CAIRN.INFO : Matières à réflexion
2005/6
format_quote Citer ou exporter Ajouter à une liste Suivre cette revue

Article

1La France s’est dotée, depuis un quart de siècle, d’un cadre juridique pour protéger les données personnelles face au développement de l’informatique. La loi du 6 août 2004 amène la CNIL à repenser ses méthodes. Le contrôle a posteriori est renforcé et offre un pouvoir accru de sanction en cas de manquement. Mais avec le contrôle devraient se développer la pédagogie et le conseil en direction des organismes détenteurs de fichiers.

2L’émergence dans l’ordre juridique international de cette législation particulière qu’est le droit de la protection des données constitue en soi une évolution majeure. Longtemps les États ont eu pour souci de pratiquer simultanément la culture du secret à l’égard de leurs propres activités et la culture de la transparence à l’encontre de leurs administrés, afin qu’ils n’aient aucun secret pour eux. Cette politique, qui s’est avérée être une arme redoutable, est désormais abandonnée par les États démocratiques. Aujourd’hui, les principes qui prévalent sont ceux de la transparence de l’État et du droit au respect de la vie privée pour les citoyens. Tandis qu’auparavant, le secret protégeait l’État, et la transparence était exigée des personnes, le secret protège maintenant les citoyens qui, en raison d’une grande transparence de l’État, sont mieux à même de le contrôler, même s’il subsiste des “secrets d’État”.

3Cette approche, largement diffusée au niveau international grâce aux lois de protection des données, est en voie d’être consacrée au plan européen. En effet, la Charte des droits fondamentaux, proclamée lors du Conseil européen de Nice, le 7 décembre 2000, reprend en un texte unique, pour la première fois dans l’histoire de l’Union européenne, l’ensemble des droits civiques, politiques, économiques et sociaux des citoyens européens, ainsi que de toutes les personnes vivant sur le territoire de l’Union. Les droits fondamentaux des personnes sont regroupés en six grands chapitres : la dignité, la liberté, l’égalité, la solidarité, la citoyenneté et la justice. La liste des Droits de l’homme en Europe s’enrichit dans des domaines nouveaux, tels que la bioéthique ou la protection des données à caractère personnel.

4Cette charte se trouve intégrée au traité établissant une constitution pour l’Europe. L’article II-68 traite uniquement de la protection des données à caractère personnel : il prévoit que toute personne a droit à la protection des données à caractère personnel la concernant, qu’elle a le droit d’y accéder et d’en obtenir la rectification, que ces données doivent être traitées loyalement, à des fins déterminées, sur la base de son consentement ou en vertu d’un autre fondement légitime prévu par la loi ; il dispose enfin que le respect de ces règles est soumis au contrôle d’une autorité indépendante.

5L’Union européenne, qui repose sur le principe de la démocratie et de l’État de droit, place la personne au cœur de son action en instituant la citoyenneté de l’Union et en créant un espace de liberté, de sécurité et de justice. Elle constitutionnalise, au sein de ce dispositif, les autorités de protection des données telles que la Commission nationale de l’informatique et des libertés (CNIL).

Les autorités nationales de protection des données, garantes de la protection de la vie privée

6L’évolution des nouvelles technologies permettant de recueillir, de traiter, de stocker, de rechercher et de diffuser des informations, les traces que leur simple usage génère, la valeur marchande acquise par les informations – les fichiers se vendent d’autant plus cher qu’ils sont enrichis et permettent d’établir des profils –, le développement d’Internet, l’internationalisation des échanges concourent à une “libre circulation” des données personnelles, et doivent conduire les citoyens que nous sommes à une vigilance accrue du respect de la vie privée et des libertés individuelles. En cela, la protection des données personnelles est devenue un enjeu quotidien.

• La loi du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés

7La première loi française en matière de protection des données a été adoptée sur les ruines d’un projet gouvernemental de 1974, le projet SAFARI, qui visait à interconnecter l’ensemble des informations figurant dans les fichiers publics à partir d’un identifiant unique, le NIR [1], attribué à chaque personne. Compte tenu des réactions suscitées par ce projet au sein de l’opinion, le gouvernement a engagé une réflexion sur les conséquences de l’informatisation de la société. La commission ad hoc, présidée par le conseiller d’État Bernard Tricot, a établi un rapport qui a largement inspiré le législateur de 1978.

