NOUVELLE LOI INFORMATIQUE ET LIBERTE

Pour faire supprimer un contenu qui bafoue vos droits, utilisez le service mis en place par le cabinet Murielle-Isabelle CAHEN.

/ Novembre 2020 /
En 1974 le gouvernement français a voulu mettre en place un projet dit SAFARI qui avait pour but la création d’un fichier administratif automatisé à partir du numéro de sécurité sociale. Les français se sont alors vivement opposés à ce projet, c’est ainsi que le gouvernement a été contraint d’adopter la loi informatique et libertés en 1978. En 2004 une nouvelle loi informatique et libertés a vu le jour, il est alors nécessaire d’étudier ces évolutions.

« L’informatique doit être au service de chaque citoyen. Son développement doit s’opérer dans le cadre de la coopération internationale. Elle ne doit porter atteinte ni à l’identité humaine, ni aux droits de l’homme, ni à la vie privée, ni aux libertés individuelles ou publiques ».


Besoin de l'aide d'un avocat pour un problème de droit de l'informatique  ?

Téléphonez nous au : 01 43 37 75 63

ou contactez nous en cliquant sur le lien


Ainsi commence la loi du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, dite « loi Informatique et Libertés » (LIL). Véritable pierre angulaire de la société française informatisée depuisplus de 30 ans, la LIL a été instituée en réponse au projet SAFARI de 1974. Le ministère de l’Intérieur désirait mettre en place un système automatisé pour les fichiers administratifs et le répertoire des individus. Grâce à un identifiant unique, l’administration pourrait interroger le système et disposer de la totalité des informations enregistrées sur une même personne.

Face au scandale suscité par le projet SAFARI, le gouvernement a créé une autorité indépendante administrative : la Commission Informatique et liberté. La loi Informatique et Libertés est donc née : il s’agissait de réguler le phénomène informatique pour endiguer les abus possibles. Une modification de la LIL était nécessaire pour permettre une meilleure adaptation aux situations actuelles. Le 18 juillet 2001, un projet de loi voit le jour.

Le 15 juillet 2004, les Sénateurs ont adopté définitivement, en deuxième lecture, le projet de loi. Le 29 juillet 2004, le Conseil constitutionnel a validé la LIL modifiée. La refonte de la LIL a pour principal objectif de transposer en droit interne la directive européenne du 24 octobre 1995 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel.

L’objet de la Directive était d’établir « une procédure équivalente de haut niveau dans tous les Etats membres de la Communauté afin d’éliminer les obstacles aux échanges de données nécessaires au fonctionnement du marché intérieur ».

Cette directive aurait dû être transposée en droit français depuis octobre 1998 : la France restait le dernier pays de l’Union européenne à ne pas l’avoir fait. Par ailleurs, le projet de loi a également pour ambition d’adapter la LIL « au développement du traitement automatisé d’informations nominatives dans le secteur privé comme dans le secteur public et plus largement aux nombreuses évolutions technologiques de notre société de l’information ».

La LIL version 2004 apporte de nombreuses modifications qui sont vivement discutées par les professionnels du droit et de l’informatique :

* son champ d’application est précisé pour permettre une meilleure adaptation aux enjeux juridiques actuels de la société française informatisée (1),
* la procédure de déclaration des fichiers et traitements automatisés se veut allégée et simplifiée (2),
* la CNIL se voit doter de nouveaux pouvoirs de contrôle et de sanction (3).

La Loi Informatique et Liberté sera aussi modifiée à plusieurs reprises depuis 2004. La dernière

Une autre modification de la loi informatique et libertés est intervenue le 25 mai 2018 avec l’entrée en vigueur du Règlement général pour la protection des données personnelles (RGPD). Le décret n° 2019-536 a aussi été adopté le 29 mai 2019. Il a eu pour effet d’abroger le décret n° 2005-1309 du 20 octobre 2005.

