La nouvelle loi informatique et libertés

« L’informatique doit être au service de chaque citoyen. Son développement doit s’opérer dans le cadre de la coopération internationale. Elle ne doit porter atteinte ni à l’identité humaine, ni aux droits de l’homme, ni à la vie privée, ni aux libertés individuelles ou publiques«.

Ainsi commence la loi du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, dite « loi Informatique et Libertés « (LIL) qui transpose la directive européenne du 24 octobre 1995relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel.

La LIL a été instituée au départ en réponse au projet SAFARI (Système Automatisé pour les Fichiers Administratifs et le Répertoire des Individus) de 1974 qui prévoyait de centraliser au niveau informatique la totalité des informations enregistrées sur une même personne par l’Administration.

Face au scandale suscité par ce projet, le gouvernement a créé une autorité administrative indépendante : la Commission Nationale de l’Informatique et des libertés. La loi Informatique et Libertés a donc vu le jour afin de réguler le phénomène informatique pour endiguer les abus possibles.

Une modification de la LIL était nécessaire pour permettre une meilleure adaptation aux situations actuelles. Le 15 juillet 2004, les Sénateurs ont adopté définitivement, en deuxième lecture, le projet de loi. Le 29 juillet 2004, le Conseil constitutionnel a validé la LIL modifiée.

L’objet de la Directive était d’établir « une procédure équivalente de haut niveau dans tous les Etats membres de la Communauté afin d’éliminer les obstacles aux échanges de données nécessaires au fonctionnement du marché intérieur«.

Cette directive aurait dû être transposée en droit français depuis octobre 1998 : la France restait le dernier pays de l’Union européenne à ne pas l’avoir fait. Six ans de retard dans la transposition d’une directive européenne, un projet de loi adopté au beau milieu de l’été…A peine définitivement adopté par le Sénat, ce texte très attendu sert de cible à un tir groupé d’associations et d’anciens membres de la Cnil.

« Le projet de loi est à refaire « , écrivent ainsi dans Le Monde daté du 14 juillet 2004 Mesdames Louise Cadoux, Cécile Alvergnat et Messieurs Raymond Forni, Louis Joinet, Sébastien Canevet et Olivier Iteanu. Ils fustigent une série de dispositions non conformes, selon eux, à l’esprit originel de la loi de 1978.

La nouvelle loi tente de s’adapter « au développement du traitement automatisé d’informations nominatives dans le secteur privé comme dans le secteur public et plus largement aux nombreuses évolutions technologiques de notre société de l’information «.

Elle s’applique aux traitements automatisés comme aux fichiers manuels. Elle comporte un champ d’application plus étendu que celui de la directive, puisqu’elle inclut les traitements ayant pour objet la sécurité publique, la défense, la sûreté de l’État et les activités de l’État dans le domaine du droit pénal. Sont exclus du champ d’application de la loi les « traitements mis en oeuvre pour l’exercice d’activités exclusivement personnelles « (agendas électroniques, répertoires d’adresses, sites internet familiaux en accès restreint…).

Sont soumis à la loi les traitements de données à caractère personnel dont le responsable est soit établi sur le territoire français ou recourt à des moyens de traitement situés sur le territoire français, à l’exclusion des traitements qui ne sont utilisés qu’à des fins de transit sur ce territoire ou sur celui d’un autre État membre de la Communauté européenne.

Outre la substitution de la notion de « données à caractère personnel« à celle «d’informations nominatives «, la nouvelle loi donne une définition plus complète et sans doute plus large de cette notion, inspirée de celle figurant à l’article 2 de la directive, sans toutefois la reprendre intégralement.

Est ainsi qualifiée de donnée à caractère personnel, « toute information relative à une personne physique identifiée ou qui peut être identifiée directement ou indirectement ou par référence à un numéro d’identification ou à plusieurs éléments qui lui sont propres (…)«.

Cette définition fait référence aux traitements qui bien que ne comportant pas de noms de personnes, peuvent cependant permettre de les identifier indirectement, que ce soit par la mention de leur numéro de sécurité sociale, l’insertion de leur photographie ou encore par la corrélation ou le rapprochement de données.

La notion de traitement, reprise de l’ancien article 5 de la loi de 1978 est cependant plus large dans la mesure où elle ne fait plus référence au traitement « automatisé « mais tout au contraire souligne que constitue un traitement de données toute opération (celles-ci étant énumérées) portant sur de telles données « quel que soit le procédé technique utilisé «.

Enfin, s’inspirant de l’article 2 de la directive, l’article 3 de la loi définit le responsable du traitement comme « la personne, l’autorité publique, le service ou l’organisme qui détermine ses finalités et ses moyens «. La loi de 1978, dans sa rédaction initiale, ne comportait aucune définition du responsable de traitement. Une clarification législative s’imposait donc.

Nous examinerons tout d’abord les apports de cette nouvelle loi (I), tant au niveau du renforcement du droit des personnes sur les données (A), que par rapport à la simplification des formalités de déclaration de fichiers, cependant compensée par un accroissement des pouvoirs d’intervention de la CNIL (B). Nous analyserons ensuite si la transposition de la directive peut présenter un danger pour les libertés (II), au travers de la décision rendue par le Conseil Constitutionnel le 29 juillet 2004 (A) et de la mise en pratique de la loi (B).

I Les apports de la nouvelle loi

La nouvelle loi améliore les droits dont disposent les personnes sur leurs données, mais simplifie également les formalités de déclaration, tout en renforçant les pouvoirs de sanction de la CNIL.