8La loi du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés vise en effet à encadrer le développement de l’informatique et à protéger les personnes physiques des atteintes que peuvent faire peser sur elles les nouvelles possibilités offertes et la multiplication des fichiers. L’article premier dispose que “l’informatique doit être au service de chaque citoyen. […] Elle ne doit porter atteinte ni à l’identité humaine, ni aux droits de l’homme, ni à la vie privée, ni aux libertés individuelles ou publiques.” Ce postulat témoigne, s’il en était besoin, de ce que la protection des données personnelles participe à la protection de la vie privée.

9Les principes de la protection des données ainsi jetés, la France s’est inscrite dans le trio de tête des pays se dotant d’une législation spécifique en la matière. Depuis lors, d’autres textes internationaux ont confirmé ces principes : la convention 108 du Conseil de l’Europe de 1981, la directive européenne 95/46 CE du 24 octobre 1995, sans oublier les textes spécifiques intervenus dans de nombreux domaines, y compris dans les secteurs régaliens qui touchent au cœur de l’État, tels que la police.

10Quels sont les grands principes de protection des données ? Ils peuvent se traduire de la manière schématique suivante : des obligations sont imposées aux responsables de traitements de données personnelles ; des droits sont accordés aux personnes fichées. Ces deux pans de la protection des données, qui s’inscrivent dans un souci de transparence, sont intimement liés : les droits ne peuvent être correctement exercés par les personnes que si les responsables de fichiers remplissent convenablement leurs obligations.

11L’une des principales obligations qui pèsent sur les détenteurs de fichiers relève de l’exigence de transparence : il s’agit de porter à la connaissance, d’une part de la CNIL, par le biais des formalités préalables, d’autre part des personnes susceptibles d’être enregistrées dans un fichier, la création et l’objet du traitement de données personnelles, en mentionnant sur tout formulaire de collecte d’informations les mentions prévues par la loi (caractère obligatoire ou facultatif des réponses, conséquences d’un défaut de réponse, personnes physiques et morales destinataires des données, existence d’un droit d’accès et de rectification).

12En outre, les responsables de fichiers se voient dans l’interdiction, sauf procédure particulière, de recueillir des données “sensibles” (origines raciales, opinions politiques, philosophiques ou religieuses, appartenances syndicales, mœurs des personnes, numéro d’inscription au répertoire des personnes physiques). Plus généralement, l’obtention de toute information par des moyens frauduleux ou illicites est prohibée. De plus, la durée de conservation des données doit être déterminée.

13Pour ce qui est des droits reconnus aux personnes, il s’agit d’un droit d’accès (qui est le plus souvent direct, seuls les fichiers intéressant la sûreté de l’État, la défense ou la sécurité publique nécessitant l’intervention de la CNIL) et de rectification des données les concernant et, sous certaines conditions, d’un droit d’opposition au traitement des données.

• Les modifications apportées par la loi du 6 août 2004

14Tenu de transposer en droit interne la directive européenne 95/46 CE du 24 octobre 1995, le législateur français a adopté la loi du 6 août 2004 qui modifie non pas les principes posés par la loi du 6 janvier 1978, mais les procédés mis en œuvre pour veiller à la “sauvegarde” de la vie privée, des libertés individuelles ou publiques [2].

15Cette loi, plus précise, définit de nouvelles notions clés, telles que celles de “personnes concernées”, de “responsable de traitement”, et pose les conditions de légalité d’un traitement automatisé de données à caractère personnel : la collecte des données doit être loyale, la finalité du traitement doit être spécifiquement déterminée, pertinente et légitime, les données doivent être exactes et mises à jour, et leur durée de conservation correspondre à la finalité. Elle indique par ailleurs que les données doivent respecter le principe de proportionnalité, et être “adéquates, pertinentes et non excessives au regard des finalités pour lesquelles elles sont collectées”.

16La loi pose enfin au nombre des conditions de légalité d’un traitement le consentement de la personne concernée ou, à défaut, le respect d’une obligation légale, la sauvegarde de la vie de l’intéressé, l’exécution d’une mission de service public ou d’un contrat, ou encore la réalisation de l’intérêt légitime du responsable du traitement “sous réserve de ne pas méconnaître l’intérêt ou les droits et libertés fondamentaux de la personne concernée”.

