des données personnelles
Vers une nécessaire adaptation de la norme juridique aux évolutions du monde numérique Stéphane Tijardovic
a banalisation de l’outil informatique et sa mise en réseau tendent à créer un danger croissant pour la protection des données nominatives, celles qui composent en partie notre sphère d’intimité si chère au doyen Carbonnier1. Ces avancées technologiques constituent également une menace pour la sûreté de l’individu car elles mettent à la disposition de l’Etat des informations qui pourraient fortement accroître son pouvoir, si des mécanismes de contrôle ne sont pas simultanément mis en place.
Dès les prémices de l’automatisation du traitement de l’information, la machine Hollerith, machine conçue pour automatiser le deuxième recensement de la population américaine, aurait permis le recensement quarante ans plus tard par le régime nazi de milliers de personnes et aurait ainsi facilité leur déportation vers les camps de la mort2.
1. Carbonnier J., Droit Civil, 1. Introduction, PUF, juillet 2002, 27e édition.
2. Black E., IBM et l’holocauste, éditions Laffont, février 2001.
L
L’évolution des technologies de l’information et de la communication, par la mise à disposition sur le marché d’outils de stockage et de logiciels de croisement de données ont pour conséquence d’accroître les risques de dérives. De la notion de données nominatives à celles de données personnelles, d’une logique de fichiers vers une logique de traces, telles sont les mutations technologiques que le législateur se doit de prendre en compte pour empêcher que les marchands du temple ne banalisent le commerce de ces informations.
Même si l’informatisation des données personnelles facilite également la vie des administrés, l’exemple français le plus connu étant le numéro de sécurité sociale, l’utilisation quotidienne de ces fichiers par les administrations ne doit pas pour autant constituer une source d’abus de pouvoir. C’est la raison pour laquelle de nombreux textes réglementaires imposent à l’Etat, comme aux particuliers, des règles très contraignantes lorsqu’il s’agit d’utiliser ces données.
Pendant plus d’une vingtaine d’années, la France a été en avance dans le domaine de la protection juridique des données nominatives. Mais elle pourrait être rapidement reléguée au rang des mauvais élèves, si elle ne prend pas en compte les mutations technologiques en cours et les nombreuses recommandations européennes.
En outre, ces aspects réglementaires doivent être intégrés par les webmaster sur les sites dont ils ont la charge, car à l’heure des vitrines virtuelles et du commerce électronique, il est essentiel d’obtenir la confiance de l’internaute par des pratiques transparentes et de principes de déontologie stricts.
Pour que la protection des données personnelles soit efficace en France, les bases juridiques qui la composent doivent être modifiées, à l’instar de la norme européenne, pour tenir compte de l’évolution du monde numérique.
Les textes internationaux et européens : une construction juridique qui s’adapte au fur et à mesure aux évolutions des technologies de l’information et de la communication
Les lignes directrices de l’OCDE
L’organisation de coopération et de développement économiques, forum au sein duquel les principales puissances occidentales tentent de coordonner et d’harmoniser les actions dans les domaines économique et social, a énoncé dès 1980 des « lignes directrices régissant la protection de la vie
privée et les flux transfrontières de données à caractère personnel », document complété en 1985 par une déclaration sur les flux transfrontières de données. Mais c’est la convention 108 du 28 janvier 1981 qui établit le premier cadre international sur la protection des données personnelles. Ce texte, en cours de révision, constituera la base de la directive communautaire de 1995.
Ces documents n’ont pas valeur de norme, mais ils ont vocation à inciter les gouvernements à légiférer dans ce domaine.
Les modèles étrangers
Au même titre que les grands systèmes juridiques, il existe deux conceptions en matière de protection des données personnelles, le modèle européen et le modèle américain :
– le modèle européen est imposé, réglementaire et contraignant mais très protecteur pour les données. Il prévoit notamment un contrôle par une autorité de protection indépendante ;
– le modèle nord-américain est fondé sur le pragmatisme, l’optimisme et l’autorégulation ; c’est la confiance dans la convergence des intérêts individuels et l’intervention de l’Etat a lieu seulement en cas de déséquilibre excessif3.
Les directives et recommandations communautaires
D’une importance capitale dans la hiérarchie des normes européennes, la directive impose aux Etats membres de l’Union européenne un résultat, tout en leur laissant le choix des moyens pour y parvenir. Ces textes laissent une faible marge de manœuvre aux gouvernements et imposent ainsi la volonté communautaire dans de nombreux domaines4.
C’est dans cet esprit que la directive 95/46, du 24 octobre 1995, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation des données a tenté de limiter les effets négatifs du mariage entre les télécommunications et l’informatique sur la vie privée des utilisateurs de réseaux informatiques et de permettre que les données puissent circuler en toute liberté à l’intérieur de l’Union
3. Voir l’excellente fiche intitulée : « Les protections des données dans le monde », de Louise Cadoux, Confidentiel Sécurité, n° 64, février 2000.