A) Renforcement des droits des personnes sur leurs données : les obligations incombant au responsable de traitements

La nouvelle loi informatique et libertés renforce les droits des personnes sur leurs données, obligeant désormais les responsables de traitements à délivrer une information plus détaillée sur les conditions d’utilisation des données, que celles-ci soient recueillies de manière directe ou indirecte.

1. Le droit à l’information (articles 32 et 39)

Comme dans l’ancienne loi de 1978, les responsables de traitements doivent apporter aux personnes auprès desquelles ils recueillent directement des données un certain nombre d’informations.

La nouvelle loi élargit la liste des informations qui doivent être communiquées : identité du responsable du traitement, finalité poursuivie par le traitement, existence d’un droit d’opposition et d’un droit d’accès, transferts de données envisagés à destination d’un Etat non-membre de l’Union européenne.

En outre, conformément à l’article 11 de la directive européenne 95/46, lorsque les données n’auront pas été recueillies auprès de la personne, celle-ci devra cependant être informée des conditions d’utilisation de ses données et de ses droits, dès l’enregistrement de ses données ou lors de leur première communication.

Des dérogations à cette obligation d’information sont cependant prévues (données collectées pour la prévention, la recherche ou la poursuite d’infractions pénales).

De même, la loi permet de limiter si nécessaire l’information des personnes dans le cas des traitements intéressant la sûreté, la défense ou la sécurité publique ou ayant pour objet l’exécution de condamnations pénales ou de mesures de sûreté. Ces exceptions sont prévues par la directive 95/46.

2. Le droit d’opposition (article 38), d’accès (article 39 et suivants) et de rectification (article 40)

à droit d’opposition

La nouvelle loi consacre le droit de s’opposer, sans frais, à l’utilisation de ses données à des fins de prospection, notamment commerciale. Cette disposition, nouvelle, renforce donc la protection des personnes dans le secteur du marketing commercial, activité qui suscite un nombre considérable de plaintes auprès de la CNIL.

à droit d’accès

Sans modifier substantiellement les conditions dans lesquelles toute personne peut demander et obtenir communication des données la concernant enregistrées dans un fichier, la nouvelle loi les encadre plus précisément sur les points suivants :

le juge des référés pourra être saisi en cas de risque de dissimulation ou de disparition des données ;

si un responsable de traitement estime qu’une demande est manifestement abusive, il pourra simplement s’y opposer alors qu’auparavant la CNIL devait lui accorder l’autorisation de ne plus tenir compte de la demande ;

le droit d’accès est exclu lorsque les données sont conservées sous une forme excluant manifestement tout risque d’atteinte à la vie privée et aux seules fins de statistiques ou de recherche scientifique ou historique.

à droit de rectification

Comme le prévoyait déjà la loi de 1978, toute personne peut demander que soient rectifiées, complétées, mises à jour ou effacées les données la concernant.

Le nouvel article 40 offre désormais aux héritiers d’une personne décédée la possibilité d’exiger que le responsable d’un traitement comportant des données concernant le défunt prenne en considération le décès et procède aux mises à jour, si des éléments portés à la connaissance de ces héritiers leur laissent présumer que ces données n’ont pas été actualisées.

B) La simplification des formalités de déclaration de fichiers compensée par un accroissement des pouvoirs d’intervention de la CNIL

La loi de 1978 soumettait à formalités auprès de la CNIL, sans distinction, tout projet de traitement automatisé de données nominatives et se fondait, pour déterminer le contrôle préalable de la CNIL, sur la nature publique ou privée du responsable du traitement. Les fichiers publics devaient être autorisés préalablement par la CNIL, les fichiers privés seulement déclarés.

La loi prenait également en compte la sensibilité relative des données traitées pour, selon le cas, soumettre à autorisation particulière leurs traitements, ou prévoir un allégement de formalités pour les catégories de traitements ne portant pas atteinte à la vie privée et aux libertés.

Enfin, seules les juridictions et certaines autorités publiques pouvaient jusqu’à présent constituer des fichiers d’infractions et de condamnation.

Désormais, la déclaration devient le régime de droit commun pour la plupart des traitements, que ceux-ci relèvent de personnes publiques ou privées.

L’article 8 nouveau énonce qu’il est interdit de collecter et d’enregistrer des données sensibles telles que des données relatives aux origines raciales, les opinions politiques, philosophiques ou religieuses, les moeurs de la personne, l’appartenance syndicale, et y inclut également l’origine ethnique et les données relatives à la santé et à la vie sexuelle.

Il pourra être dérogé à cette interdiction si les traitements sont justifiés par l’intérêt public ou autorisés.

De plus, l’article 9 nouveau, s’il a été censuré par le Conseil Constitutionnel dans son 3°, autorise la création de fichiers pour lutter contre le piratage sur internet dans son 4°.

a) une procédure de déclaration des fichiers allégée et simplifiée

1- contrôle a posteriori pour les traitements exempts de risques

Les nouvelles possibilités de simplification

Comme le prévoyait déjà la loi de 1978, la CNIL peut édicter des normes permettant d’encadrer les conditions d’utilisation de certaines catégories de traitements « courants « ne portant pas atteinte à la vie privée ou aux libertés et de simplifier en conséquence les obligations déclaratives des responsables de traitements qui s’y conforment.

La nouvelle loi consacre ainsi une démarche de concertation pratiquée depuis longue date par la Commission, en particulier avec les organisations syndicales et patronales.