17Cette dernière condition suppose de réaliser la balance entre les intérêts des responsables de traitement et les droits des personnes fichées. La portée très générale de cette disposition a conduit le rapporteur du projet de loi à l’Assemblée nationale en première lecture à indiquer qu’il “appartiendrait à la CNIL de veiller au respect de cet équilibre, au travers de son contrôle a priori ou a posteriori”.

18Nous voici au cœur du sujet. Si le nouveau cadre juridique français n’a en rien changé les principes de protection des données à respecter, les méthodes offertes à l’autorité nationale chargée de veiller à leur bonne application sont largement modifiées. La CNIL est actuellement en pleine mutation, et est amenée à revoir ses méthodes d’action. Bien que le contrôle a priori exercé sur les traitements de données personnelles demeure, une large place est désormais accordée au contrôle a posteriori.

Le contrôle a priori, ou l’exercice d’une vigilance ciblée

19Sous l’empire de l’ancienne loi, tous les traitements informatiques comportant des données personnelles devaient être déclarés à la CNIL, selon la procédure de la demande d’avis pour la plupart des traitements relevant du secteur public, et de la déclaration pour ceux relevant du secteur privé. La nouvelle loi revient sur ce dispositif fondé sur un critère organique, le caractère public ou privé du responsable de traitement, pour s’attacher à l’objet des traitements.

20Le contrôle a priori exercé par la CNIL est désormais axé sur les seuls traitements présentant des risques particuliers d’atteinte aux droits et aux libertés. Le régime de droit commun est celui de la déclaration : le responsable de traitement peut mettre en œuvre ce dernier dès réception du récépissé délivré par la CNIL. Les autres procédures sont la demande d’avis ou, pour les traitements considérés comme présentant des risques, soit en raison des données traitées, soit en raison de la finalité poursuivie ou des caractéristiques du traitement, l’autorisation. Tel est le cas, par exemple, des traitements susceptibles, du fait de leur nature, de leur portée ou de leur finalité, d’exclure des personnes du bénéfice d’un droit ou d’une prestation en l’absence de toute disposition législative ou réglementaire.

21La loi nouvelle permet toujours à la commission de faciliter les formalités en adoptant des normes simplifiées pour les traitements courants : ainsi, 70 % des traitements déclarés à la CNIL font référence à une des quarante-sept normes adoptées à ce jour ; elle prévoit aussi, ce qui est une nouveauté, d’exonérer certains traitements de toute formalité (article 22).

22En conséquence, secteurs public et privé, à quelques exceptions près, sont soumis à des procédures largement uniformisées. Cette évolution est conforme au souhait de la CNIL qui, dans bien des cas, avait fait connaître son regret de ne pas disposer de moyens juridiques pour mieux encadrer certains des traitements mis en œuvre par le secteur privé.

Le contrôle a posteriori, ou l’accroissement des pouvoirs d’intervention de la CNIL

23Amenée à exercer un contrôle a priori ciblé, la commission se voit en contrepartie dotée de nouveaux pouvoirs de contrôle a posteriori[3]. La loi du 6 janvier 1978 lui permettait déjà de procéder à des vérifications sur place à l’égard de tout traitement. Toutefois, comme le conseiller d’État Braibant l’a relevé, ce contrôle a peu joué, puisqu’en vingt-cinq ans, la CNIL n’a effectué qu’un peu plus de 300 missions de vérification, ce qui donne en moyenne 13 contrôles par an.

24La nouvelle loi devrait modifier cet état de fait. L’allégement des formalités préalables et l’accroissement des pouvoirs de sanction accordés à la CNIL (en particulier le pouvoir de prononcer des sanctions pécuniaires pouvant aller jusqu’à 300 000 euros) devraient la conduire à recentrer ses missions sur les contrôles a posteriori, à condition de disposer des moyens nécessaires, et notamment des postes budgétaires, pour le faire. À défaut, la réduction des interventions a priori de la commission provoquerait un abaissement du niveau général de protection instauré par le législateur de 1978. Le nouveau président de la CNIL, Alex Türk, a d’ailleurs fait des contrôles un axe majeur de l’action de la commission, organisée autour de la communication, des correspondants, des contrôles et de la coercition.