4. Il est à noter l’implication forte de la Commission européenne dans les domaines tels que le droit social ou la sauvegarde des libertés individuelles.
européenne mais dans un espace où les données sont protégées de manière homogène.
La directive est entrée en vigueur le 25 octobre 1998, or de nombreux pays membres de l’Union européenne n’ont toujours pas adopté un texte interne transposant cette directive dans leur droit national. Ainsi, la Commission a adressé en juillet 1999 un avis motivé à l’Allemagne, au Luxembourg, aux Pays-bas, à l’Espagne, à l’Autriche et à la France… Plus récemment, elle a saisi la Cour européenne de justice pour que celle-ci condamne ces pays membres faisant preuve de négligence à l’égard de leurs engagements européens. Mais il ne s’agit pas forcément de négligence puisque pour la France notamment, la législation en vigueur dans ce domaine est plus sévère, donc plus protectrice par certains aspects que le texte communautaire, ce qui peut soulever certaines difficultés de transposition.
En juillet 2001, le gouvernement a proposé un projet de transposition, modifiant la loi en vigueur pour l’adapter aux dispositions de la norme européenne5.
Cette situation n’a pas pour effet d’empêcher l’application de la directive par les citoyens des pays membres et toute personne ayant subi un préjudice du fait de la non-transposition est en droit de demander réparation devant les tribunaux nationaux.
Un autre directive européenne plus récente, du 15 décembre 1997, prévoit le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des télécommunications. Les principales lignes directrices de ce texte sont la garantie de la sécurité du réseau et la garantie de la confidentialité des communications et des données relatives au trafic et de la facturation6.
Enfin, une nouvelle directive 2002/58 du 12 juillet 2002 relative au traitement des données personnelles dans le secteur des communications électroniques, abrogeant la directive de 1997 dès la fin du mois d’octobre 2003, prend en compte l’évolution des technologies et les dangers qu’elle représente pour le « citoyen-utilisateur-internaute ». Pour les Etats-membres, notamment ceux qui n’ont pas encore transposé la directive de 1995, il
5. Projet de loi n° 3250, du 18 juillet 2001, relatif à la protection des personnes physiques à l’égard des traitements de données à caractère personnel et modifiant la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés.
6. Directive 97/46/CE du 15 décembre 1997.
devient urgent de prendre en compte ces textes sous peine d’instaurer une insécurité juridique au sein de leur dispositif interne.
Ce dernier texte met principalement l’accent sur la nécessité de garantir la sécurité des données par le respect de la confidentialité, l’effacement systématique des informations et le respect du consentement de l’utilisateur7.
Le dispositif français : un dispositif protecteur mais décalé par rapport à l’évolution de la norme communautaire
La loi informatique et libertés
La France, pays traditionnellement protecteur des droits de l’homme, n’a pas attendu que l’Europe lui impose une réglementation dans le domaine de la protection des données nominatives. En 1974, alors que le gouvernement présentait un projet de recoupement de diverses informations sur les personnes physiques, les entreprises et les associations : le projet SAFARI (système automatique pour les fichiers administratifs et le répertoire des individus), qui avait pour effet de faire correspondre à chaque individu un numéro commun à tous les fichiers de l’Etat, une réaction violente de la presse et de l’opinion publique condamnait instantanément cette initiative malheureuse. « Safari : la chasse aux français » titra alors un quotidien au lendemain de l’annonce du gouvernement.
Cette réaction eut pour conséquence la création d’une commission parlementaire et quelques années plus tard, un projet de loi relatif à l’informatique et aux libertés donna lieu, le 6 janvier 1978, à la loi relative à l’informatique, aux fichiers et aux libertés8. Sur de nombreux points, le législateur fut visionnaire et encore aujourd’hui, il demeure une référence internationale dans ce domaine.
En complément de ces dispositions, d’autres lois peuvent être citées puisqu’elles concernent indirectement la protection des informations à caractère personnel. Il s’agit en premier lieu de la loi du 10 janvier 1978 relative à la protection du consommateur qui interdit les fichiers mentionnant l’exercice par l’emprunteur de sa faculté de rétractation lors d’une opération de crédit, cette interdiction ayant pour but de créer des listes noires d’emprunteurs jugés hâtivement de versatiles. La loi du
7. Directive 2002/58/CE du 12 juillet 2002.
8. Loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés.
4 janvier 1980 relative à l’automatisation du casier judiciaire prévoit également des dispositions drastiques sur la gestion des informations contenues sur les bulletins d’extrait de casier. Enfin, il faut citer également la loi du 12 avril 2000 sur la transparence entre l’administration et le citoyen.