Par ailleurs, la CNIL a désormais la possibilité d’accepter, pour un organisme donné, une déclaration unique regroupant un ensemble de traitements présentant des finalités identiques ou liées entre elles, telles que par exemple, le recrutement, la gestion du personnel la formation, l’évaluation .

Les exonérations de déclarations

La loi prévoit désormais la possibilité d’une exonération de formalités, soit d’office pour plusieurs catégories de traitements, soit par la CNIL elle-même.

La Commission peut ainsi, aux termes de l’article 24, exonérer de déclaration certains traitements « courants « ne portant pas atteinte à la vie privée ou aux libertés «compte tenu de leurs finalités, de leurs destinataires ou catégories de destinataires, des données à caractère personnel traitées, de la durée de conservation de celles-ci et des catégories de personnes concernées «.

De plus, innovation majeure, l’article 22 simplifie les formalités préalables de déclaration lorsque les fichiers ne concernent pas des données sensibles en prévoyant une nouvelle fonction de « correspondant à la protection des données à caractère personnel «.

La désignation du CIL par l’organisme responsable de traitement le dispense de déclarer ses traitements automatisés de données personnelles à la CNIL ; cette dispense ne vaut que pour les traitement devant faire l’objet de déclaration et non pour ceux faisant l’objet de demandes d’autorisation ou de flux transfrontières de données vers un Etat non membre de l’Union Européenne qui doivent, eux, suivre la procédure auprès de la CNIL.

Le correspondant tient une liste des traitements effectués (accessible à toute personne en faisant la demande) et garantit de la sorte que ceux-ci ne sont pas susceptibles de porter atteinte aux droits et libertés des personnes concernées.

Le CIL doit disposer des qualifications requises pour exercer ses missions. Les caractéristiques de cette fonction seront indiquées par décret en CE.

Il est indépendant car il ne peut faire l’objet d’aucune sanction de la part de son employeur du fait de l’accomplissement de ses missions (statut de salarié protégé).

Mais en cas de manquement constaté à ses devoirs, le CIL est déchargé de ses fonctions sur demande, ou après consultation de la CNIL.

Cf communiqué de la CNIL du 23 novembre 2004 précisant le rôle du CIL

2- Contrôle a priori limité aux traitements présentant des risques particuliers d’atteinte aux droits et libertés

Le régime de la demande d’avis (articles 26 et 27)

Il convient à cet égard de distinguer les demandes d’avis exigeant un projet de décret en Conseil d’Etat , de celles exigeant un projet d’arrêté ou de décision de l’organe délibérant .

Sans entrer dans le détail de ces procédures, il doit être seulement relevé que la procédure applicable est déterminée à la fois en fonction de la qualité juridique de l’autorité publique responsable du traitement, de la finalité de celui-ci et de la nature des données enregistrées.

Si la nouvelle loi prévoit, comme les dispositions antérieures, qu’au terme d’un délai de deux mois, le silence de la CNIL équivaut à un avis favorable, les procédures exigeant un avis conforme de la CNIL (en cas de traitements de données sensibles) ou l’intervention d’un décret en cas d’avis défavorable ont été supprimées.

Il doit toutefois être noté que la loi prévoit une obligation de publication des avis de la CNIL qui, s’agissant des traitements précités, devra être réalisée de façon concomitante à l’acte réglementaire autorisant le traitement.

Le régime de la demande d’autorisation à la CNIL (article 25)

Ce régime, jusqu’alors limité aux fichiers de recherche médicale et aux traitements d’évaluation des pratiques de soins, est étendu à dix catégories de traitements considérés comme présentant des risques soit en raison de la sensibilité des données traitées soit en raison de la finalité ou des caractéristiques du traitement.

Doivent désormais être autorisés par la Commission :

à les traitements statistiques, automatisés ou non, de données sensibles réalisés par l’INSEE ou par un service statistique ministériel ( article 8 II 7° ),

à les traitements, automatisés ou non, de données sensibles « justifiés par l’intérêt public « (article 8 IV) ; sont concernés par exemple les fichiers de gestion des prestations des organismes d’assurance maladie obligatoire qui comportent l’enregistrement, sous forme de codes détaillés des actes médicaux ou encore des médicaments ;

à les traitements automatisés portant sur des données génétiques ;il s’agit, par exemple, des fichiers de résultats de tests génétiques, dans le cadre de recherche de paternité, mis en oeuvre par les laboratoires d’analyse agréés ;

à les traitements, automatisés ou non, « portant sur des données relatives aux infractions, condamnations ou mesures de sûreté « relevant d’autorités publiques, de personnes morales gérant un service public ou encore des sociétés de droits d’auteurs dans le cadre des actions de lutte contre le téléchargement illicite de fichiers (musique, vidéo) sur internet ;

à les « traitements automatisés susceptibles, du fait de leur nature, de leur portée ou de leurs finalités, d’exclure des personnes du bénéfice d’un droit, d’une prestation ou d’un contrat en l’absence de toute disposition législative ou réglementaire « ; il s’agit d’encadrer les fichiers dits « listes noires « : fichiers internes de lutte contre la fraude, fichiers mutualisés d’impayés que ce soit dans le domaine de la téléphonie fixe ou mobile, du crédit, des banques, de l’assurance, des loueurs de véhicules mais aussi les traitements de crédit scoring ;

à les traitements automatisés comportant des données biométriques nécessaires au contrôle de l’identité des personnes. Le contrôle préalable de ces traitements, expressément demandé par la CNIL, devrait lui permettre d’encadrer plus rigoureusement dans le secteur privé les conditions d’utilisation des techniques biométriques sensibles qui telles les empreintes digitales comportent des risques particuliers d’atteinte à la vie privée.