La nouvelle loi et les contrôles sur place

25Les modalités d’exercice des contrôles sur place sont définies de manière précise. En premier lieu, un chapitre entier de la loi (le VIe) y est désormais consacré. En outre, les articles 11 et 21 y font référence. Ces dispositions législatives seront complétées par le décret d’application de la loi, qui sera publié avant l’été 2005 et qui traitera des contrôles, ainsi que par le règlement intérieur de la CNIL.

26L’article 11 exige que chaque contrôle fasse l’objet d’une décision particulière qui peut désormais être prise par le seul président de la commission. Pour ce qui est des membres de la délégation procédant aux vérifications, il peut s’agir de l’ensemble des commissaires de la CNIL – y compris ceux appartenant à la formation restreinte qui, dans l’hypothèse d’une proposition de sanction à l’issue d’un contrôle, se déporteront –, des agents de la commission habilités et, le cas échéant, d’experts. Dans la plupart des cas, les contrôles sont inopinés, sans information préalable du responsable de l’organisme contrôlé. En revanche, le nouveau texte de loi impose à la commission d’aviser le procureur de la République territorialement compétent de la mission de vérification sur place qu’elle entend diligenter.

27De manière générale, la loi du 6 janvier 1978 offre une large latitude d’action à la CNIL qui procède à un contrôle sur place : accès, de 6 heures à 21 heures, aux lieux, locaux, enceintes, installations ou établissements servant à la mise en œuvre d’un traitement de données à caractère personnel et qui sont à usage professionnel, à l’exclusion des parties de ceux-ci affectées au domicile privé ; recueil, sur place ou sur convocation, de tout renseignement et de toute justification utiles ; communication et prise de copies de tous les documents nécessaires à l’accomplissement du contrôle ; accès aux programmes informatiques et aux données.

28Toutefois, plusieurs obstacles sont susceptibles de lui être opposés :

  • l’interdiction d’entrer dans les lieux. Dans ce cas, la loi prévoit que le contrôle peut être opéré avec l’autorisation du président du tribunal de grande instance dans le ressort duquel les locaux à visiter sont situés, ou du juge délégué par lui ;
  • le secret professionnel. Même si, lors des travaux parlementaires, le Garde des Sceaux a souhaité en limiter la portée, il est prévisible qu’en pratique les dispositions de l’article 21 de la loi qui, en Europe, ne figurent que dans la loi française, créent des difficultés lors des contrôles. Sur ce point, la CNIL estime qu’il appartient au responsable de traitement opposant le secret professionnel d’indiquer précisément les dispositions sur lesquelles il s’appuie et, au-delà, d’établir la liste des fichiers ou des catégories de données qui, selon lui, seraient “couvertes” par le secret professionnel. Cette position s’appuie notamment sur la décision du Conseil constitutionnel du 29 juillet 2004, aux termes de laquelle la Haute Assemblée a considéré que “l’invocation injustifiée du secret professionnel pourrait constituer une entrave passible des peines prévues par l’article 51[4] nouveau de la loi du 6 janvier 1978” ;
  • la question des données à caractère médical. Selon l’article 44-III de la loi, “seul un médecin peut requérir la communication de données médicales individuelles incluses dans un traitement nécessaire aux fins de la médecine préventive, de la recherche médicale, des diagnostics médicaux, de l’administration de soins ou de traitements, ou à la gestion de services de santé, et qui est mis en œuvre par un membre d’une profession de santé”. Compte tenu de la terminologie employée par le législateur et afin de continuer à s’assurer que les traitements de santé satisfont aux principes de protection des données, la CNIL considère que la présence d’un médecin, qui devrait pouvoir être désigné à partir d’une liste établie par le Conseil de l’ordre, n’est exigée que pour la communication des données, et non pour la seule consultation des informations.
Enfin, la loi dispose qu’il “est dressé contradictoirement procès-verbal des vérifications et visites menées”. Ce document, qui doit être établi sur place et signé par les représentants des deux parties, est purement factuel (il consigne l’objet du contrôle, les personnes rencontrées, les demandes formulées par la délégation, les difficultés rencontrées, etc.). Dans le cas où le responsable des traitements ne souscrirait pas à ce document ou si la délégation se voit opposer une interdiction d’entrée dans les lieux ou un refus de communication de données sur le fondement du secret professionnel, le procès-verbal doit en faire état.