L’article 9 du Code civil sur le droit et le respect de la vie privée vient compléter les dispositions de la loi de 1978 lorsque les données peuvent être difficilement tenues pour nominatives bien qu’elles aient un caractère personnel intéressant la sphère privée de la personne, comme par exemple la photographie.
Les articles 226-16 et suivants du Code pénal
Les atteintes aux droits prévus par cette loi sont prises en compte par le Code pénal. Dans le nouveau Code pénal de 1994, les articles 226-16 à 226-25 sanctionnent les infractions aux dispositions de la loi de 1978.
La transposition de la directive de 1995
Comme nous avons pu le constater, la transposition de la directive communautaire 95/45 dans notre droit interne devait intervenir avant le 25 octobre 1998. La France, pionnière en la matière, a décidé de modifier le texte existant et non le remplacer par une nouvelle loi en totale harmonie avec les principes imposés par l’Union européenne. Actuellement, toujours à l’état de projet de loi, ce texte ne bouleverse pas la réglementation en vigueur, qui comme nous l’avons rappelé est plus répressive que le texte européen.
Ainsi, la réforme de la loi de 1978 écarte d’une part, toute distinction entre fichiers publics et fichiers privés, distinction souhaitée à l’origine par le législateur pour protéger le citoyen d’un fichage abusif par l’Etat. C’est la nature des données collectées qui prévaudra, l’avis de la CNIL valant avis conforme du Conseil d’Etat. D’autre part, les pouvoirs de la CNIL seront renforcés, puisqu’elle pourra accéder aux locaux professionnels servant à l’exploitation du fichier concerné et prononcer éventuellement des sanctions à l’égard des contrevenants, sous forme d’amendes d’un montant maximum de 150 000 €. Enfin, les droits du citoyen seront renforcés puisque celui-ci jouira d’un pouvoir discrétionnaire pour s’opposer à ce que les données le concernant soient exploitées à des fins de prospection et il sera informé de recueil indirect de données le concernant.
Le traitement automatisé des données nominatives : six principes fondateurs applicables aux évolutions des technologies de l’information et de la communication
Le législateur a fondé la loi informatique et libertés sur six principes-clés de la protection des données nominatives qui sont : une finalité légitime et déterminée des données recueillies (pas d’utilisation illicite), le contenu des fichiers devant être pertinent et adaptés aux besoins, la conservation des données limitée dans le temps, une confidentialité très stricte du contenu des fichiers, une obligation de sécurité et le respect des personnes dont les données personnelles sont traitées de manière automatisée. Ces principes guident et bornent toutes les règles imposées par la loi tant dans le domaine du traitement des données que dans les droits des personnes concernées.
La protection des informations nominatives
Le champ d’application de la loi est défini dans ses articles 4 et 5. Ainsi, les informations qui permettent, sous quelque forme que ce soit, directement ou non, l’identification des personnes physiques auxquelles elles s’appliquent sont considérées comme des informations nominatives. Elles ne concernent que les personnes physiques et ce sont toutes les données ayant trait à la sphère d’intimité de l’être, notamment les numéros de téléphone, les adresses email, les empreintes digitales ou a fortiori les empreintes génétiques, informations que l’on peut aujourd’hui facilement numériser et stocker.
A cet égard, la nécessité de savoir quelles sont les données qui entrent dans le champ d’application de la loi s’impose face à l’explosion depuis quelques années des méga-bases de données issues du datamining ou de l’infomining, techniques de croisement des données personnelles des consommateurs qui permettent d’affiner leurs besoins et d’apporter une plus-value commerciale aux sites dédiés au commerce électronique9.
Par extension, les fichiers dits « segments » qui font entrer des clients dans des segments correspondant à des produits de placements ou de crédits, la messagerie télématique, comme par exemple les petites annonces si celles-ci comportent le nom et l’adresse des vendeurs sont considérés comme des données nominatives. En revanche, les sondages sur une personnalité ne le sont pas.
9. Voir l’article de Jean Freyssinet in Cahiers Lamy, Droit de l’informatique, n° 118, octobre 1999.
Tout ensemble d’opérations réalisées par des moyens automatiques, relatif à la collecte, l’enregistrement, l’élaboration, la modification, la conservation et la destruction d’informations nominatives ainsi que tout ensemble d’opérations de même nature se rapportant à l’exploitation de fichiers ou bases de données, notamment les interconnexions ou rapprochements, consultations ou communications d’informations nominatives sont considérés comme traitement automatisé de données nominatives10.
Ainsi, un site web dès lors qu’il comprend un lien vers une adresse email, un fichier d’identifiants avec une adresse internet ou un formulaire avec un nom et adresse électronique (soit la majorité des sites), les autocommutateurs, les répertoires de téléphones mobiles, les fax, les assistants personnels, les services télématiques et naturellement les ordinateurs personnels fixes ou portables ainsi que les applications de carte à puce doivent être considérés comme des traitements automatisés au sens de la loi.