Le législateur a assorti ce régime d’autorisation de possibilités de simplification : ainsi, la CNIL a désormais la possibilité de délivrer une autorisation unique pour des traitements répondant à une même finalité, portant sur des catégories de données identiques et ayant les mêmes destinataires.

On constate ainsi que les nouvelles possibilités de simplification de la nouvelle loi sont contrebalancées par des dispositions qui laissent une place non négligeable aux contrôles sur place et aux sanctions.

b) du contrôle sur place aux sanctions

1. la réalisation des contrôles sur place

Évoquées succinctement dans l’ancienne loi , les règles fixant les modalités des contrôles font désormais l’objet d’un chapitre spécifique (chapitre VI : article 44).

La nouvelle loi précise ainsi que les membres et les agents habilités de la CNIL «ont accès, de 6 heures à 21 heures, pour l’exercice de leurs missions, aux lieux, locaux, enceintes, installations ou établissements servant à la mise en oeuvre d’un traitement de données à caractère personnel et qui sont à usage professionnel, à l’exclusion des parties de ceux-ci affectées au domicile privé..

Les membres et agents de la CNIL peuvent accéder aux programmes informatiques et aux données, en demander la transcription par tout traitement approprié, recueillir, sur place ou sur convocation, tout renseignement et toute justification utile, demander communication et prendre copie de tous documents utiles à l’accomplissement de leurs missions.

Toutefois, les pouvoirs d’investigation de la CNIL connaissent certaines limites. Ainsi, si de façon générale, les personnes interrogées dans le cadre des vérifications sont tenues de fournir les renseignements demandés, cette obligation ne s’applique pas aux personnes astreintes au secret professionnel.

2. De nouveaux pouvoirs de sanction pour la CNIL

Un éventail de sanctions graduées

Alors qu’auparavant, la CNIL, constatant un manquement à la loi, ne pouvait que délivrer des avertissements aux organismes en cause ou les dénoncer au parquet, la nouvelle loi la dote de pouvoirs de sanctions administratives et pécuniaires importants.

àHormis l’avertissement, la Commission pourra désormais prononcer une sanction pécuniaire, une injonction de cesser le traitement , ou encore retirer son autorisation.

àEn outre, en cas d’urgence et de violation des droits et libertés résultant de la mise en oeuvre d’un traitement, la Commission pourra décider l’interruption temporaire de celui-ci ou le verrouillage de données ( pendant trois mois), à l’exception des traitements dits de souveraineté intéressant la sûreté de l’Etat, la défense ou la sécurité publique.

àEnfin, en cas d’atteinte grave et immédiate aux droits et libertés, le président de la CNIL pourra demander en référé au juge d’ordonner toute mesure de sécurité nécessaire à leur sauvegarde. Le montant des sanctions pécuniaires susceptibles d’être infligées par la CNIL pourra atteindre 150 000 € lors du premier manquement par le responsable de traitement.

Après avoir examiné les apports de la nouvelle loi, nous nous penchons maintenant sur les critiques qu’a soulevé cette version modifiée de la loi de 1978, critiques notamment formulées dans un souci de protection des libertés.

II. L’harmonisation des législations : un danger pour les libertés ?

Nous analyserons d’abord le contenu des nombreuses protestations nées de la rédaction du projet de loi, et le traitements de celles-ci par le Conseil Constitutionnel, avant de faire un état des lieux de l’application concrète de la loi aujourd’hui.

A) Le contrôle du Conseil Constitutionnel

Si le Conseil Constitutionnel s’est prononcé sur les dispositions de la loi dans sa décision du 29 juillet 2004, l’opposition à certaines dispositions n’a pas cessé pour autant.

a) La saisine du Conseil Constitutionnel

Le groupe socialiste du Sénat a saisi le Conseil constitutionnel le 20 juillet, estimant que «des dispositions qui portent atteinte gravement et à maints égards à plusieurs droits fondamentaux«, avaient été ajoutées au fil des lectures devant le Parlement.

En préambule, les sénateurs socialistes ont rappelé l’esprit originel de la loi informatique et libertés, adoptée en 1978. «Mémoire du refus citoyen de voir mettre en place une vaste interconnexion sauvage, nommée Safari, de tous les fichiers administratifs autour d’un numéro d’identification unique, ce texte avait le mérite de la simplicité et de la clarté«, soulignent-ils.

D’après les parlementaires, la réforme de la loi change la donne en profondeur. Sur de nombreux points, il «existe une régression de la protection des citoyens«. Ils stigmatisent en particuliers trois aspects de ce texte.

– la modification de l’article 9, qui permet désormais aux personnes morales de constituer des «fichiers d’infraction«, pour se défendre face à un préjudice. «La majorité (…) en a prévu une application directe et immédiate au titre de la protection des droits d’auteur«, peut-on lire dans le communiqué officiel. «Ce nouveau dispositif recèle le risque d’encourager l’émergence de politiques privées de prévention de la délinquance, sans garde-fous«.