Mais son objectif principal était de poursuivre l’adaptation de la loi informatique et libertés avec le RGPD. Il précise certaines procédures devant la CNIL et les droits des personnes concernées.

modification de la Loi Informatique et Liberté en date est celle réalisée par la loi du 7 Octobre 2016.

Malgré les discussions suscitées par la Loi Informatique et Liberté peut-on vraiment remettre en cause son utilité ?


1) Abandon du terme : « informations nominatives ».

Lorsque la loi de 1978 est instituée, le chapitre 1 « Principes et définitions » parle essentiellement d’ « informations nominatives ».

La LIL version 2004 transpose la directive européenne de 1995 et opte pour un terme plus général (« données à caractère personnel ») afin d’englober le plus de situations possibles. Une définition est donnée à l’article 2 de la loi : « constitue une donnée à caractère personnel toute information relative à une personne physique identifiée ou qui peut être identifiée, directement ou indirectement, par référence à un numéro d’identification ou à un ou plusieurs éléments qui lui sont propres ».

L’emploi de ce terme permet de viser toutes les données permettant l’identification d’une personne : nom, numéro d’identification, voix, image et empreintes digitales.

Des précisions textuelles La nouvelle loi détaille de nombreuses notions : les données à caractère personnel, les traitements automatisés, les fichiers, la personne concernée par les traitements, le responsable des traitements. L’article 4 précise que les copies temporaires faites dans le cadre d’activités techniques de transmission ou de fourniture d’accès à un réseau pour permettre le meilleur accès possible aux informations transmises ne sont pas concernées par la présente loi.

Par ailleurs, la LIL version 2004 indique qu’elle trouve à s’appliquer dès lors qu’un élément se rattache au territoire français : responsable du traitement automatisé établi en France, moyens de traitements situés en France ou encore représentant en France.

La loi crée un nouveau chapitre 2 relatif aux « conditions de licéité des traitements de données à caractère personnel ».

 

2) Les données à caractère personnel doivent remplir plusieurs conditions, prévues à l’article 6, pour être licites :

* être collectées et traitées de manière loyale et licite,
* être collectées pour des finalités déterminées,
* être adéquates, pertinentes et non excessives face à leur finalité,
* être exactes, complètes et mises à jour,
* être conservées en respectant les délais de conservation.

L’accent est mis sur le consentement de la personne concernée par la collecte et le traitement de ses données à caractère personnel (article 7 nouveau).

Responsabilité et droits Le chapitre 5 (articles 32 à 42) est entièrement consacré à la responsabilité incombant aux responsables des traitements de données et aux droits des personnes concernées par ces traitements. Le responsable des traitements a l’obligation d’informer les personnes concernées, notamment lorsque les données les concernant ne sont pas recueillies directement auprès d’elles.

A l’heure du Big Data la production massive, la collecte ainsi que le traitement des données personnelles sont de plus en plus courants. Il a donc fallu adapter la législation en vigueur dans ce domaine pour mieux protéger les données personnelles et leurs titulaires. Ces données revêtent en effet un caractère et sont un enjeu important à une époque où le numérique tend à se développer considérablement. C’est dans ce contexte que le Règlement général pour la protection des données (RGPD) est intervenu en mai 2018. Il permet notamment à la CNIL de renforcer les droits des internautes dont les données sont collectées.

Le RGPD a ainsi modifié la loi informatique et liberté. Son but était d’uniformiser la législation de tous les pays européens à ce sujet. Cependant il faut aussi préciser que chaque pays conserve la possibilité d’adapter ou même d’ajouter d’autres législations à ce sujet. Désormais les entreprises et autres organismes qui traitent les données personnelles des internautes ont l’obligation de mettre en place des procédures, car ils doivent pouvoir à tout moment démontrer leur conformité au RGPD.