Cependant, lorsque l’ordinateur est utilisé comme simple machine à écrire (listes de malades dans une clinique) ou qu’il ne permet que des tests de personnalité sans mémorisation des réponses, il est exclu du champ d’application de la loi au même titre que le sont les fichiers dits manuels, c’est-à-dire non automatisés ou mécanographiques lorsqu’ils relèvent du strict exercice du droit à la vie privée11.
La collecte d’informations est également prévue par la loi, certaines informations faisant l’objet d’une interdiction de collecte. C’est le cas des informations nominatives concernant les infractions, condamnations ou mesures de sûreté sauf si cette collecte est organisée par une autorité publique ou une juridiction, le dernier fichier étant le fichier national des empreintes génétiques12. Ce sont également, sauf accord exprès, non pas à partir d’une simple information de la personne concernée, les données qui, directement ou indirectement, font apparaître les origines raciales ou les opinions politiques, philosophiques, religieuses ou les appartenances
10. Voir l’article 5 de la loi du 6 janvier 1978.
11. Voir l’article 45 de la loi précitée.
12. Décret n° 2000-413 du 18 mai 2000 relatif au fichier national automatisé des empreintes génétiques et au service central de préservation des prélèvements biologiques.
syndicales ou enfin les mœurs des personnes. Ce sont les données dites sensibles13.
Pour des raisons historiques ou d’opportunité, quelques dérogations ont été prévues par le législateur, notamment lorsque l’intérêt public le nécessite (c’est le cas des fichiers gérés par les juridictions de jugement ou les services spécialisés tels que les renseignements généraux) ou pour préserver la liberté d’expression et de la presse (c’est également les cas des églises et groupements à caractère religieux, philosophique, politique ou syndical qui peuvent tenir registre de leurs membres ou de leurs correspondants sous forme automatisée), la presse bénéficiant d’une dérogation générale14.
Bien que la recherche scientifique et les statistiques publiques puissent constituer l’un des motifs d’intérêt public important permettant de déroger à l’interdiction de traiter les données sensibles, les chercheurs manifestant régulièrement leur mécontentement, la CNIL n’a pas accordé à ces catégories professionnelles une dérogation en matière de collectes d’informations sensibles. Cette situation pourrait évoluer compte tenu de la réforme imposée par l’Union européenne.
La collecte des informations doit respecter certaines conditions imposées par la loi de 1978. Elle ne peut en aucun cas être opérée par des moyens frauduleux, déloyaux ou illicites. Les personnes auprès desquelles sont recueillies des informations nominatives doivent être informées du caractère obligatoire ou facultatif des réponses, de l’identité des personnes physiques ou morales destinataires des informations ainsi que de l’existence d’un droit d’accès et de rectification15.
La CNIL est intervenue à plusieurs reprises à l’occasion des informations collectées dans le cadre des candidatures d’emploi16. Du reste, elle a également émis plus récemment une recommandation relative aux cookies ou mouchards électroniques, puisque ces programmes informatiques implantés lors d’une visite d’un site web permettent de rapatrier vers ce site des données personnelles lors de la prochaine connexion de l’utilisateur.
13. Voir l’article 31 de la loi du 6 janvier 1978.
14. Il s’agit pour le législateur d’être en accord avec la loi sur la liberté de la presse du 29 juillet 1881, texte fondamental en matière de régime de la presse en France.
15. Voir l’article 27 de la loi du 6 janvier 1978.
16. Délibération n° 02-017 du 21 mars 2002 portant adoption d’une recommandation relative à la collecte et au traitement d’informations nominatives lors d’opérations de recrutement.
Cette pratique n’est pas jugée en soi illégale par la CNIL si elle donne la possibilité à l’internaute d’opposer un refus. La voie choisie par l’autorité indépendante est en plein accord avec celle qui est préconisée par la norme européenne, celle de l’activation consentie ou opt-in (la question est posée avant tout envoi) à l’opposé de l’activation a posteriori ou opt-out (le refus de l’utilisateur est exprimé après avoir été sollicité17).
Le législateur a souhaité que la conservation des informations nominatives bénéficie d’une protection mise en œuvre par les personnes responsables du traitement automatisé. Ainsi, les informations ne doivent pas être conservées au-delà de la durée prévue à la demande d’avis ou à la déclaration, sauf autorisation de la CNIL, hormis les cas où elles sont conservées à des fins historiques, scientifiques ou statistiques, avec le consentement des personnes concernées.