– la dispense de déclaration de fichiers accordée aux entreprises qui auront nommé un «correspondant aux données«. Les sénateurs socialistes s’inquiètent du manque de garanties autour du statut de cet employé: «Il doit être explicitement inscrit dans la loi que le correspondant bénéficie du statut de salarié protégé, afin de le prémunir contre les éventuelles pressions qu’il pourrait rencontrer dans l’exercice de sa mission

– « l’absence d’inclusion, dans la liste des données sensibles, des données génétiques et biométriques, alors que ces dernières présentent elles-mêmes des caractéristiques qui les rendent singulières, en particulier par rapport aux données de santé«.

Tous ces points ont déjà été soulignés depuis de nombreux mois par un collectif d’associations, qui rassemble notamment la Ligue des droits de l’homme et Delis (Droits et libertés face à l’informatisation de la société).

Le Conseil Constitutionnel a donc été saisi et a rendu le 29 juillet dernier une décisionDécision n° 2004-499 DC du 29 juillet 2004, Loi relative à la protection des personnes physiques à l’égard des traitements de données à caractère personnel et modifiant la loi no 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés. censurant la possibilité ouverte à tous les professionnels s’estimant exposés à la fraude de constituer des « fichiers d’infractions «.

Le Conseil Constitutionnel a eu à se prononcer quant à la clarté et l’intelligibilité de la loi nouvelle, aux normes constitutionnelles applicables, aux données sensibles, aux fichiers d’infractions, à l’opposabilité du secret professionnel à la C.N.I.L, au correspondant aux données personnelles et aux traitements intéressant la sûreté et la sécurité publique. Nous ne nous pencherons que sur les aspects présentant un risque d’atteinte aux libertés.

– Article 8 : Les données sensibles

Au terme de la loi modifiée, une exception à l’interdiction de traiter des données sensiblesLes données sensibles sont celles qui font apparaître, directement ou indirectement, les origines raciales ou ethniques, les opinions politiques, philosophiques ou religieuses ou l’appartenance syndicale des personnes, ou qui sont relatives à la santé ou à leur vie sexuelle. est reconnue. En effet, dans la mesure où la finalité du traitement l’exige, l’interdiction ne s’applique pas aux « traitements nécessaires à la constatation, à l’exercice ou à la défense d’un droit en justice «. Il s’agit d’une disposition de la directive devant être transposée :

« Considérant que les dispositions critiquées se bornent à tirer les conséquences nécessaires des dispositions inconditionnelles et précises du e) du 2 de l’article 8 de la directive 95/46/CE du 24 octobre 1995 susvisée sur lesquelles il n’appartient pas au Conseil constitutionnel de se prononcer ; que, par suite, le grief tiré de l’atteinte au respect de la vie privée ne peut être utilement présenté devant lui «Décision n° 2004-499 DC du 29 juillet 2004, précitée note 3..

– Article 9 : Les « fichiers d’infractions «

La loi modifiée institue deux régimes distincts quant à la possibilité de créer des fichiers d’infractions. La première a une vocation générale, alors que la seconde s’adresse spécifiquement aux organismes de gestion collective des droits de propriétés intellectuelles. Ces nouvelles opportunités sont originales dans la mesure ou des personnes privées, et non des magistrats, seront en mesure de décider qui est auteur d’une infraction.

Le caractère général et imprécis de cette disposition a été censuré par le Conseil Constitutionnel :

« Considérant que, s’agissant de l’objet et des conditions du mandat en cause, la disposition critiquée n’apporte pas ces précisions ; qu’elle est ambiguë quant aux infractions auxquelles s’applique le terme de « fraude « ; qu’elle laisse indéterminée la question de savoir dans quelle mesure les données traitées pourraient être partagées ou cédées, ou encore si pourraient y figurer des personnes sur lesquelles pèse la simple crainte qu’elles soient capables de commettre une infraction ; qu’elle ne dit rien sur les limites susceptibles d’être assignées à la conservation des mentions relatives aux condamnations ; qu’au regard de l’article 34 de la Constitution, toutes ces précisions ne sauraient être apportées par les seules autorisations délivrées par la Commission nationale de l’informatique et des libertés ; qu’en l’espèce et eu égard à la matière concernée, le législateur ne pouvait pas non plus se contenter, ainsi que le prévoit la disposition critiquée éclairée par les débats parlementaires, de poser une règlede principe et d’en renvoyer intégralement les modalités d’application à des lois futures ; que, par suite, le 3° du nouvel article 9 de la loi du 6 janvier 1978 est entaché d’incompétence négative«.

En revanche, les dispositions relatives aux organismes de gestion collective des droits de propriété intellectuelle sont considérées comme étantconformesà la Constitution :

« Considérant que la possibilité ouverte par la disposition contestée donne la possibilité aux sociétés de perception et de gestion des droits d’auteur et de droits voisins, mentionnées à l’article L. 321 1 du code de la propriété intellectuelle, ainsi qu’aux organismes de défense professionnelle, mentionnés à l’article L. 331 1 du même code, de mettre en oeuvre des traitements portant sur des données relatives à des infractions, condamnations ou mesures de sûreté ; qu’elle tend à lutter contre les nouvelles pratiques de contrefaçon qui se développent sur le réseau Internet ; qu’elle répond ainsi à l’objectif d’intérêt général qui s’attache à la sauvegarde de la propriété intellectuelle et de la création culturelle ; que les données ainsi recueillies ne pourront, en vertu de l’article L. 34-1 du code des postes et des communications électroniques, acquérir un caractère nominatif que dans le cadre d’une procédure judiciaire et par rapprochement avec des informations dont la durée de conservation est limitée à un an ; que la création des traitements en cause est subordonnée à l’autorisation de la Commission nationale de l’informatique et des libertés en application du 3° du I de l’article 25 nouveau de la loi du 6 janvier 1978 ; que, compte tenu de l’ensemble de ces garanties et eu égard à l’objectif poursuivi, la disposition contestée est de nature à assurer, entre le respect de la vie privée et les autres droits et libertés, une conciliation qui n’est pas manifestement déséquilibrée.«.