Avant l’entrée en vigueur de ce règlement, ces acteurs de l’informatique avaient une obligation de moyens quant à la protection des données collectées. Désormais elles ont une obligation de résultats. Les entreprises doivent également respecter le principe de « privacy by design » dans tous leurs projets. Cela signifie que les entreprises doivent impérativement tenir compte de la protection des données personnelles dès lors qu’elles décident d’entreprendre un projet. Cette considération pour la protection des données personnelles doit même intervenir en amont dudit projet.

3) L’obligation d’information renforcée.

De plus, le projet de loi précise que le responsable des traitements se doit de conserver les données et

d’en préserver la sécurité sous peine de sanction. Les personnes concernées par le traitement disposent de droits . La loi de 1978 subordonnait le droit d’opposition à la justification de « raisons légitimes ». La LIL version 2004 maintient ce droit (article 38 ) mais précise que ce droit d’opposition sera discrétionnaire et sans frais lorsque les données seront utilisées à des fins de prospection, notamment commerciale.

Par ailleurs, les fichiers relatifs à la sûreté de l’Etat, la défense et la sécurité publique et accessibles que par l’intermédiaire de la CNIL pourront être communiqués à la personne concernée si les intérêts publics ne sont pas mis en cause (articles 41 et 42).

Enfin, la loi prévoit, sans changement, le droit d’accès et à rectification des données à caractère personnel par les intéressés : il s’agit de l’article 40. Toutes ces précisions permettent de mieux encadrer l’application de la LIL. 1. Une procédure de déclaration des fichiers allégée et simplifiée à Le correspondant à la protection des données Le projet de loi propose de simplifier les formalités préalables de déclaration lorsque les fichiers ne concernent pas des données sensibles.

Les personnes morales seront dispensées de toute déclaration si elles se dotent d’un correspondant à la protection des données, une personne qui servira d’intermédiaire entre l’entreprise et la CNIL et veillera ainsi au respect des dispositions de la loi (article 22 ).

Le projet de loi transpose l’article 18 de la directive européenne de 1995. Cet article énonce, en effet, que le responsable du traitement peut désigner « un détaché à la protection des données à caractère personnel chargé notamment d’assurer, d’une manière indépendante, l’application interne des dispositions nationales prises en application de la présente directive, de tenir un registre des traitements effectués par le responsable du traitement, et garantissant de la sorte que les traitements ne sont pas susceptibles de porter atteinte aux droits et libertés des personnes concernées ».

Le Conseil constitutionnel a précisé, dans sa décision du 29 juillet 2004, que la désignation d’un correspondant dispense uniquement des déclarations mais ne concerne pas les traitements soumis à autorisation ou les transferts de fichiers hors de l’Union européenne.

Cette désignation ne soustrait d’ailleurs pas les traitements non déclarés aux autres obligations prévues par la loi dont le non respect sera sanctionné. à Fichiers publics et privés Jusque là, les fichiers publics et privés n’avaient pas le même régime : les premiers devaient être autorisés préalablement par la CNIL, les seconds devaient être seulement déclarés. La CNIL effectuait donc un contrôle a priori des fichiers publics et un contrôle a posteriori des fichiers privés.

Désormais, les fichiers créés par les pouvoirs publics relèvent du régime des fichiers privés. Le gouvernement fait valoir que la distinction entre fichiers publics et fichiers privés est dépassée : nombre de fichiers publics collectent des données anodines mises en œuvre, la plupart du temps, par des opérateurs privés, ce qui présente des risques d’atteinte à la liberté individuelle et à la protection de la vie privée. Par ailleurs, il est à noter qu’avant ce projet de loi, la CNIL disposait pourtant d’un pouvoir d’autorisation sur les fichiers administratifs mais n’a jamais pu asseoir son autorité.