La CNIL estime qu’une durée de 5 ans constitue une durée maximale compte tenu des termes de la convention 108 du Conseil de l’Europe. Par ailleurs, le responsable du traitement a une obligation d’exactitude des informations nominatives qu’il traite. Il doit corriger d’office une erreur dès qu’il en a eu connaissance18. Enfin, la personne responsable du traitement s’engage à « à prendre toutes précautions utiles afin de préserver la sécurité des informations et empêcher qu’elles ne soient déformées, endommagées ou communiquées à des tiers non autorisés ».
Sur internet, cette mesure est très importante car elle doit permettre de lutter contre les tentatives de piratage des fichiers comportant des données personnelles. Cette dernière protection est menacée par l’article 7F de la directive européenne qui permettrait de justifier toute communication des données traitées à des tiers qui se prévaudrait d’un « intérêt légitime ».
Prendre « toutes précautions » constitue assurément une obligation de moyen. Et il faut noter d’ailleurs que le maître du système encourt une peine plus longue que celle du pirate informatique. C’est cette préoccupation qui a fait intervenir à plusieurs reprises la CNIL dans le domaine sécurité des systèmes d’information.
L’utilisation de plus en plus importante des réseaux informatiques par les multinationales ont provoqué des transfert de données nominatives vers
17. Cette position a également été adoptée à l’égard d’une pratique commerciale dite de l’envoi de courriel non sollicité ou spamming, véritable plaie des réseaux ouverts.
Cette technique de publicité a été prise en compte par le projet de loi pour la confiance dans l’économie, qui dans son article 12 impose le consentement obligatoire du destinataire des courriels.
18. Voir l’article 37 de la loi du 6 janvier 1978.
des pays tiers, autres que les Etats membres de l’Union européenne. Un avis doit être sollicité auprès de la CNIL avant tout échange transfrontalier, celle- ci examinant les garanties présentées par l’Etat de destination ou, de manière dérogatoire donc exceptionnelle, les termes du contrat prévoyant ce type de transfert entre deux partenaires en relations commerciales. La directive autorise dans son article 25 le transfert de données à caractère personnel vers un pays tiers à la Communauté sous réserve que ce pays assure un niveau de protection adéquat19.
Ce caractère adéquat s’apprécie de manière circonstancielle. La Commission européenne a créé le groupe de travail dit « article 29 » qui est chargé d’examiner l’application. Ce groupe a accepté que la Suisse et la Hongrie ainsi que bientôt l’Islande et la Norvège soient reconnus comme pays à protection adéquat. Ce groupe de travail a également depuis 1998 participé aux discussions avec les instances fédérales des Etats-Unis d’Amérique sur l’accord Safe Harbor : les entreprises américaines qui signent leur engagement à la sphère de sécurité dite Safe Harbor peuvent pratiquer des transferts de données personnelles vers des pays de l’Union européenne.
La réglementation des traitements : vers une simplification nécessaire La loi informatique et libertés a prévu trois types de régimes, le régime général, les régimes simplifiés et les régimes particuliers.
Le régime général est un exemple de régime administratif à la française, puisqu’il est partagé entre l’autorisation et la déclaration. Les traitements opérés par ou pour le compte de l’Etat ou d’un service public sont décidés par un acte réglementaire pris après avis motivé de la CNIL, comme par exemple le fichier des personnes recherchées géré par le ministère de l’Intérieur. La CNIL a reçu depuis 1978 environ 45 000 demandes d’avis jusqu’au début de l’année 200220.
Dans la déclaration de fichiers, il est précisé les mesures de sécurité adoptées, physiques et logiques, pour protéger des données nominatives. Si l’avis de la CNIL est défavorable, il ne peut être passé outre que par un décret conforme en Conseil d’Etat. Cette disposition n’a jamais été mise en œuvre. Le dossier de déclaration comporte : un formulaire cerfa 99001, un
19. Pour plus d’informations, consulter le site de la Commission européenne : http://europa.eu.int/comm/internal_market/privacy/index_fr.htm
20. Voir le site de la CNIL http:/www.cnil.fr et voir le rapport d’activités de la CNIL pour l’année2002 (Documentation française).
projet d’acte réglementaire (arrêté ou décision d’un conseil d’administration), un ensemble d’annexes explicatives comme par exemple la finalité du traitement, le service responsable de la mise en œuvre du traitement et des informations techniques et des informations sur la sécurité.
Pour tous les autres traitements automatisés, c’est le régime de la déclaration préalable à la CNIL qui a été choisi par le législateur. Pourquoi déclarer ? C’est avant tout une mesure de transparence, l’article 22 de la loi de 1978 imposant que la CNIL tienne à disposition du citoyen la liste de tous les fichiers déclarés (plus de 30 000 environ aujourd’hui). Mais c’est également pour sensibiliser les responsables de fichiers nominatifs aux principes de protection des données imposés par la loi.