– Article 22 : Les correspondants à la protection des données

L’article 22 dispose « Les traitements pour lesquels le responsable a désigné un correspondant à la protection des données à caractère personnel chargé d’assurer, d’une manière indépendante, le respect des obligations prévues dans la présente loi sont dispensés des formalités prévues aux articles 23 et 24, sauf lorsqu’un transfert de données à caractère personnel à destination d’un Etat non membre de la Communauté européenne est envisagé «. Les requérants mettaient en avant le fait que : « Ce correspondant ne bénéficie pas, à la lettre, des garanties d’indépendance indispensables « et en déduisaient que « en prévoyant, au titre d’une simplification toujours souhaitable, un amoindrissement des mécanismes de contrôle, le législateur a privé de garantie légale le droit à la vie privée et à la liberté individuelle «.

Après avoir considéré que la désignation d’un tel correspondant ne dispense que des formalités préalables à la constitution d’un traitement, à la condition qu’il n’y ait pas de flux de données vers des pays tiers à la Communauté européenne, le Conseil Constitutionnel précise que : « cette circonstance ne les soustrait pas aux autres obligations résultant de la loi déférée, dont le non respect demeure passible des sanctions qu’elle prévoit «. Avant de poursuivre : « Considérant que, compte tenu de l’ensemble des précautions ainsi prises, s’agissant en particulier de la qualification, du rôle et de l’indépendance du correspondant, la dispense de déclaration résultant de sa désignation ne prive de garanties légales aucune exigence constitutionnelle«.

Les associations avaient quelques craintes que ce correspondant soit le responsable de l’entreprise, qui serait alors «juge et partie«.Mais la CNIL a publié récemment ses premières recommandations et a précisé un principe qui semblait acquis mais qui est maintenant écrit noir sur blanc: «À l’évidence, le directeur de l’organisme ne devrait pas pouvoir être désigné comme correspondant«.

– Article 22 : Les Traitements intéressant la sûreté et la sécurité publique

Les requérants se sont indignés de la perte de contrôle relative de la C.N.I.L sur les fichiers publics, notamment ceux intéressant la sûreté et la sécurité publique. En effet, sous l’empire de la loi ancienne, ces fichiers devaient faire l’objet d’un avis favorable de la C.N.I.L. L’avis défavorable pouvait alors être surmonté par un avis conforme du Conseil d’Etat. Au terme de la loi nouvelle, l’autorité administrative n’a plus qu’à rendre un avis motivé et publié. Peu importe son caractère favorable ou défavorable, le traitement pourra être mis en oeuvre.

« Sont autorisés par arrêté du ou des ministres compétents, pris après avis motivé et publié de la Commission nationale de l’informatique et des libertés, les traitements de données à caractère personnel mis en oeuvre pour le compte de l’Etat et … « D’un régime d’autorisation par la C.N.I.L, nous passons à une autorisation par le ministre compétent, par exemple le ministre de l’intérieur.

Les requérants voient dans cette situation : « « un des reculs les plus manifestes opéré par cette loi quant au niveau des garanties légales constitutionnellement exigées puisque aujourd’hui un tel traitement requiert un avis favorable de la CNIL «.

En revanche, le Conseil Constitutionnel considère que l’article 26 « se borne à substituer à un avis conforme du Conseil d’État en cas d’avis défavorable de la Commission nationale de l’informatique et des libertés un arrêté ministériel pris après avis motivé et publié de la Commission ; que le législateur a prévu que l’avis de la Commission serait publié concomitamment à l’arrêté autorisant le traitement « avant de conclure que ces modifications « ne sont contraires à aucun principe ni à aucune règle de valeur constitutionnelle «.

b) une opposition forte malgré la décision rendue par le Conseil Constitutionnel

à Dès le 14 août 2004, Cécile Alvergnat, ancienne membre de la CNIL, Louise Cadoux, ancienne vice-présidente de la CNIL, conseillère d’Etat honoraire, Sébastien Canevet, président de la Fédération Informatique et libertés (FIL), Raymond Forni, ancien vice-président de la CNIL, ancien président de l’Assemblée nationale, président de la région Franche-Comté, Olivier Iteanu, avocat, président d’honneur d’ISOC France (Internet Society).

Louis Joinet, ancien directeur de la CNIL, ancien rapporteur spécial des Nations unies sur la protection des données personnelles ont exprimé leur opposition en co-signant un article dans le journal « Le Monde « intitulé : Il faut sauver la loi informatique et liberté.

Les reproches envers la nouvelle loi sont divers. L’un des points important est que cette loi va à l’encontre d’un des buts principaux qu’elle s’était fixé c’est-à-dire la simplification ; en effet, « ce projet, en principe «simplificateur«, institue désormais plus de 6 régimes déclaratifs distincts auxquels s’ajoutent diverses modalités d’exonérations légales ou facultatives. Que la plupart des traitements courants n’aient plus à être déclarés à la CNIL est une mesure de bon sens. Encore eût-il fallu que le niveau de garantie offert en contrepartie présentât une suffisante lisibilité, tant pour le citoyen que pour le responsable de traitements informatiques «.

