LA LOI RELATIVE A L`INFORMATIQUE,
Transcription
LA LOI RELATIVE A L`INFORMATIQUE,
LA LOI RELATIVE A L’INFORMATIQUE, AUX FICHIERS ET AUX LIBERTES, MODIFIEE PAR LA LOI DU 6 AOUT 2004 CONTINUITE ET/OU RUPTURE : ? par Jean FRAYSSINET Professeur à l’Université Paul Cézanne - Aix-Marseille III La transposition de la directive 95/46/CE du 24 octobre 1995, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, commençait à ressembler à l’Arlésienne. Après des péripéties parlementaires, étalées sur des majorités politiques et des gouvernements différents, après deux ans de procédure législative, des débats parlementaires de médiocre qualité par rapport aux enjeux, sous la pression des organes communautaires européens, avec un retard de six ans sur la période limite de transposition déjà longue de trois ans, le Parlement français a enfin fini par voter la loi n° 2004-801 du 6 août 2004 relative à la protection des personnes physiques à l’égard des traitements de données à caractère personnel et modifiant la loi n° 78-17 du 6 janvier 1978 relative à l’informatique aux fichiers et aux libertés, le Conseil Constitutionnel se prononçant sur le texte par une décision n° 2004-499 DC du 29 juillet 2004. La qualité structurelle et rédactionnelle de la nouvelle version de la loi qui compte 72 articles répartis sur 13 chapitres, contre 48 articles et 9 chapitres dans le texte de 1978 est très médiocre. Ceci nuit à la compréhension et à la lisibilité du texte, constitue une source inutile de contentieux, d’erreurs d’application et d’interprétations divergentes. La multiplication très excessive des renvois entre articles et dispositions a un effet déplorable quant à l’utilisation du texte. Certains chapitres sont anormalement distants : par exemple les chapitres 6 et 7 concernant les pouvoirs de contrôle et de sanction de la CNIL devaient être placés après le chapitre 3 ou 4 qui concernent aussi l’institution. En terme qualitatif, le nouveau texte est très en retrait sur l’ancien. La loi modifiée devient bavarde et ventrue et la faute ne revient pas seulement à la directive transposée. Le titre I de la loi du 6 août 2004 modifie la loi du 6 janvier 1978 qui n’est pas remplacée : celle-ci reste volontairement le texte de référence pour bien marquer son enracinement dans le droit français de la protection des droits et libertés des personnes à travers la gestion des données personnelles les concernant. Il s’agit toujours de la loi 2 relative à l’informatique, aux fichiers et aux libertés, du 6 janvier 1978 modifiée ; en réalité le texte est totalement réécrit et reconfiguré à l’exception de l’article 1er qui exprime les objectifs de la loi dans un langage juridique redondant et imprécis révélant surtout la volonté de protéger non seulement la vie privée mais, plus encore, l’ensemble des droits et libertés des personnes, grandes et petites, de droit privé comme de droit public, de valeur constitutionnelle ou non, consacrés par les textes internationaux ou nationaux. Par comparaison avec l’article 1er de la directive de 1995 qui vise la protection seulement des droits et libertés fondamentaux, les droits et libertés protégés par la loi de 1978 peuvent constituer un champ de protection plus vaste ; mais il est vrai que la notion de “droits et libertés fondamentaux” garde des contours imprécis qui alimentent le débat de la doctrine, au niveau du droit communautaire comme des droits nationaux… L’objectif reste clairement d’assurer un haut niveau de protection des droits. Le titre II contient des dispositions modifiant d’autres textes législatifs, en particulier les dispositions d’ordre pénal. Il permet de constater que par porosité et contamination, le droit de la protection des données personnelles n’est plus seulement dans la loi de 1978 mais a tendance à migrer dans des textes législatifs de plus en plus nombreux et de plus en plus variés. Il s’agit d’un droit transversal même si il se particularise ensuite en fonction de la finalité des textes d’accueil. Un titre III contient les mesures transitoires pour assurer le passage des anciennes aux nouvelles règles pour les traitements de données à caractère personnel dont la mise en œuvre est régulièrement intervenue avant la publication (JO n° 182 du 7 août 2004, p. 14063) de la loi du 6 août 2004. Plutôt que de faire un commentaire détaillé et approfondi de la nouvelle loi Informatique, fichiers et libertés, nous avons choisi de mettre globalement en relief les aspects nouveaux dans leurs grandes lignes seulement avec quelques commentaires ou appréciations personnels pour tenter de situer les points de continuité, d’évolution ou de rupture entre le texte ancien et le texte nouveau. I – Le champ d’application matériel et territorial de la loi Le champ d’application matériel de la loi est déterminé par son article 2, spécialement l’alinéa 1er, qui reprend la lettre ou l’esprit des