La déclaration a posteriori n’efface pas la faute de non-déclaration, mais dès lors que le dossier est complet, la CNIL ne peut pas refuser la délivrance d’un récépissé car elle ne s’assure que de la régularité de la déclaration. Par souci pédagogique et de sensibilisation, la CNIL a récemment créé la possibilité de déclaration par voie électronique pour les sites web concernés par les dispositions de la loi informatique et libertés, avec chiffrement de la déclaration et du récépissé (6 000 sites ont déjà ainsi été déclarés).
Mais selon le professeur Braibant, c’est 3 millions de fichiers qui seraient exploités actuellement, alors que la CNIL annonce environ plus de 800 000 déclarations enregistrées dont 90 % en déclarations simplifiées ou ordinaires21.
Les régimes simplifiés sont quant à eux prévus pour les catégories les plus courantes de traitement qui ne comportent manifestement pas d’atteinte à la vie privée comme par exemple la gestion des fichiers de personnels, de clients, de fournisseurs. Dans le cadre de son pouvoir réglementaire, la CNIL a adopté 41 normes simplifiées.
Enfin, les régimes particuliers sont peu nombreux et ils ne concernent que des traitements sensibles d’un point vue politique, ceux qui nécessitent la mise en œuvre de procédures spéciales d’autorisation. Il s’agit du fichier de l’INSEE qui est autorisé par décret en Conseil d’Etat après avis de la CNIL. L’utilisation de ce numéro est également subordonné à autorisation par décret en Conseil d’Etat après avis de la CNIL.
Par ailleurs, certains traitements intéressant la sûreté de l’Etat, la défense et la sécurité publique dont les actes réglementaires portant leur création
21. Voir le rapport d’activités de la CNIL pour l’année 2002 (Documentation française).
peuvent ne pas être publiés pour des raisons de sécurité. Il est à noter par ailleurs que l’article 22 de la loi de 1991 relative aux interceptions de sécurité prévoit que les dispositions qu’elle met en place échappent au domaine de la loi de 1978.
Les droits des personnes qui font l’objet d’un traitement : vers le renforcement du consentement de l’individu
Désireux de protéger les libertés individuelles du citoyen face aux incursions des systèmes d’information modernes dans sa vie privée, le législateur a prévu trois possibilités pour toute personne concernée par le traitement automatisé de données nominatives de préserver sa sphère privée : le droit au refus de traitement, le droit à l’information et le droit à l’exactitude des informations.
Le droit au refus de voir l’une des données nominatives figurer dans un traitement automatisé ne s’applique pas aux traitements opérés par ou pour le compte de l’Etat ou d’un service public.
Le droit à l’information sur ce qui fait l’objet du traitement peut être effectué par accès direct ou par accès indirect. Le droit d’accès direct auprès de l’organisme, moyennant une redevance forfaitaire pour une copie papier du contenu du fichier, donne à toute personne la possibilité de connaître l’existence ou non des informations la concernant et d’en obtenir communication22.
L’exercice de ce droit permet à l’individu de contrôler l’exactitude des données stockées sur son compte. La communication des données doit être fidèle au contenu des enregistrements et effectuée en langage clair. Une recommandation de la CNIL précise les modalités d’exercice du droit d’accès et en cas de difficulté, il est possible de saisir la CNIL.
Mais ce droit d’accès est indirect pour les traitements intéressant la sûreté de l’Etat, la défense et la sécurité publique. La demande est adressée à la CNIL qui désigne un de ses membres magistrats pour procéder aux vérifications et notifier le résultat au requérant, les informations à caractère médical. Le nombre de demandes de ce type n’est pas très élevé au regard de la sensibilité du sujet, ce qui laisse supposer que le citoyen français a une relative confiance dans son administration23.
22. Voir les articles 34 à 38 de la loi du 6 janvier 1978 et l’arrêté du 23 septembre 1980.
23. 836 demandes en 2001.
Le droit à l’exactitude des informations donne à toute personne le droit de connaître et de contester les informations et les raisonnements utilisés dans les traitements automatisés dont les résultats lui sont opposés. Le titulaire du droit d’accès peut exiger des rectifications, voire l’effacement des données le concernant si leur conservation est interdite. En cas de contestation, la charge de la preuve incombe au « maître du traitement ». Si une information erronée a été transmise à un tiers, sa rectification ou son annulation devra aussi lui être notifiée. C’est la raison pour laquelle il est prudent pour le responsable du traitement de garder trace des communications d’informations faites à des tiers24.
Les infractions et les sanctions prévues par les articles 226-16 et suivants : un arsenal relativement dissuasif
Ces articles prévoient des sanctions pour les manquements aux obligations relatives au traitement, à la collecte et la protection des informations, ainsi qu’aux droits des personnes faisant l’objet du traitement.
Il est à noter que la négligence ne constitue en aucun cas une excuse permettant au maître du système d’échapper aux éventuelles poursuites. En outre, le législateur a principalement gradué les sanctions en fonction du degré de violation du principe de finalité25.