Par exemple, le STIC (fichier informatisé comprenant des données sur les auteurs et les victimes de crimes et délits) a été mis en place et utilisé en 1996 mais n’a obtenu de reconnaissance légale par décret qu’en juillet 2001. Avec le projet de loi, l’avis de la CNIL ne sera que purement facultatif, le gouvernement n’aura plus à en tenir compte. La Commission ne pourra donc plus s’opposer aux nouveaux fichiers de l’Etat. Les fichiers policiers n’auront plus besoin d’obtenir l’aval de la CNIL pour être activés. La Fédération Informatique et Libertés (FIL) qui rassemble plusieurs associations, le collectif Délis (Droits et libertés face à l’informatisation de la société) et la ligue des Droits de l’Homme dénoncent ces dispositions qui, selon eux, « constituent un abaissement très sérieux du niveau de protection des citoyens face aux traitements de leurs données personnelles ».

4) Fichiers relatifs aux données sensibles

Désormais, c’est la finalité du fichier et la nature des données collectées qui détermineront le régime applicable, peu importe qu’il s’agisse d’un fichier public ou privé. La LIL prévoit deux régimes : la déclaration des fichiers relatifs à des données anodines et l’autorisation par la CNIL pour les fichiers portant sur des données plus sensibles telles que des données génétiques ou relatives aux infractions et condamnations (article 25 ).

De même, les données qui ont pour finalité l’exclusion du bénéfice d’un droit, d’une prestation ou d’un contrat dès lors que cette exclusion ne repose pas sur une condition légale ou réglementaire ou qui ont pour finalité l’interconnexion des fichiers de nature différente sont également soumises à autorisation de la CNIL (article 25 ). Par ailleurs, il est à noter que l’article 8 nouveau énonce qu’il est interdit de collecter et d’enregistrer des données sensibles telles que des données relatives à l’origine ethnique, les opinions politiques, les convictions religieuses, les mœurs de la personne. Seulement il pourra être dérogé à cette interdiction sur les traitements de données s’ils sont justifiés par l’intérêt public (article 8-IV nouveau) et autorisés (articles 25-I et 26-II ).

Il faut savoir que ces fichiers relatifs aux données sensibles devaient être autorisés par décret après avis conforme de la CNIL et du Conseil d’Etat. La LIL version 2004 indique que l’avis de la CNIL pour ces fichiers sensibles ne liera plus le Conseil d’Etat et le gouvernement.

L’avis de la CNIL n’aura plus besoin d’être « conforme » pour que le décret autorise le fichier sensible ; ce qui traduit un manque de garantie évident lors de l’établissement et l’autorisation de ces fichiers sensibles.  Pour les fichiers d’infractions et de condamnations, seules les juridictions et certaines autorités publiques pouvaient jusqu’en 2004 constituer de tels fichiers. Mais un amendement initié par Alex Türk permet également aux personnes morales de recourir à ces fichiers d’infractions et de condamnations.

En effet, l’article 9 , 3° dispose que les traitements de données à caractère personnel relatives aux infractions, condamnations et mesures de sûreté peuvent désormais être mises en œuvre par « les personnes morales victimes d’infractions ou agissant pour le compte desdites victimes pour les stricts besoins de la prévention et de la lutte contre la fraude ainsi que de la réparation du préjudice subi ».

Ce 3° de l’article 9 a été annulé par le Conseil constitutionnel estimant qu’en « raison de l’ampleur que pourraient revêtir les traitements de données personnelles ainsi mis en œuvre et de la nature des informations traitées, cette disposition pourrait affecter le droit au respect de la vie privée et les garanties fondamentales accordées aux citoyens pour l’exercice des libertés publiques ». Par ailleurs, le terme de « fraude » a été jugé trop large. Cette disposition était trop imprécise pour être entérinée par le Conseil constitutionnel.

Par contre, le Conseil constitutionnel maintient la disposition 4° de l’article 9 : des fichiers pourront être créés dans une situation précise : la lutte contre le piratage sur Internet. La LIL prévoit donc la légalisation des « listes noires » constituées notamment par les sociétés de perception de droit d’auteur, les organismes professionnels qui soupçonnent des personnes de piratage sur Internet, via des réseaux peer-to-peer, par exemple. Ces casiers judiciaires privés devront être autorisés par la CNIL.

