou une administration comme c'est
le cas de l'AU-001 concernant la gestion de l'urbanisme ou l'AU-010 sur le
recouvrement des contraventions au Code de la route.
On peut s'interroger sur la question de savoir si les
Autorisations uniques sont simplement contraignantes pour les entreprises qui
déclarent s'y conformer ou si elles sont également contraignantes
pour toutes celles dont les traitements entrent dans leur champ
d'application.
Seules deux alternatives sont possibles pour une entreprise
souhaitant mettre en oeuvre un traitement dont les données
relèvent de l'article 25. Elle doit demander une autorisation
préalable ou se conformer à une Autorisation unique. Dans le
cadre de la procédure d'autorisation préalable, la CNIL
procède à une analyse de conformité. En outre,
l'entreprise ne s'est résolue à demander une autorisation
préalable que parce que son traitement n'entrait pas dans le cadre
défini par une Autorisation unique.
Ces raisons font que la question n'a donc pas lieu d'être.
Cela signifierait sinon que la CNIL aurait autorisé un traitement dont
les caractéristiques s'opposeraient à l'une des règles
qu'elle a édictée dans une Autorisation unique. Donc, que ce
traitement n'aurait finalement pas dû être autorisé
puisqu'il contrevenait à la doctrine de la CNIL.
Une autre question consiste à déterminer quel
degré de conformité la CNIL exige des entreprises. En d'autres
termes, La possibilité pour une entreprise de se déclarer
conforme à une Autorisation unique oblige-t-elle celle-ci à
être conforme en tous points aux dispositions contenues dans cette
Autorisation ?
Bien que nous n'ayons pas trouvé de dispositions
particulières dans la loi ou dans la doctrine à ce sujet, on peut
penser qu'il s'agit d'une conformité stricte au risque sinon de
dérives incontrôlables. Cela pose néanmoins le
problème de savoir comment apprécier la conformité aux
dispositions qui peuvent être sujettes à
interprétations.
Peut-on s'appuyer sur la notion de « bonne foi »
dès lors qu'une mauvaise interprétation a été faite
sur un point délicat mais qu'une mesure a néanmoins
été prise en fonction de cette fausse interprétation ? On
peut le penser. Il s'agit là d'une interprétation qui n'engage
évidemment que l'auteur.
| 