La Commission nationale informatique et libertés (la CNIL) : une autorité conciliante mais persuasive
L’inadaptation de l’administration classique française et de ses modes d’intervention face à l’évolution très rapide des forces socio-économiques a amené progressivement le législateur à créer des entités plus souples pour répondre aux nécessités de cette évolution. Les institutions administratives souffrent à ce titre d’une trop grande rigidité.
Une autorité administrative indépendante
L’expression doit être relevée, car cette loi est le premier texte de droit positif, qui utilise une formule, depuis lors très souvent reprise par la doctrine et par les juridictions, voire par le législateur (CNCL, CSA…). Une autorité administrative indépendante se reconnaît à ces trois caractères distinctifs. C’est une autorité, c’est-à-dire un organe doté d’un pouvoir
24. Voir l’article 29 de la loi du 6 janvier 1978.
25. Voir Annexe 1.
autonome de décision et d’influence sur un secteur déterminé. C’est un organe administratif, ce qui implique qu’il ait un caractère public et que les décisions qu’il prend aient une nature administrative.
C’est surtout une institution indépendante, ce qui la distingue des autres autorités administratives parce qu’elle n’est pas intégrée dans une hiérarchie et ne relève pas d’un pouvoir de tutelle.
La CNIL est composée de 17 membres nommés pour 5 ans ou pour la durée de leur mandat pour les parlementaires. Il s’agit de députés, sénateurs, de membres du Conseil économique et social, de membres ou anciens membres du Conseil d’Etat, de membres ou anciens membres de la Cour de cassation, de membres ou anciens membres de la Cour des comptes, de personnes qualifiées pour leur connaissance de l’application de l’informatique et de trois personnalités choisies en raison de leur autorité et de leur compétence.
La qualité de membre de la Commission est incompatible avec celle de membre du gouvernement et avec l’exercice de fonctions ou détention de participation dans les entreprises concourant à la fabrication de matériel utilisé en informatique ou en télécommunication. Ces membres sont indépendants et inamovibles.
Dans l’exercice de leur fonction, les membres de la CNIL ne reçoivent d’instruction d’aucune autorité.
L’indépendance de l’autorité de contrôle est une exigence également présente dans la directive européenne. Il n’y a là aucun problème de transposition. A cet égard, le budget de la CNIL est imputé sur celui du ministère de la Justice, aucun contrôle sur son emploi n’est effectué, si ce n’est celui de la Cour des Comptes. Pour pouvoir accomplir sa mission qui consiste essentiellement à contrôler la bonne application des dispositions de la loi de 1978, cet organisme détient des pouvoirs juridiques et opérationnels26.
En vertu des principes démocratiques en place, aucune institution n’échappe au principe du contrôle. Ainsi les décisions de la CNIL engagent la responsabilité de la puissance publique et elles sont à ce titre susceptibles de recours pour excès de pouvoir devant la juridiction administrative.
Elle n’est pas tenue à un débat contradictoire, mais comme toute autorité administrative indépendante, elle est tenue de publier un rapport d’activité présenté au président de la République.
26. Voir Annexe 2.
La charte relative à la protection des données personnelles : une nécessité pour les gestionnaires de sites internet
La mise en réseaux d’ordinateurs de plus en plus performants a eu pour conséquence d’inciter la Commission européenne à prévoir de nouvelles dispositions rendant le consentement de l’utilisateur obligatoire pour toute exploitation de données personnelles le concernant. Ce renforcement du consentement préalable, imposé par la directive du 12 juillet 2002, avait d’ailleurs été pris en compte par la CNIL dès l’apparition des premiers sites français sur l’internet. A cet égard, l’autorité indépendante propose des exemples d’informations à fournir aux internautes sur leurs droits, notamment en cas de diffusion d’informations personnelles, de création d’espace de discussion ou d’utilisation de cookies.
Pour les responsables de site web, il est alors important d’afficher en toute transparence des règles claires sur l’utilisation des données personnelles qui pourraient être recueillies et exploitées. Plus les règles seront précises, plus la confiance dans l’outil informatique sera importante de la part d’un utilisateur-internaute, de plus en plus conscient des dangers de l’automatisation à outrance mais également de plus en plus consentant à laisser de nombreuses données personnelles sur les divers sites web. Cette charte relative à la protection des données personnelles pourrait se présenter de la manière suivante :
– introduction : il s’agit de rappeler les raisons de cette charte et les références de la loi ainsi que celle de la déclaration à la CNIL du site ;
– le recueil des informations : il est souhaitable de préciser quelle est la nature des informations recueillies et quelles sont les raisons de la collecte, ainsi que les différentes méthodes utilisées pour mettre en œuvre le recueil ;
– l’utilisation des informations recueillies : quelle est la destination des informations recueillies, y a-t-il communication à des tiers partenaires, un transfert des informations hors de l’Union européenne, des cessions des informations ?