Il sera nécessaire de contrôler efficacement ces fichiers pour éviter toute dérive.  Des nouveaux pouvoirs de contrôle et de sanction pour la CNIL.

Avec la nouvelle LIL de 2004, la CNIL voit ses pouvoirs de contrôle réduits de manière importante en ce qui concerne les fichiers publics. Néanmoins, la LIL prévoit également la mise en place de nouveaux pouvoirs de contrôle et de sanction pour la CNIL (articles 44 à 49 ).

Il faut savoir qu’avant 2004, la CNIL pouvait enquêter mais ne disposait d’aucun moyen contraignant pour mettre en œuvre ses investigations. Si elle constatait la non conformité d’un traitement avec la loi, elle ne pouvait émettre qu’un avertissement ou transmettre le dossier au Parquet qui se chargeait de déterminer l’opportunité d’une poursuite.

Avec la LIL version 2004, les pouvoirs de contrôle de la CNIL sont renforcés : en cas d’opposition du propriétaire des lieux, elle pourra désormais, sur autorisation judiciaire, accéder à tout local professionnel et aux matériels qui permettent le traitement des données (article 44 nouveau). Par ailleurs, outre un possible avertissement (article 45 nouveau), la CNIL pourra mettre en demeure le responsable du traitement de se conformer aux dispositions de la loi sous peine de sanctions administratives et notamment pécuniaires importantes pouvant aller jusqu’à 300 000 euros (article 47 ).

Le pouvoir de la CNIL de réaliser des investigations en ligne a été transposé dans l’article 44 de la loi informatique et liberté du 6 janvier 1978 modifiée par la loi Consommation du 17 mars 2014.

Comme pour les contrôles sur place ou sur audition, le contrôle en ligne débouche sur la rédaction d’un procès-verbal de constatations. Copie de ce procès-verbal est envoyée au responsable du site contrôlé avec, le cas échéant, une demande d’information complémentaire.

La CNIL est donc désormais dotée de pouvoirs de contrôle a posteriori effectifs lui permettant de vérifier si les fichiers existants sont conformes aux obligations prévues par la loi. Elle pourra sanctionner la méconnaissance de ces obligations.

 

_________________________________________________________________________________

Faites appel à notre cabinet d'avocats en cas de doutes ou de demande d'éclaircissements, nous sommes à votre disposition : téléphone : 01 43 37 75 63
_________________________________________________________________________

ARTICLES QUI POURRAIENT VOUS INTERESSER :

retour à la rubrique 'Autres articles'

Cet article a été rédigé pour offrir des informations utiles, des conseils juridiques pour une utilisation personnelle, ou professionnelle.

Il est mis à jour régulièrement, dans la mesure du possible, les lois évoluant régulièrement. Le cabinet ne peut donc être responsable de toute péremption ou de toute erreur juridique dans les articles du site.

Mais chaque cas est unique. Si vous avez une question précise à poser au cabinet d’avocats, dont vous ne trouvez pas la réponse sur le site, vous pouvez nous téléphoner au 01 43 37 75 63.

| Conditions d'utilisation du site: IDDN | | Contacts | Plan d'accès | English version |
| C G V | Sommaire | Plan | recherche | Internet | Vie des sociétés | Vie quotidienne | Services en ligne | Votre question? |
Nous joindre - Tel : 0143377563
En poursuivant votre navigation sur notre site, vous acceptez le dépôt de cookies qui nous permettront de vous proposer des contenus intéressants, des fonctions de partage vers les réseaux sociaux et d'effectuer des statistiques. Voir notre politique de gestion données personnelles.
Partager
Suivre: Facebook Avocat Paris Linkedin Avocat Paris Tumblr Avocat Paris Twitter Avocat Paris Google+ Avocat Paris App.net portage salarial RSS Valide!
Retour en haut