29Selon que les vérifications opérées ont révélé ou non des manquements graves à la loi, deux options s’offrent à la commission : la clôture du contrôle selon une procédure administrative ou selon une procédure juridictionnelle. Dans le premier cas, un courrier est adressé au responsable de l’organisme concerné, qui le plus souvent lui demande d’apporter des modifications aux traitements vérifiés. Dans le second cas, la formation restreinte se réunit afin de prononcer, si elle l’estime nécessaire, sur la base d’un rapport établi par l’un des membres de la CNIL désigné hors de son sein, une des sanctions prévues par la loi, telles qu’une sanction pécuniaire.

Instaurer la confiance

30La mise en œuvre des principes de protection des données par les acteurs – publics et privés – d’un État contribue à instaurer la confiance des citoyens. Ces derniers peuvent d’ailleurs participer pleinement au dispositif en exerçant leur droit d’accès, y compris aux fichiers de sécurité, voire leur droit d’opposition. Nul besoin de rappeler ici combien se discrédite un organisme qui refuse de prendre en compte les demandes de radiation de ses fichiers.

31Pour autant, même si l’on assiste à l’émergence d’une maturité citoyenne en matière de protection des données, il paraît nécessaire de maintenir, si ce n’est de renforcer, notamment du point de vue international, le rôle de contrôle, mais aussi de conseil, de pédagogie et de veille technologique – voire éthique – des autorités indépendantes telles que la CNIL.

Notes

  • [1]
    Numéro d’inscription au répertoire des personnes physiques.
  • [2]
    Loi n° 2004-801 du 6 août 2004 relative à la protection des personnes physiques à l’égard des traitements de données à caractère personnel et modifiant la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés.
  • [3]
    Quelques exemples de contrôles récents : les fichiers clientèles des banques et de fournisseurs d’accès à Internet ainsi que ceux tenus par les collectivités locales, auprès d’une sélection de mairies ; en ce qui concerne Internet, contrôle notamment des modalités d’information des personnes et de la prise en compte de leur droit d’opposition à recevoir des messages d’information en ligne, par exemple auprès de sociétés de courtage en assurance, des sociétés de voyage ou des sociétés de commerce en ligne proposant des produits culturels ou de grande consommation ; les fichiers de locataires tenus par des sociétés gestionnaires d’habitation à loyer modéré ; les fichiers d’abonnés à des clubs de sport.
  • [4]
    “Est puni d’un an d’emprisonnement et de 15 000 euros d’amende le fait d’entraver l’action de la Commission nationale de l’informatique et des libertés.”

Résumé

Français

Résumé

Le secret de la vie privée, qui fait partie des droits fondamentaux de la personne reconnus au plan de l’Union européenne, est sous contrôle d’une autorité indépendante, la Commission nationale de l’informatique et des libertés (CNIL). En France, plusieurs lois encadrent ce principe. La plus récente, d’août 2004, définit de nouvelles notions et confie à cette commission le soin de veiller à un équilibre entre les intérêts des responsables de traitement et les droits des personnes concernées. Contrôle a priori et contrôle a posteriori en constituent les outils.

Plan

  1. Les autorités nationales de protection des données, garantes de la protection de la vie privée
    1. • La loi du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés
    2. • Les modifications apportées par la loi du 6 août 2004
  3. Le contrôle a priori, ou l’exercice d’une vigilance ciblée
  4. Le contrôle a posteriori, ou l’accroissement des pouvoirs d’intervention de la CNIL
  5. La nouvelle loi et les contrôles sur place
  6. Instaurer la confiance

Auteur

Florence Fourets
Chef du service des contrôles de la CNIL, membre des autorités de contrôles communes Schengen et Europol siégeant à Bruxelles, elle est diplômée de droit public et de sciences politiques de la Faculté Robert-Schuman de Strasbourg.
Cette publication est la plus récente de l'auteur sur Cairn.info.

Sur un sujet proche

Mis en ligne sur Cairn.info le 01/05/2008
https://doi.org/10.3917/inso.126.0094
Pour citer cet article
Distribution électronique Cairn.info pour Caisse nationale d'allocations familiales © Caisse nationale d'allocations familiales. Tous droits réservés pour tous pays. Il est interdit, sauf accord préalable et écrit de l’éditeur, de reproduire (notamment par photocopie) partiellement ou totalement le présent article, de le stocker dans une banque de données ou de le communiquer au public sous quelque forme et de quelque manière que ce soit.
keyboard_arrow_up
Chargement
Chargement en cours.
Veuillez patienter...