– le consentement de l’internaute : il s’agit de rappeler les règles de sécurité et de confidentialité et d’obtenir clairement le consentement de l’internaute ;
– le formulaire de collecte d’informations ;
– le droit d’accès : dans un souci de transparence, il est indispensable de rappeler également les modalités d’accès au droit de rectification.
A l’heure de l’informatique de réseaux et du stockage massif des données sous forme numérique, la CNIL n’est plus seulement confrontée à la menace que peut constituer l’utilisation de tels outils par l’Etat mais elle doit
également prendre en compte l’exploitation commerciale qui peut en être faite. Il est illusoire d’affirmer que les futurs textes consacrés à la protection des données nominatives permettront d’empêcher, tant l’enjeu économique est important, l’explosion de procédés commerciaux dédiés à la récupération auprès des consommateurs d’informations de nature personnelle.
La protection juridique apparaît ainsi comme l’un des moyens de lutter contre ces dérives au même titre que peuvent l’être les procédés techniques permettant d’empêcher par exemple l’envoi massif de courriers électroniques publicitaires ou la mise en place de nouvelles structures de contrôle au sein d’une entreprise ou d’une administration.
Annexe 1
Les infractions relatives au traitement et à la collecte
– Procéder ou faire procéder, y compris par négligence à un TAIN sans respecter les formalités : 3 ans d’emprisonnement, 45 000 € d’amende (article 226-16 du code pénal).
– Conservation des données au-delà de la durée prévue : 3 ans d’emprisonnement, 45 000 € d’amende (article 226-20 du code pénal).
– Détournement de finalité : 5 ans d’emprisonnement, 300 000 € d’amende (article 226-21 du code pénal).
– Les infractions relatives à la collecte – Collecte des données par un moyen frauduleux, déloyal ou illicite : 5 ans d’emprisonnement, 300 000 € d’amende (article 226-18 du code pénal).
Les infractions au régime de la protection des informations
– Procéder ou faire procéder à un TAIN sans prendre toutes les précautions utiles pour préserver la sécurité de ces informations et notamment empêcher qu’elles ne soient déformées, endommagées ou communiquées à des tiers non autorisés : 5 ans d’emprisonnement, 300 000 € d’amende (article 226-17 du code pénal).
– Divulgation volontaire à un tiers non qualifié : 1 an d’emprisonnement, 15 000 € d’amende (article 226-22 du code pénal).
– Divulgation par imprudence ou négligence : 7 500 € d’amende (article 226-22 du code pénal).
Les infractions au droit de la personne qui fait l’objet du traitement
– Procéder à un TAIN malgré l’opposition de la personne qui fait l’objet du traitement, lorsque cette opposition est fondée sur des raisons légitimes : 5 ans d’emprisonnement, 30 000 € d’amende (article 226-18 du code pénal).
– Mettre ou conserver en mémoire informatisée, hors les cas prévus par la loi, des données non autorisées : 5 ans d’emprisonnement, 30 000 € d’amende (article 226-19 du code pénal).
Annexe 2
Les pouvoirs de la CNIL Les pouvoirs juridiques de la CNIL
Elle joue un rôle incitatif puisqu’elle reçoit les déclarations préalables à la création de tous fichiers nominatifs et elle émet des avertissements. En 2003, la CNIL n’a adressé qu’un avertissement.
Elle dénonce au Parquet les infractions dont elle a connaissance.
L’application de cette obligation qui découle de l’article 40 alinéa 2 du CPP demeure anecdotique tant le nombre de transmissions au ministère public est faible. Habituellement, les membres de la CNIL avertissent les responsables du traitement visé et lui permettent ainsi de se mettre à jour. La CNIL préfère largement la concertation à la répression.
Elle émet un avis obligatoire pour la création de fichiers nominatifs publics, pour l’utilisation du répertoire national d’identification des personnes physiques, pour l’organisation du flux transfrontières de données nominatives et pour la levée de certaines interdictions de traitement.
Les pouvoirs opérationnels de la CNIL
Dans le cadre de ses pouvoirs opérationnels, elle peut se faire communiquer tous renseignements et documents utiles à sa mission et elle peut procéder à la vérification sur place sans qu’aucune autorité publique ou privée ne puisse s’opposer à son action pour quelque motif que ce soit. Mais la complexité de la matière la conduit à faire appel à des experts.
Elle reçoit les pétitions, les réclamations, les plaintes et elle exerce un rôle d’information et de conseil. A cet égard, elle peut édicter des règlements types en vue d’assurer la sécurité des systèmes et elle peut être amenée à prescrire des mesures de sécurité pouvant aller jusqu’à la destruction des supports en cas de circonstances exceptionnelles.