définitions des mots clés “données personnelles”, “traitement” de données personnelles, “fichier” de données à caractère personnel, “personne concernée” contenu dans l’article 2 de la directive de 1995. On retrouve pour l’essentiel le champ d’application de la loi originaire tel qu’il a été précisé dans le temps par la doctrine de la CNIL. Les définitions utiles aboutissent à un champ d’application extraordinairement large, excessif pour certains. La loi 3 s’applique à toutes les données personnelles faisant l’objet d’un traitement automatisé ou manuel par le biais d’un fichier dans ce dernier cas ; seuls sont exclus les traitements mis en œuvre pour l’exercice d’activités exclusivement personnelles, comme auparavant. Le champ d’application est tellement vaste qu’il place de fait dans l’illégalité nombre de traitements manuels ou automatisés simples et ne présentant manifestement pas de risques d’atteintes aux droits et libertés des personnes, le responsable du traitement, éventuellement de bonne foi, estimant que le respect des règles et procédures est superflu. On connaissait déjà le problème, il va s’accentuer en raison de la multiplication et de la variété des traitements. Il manque quelque part une limite reposant sur des critères il est vrai difficiles à préciser objectivement. La CNIL et le juge interviendront en ce sens de manière casuistique. Par contre, par souci de cohérence, et comme le faisait la loi originaire, la loi modifiée s’applique aux traitements de données personnelles du secteur public comme privé et aux traitements de souveraineté et de sécurité visés à l’article 3, 2° de la directive de 1995 à laquelle celle-ci ne s’applique pas. On doit s’en réjouir car certains avaient en tête de saisir l’occasion de la refonte de la loi pour tenter une approche séparatiste aux conséquences redoutables pour les droits et libertés des personnes… Reste à savoir si les nouvelles définitions empêcheront les appréciations parfois particulières (mais heureusement rares et marginales) de certains juges du fond des notions de fichiers, de donnée personnelle, de traitement ou remettront en cause certaines zones floues (application à la vidéosurveillance par exemple). Plus encore on doit regretter que certaines incertitudes ne soient pas clairement levées comme le statut du numéro IP, de l’adresse de messagerie électronique, l’utilisation de données anonymes pour adresser des messages à une personne demeurant non identifiée sur l’Internet etc… Les définitions sont quelque peu datées surtout par rapport à certaines pratiques relevées sur l’Internet. Il reviendra à la CNIL de préciser la ligne de partage entre les données véritablement anonymes et les données indirectement personnelles ; mais faute de précision législative certains juges du fond pourront avoir des appréciations différentes, lourdes de conséquences pour la détermination du champ matériel d’application de la loi. L’article 4 excluant les copies temporaires des données personnelles effectuées par nécessités techniques constitue une précision utile sans correspondre à ce qui était le plus nécessaire. L’article 5 paraît déterminer le champ d’application territorial de la loi réformée, à partir de la notion de principal établissement, de manière simple ; en réalité la reprise des dispositions de la directive correspond à de multiples situations géographiques différentes et à des formes d’organisation en réseau du système informatique de 4 traitement qui n’entreront pas forcément facilement dans les prévisions élémentaires du texte. Il y a là encore une zone d’incertitude partielle avec des conséquences importantes pour le “responsable du traitement”, notion définie à l’article 3, ce qui constitue une nouveauté. II – Les conditions de licéité des traitements On reprend là le titre du chapitre 2 de la loi en pensant que la terminologie utilisée n’est pas idéale ; la distinction entre licéité et légalité n’est pas évidente en la matière. La loi pose d’abord dans une section 1 des dispositions générales qui, pour l’essentiel, étaient présentes dans le texte originaire (ancien chapitre IV) sous forme de principes. Ceux-ci renvoient en cas de non-respect, à la responsabilité civile ou administrative et parfois à la responsabilité pénale. Il s’agit de principes de bonne gestion des données personnelles. L’article 7 nouveau, qui logiquement aurait dû figurer avant l’article 6, pose le principe nouveau dans notre droit du consentement normalement préalable (mais cela n’est pas précisé…) de la personne concernée à l’existence du traitement des données personnelles ; il reprend le principe énoncé à l’article 7, a, de la directive de 1995 qui exige un consentement indubitable et les cas pour lesquels il sera possible pour le responsable du traitement de s’affranchir du consentement de la personne concernée, dans des termes très proches (exécution d’un contrat