NOUVELLE LOI INFORMATIQUE ET LIBERTE

En 1974 le gouvernement français a voulu mettre en place un projet dit SAFARI qui avait pour but la création d’un fichier administratif automatisé à partir du numéro de sécurité sociale. Les français se sont alors vivement opposés à ce projet, c’est ainsi que le gouvernement a été contraint d’adopter la loi informatique et libertés en 1978. En 2004 une nouvelle loi informatique et libertés a vu le jour, il est alors nécessaire d’étudier ces évolutions.

« L’informatique doit être au service de chaque citoyen. Son développement doit s’opérer dans le cadre de la coopération internationale. Elle ne doit porter atteinte ni à l’identité humaine, ni aux droits de l’homme, ni à la vie privée, ni aux libertés individuelles ou publiques ».

Ainsi commence la loi du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, dite « loi Informatique et Libertés » (LIL). Véritable pierre angulaire de la société française informatisée depuis 26 ans, la LIL a été instituée en réponse au projet SAFARI de 1974. Le ministère de l’Intérieur désirait mettre en place un système automatisé pour les fichiers administratifs et le répertoire des individus. Grâce à un identifiant unique, l’administration pourrait interroger le système et disposer de la totalité des informations enregistrées sur une même personne.

Face au scandale suscité par le projet SAFARI, le gouvernement a créé une autorité indépendante administrative : la Commission Informatique et liberté. La loi Informatique et Libertés est donc née : il s’agissait de réguler le phénomène informatique pour endiguer les abus possibles. Une modification de la LIL était nécessaire pour permettre une meilleure adaptation aux situations actuelles. Le 18 juillet 2001, un projet de loi voit le jour.

Le 15 juillet 2004, les Sénateurs ont adopté définitivement, en deuxième lecture, le projet de loi. Le 29 juillet 2004, le Conseil constitutionnel a validé la LIL modifiée. La refonte de la LIL a pour principal objectif de transposer en droit interne la directive européenne du 24 octobre 1995 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel.

L’objet de la Directive était d’établir « une procédure équivalente de haut niveau dans tous les Etats membres de la Communauté afin d’éliminer les obstacles aux échanges de données nécessaires au fonctionnement du marché intérieur ».

Cette directive aurait dû être transposée en droit français depuis octobre 1998 : la France restait le dernier pays de l’Union européenne à ne pas l’avoir fait. Par ailleurs, le projet de loi a également pour ambition d’adapter la LIL « au développement du traitement automatisé d’informations nominatives dans le secteur privé comme dans le secteur public et plus largement aux nombreuses évolutions technologiques de notre société de l’information ».

 La LIL version 2004 apporte de nombreuses modifications qui sont vivement discutées par les professionnels du droit et de l’informatique :

* son champ d’application est précisé pour permettre une meilleure adaptation aux enjeux juridiques actuels de la société française informatisée (1),
* la procédure de déclaration des fichiers et traitements automatisés se veut allégée et simplifiée (2),
* la CNIL se voit dotée de nouveaux pouvoirs de contrôle et de sanction (3).

 

1) Abandon du terme : « informations nominatives ».

 Lorsque la loi de 1978 est instituée, le chapitre 1 « Principes et définitions » parle essentiellement d’ « informations nominatives ».

 La LIL version 2004 transpose la directive européenne de 1995 et opte pour un terme plus général (« données à caractère personnel ») afin d’englober le plus de situations possibles. Une définition est donnée à l’article 2 nouveau de la loi : « constitue une donnée à caractère personnel toute information relative à une personne physique identifiée ou qui peut être identifiée, directement ou indirectement, par référence à un numéro d’identification ou à un ou plusieurs éléments qui lui sont propres ».

L’emploi de ce terme permet de viser toutes les données permettant l’identification d’une personne : nom, numéro d’identification, voix, image et empreintes digitales.

Des précisions textuelles La nouvelle loi détaille de nombreuses notions : les données à caractère personnel, les traitements automatisés, les fichiers, la personne concernée par les traitements, le responsable des traitements. L’article 4 nouveau précise que les copies temporaires faites dans le cadre d’activités techniques de transmission ou de fourniture d’accès à un réseau pour permettre le meilleur accès possible aux informations transmises ne sont pas concernées par la présente loi.

Par ailleurs, la LIL version 2004 indique qu’elle trouve à s’appliquer dès lors qu’un élément se rattache au territoire français : responsable du traitement automatisé établi en France, moyens de traitements situés en France ou encore représentant en France.

La loi crée un nouveau chapitre 2 relatif aux « conditions de licéité des traitements de données à caractère personnel ».

 

2) Les données à caractère personnel doivent remplir plusieurs conditions, prévues à l’article 6 nouveau, pour être licites :

* être collectées et traitées de manière loyale et licite,
* être collectées pour des finalités déterminées,
* être adéquates, pertinentes et non excessives face à leur finalité,
* être exactes, complètes et mises à jour,
* être conservées en respectant les délais de conservations.

L’accent est mis sur le consentement de la personne concernée par la collecte et le traitement de ses données à caractère personnel (article 7 nouveau). 

Responsabilité et droits Le chapitre 5 (articles 32 à 42 nouveaux) est entièrement consacré à la responsabilité incombant aux responsables des traitements de données et aux droits des personnes concernées par ces traitements. Le responsable des traitements a l’obligation d’informer les personnes concernées, notamment lorsque les données les concernant ne sont pas recueillis directement auprès d’elles.

 

3) L’obligation d’information renforcée.

 De plus, le projet de loi précise que le responsable des traitements se doit de conserver les données et

d’en préserver la sécurité sous peine de sanction. Les personnes concernées par le traitement disposent de droits nouveaux. La loi de 1978 subordonnait le droit d’opposition à la justification de « raisons légitimes ». La LIL version 2004 maintient ce droit (article 38 nouveau) mais précise que ce droit d’opposition sera discrétionnaire et sans frais lorsque les données seront utilisées à des fins de prospection, notamment commerciale.

Par ailleurs, les fichiers relatifs à la sûreté de l’Etat, la défense et la sécurité publique et accessibles que par l’intermédiaire de la CNIL pourront être communiqués à la personne concernée si les intérêts publics ne sont pas mis en cause (articles 41 et 42).

Enfin, la loi prévoit, sans changement, le droit d’accès et à rectification des données à caractère personnel par les intéressés : il s’agit de l’article 40 nouveau. Toutes ces précisions permettent de mieux encadrer l’application de la LIL. 1. Une procédure de déclaration des fichiers allégée et simplifiée à Le correspondant à la protection des données Le projet de loi propose de simplifier les formalités préalables de déclaration lorsque les fichiers ne concernent pas des données sensibles.

Les personnes morales seront dispenser de toute déclaration si elles se dotent d’un correspondant à la protection des données, une personne qui servira d’intermédiaire entre l’entreprise et la CNIL et veillera ainsi au respect des dispositions de la loi (article 22 nouveau).

Le projet de loi transpose l’article 18 de la directive européenne de 1995. Cet article énonce, en effet, que le responsable du traitement peut désigner « un détaché à la protection des données à caractère personnel chargé notamment d’assurer, d’une manière indépendante, l’application interne des dispositions nationales prises en application de la présente directive, de tenir un registre des traitements effectués par le responsable du traitement, et garantissant de la sorte que les traitements ne sont pas susceptibles de porter atteinte aux droits et libertés des personnes concernées ».

Le Conseil constitutionnel a précisé, dans sa décision du 29 juillet 2004, que la désignation d’un correspondant dispense uniquement des déclarations mais ne concernent pas les traitements soumis à autorisation ou les transferts de fichiers hors de l’Union européenne.

Cette désignation ne soustrait d’ailleurs pas les traitements non déclarés aux autres obligations prévues par la loi dont le non respect sera sanctionné. à Fichiers publics et privés Jusque là, les fichiers publics et privés n’avaient pas le même régime : les premiers devaient être autorisés préalablement par la CNIL, les seconds devaient être seulement déclarés. La CNIL effectuait donc un contrôle a priori des fichiers publics et un contrôle a posteriori des fichiers privés.

Désormais, les fichiers créés par les pouvoirs publics relèvent du régime des fichiers privés. Le gouvernement fait valoir que la distinction entre fichiers publics et fichiers privés est dépassée : nombre de fichiers publics collectent des données anodines mises en œuvre, la plupart du temps, par des opérateurs privés, ce qui présente des risques d’atteinte à la liberté individuelle et à la protection de la vie privée. Par ailleurs, il est à noter qu’avant ce projet de loi, la CNIL disposait pourtant d’un pouvoir d’autorisation sur les fichiers administratifs mais n’a jamais pu asseoir son autorité.

Par exemple, le STIC (fichier informatisé comprenant des données sur les auteurs et les victimes de crimes et délits) a été mis en place et utilisé en 1996 mais n’a obtenu de reconnaissance légale par décret qu’en juillet 2001. Avec le projet de loi, l’avis de la CNIL ne sera que purement facultatif, le gouvernement n’aura plus à en tenir compte. La Commission ne pourra donc plus s’opposer aux nouveaux fichiers de l’Etat. Les fichiers policiers n’auront plus besoin d’obtenir l’aval de la CNIL pour être activés. La Fédération Informatique et Libertés (FIL) qui rassemble plusieurs associations, le collectif Délis (Droits et libertés face à l’informatisation de la société) et la ligue des Droits de l’Homme dénoncent ces dispositions qui, selon eux, « constituent un abaissement très sérieux du niveau de protection des citoyens face aux traitements de leurs données personnelles ».

4) Fichiers relatifs aux données sensibles

Désormais, c’est la finalité du fichier et la nature des données collectées qui détermineront le régime applicable, peu importe qu’il s’agisse d’un fichier public ou privé. La LIL prévoit deux régimes : la déclaration des fichiers relatifs à des données anodines et l’autorisation par la CNIL pour les fichiers portant sur des données plus sensibles tels que des données génétiques ou relatives aux infractions et condamnations (article 25 nouveau).

De même, les données qui ont pour finalité l’exclusion du bénéfice d’un droit, d’une prestation ou d’un contrat dès lors que cette exclusion ne repose pas sur une condition légale ou réglementaire ou qui ont pour finalité l’interconnexion des fichiers de nature différente seront également soumis à autorisation de la CNIL (article 25 nouveau). Par ailleurs, il est à noter que l’article 8 nouveau énonce qu’il est interdit de collecter et d’enregistrer des données sensibles telles que des données relatives à l’origine ethnique, les opinions politiques, les convictions religieuses, les mœurs de la personne. Seulement il pourra être dérogé à cette interdiction sur les traitements de données s’ils sont justifiés par l’intérêt public (article 8-IV nouveau) et autorisés (articles 25-I et 26-II nouveaux).

Il faut savoir que ces fichiers relatifs aux données sensibles devaient être autorisés par décret après avis conforme de la CNIL et du Conseil d’Etat. La LIL version 2004 indique que l’avis de la CNIL pour ces fichiers sensibles ne liera plus le Conseil d’Etat et le gouvernement.

L’avis de la CNIL n’aura plus besoin d’être « conforme » pour que le décret autorise le fichier sensible ; ce qui traduit un manque de garantie évident lors de l’établissement et l’autorisation de ces fichiers sensibles. à Les fichiers d’infractions et de condamnations Seules les juridictions et certaines autorités publiques pouvaient jusqu’à présent constituer de tels fichiers. Mais un amendement initié par Alex Türk permet également aux personnes morales de recourir à ces fichiers d’infractions et de condamnations.

En effet, l’article 9 nouveau, 3° dispose que les traitements de données à caractère personnel relatives aux infractions, condamnations et mesures de sûreté peuvent désormais être mises en œuvre par « les personnes morales victimes d’infractions ou agissant pour le compte desdites victimes pour les stricts besoins de la prévention et de la lutte contre la fraude ainsi que de la réparation du préjudice subi ».

Ce 3° de l’article 9 a été annulé par le Conseil constitutionnel estimant qu’en « raison de l’ampleur que pourraient revêtir les traitements de données personnelles ainsi mis en œuvre et de la nature des informations traitées, cette disposition pourrait affecter le droit au respect de la vie privée et les garanties fondamentales accordées aux citoyens pour l’exercice des libertés publiques ». Par ailleurs, le terme de « fraude » a été jugé trop large. Cette disposition était trop imprécise pour être entérinée par le Conseil constitutionnel.

Par contre, le Conseil constitutionnel maintient la disposition 4° de l’article 9 : des fichiers pourront être créés dans une situation précise : la lutte contre le piratage sur Internet. La LIL prévoit donc la légalisation des « listes noires » constituées notamment par les sociétés de perception de droit d’auteur, les organismes professionnels qui soupçonnent des personnes de piratage sur Internet, via des réseaux peer-to-peer, par exemple. Ces casiers judiciaires privés devront être autorisés par la CNIL.

Il sera nécessaire de contrôler efficacement ces fichiers pour éviter toute dérive. 2. Des nouveaux pouvoirs de contrôle et de sanction pour la CNIL Avec la nouvelle LIL, la CNIL voit ses pouvoirs de contrôle réduits de manière importante en ce qui concerne les fichiers publics. Néanmoins, la LIL prévoit également la mise en place de nouveaux pouvoirs de contrôle et de sanction pour la CNIL (articles 44 à 49 nouveaux).

Il faut savoir qu’à l’heure actuelle, la CNIL peut enquêter mais ne dispose d’aucun moyen contraignant pour mettre en œuvre ses investigations. Si elle constate la non conformité d’un traitement avec la loi, elle ne peut émettre qu’un avertissement ou transmettre le dossier au Parquet qui se charge de déterminer l’opportunité d’une poursuite.

Avec la LIL version 2004, les pouvoirs de contrôle de la CNIL sont renforcés : en cas d’opposition du propriétaire des lieux, elle pourra désormais, sur autorisation judiciaire, accéder à tout local professionnel et aux matériels qui permettent le traitement des données (article 44 nouveau). Par ailleurs, outre un possible avertissement (article 45 nouveau), la CNIL pourra mettre en demeure le responsable du traitement de se conformer aux dispositions de la loi sous peine de sanctions administratives et notamment pécuniaires importantes pouvant aller jusqu’à 300 000 euros (article 47 nouveau).

La CNIL sera donc désormais dotée de pouvoirs de contrôle a posteriori effectifs lui permettant de vérifier si les fichiers existants sont conformes aux obligations prévues par la loi. Elle pourra sanctionner la méconnaissance de ces obligations.

LIENS CONNEXES

retour à la rubrique 'Autres articles'

Cet article a été rédigé pour offrir des informations utiles, des conseils juridiques pour une utilisation personnelle, ou professionnelle.

Il est mis à jour régulièrement, dans la mesure du possible, les lois évoluant régulièrement. Le cabinet ne peut donc être responsable de toute péremption ou de toute erreur juridique dans les articles du site.

Mais chaque cas est unique. Si vous avez une question précise à poser au cabinet d’avocats, dont vous ne trouvez pas la réponse sur le site, vous pouvez nous téléphoner au 01 43 37 75 63.

| Conditions d'utilisation du site: IDDN | | Contacts | Plan d'accès | English version |
| C G V | Sommaire | Plan | recherche | Internet | Vie des sociétés | Vie quotidienne | Services en ligne | Votre question? |
Connexion sécurisé ssl 256
Nous joindre - Tel : 0143377563
Nous utilisons des cookies pour vous garantir la meilleure expérience sur notre site. Si vous continuez à utiliser ce dernier, nous considérerons que vous acceptez l'utilisation des cookies.
Share Suivre: Facebook Avocat Paris Linkedin Avocat Paris Tumblr Avocat Paris Twitter Avocat Paris Google+ Avocat Paris App.net portage salarial RSS Valide!
Retour en haut