De plus, l’article mentionne que les fichiers d’infractions et de condamnations, qui étaient avant exclusivement réservés aux juridictions et à quelques autorités publiques en nombre limité peuvent désormais être autorisés : « La loi du 6 janvier 1978 entendait proscrire les casiers judiciaires parallèles, les «listes noires«, la stigmatisation à vie par des officines non contrôlées. Le projet s’emploie à les autoriser. Chaque entreprise pourra-t-elle tenir désormais un casier judiciaire de sa clientèle ? Pourra-t-elle le partager avec d’autres entreprises – ou le leur vendre ? Qui le saura ? A quelles fins ? S’agira-t-il de voleurs à l’étalage fichés sans autre forme de procès ? D’adolescents qui téléchargent de la musique sur Internet ? Le danger se cache dans la généralité des termes employés «

Nous allons maintenant faire un état des lieux de l’application de la nouvelle loi par la CNIL : que s’est-il passé en pratique ?

B) Premiers constats sur la méthode adoptée par la CNIL

Les trois premiers mois d’application de la loi du 6 janvier 1978 modifiée permettent de constater que la méthode adoptée par la Commission en matière d’autorisations est identique à celle qu’elle utilisait pour délivrer ses avis sur les traitements du secteur public sous l’ancien régime : un examen attentif des garanties mises en oeuvre par le déclarant, au besoin renforcées, ne débouchant qu’exceptionnellement sur un avis défavorable. Aucun refus d’autorisation n’est encore intervenu. Pour autant que les premières autorisations qui ont été instruites par la CNIL permettent d’en juger, il n’apparaît donc pas que la Commission aura à recourir largement aux refus d’autorisation, de même que les avis défavorables sous le régime de l’ancienne loi de 1978 étaient l’exception. Par contre, l’autorisation peut n’être accordée que sous certaines conditions, définies par la CNIL. Ainsi, par exemple, l’autorisation peut être délivrée pour un temps déterminé et limité, ou encore sous la forme d’une expérimentation, avec nécessité de présentation d’un bilan au terme de ce délai.

Il n’est pas inutile de rappeler qu’il sera toujours possible à la CNIL de retirer son autorisation en cas de dysfonctionnement grave du traitement. Le retrait de l’autorisation devra intervenir dans les conditions prévues pour les sanctions qui seront prises dans le cadre de l’article 45 de la loi modifiée.

Une appréciation des risques qualitative et non quantitative

Tant la directive européenne que la loi nouvelle posent le principe d’un allégement des formalités préalables et renforcent la capacité de réagir de la Commission, qui aura toute latitude de le faire dans le cadre du contrôle a posteriori qui peut intervenir très rapidement lors de la mise en oeuvre du traitement. Comme le soulignait le débat parlementaire lors du vote de la loi, l’appréciation des risques envers la vie privée doit être qualitative et non quantitative. La CNIL se déterminera donc en fonction des risques encourus par les personnes, mesurés à l’aune des conséquences sur leurs droits et libertés ou l’existence de garanties découlant de l’usage d’une nouvelle technologie.

Une possibilité de simplification en matière d’autorisations

La loi elle même aménage une possibilité de simplification pour les traitements relevant de la procédure d’autorisation. En effet, au-delà de l’énumération limitative des hypothèses dans lesquelles certains traitements doivent être soumis à autorisation, l’article 25 de la loi prévoit les règles relatives à la délivrance de l’autorisation préalable par la CNIL.

Certes, l’autorisation prévue à l’article 25 ne peut être délivrée que par la Commission réunie en séance plénière ou, en cas d’urgence, par le bureau (article 16), composé aux termes de l’article 13 de la loi des président et deux vice-présidents. Le législateur a cependant prévu que « les traitements qui répondent à une même finalité, portent sur des catégories de données identiques et ont les mêmes destinataires ou catégories de destinataires peuvent être autorisés par une décision unique de la commission. Dans ce cas, le responsable de chaque traitement adresse à la commission un engagement de conformité de celui-ci à la description figurant dans l’autorisation « (article 25.II).

La Commission a d’ores et déjà fait application de cette possibilité en adoptant le 14 décembre 2004 une délibération portant autorisation unique de traitements de données à caractère personnel comportant un système d’information géographique, qui sont fréquemment mis en oeuvre par les collectivités locales ou leurs groupements, pour permettre l’instruction des demandes de permis de construire et autres formalités, la délivrance des relevés de propriétés….

Cette procédure d’allégement et de simplification en matière d’autorisation complète ainsi le dispositif de l’article 24 qui permet à la CNIL d’édicter des normes simplifiées ou des normes d’exonération de déclaration au bénéfice des organismes mettant en oeuvre des traitements de données à caractère personnel courants qui ne sont pas susceptibles de porter atteinte à la vie privée ou aux libertés. Dans ces hypothèses, un simple engagement de conformité ou la simple prise de connaissance d’une norme d’exonération suffit en lieu et place de la constitution d’un dossier complet de déclaration.

La Commission en matière de traitements d’aide à la décision pour l’octroi de crédit par exemple ou encore pour certains traitements comportant des données biométriques, établira des «autorisations types « auxquelles les organismes désirant mettre en place de tels traitements pourront se référer.

L’instruction du dossier d’autorisation

La CNIL, saisie d’une demande d’autorisation, se prononce dans un délai de deux mois, l’absence de décision étant considérée comme un rejet. Il y a donc renversement de la règle qui prévalait dans la loi de 1978 avant modification, à savoir que le silence gardé par la CNIL pendant deux mois valait avis favorable tacite.