ou de mesures pré-contractuelles, respect d’une obligation légale, intérêt vital de la personne concernée, exécution d’une mission de service public). Le dernier cas est celui de la réalisation d’un intérêt légitime poursuivi par le responsable du traitement ou le destinataire mais sous réserve de ne pas méconnaître l’intérêt ou les droits et libertés fondamentaux des personnes concernées. Il est à prévoir que le responsable du traitement va prétendre systématiquement que la réalisation de son intérêt légitime doit primer obligeant ainsi la personne concernée, bien mal placée, à tenter de rétablir un rapport de force et d’intérêt. Le principe du consentement peut en sortir très altéré. Faudra-t-il demander à la CNIL, mais sur quelle base ?, ou au juge, de jouer les Salomon ? Il en est autrement lorsqu’un texte prévoit expressément que l’intérêt légitime du responsable du traitement s’efface devant le droit de la personne concernée. Tel est le cas par exemple de l’article 22 de la loi du 21 juin 2001. Confiance dans l’économie numérique pour la prospection directe commerciale par automate d’appel, télécopieur ou courrier électronique. L’article 6 énumère les principes : collecte, mais aussi traitement, des données de manière loyale et licite, données adéquates pertinentes et non excessives, exactes, 5 complètes, mises à jour, conservées le temps nécessaire à la réalisation de la finalité du traitement. La nouveauté textuelle est précisément le 2° de l’article 7 qui met en exergue le principe de finalité pour la collecte et le traitement des données. On peut se réjouir de ce progrès par rapport au texte originaire tant le principe de finalité est essentiel à la compréhension et à la pratique de la loi. La section 2 traite des données sensibles (article 8). On retrouve l’essentiel du texte originaire quant à l’interdiction de collecte et de traitement et de la nature des données personnelles sensibles ; on ajoute l’ethnie, la santé et la vie sexuelle. Ensuite on trouve des exceptions sectorielles, déjà existantes ou nouvelles. Il s’agit d’adaptations reprenant d’ailleurs souvent des éléments de la doctrine de la CNIL. La possibilité d’échapper au principe d’interdiction à la condition d’utiliser un procédé fiable reconnu par la CNIL est utile et devrait régler des difficultés survenues dans le cadre du texte originaire par exemple dans le secteur de la santé. L’article 9 a tenté d’élargir aux personnes privées le droit de traiter les données relatives aux infractions, condamnations et mesures de sûreté, déjà reconnu aux juridictions. Mais le Conseil Constitutionnel dans sa décision du 29 juillet 2004 a annulé le 3° d’une portée trop générale et imprécise pour ne conserver que le 4°, mais avec une réserve d’interprétation qui impose le passage par le juge judiciaire et par la CNIL qui délivre une autorisation, autorisant les sociétés de défense du droit d’auteur à traiter les données personnelles relatives aux infractions et condamnations relatives à la contrefaçon. Cette disposition nouvelle s’inscrit dans le contexte actuel de la lutte contre le “piratage” des œuvres sur Internet et l’équilibre trouvé entre les droits des auteurs et le respect des données personnelles est convenable. Mais d’autres groupes de pression ont déjà l’intention d’utiliser ce précédent pour défendre leurs droits dans d’autres domaines, le Conseil Constitutionnel ayant expliqué le mode d’emploi pour éviter l’annulation subie par le 3° de l’article 9 voté par le Parlement… III – Les droits des personnes concernées par les données traitées Il faut attendre la section 2 du chapitre 5 pour que cet aspect essentiel soit abordé par la loi ; la continuité avec le texte originaire est évidente quant aux droits reconnus. Mais la finalité de la loi justifiait que, pour être plus lisibles et mieux perçus, les droits des personnes concernées par les données traitées figurent bien plus haut dans le texte. Ceci est tout à fait révélateur des priorités : la CNIL, les formalités préalables, les obligations du responsable du traitement passent avant… Le principe du droit d’opposition (art. 38) est conservé avec les mêmes termes. Mais il est précisé pour les traitements de prospection pas seulement commerciale : il s’exerce sans frais et l’opposition n’a pas a reposer sur la justification d’un motif 6 légitime. Mais la Cour de Cassation, et non le législateur a déjà étendu cette approche au traitement des données en matière politique, philosophique ou religieuse (Cour de Cassation, chambre criminelle, 28 septembre 2004, ASESIF). Le droit à la curiosité portant sur l’existence d’un traitement est élargi à la connaissance des finalités des catégories de données traitées, et des transferts hors Union européenne des destinataires, conformément aux exigences de la directive transposée. L’accès aux données est bien entendu consacré (article 39) sans que le terme soit repris curieusement ; il est masqué par l’usage du terme communication qui paraît plus en harmonie avec le droit d’obtenir copie des données reconnu ensuite. Par contre le droit de connaître et de contester la logique qui sous-tend le traitement automatisé servant de fondement à une décision opposée est plus restrictif que l’ancien article 3 de la loi originaire, notamment dans le souci de protéger le droit d’auteur. Continuité aussi dans le droit de contestation et de rectification (article 40) avec une nouveauté pertinente permettant aux héritiers d’agir pour l’actualisation des informations relatives à une personne décédée. La question délicate de l’accès dit (faussement) indirect aux traitements intéressant la sûreté de l’État, la défense ou la sécurité publique ne connaît aucune modification par rapport à l’ancien article 39 qui ne datait dans sa rédaction que de 2003. L’équilibre relatif trouvé est conservé pour des traitements d’ailleurs non concernés par la transposition de la directive de 1995. Aucune modification non plus (article 43) pour l’accès aux données de santé personnelles en fait prévu par l’article L 1111-7 du code de la santé publique. IV – Les obligations incombant au responsable du traitement Elles sont regroupées dans le chapitre V de la loi dans une section 1, la section 2 étant consacrée aux droits des personnes. Il aurait été préférable de faire deux chapitres distincts et de placer plutôt dans les obligations du responsable du traitement tout le chapitre IV de la loi consacrée aux formalités préalables à la mise en œuvre du traitement ; ces dernières constituent bien des obligations incombant au responsable du traitement. On retrouve l’essentiel de la loi originaire avec quelques ajouts. L’article 32, transposant sur ce point la directive, augmente le nombre d’informations – sept rubriques – à délivrer à la personne auprès de laquelle sont recueillies directement les données personnelles. Il s’agit de l’identité du responsable du traitement, de la finalité du traitement, de l’existence du droit d’accès, de contestation, de rectification, et d’opposition, du transfert des données hors Union 7 européenne, des destinataires, du caractère obligatoire ou facultatif des réponses. Les questionnaires de collecte de données devront reprendre la plupart de ces rubriques et il convient de les modifier s’ils existent déjà, sous peine de contravention pénale. Le paragraphe II de l’article 32 impose aussi une information claire et complète de l’intéressé de « la finalité de toute action tendant à accéder, par voie de transmission électronique, à des informations stockées dans son équipement terminal de connexion, ou à inscrire par la même voie, des informations dans son équipement terminal de connexion », et des moyens dont il dispose pour s’y opposer, ce qui crée un droit d’opposition spécifique différent de celui de l’article 38 ; deux exceptions pratiques sont prévues pour faciliter la communication et la fourniture d’un service de communication en ligne. Cette disposition concerne en particulier, mais pas seulement, les cookies et transpose en réalité non pas la directive du 24 octobre 1995 mais l’article 9 de la directive 2002/58 du 12 juillet 2002 concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques. Si on peut se réjouir de cette nouveauté, encore convient-il de ne pas en exagérer la portée pratique vis-à-vis d’un site américain ou australien par exemple. On aurait aimé que la loi française instaure expressément aussi l’interdiction d’interdire l’accès à un site en cas de refus des cookies. Le paragraphe III de l’article 32 de la loi transpose la directive quant à l’information à donner en cas de collecte indirecte, prévoit un régime particulier pour les traitements nécessaires à la conservation des données à des fins historiques, statistiques ou scientifiques et allège utilement l’information à donner en cas d’utilisation rapide, après leur collecte, d’un procédé d’anonymisation des données homologuées par la CNIL. Il serait utile que, sur tous ces points, la CNIL explicite la portée de ces dispositions nouvelles et sa doctrine à l’intention des responsables des traitements sous forme de fiches par exemple sur son site Internet. Il en est de même pour la gestion des données personnelles par les prestataires de services de certification électronique (article 33) et les relations entre le responsable du traitement et un sous-traitant (article 35), le texte de la loi reprenant celui de la directive. Par contre on regrettera vivement que l’article 34 relatif à l’obligation de sécuriser le traitement des données personnelles ne reproduise pas mot pour mot la rédaction de l’article 17 de la directive de 1995 beaucoup plus explicite sur la portée d’une forte obligation de moyen du responsable du traitement, d’autant plus que l’article 226-17 du code pénal sanctionne lourdement le manquement à l’obligation de sécurité qui, à l’heure de l’Internet et des formes multiples de cybercriminalité, expose à des risques largement sous-estimés par les responsables des traitements. 8 Les articles 36 et 37 règlent dans les mêmes conditions générales antérieures les relations avec le code du patrimoine pour la conservation des données à des fins d’archivage ou de traitement à des fins historiques, statistiques ou scientifiques au delà de la durée de conservation liée à la finalité déclarée, et la “loi CADA” d’accès aux documents administratifs. Enfin le chapitre XI (article 67) prévoit pour les traitements de données personnelles aux fins de journalisme et d’expression littéraire et artistique que certaines contraintes ne s’appliqueront pas à eux (durée de conservation limitée, données sensibles, déclaration ou autorisation du traitement, obligation d’information préalable à la collecte, droit d’accès et de contestation, transfert des données hors Union européenne) ; les libertés d’expression, d’opinion, d’information, de communication l’emportent sur le souci de protéger les données personnelles, sous certaines conditions. V – Les formalités préalables à la mise en œuvre des traitements Cette question fait l’objet du chapitre IV de la loi modifiée. La directive de 1995 laissait la possibilité aux États de prévoir des montages variés en fonction des choix politiques et législatifs. Lui consacrer le chapitre le plus long de la loi est significatif du caractère, peut-on dire, réglementaire du texte. Les formalités préalables ont toujours eu une importance disproportionnée dans l’esprit des responsables publics et privés des traitements masquant leurs autres obligations et les droits des personnes concernées. On ne procédera pas à une analyse détaillée des procédures qui résultent des contraintes mêlées de la transposition de la directive, de l’expérience acquise, des souhaits d’allègement et de simplification de la CNIL et des pressions du secteur privé et du secteur public. Il y a aussi derrière les procédures établies une large part de non dit, d’intérêts cachés, d’arrière-pensées, de conflits de pouvoir ; en la matière il y a beaucoup à lire entre les lignes quand on connaît les contextes, les alliances et les oppositions… Les procédures applicables au secteur public sont à cet égard un chefd’œuvre d’ambiguïté florentine dont on pourrait découvrir à l’avenir certains effets pervers pour la défense des droits et libertés des personnes dans un état démocratique. Le système prévu par la loi modifiée est beaucoup moins simple, compréhensible que celui du texte originaire. Cela promet du plaisir pour les responsables des traitements pour naviguer au plus près entre des cas multiples allant de la dispense de formalités, à la déclaration simple, à la déclaration simplifiée, à l’autorisation délivrée par la CNIL ou par une autorité réglementaire sur avis de la CNIL, intervenant à des niveaux différents selon une typologie des traitements pour le secteur public. On aboutit à un montage de type “usine à gaz”, source d’insécurité juridique et 9 d’éventuels contentieux. La prétention affirmée au départ de prévoir des règles proches pour le secteur privé et le secteur public ne se retrouve pas à l’arrivée. On peut promettre un bel avenir à celui qui mettra sur le marché un bon logiciel d’aide à la décision sur le système des procédures ; cette tâche pourrait aussi légitimement revenir à la CNIL pour rendre le droit intelligible. Grande nouveauté : l’instauration de l’institution du correspondant à la protection des données à caractère personnel qui dispense les personnes (plutôt morales), publiques et privées de procéder aux formalités de la déclaration simple ou de la déclaration conforme à des normes simplifiées, sauf s’il y a un transfert des données hors Union européenne. Il faudra attendre le décret d’application qui précisera le statut du correspondant, (qui doit être indépendant et qualifié, tenir un registre des traitements en interne, répondre de ses actes y compris devant la CNIL), pour mieux évaluer la portée de l’innovation que le “rapport Braibant”, d’ailleurs totalement négligé lors des débats parlementaires, estimait peu compatible avec la mentalité française. Il s’agit d’un acte de confiance de la loi qui peut être approuvé si le correspondant a véritablement les moyens de répandre la culture “protection des données personnelles” au sein des organisations publiques et privées. Le correspondant à la protection des données réapparaît au détour de l’article 67, 2° pour dispenser les traitements liés au journalisme professionnel de la déclaration au titre de l’article 22 ; le responsable du traitement devra désigner un correspondant appartement forcément à un organisme de la presse écrite ou audiovisuelle. Peuvent aussi être dispensés de formalités préalables par la CNIL certains traitements particuliers (article 22, II, 1°) ou des catégories entières de traitements, (article 24, II) a priori non dangereux ; de même, des traitements proches peuvent être regroupés dans une déclaration unique. On se réjouira de cet esprit de simplification et d’allègement car la CNIL n’est pas une institution qui a la vocation et les moyens d’exercer l’essentiel de son activité dans la gestion a priori d’une multitude de traitements ; le tamis ne doit retenir que les cas problématiques. Sur la base de l’article 20 de la directive de 1995, l’article 25 de la loi modifiée prévoit huit cas de traitements pour lesquels l’autorisation de la CNIL est indispensable. Le premier et le troisième cas qui touchent à la gestion des données sensibles et celles qui touchent aux infractions, condamnations et mesures de sûreté exigent l’autorisation non seulement pour les traitements automatisés mais aussi pour les fichiers manuels – sur support papier. Autorisation aussi pour la gestion des données génétiques, biométriques servant au contrôle de l’identité, au numéro dit de sécurité sociale, à l’interconnexion des fichiers, aux traitements d’exclusion de droits (listes noires, scoring), d’appréciation des difficultés sociales. 10 La liste correspond bien à des applications susceptibles de présenter aujourd’hui des risques particuliers pour les droits et libertés ; mais elle est très circonstancielle ; or en la matière les choses changent vite, les risques se déplacent en fonction de la technologie, des usages. On aurait pu aussi bien mettre dans la liste d’autres types de traitements à risque ; les critères de choix des cas retenus (mais peut-on avoir des critères ?) sont plutôt impressionnistes – ou préconçus. Restent les articles 26 et 27 concernant les traitements du secteur public jugés les plus à risque, qui relèvent de décrets en Conseil d’État ou d’arrêtés pris par l’autorité compétente après avis motivé et publié de la CNIL. L’avis négatif de la CNIL ne fonctionnera plus de fait comme une décision négative. La loi originaire renvoyait l’intervention d’un décret pris sur avis conforme du Conseil d’État pour passer outre l’avis négatif de la CNIL. Par delà les textes, il est clair qu’on a entendu diminuer le pouvoir d’influence de la Commission, organisme gênant pour des administrations puissantes. Il n’est pas certain que leur calcul soit bon ; plutôt que de négocier directement avec les administrations, la CNIL, si elle entend défendre sa fonction, devra politiser le débat ou le porter devant l’opinion publique pour faire une pression efficace sur le pouvoir politique. Sur les modalités pratiques (contenu des dossiers, de déclaration ou d’autorisation, de demande d’avis, délais d’instruction, publicité, etc.) on retrouve pour l’essentiel les règles de la loi originaire adaptées. On doit se réjouir que rapidement la CNIL a utilisé toutes les possibilités nouvelles pour instituer des cas de dispense de formalités préalables ou pour alléger et simplifier les procédure d’autorisation. La Commission a ainsi manifesté sa volonté forte de renforcer le contrôle a posteriori au détriment du contrôle a priori. Enfin le chapitre IX relatif aux traitements de données personnels ayant pour fin la recherche dans le domaine de la santé et le chapitre X sur les traitements à des fins d’évaluation ou d’analyse des pratiques ou des activités de soins et de prévention (anciens chapitre V bis et V ter) conservent leur teneur antérieure. Le principe reste celui de l’autorisation donnée dans des conditions spécifiques, avec des possibilités nouvelles d’allègement des procédures. On aurait pu profiter de l’occasion de la transposition pour ranger ces deux chapitres dans le code de la santé où ils seraient mieux placés en raison de leur aspect très sectoriel. VI – La CNIL : l’institution, ses compétences et ses pouvoirs Au niveau de sa composition (article 13), la CNIL reste exactement ce qu’elle était alors qu’il y avait consensus pour procéder à des rééquilibrages au bénéfice 11 notamment de la société civile ; le rapport Braibant en 1998 avait envisagé différentes possibilités qui n’ont pas été considérées ; cette stabilité pourrait passer pour du conservatisme ou un certain manque de courage et, s’il y a sur ce point un problème, il reste entier. De même pour les critères de choix des membres, leur motivation personnelle, et leur apport personnel à l’institution ; à écouter le personnel de la CNIL qui de tout temps a établi un hit-parade, les disparités restent fortes… Le statut des commissaires (article 14) demeure dans le même esprit ; il en va de même pour l’organisation et les délibérations de la commission (article 15), le Commissaire du gouvernement (article 18) ; la fonction de secrétaire général (article 19) est institutionnalisé, ce qui se comprend. Les compétences de la CNIL (article 11) restent d’une grande stabilité et sont seulement adaptées. Ce n’est pas des ajouts comme la possibilité pour la Commission de donner un avis sur les projets de règles professionnelles, la possibilité de délivrer un label à des produits, résultant de la transposition, qui constituent un grand changement. Par contre, les pouvoirs d’action et surtout de sanction de la CNIL sont renforcés. Le chapitre VI (article 44) précise le pouvoir de contrôle de la Commission sur les traitements mis en œuvre. On retrouve le système prévu par la loi originaire de contrôle sur place, de capacité d’investigation et d’information. Il est simplement réécrit pour être en conformité avec les évolutions récentes jurisprudentielles ou législatives renforçant le respect du droit à la défense, la légalité des procédures inquisitoriales administratives, le respect du pouvoir du juge. Par contre le point IV de l’article 44 qui met hors de portée du contrôle sur place les traitements intéressant la sûreté de l’Etat et dispensés de la publication de l’acte réglementaire institutif en application de l’article 26, III manifeste un recul de l’État de droit. Le chapitre III (article 45) qui, comme le chapitre VI, aurait dû être rattaché ou proche du chapitre consacré à la CNIL, vient renforcer les capacités de sanction de la Commission. On garde l’avertissement public ou discret, on ajoute la mise en demeure adressée au responsable de faire cesser le manquement à la loi, dans un délai fixé ; en cas de non-respect de la mise en demeure, la CNIL pourra prononcer une sanction pécuniaire. Celle-ci sera proportionnée au manquement, ne pourra excéder 150 000 ou, pour une entreprise, 5 % du chiffre d’affaires sans dépasser 300 000 (article 47). La Commission pourra aussi dans certains cas adresser une injonction de cesser le traitement, décider l’arrêt du traitement ou son verrouillage, informer le Premier ministre pour le secteur public, saisir la juridiction compétente par la voie du référé pour qu’elle ordonne toute mesure de sécurité nécessaire à la sauvegarde des droits et libertés. Parallèlement la loi (article 46) organise la procédure dans le respect des 12 droits de la défense et l’article 49 prévoit un mécanisme de collaboration entre la CNIL et ses homologues européens pour faire des vérifications et communiquer des informations. La transposition de la directive ouvrait une période dangereuse pour la CNIL. Certains avaient bien l’intention de transformer l’institution, de rogner ses ailes faute de pouvoir la supprimer. Au total l’institution s’en sort plutôt bien, sauf en partie visà-vis du secteur public. La CNIL, disposant de moyens nouveaux et renforcés d’action pourra rester le moteur de la loi Informatique, fichiers et libertés, maintenir des équilibres entre des intérêts contradictoires, le dispensateur d’une doctrine riche et utile dans l’interprétation et l’application de la loi, le défenseur des droits et libertés des personnes dans un contexte très évolutif des techniques et de leurs usages. VII – Le transfert des données à caractère personnel hors de l’Union européenne La loi modifiée transpose cet aspect nouveau dans les conditions instaurées par la directive. Alors que la directive de 1995 subordonne le transfert (article 25) à ce que le pays d’accueil dispose d’une législation assurant un niveau de protection adéquat, la loi modifiée (article 68) vise un niveau de protection suffisant, ce qui n’est pas forcément la même chose ; cette différence qui joue sur les mots, amène à s’interroger sur le respect ou non de la directive de 1995. On aurait pu se dispenser de créer inutilement une incertitude juridique et d’interprétation à partir de la sémantique. L’article 69 transpose la directive pour les cas autorisant un transfert (consentement exprès, exécution d’un contrat, respect d’engagements de protection de parties ou transfert etc.) et l’article 70 règle les rapports entre la CNIL et la Commission des communautés européennes et leur incidence sur la délivrance du récépissé de déclaration du traitement. VIII – Les dispositions pénales Elles restent dispersées : le chapitre VIII de la loi modifiée sanctionne pénalement (article 51) l’entrave à l’action de la CNIL (un an de prison et 15 000 d’amende) en adaptant la rédaction du texte de l’ancien article 43 tout en en gardant l’esprit ; le décret du 23 décembre 1981 instituant des contraventions pour des infractions mineures est conservé mais il conviendrait de le revoir car il n’est plus en harmonie avec le texte de la loi modifiée. Enfin l’article 50 de la loi modifiée fait le renvoi, comme auparavant, aux articles 226-16 à 226-24 du code pénal. En réalité du fait de l’ajout de nouvelles infractions dans le code pénal, on passe de neuf à quinze articles avec des numérotations tarabiscotées. Le quantum des peines pénales est 13 fortement alourdi et aligné sur cinq ans de prison et 300 000 d’amende. Certes, le message dissuasif est fort ; mais est-il adapté aux réalités de terrain et à la perception des juges pénaux qui en la matière ont montré, à travers un contentieux peu abondant mais croissant, un net manque d’entrain à prononcer des sanctions pénales conséquentes ? Il serait utile que la CNIL sensibilise les juridictions pénales à l’intérêt à notre époque de protéger les données personnelles et de sanctionner la délinquance nouvelle. Sans procéder à une analyse détaillée de l’ensemble des dispositions du code pénal – ce qui serait nécessaire en raison des principes de légalité des délits et des peines et d’interprétation stricte des textes pénaux – il convient d’observer que l’écriture des dispositions pénales est défectueuse et mériterait d’être reprise rapidement. Les notions employées, la structuration des éléments constitutifs des infractions ne sont pas toujours en harmonie avec le texte de la loi modifiée. Le manque de cohérence dénote un travail fait à moitié, de replâtrage des textes existants. Par exemple : l’article 6 de la loi modifiée dispose maintenant que “les données sont collectées et traitées de manière loyale et licite. L’ancien article 25 ne visait que les collectes ; l’article L 226-18 du code pénal ne réprime toujours que la collecte ce qui ne permet pas de sanctionner le traitement déloyal et illicite, ce qui prive d’effet l’article 6. On a déjà constaté l’importance de ces discordances dans des contentieux en cours (par exemple TGI de Paris, 7 décembre 2004, Ministère public c/Fabrice H, l’affaire étant en appel). IX — Une loi c’est bien mais ce n’est pas tout ! De la comparaison du texte modifié nouveau et du texte précédent de la loi Informatique, fichiers et libertés, il ressort que la tendance est nettement à la continuité pour les principes de base et même pour leur organisation et mise en œuvre. Il y a évolution et non-révolution. Certaines évolutions résultent directement et exclusivement de l’obligation de transposer les différences provenant de la directive de 1995 qui est reprise de manière généralement proche. Cette adaptation était facilitée par la cohérence d’esprit de la loi française avant transposition et de la directive de 1995 qui s’en est inspirée largement ; on peut parler d’un processus d’ajustement. D’autres évolutions importantes sont des choix nationaux : il s’agit principalement du renforcement des pouvoirs d’action et de sanction de la CNIL et du système des formalités préalables à la création des traitements automatisés de données personnelles. Relativement compréhensible et équilibré pour le secteur privé ce système est déséquilibré et obscur pour le secteur public et, à travers lui, pour le pouvoir politique. On a profité aussi de la transposition pour tenir compte de 14 l’expérience acquise depuis 1978, intégrer des éléments de la doctrine de la CNIL, affiner le texte en fonction de difficultés rencontrées. Mais tout l’avenir n’est pas dans le seul texte nouveau de la loi. La loi donnera sa pleine mesure en fonction d’autres éléments contextuels prévisibles ou imprévisibles. Par exemple, comment la sensibilité “protection des données personnelles” va-telle évoluer dans la société numérique, spécialement en raison du rôle de catalyseur de l’Internet ? Les exigences sociales et juridiques vont-elles devenir plus fortes, plus globales à l’égard des responsables des traitements ? L’opinion publique, les syndicats, les associations de consommateurs, les milieux politiques vont-il modifier les seuils – aujourd’hui bas – de sensibilité ? En fonction des usages nouveaux (secteur des télécommunications, cybersurveillance, commerce électronique etc.) la perception des risques réels et potentiels pour les droits et libertés des personnes va-t-elle changer ? Quel sera le style d’action de la CNIL ? Comment la Commission va-t-elle utiliser ses nouveaux pouvoirs ? Pourra-t-elle influencer l’administration et les pouvoirs publics ? Dans l’immédiat, comme le demande son Président, il conviendrait de renforcer fortement les moyens financiers et humains de l’autorité qui connaît un regain de dynamisme et d’activité depuis le vote de la loi modificative. Il s’agit d’une question de crédibilité de l’institution La Commission devra continuer à vivifier la loi dans un contexte toujours changeant. Enfin pour instaurer un climat de confiance dans la société numérique, il conviendra que le cadre juridique Informatique, fichiers et libertés ne se réduise pas seulement à un cadre législatif contraignant perçu comme autoritaire mais se diffuse aussi à travers des engagements contractuels jouant les droits et obligations sur une autre mélodie. Assurer la protection des données personnelles est souvent plus aujourd’hui de l’intérêt du responsable du traitement que de celui de la personne concernée par les données ; les enjeux sont différents mais deviennent convergents.