Ce délai de deux mois peut être renouvelé sur décision « motivée « du président de la CNIL, lorsque la complexité du dossier le justifie par exemple, mais pas exclusivement.

S’agissant de la forme que doit prendre le dossier de demande d’autorisation, les précisions sont apportées par l’article 30 de la loi.

Le responsable du traitement doit indiquer :

1- son identité et son adresse et s’il n’est établi ni sur le territoire national ni sur celui d’un autre État membre de la Communauté européenne, celle de son représentant,
2- la ou les finalités du traitement, ainsi que la description générale de ses fonctions,
3- les interconnexions, les rapprochements ou toutes autres formes de mise en relation avec d’autres traitements,
4- les données à caractère personnel traitées, leur origine, les catégories de personnes concernées par le traitement et la durée de conservation des informations traitées,
5- le service chargé de mettre en oeuvre le traitement ainsi que les catégories de personnes qui, en raison de leurs fonctions ou pour les besoins du service, ont directement accès aux données enregistrées,
6- les destinataires ou catégories de destinataires habilités à recevoir communication des données
7- la fonction de la personne ou le service auprès duquel s’exerce le droit d’accès ainsi que les mesures relatives à l’exercice de ce droit,
8- les dispositions prises pour assurer la sécurité des traitements et des données et la garantie des secrets protégés par la loi et, le cas échéant, l’indication du recours à un sous-traitant,
9- le cas échéant, les transferts de données à caractère personnel envisagés à destination d’un État non membre de la Communauté européenne, sous quelque forme que ce soit, à l’exclusion des traitements qui ne sont utilisés qu’à des fins de transit sur le territoire français ou sur celui d’un autre État membre de la Communauté européenne.

Par ailleurs, le responsable d’un traitement déjà autorisé doit informer sans délai la commission de tout changement affectant les informations susmentionnées et de toute suppression du traitement.

Un formulaire de demande d’autorisation sera prochainement mis à disposition sur le site de la CNIL et pour l’instant, les demandes sont instruites à partir du formulaire de déclaration générale figurant sur ce site, que le responsable du traitement peut accompagner d’un courrier explicatif complémentaire sur le traitement mis en oeuvre.

L’autorisation est délivrée par la CNIL sous la forme d’une délibération qui comporte la dénomination et la finalité du traitement, le service auprès duquel s’exerce le droit d’accès, les catégories de données à caractère personnel enregistrées et les destinataires ou catégories de destinataires habilités à recevoir communication de ces données.

à Si la nouvelle loi Informatique et Libertés permet une simplification des procédures de déclaration des fichiers et renforce les pouvoirs de sanction de la CNIL pour compenser cette allègement, il n’en demeure pas moins que la mise en oeuvre de cette loi doit être contrôlée étroitement par la CNIL dans certains domaines (en ce qui concerne les dérogations à l’interdiction de collecter et d’enregistrer des données sensibles, les attributions du correspondant à la protection des données, ou encore le danger représenté par les fichiers d’infractions et de condamnation). L’application de la loi modifiée devra toujours être faite au regard des libertés, pour empêcher de dangereuses dérives.

Par Carole GAY

Viguène ARMENIAN

BIBLIOGRAPHIE

TEXTES :

Loi n°78-17 du 6 janvier 1978, relative à l’informatique, aux fichiers et aux libertés modifiée par la loi n°2004-801 du 6 août 2004 relative à la protection des personnes physiques à l’égard des traitements de données à caractère personnel, JO n° 182 du 7 août 2004.

Directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et la libre circulation de ces données, JOCE, n° L281 du 23 nov.1995 .

Décision du Conseil Constitutionnel n°2004-499 DC du 29 juillet 2004, Loi relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et modifiant la loi n°78-17 du 6 janvier 1978, JO n° 175 du 30 juillet 2004 .

SITES ET ARTICLES :

Site de la CNIL : www.cnil.fr du Conseil Constitutionnel : www.conseil-constitutionnel.fr

Groupe DELIS : www.delis.sgdg.org La loi Informatique et Libertés « : http://www.murielle-cahen.com/droit/lil.rtf Les apports de la nouvelle loi « Informatique et Libertés « : http://www.mascre-heguy.com/htm/fr/conseils/conseil_nouvelle_loi_informatique_libertes.htm Les innovations majeures de la nouvelle loi Informatique et Libertés « : JOURNAUX>http://www.cejem.com/article.php3?id_article=165 :

Le Monde du 14.07.04 : « il faut sauver la loi Informatique et Libertés « par Cécile Alvergnat, ancienne membre de la CNIL, Louise Cadoux, ancienne vice-présidente de la CNIL, conseillère d’Etat honoraire. Sébastien Canevet, président de la Fédération Informatique et libertés (FIL), Raymond Forni, ancien vice-président de la CNIL, ancien président de l’Assemblée nationale, président de la région Franche-Comté, Olivier Iteanu, avocat, président d’honneur d’ISOC France (Internet Society), Louis Joinet, ancien directeur de la CNIL, ancien rapporteur spécial des Nations unies sur la protection des données personnelles.

Le Monde du 14.07.04 : « les pouvoirs de la CNIL devraient être considérablement amoindris «

Le Monde du 29.07.04 : « Réforme de la CNIL : le Conseil constitutionnel censure la loi informatique et libertés «

Tweet about this on TwitterShare on Facebook

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée.