LA LOI RELATIVE A L`INFORMATIQUE,

LA LOI RELATIVE A L’INFORMATIQUE,
AUX FICHIERS ET AUX LIBERTES, MODIFIEE PAR LA LOI DU 6 AOUT 2004
CONTINUITE ET/OU RUPTURE
:
?
par
Jean FRAYSSINET
Professeur à l’Université Paul Cézanne - Aix-Marseille III
La transposition de la directive 95/46/CE du 24 octobre 1995, relative à la
protection des personnes physiques à l’égard du traitement des données à caractère
personnel et à la libre circulation de ces données, commençait à ressembler à
l’Arlésienne. Après des péripéties parlementaires, étalées sur des majorités politiques
et des gouvernements différents, après deux ans de procédure législative, des débats
parlementaires de médiocre qualité par rapport aux enjeux, sous la pression des
organes communautaires européens, avec un retard de six ans sur la période limite de
transposition déjà longue de trois ans, le Parlement français a enfin fini par voter la loi
n° 2004-801 du 6 août 2004 relative à la protection des personnes physiques à l’égard
des traitements de données à caractère personnel et modifiant la loi n° 78-17 du 6
janvier 1978 relative à l’informatique aux fichiers et aux libertés, le Conseil
Constitutionnel se prononçant sur le texte par une décision n° 2004-499 DC du 29
juillet 2004.
La qualité structurelle et rédactionnelle de la nouvelle version de la loi qui
compte 72 articles répartis sur 13 chapitres, contre 48 articles et 9 chapitres dans le
texte de 1978 est très médiocre. Ceci nuit à la compréhension et à la lisibilité du texte,
constitue une source inutile de contentieux, d’erreurs d’application et d’interprétations
divergentes. La multiplication très excessive des renvois entre articles et dispositions a
un effet déplorable quant à l’utilisation du texte. Certains chapitres sont anormalement
distants : par exemple les chapitres 6 et 7 concernant les pouvoirs de contrôle et de
sanction de la CNIL devaient être placés après le chapitre 3 ou 4 qui concernent aussi
l’institution. En terme qualitatif, le nouveau texte est très en retrait sur l’ancien. La loi
modifiée devient bavarde et ventrue et la faute ne revient pas seulement à la directive
transposée.
Le titre I de la loi du 6 août 2004 modifie la loi du 6 janvier 1978 qui n’est pas
remplacée : celle-ci reste volontairement le texte de référence pour bien marquer son
enracinement dans le droit français de la protection des droits et libertés des personnes
à travers la gestion des données personnelles les concernant. Il s’agit toujours de la loi
2
relative à l’informatique, aux fichiers et aux libertés, du 6 janvier 1978 modifiée ; en
réalité le texte est totalement réécrit et reconfiguré à l’exception de l’article 1er qui
exprime les objectifs de la loi dans un langage juridique redondant et imprécis révélant
surtout la volonté de protéger non seulement la vie privée mais, plus encore,
l’ensemble des droits et libertés des personnes, grandes et petites, de droit privé
comme de droit public, de valeur constitutionnelle ou non, consacrés par les textes
internationaux ou nationaux. Par comparaison avec l’article 1er de la directive de 1995
qui vise la protection seulement des droits et libertés fondamentaux, les droits et
libertés protégés par la loi de 1978 peuvent constituer un champ de protection plus
vaste ; mais il est vrai que la notion de “droits et libertés fondamentaux” garde des
contours imprécis qui alimentent le débat de la doctrine, au niveau du droit
communautaire comme des droits nationaux… L’objectif reste clairement d’assurer un
haut niveau de protection des droits.
Le titre II contient des dispositions modifiant d’autres textes législatifs, en
particulier les dispositions d’ordre pénal. Il permet de constater que par porosité et
contamination, le droit de la protection des données personnelles n’est plus seulement
dans la loi de 1978 mais a tendance à migrer dans des textes législatifs de plus en plus
nombreux et de plus en plus variés. Il s’agit d’un droit transversal même si il se
particularise ensuite en fonction de la finalité des textes d’accueil. Un titre III contient
les mesures transitoires pour assurer le passage des anciennes aux nouvelles règles
pour les traitements de données à caractère personnel dont la mise en œuvre est
régulièrement intervenue avant la publication (JO n° 182 du 7 août 2004, p. 14063) de
la loi du 6 août 2004.
Plutôt que de faire un commentaire détaillé et approfondi de la nouvelle loi
Informatique, fichiers et libertés, nous avons choisi de mettre globalement en relief les
aspects nouveaux dans leurs grandes lignes seulement avec quelques commentaires ou
appréciations personnels pour tenter de situer les points de continuité, d’évolution ou
de rupture entre le texte ancien et le texte nouveau.
I – Le champ d’application matériel et territorial de la loi
Le champ d’application matériel de la loi est déterminé par son article 2,
spécialement l’alinéa 1er, qui reprend la lettre ou l’esprit des définitions des mots clés
“données personnelles”, “traitement” de données personnelles, “fichier” de données à
caractère personnel, “personne concernée” contenu dans l’article 2 de la directive de
1995. On retrouve pour l’essentiel le champ d’application de la loi originaire tel qu’il a
été précisé dans le temps par la doctrine de la CNIL. Les définitions utiles aboutissent
à un champ d’application extraordinairement large, excessif pour certains. La loi
3
s’applique à toutes les données personnelles faisant l’objet d’un traitement automatisé
ou manuel par le biais d’un fichier dans ce dernier cas ; seuls sont exclus les
traitements mis en œuvre pour l’exercice d’activités exclusivement personnelles,
comme auparavant.
Le champ d’application est tellement vaste qu’il place de fait dans l’illégalité
nombre de traitements manuels ou automatisés simples et ne présentant manifestement
pas de risques d’atteintes aux droits et libertés des personnes, le responsable du
traitement, éventuellement de bonne foi, estimant que le respect des règles et
procédures est superflu. On connaissait déjà le problème, il va s’accentuer en raison de
la multiplication et de la variété des traitements. Il manque quelque part une limite
reposant sur des critères il est vrai difficiles à préciser objectivement. La CNIL et le
juge interviendront en ce sens de manière casuistique.
Par contre, par souci de cohérence, et comme le faisait la loi originaire, la loi
modifiée s’applique aux traitements de données personnelles du secteur public comme
privé et aux traitements de souveraineté et de sécurité visés à l’article 3, 2° de la
directive de 1995 à laquelle celle-ci ne s’applique pas. On doit s’en réjouir car certains
avaient en tête de saisir l’occasion de la refonte de la loi pour tenter une approche
séparatiste aux conséquences redoutables pour les droits et libertés des personnes…
Reste à savoir si les nouvelles définitions empêcheront les appréciations parfois
particulières (mais heureusement rares et marginales) de certains juges du fond des
notions de fichiers, de donnée personnelle, de traitement ou remettront en cause
certaines zones floues (application à la vidéosurveillance par exemple). Plus encore on
doit regretter que certaines incertitudes ne soient pas clairement levées comme le statut
du numéro IP, de l’adresse de messagerie électronique, l’utilisation de données
anonymes pour adresser des messages à une personne demeurant non identifiée sur
l’Internet etc… Les définitions sont quelque peu datées surtout par rapport à certaines
pratiques relevées sur l’Internet. Il reviendra à la CNIL de préciser la ligne de partage
entre les données véritablement anonymes et les données indirectement personnelles ;
mais faute de précision législative certains juges du fond pourront avoir des
appréciations différentes, lourdes de conséquences pour la détermination du champ
matériel d’application de la loi. L’article 4 excluant les copies temporaires des données
personnelles effectuées par nécessités techniques constitue une précision utile sans
correspondre à ce qui était le plus nécessaire.
L’article 5 paraît déterminer le champ d’application territorial de la loi réformée,
à partir de la notion de principal établissement, de manière simple ; en réalité la reprise
des dispositions de la directive correspond à de multiples situations géographiques
différentes et à des formes d’organisation en réseau du système informatique de
4
traitement qui n’entreront pas forcément facilement dans les prévisions élémentaires
du texte. Il y a là encore une zone d’incertitude partielle avec des conséquences
importantes pour le “responsable du traitement”, notion définie à l’article 3, ce qui
constitue une nouveauté.
II – Les conditions de licéité des traitements
On reprend là le titre du chapitre 2 de la loi en pensant que la terminologie
utilisée n’est pas idéale ; la distinction entre licéité et légalité n’est pas évidente en la
matière.
La loi pose d’abord dans une section 1 des dispositions générales qui, pour
l’essentiel, étaient présentes dans le texte originaire (ancien chapitre IV) sous forme de
principes. Ceux-ci renvoient en cas de non-respect, à la responsabilité civile ou
administrative et parfois à la responsabilité pénale. Il s’agit de principes de bonne
gestion des données personnelles.
L’article 7 nouveau, qui logiquement aurait dû figurer avant l’article 6, pose le
principe nouveau dans notre droit du consentement normalement préalable (mais cela
n’est pas précisé…) de la personne concernée à l’existence du traitement des données
personnelles ; il reprend le principe énoncé à l’article 7, a, de la directive de 1995 qui
exige un consentement indubitable et les cas pour lesquels il sera possible pour le
responsable du traitement de s’affranchir du consentement de la personne concernée,
dans des termes très proches (exécution d’un contrat ou de mesures pré-contractuelles,
respect d’une obligation légale, intérêt vital de la personne concernée, exécution d’une
mission de service public). Le dernier cas est celui de la réalisation d’un intérêt
légitime poursuivi par le responsable du traitement ou le destinataire mais sous réserve
de ne pas méconnaître l’intérêt ou les droits et libertés fondamentaux des personnes
concernées. Il est à prévoir que le responsable du traitement va prétendre
systématiquement que la réalisation de son intérêt légitime doit primer obligeant ainsi
la personne concernée, bien mal placée, à tenter de rétablir un rapport de force et
d’intérêt. Le principe du consentement peut en sortir très altéré. Faudra-t-il demander à
la CNIL, mais sur quelle base ?, ou au juge, de jouer les Salomon ? Il en est autrement
lorsqu’un texte prévoit expressément que l’intérêt légitime du responsable du
traitement s’efface devant le droit de la personne concernée. Tel est le cas par exemple
de l’article 22 de la loi du 21 juin 2001. Confiance dans l’économie numérique pour la
prospection directe commerciale par automate d’appel, télécopieur ou courrier
électronique.
L’article 6 énumère les principes : collecte, mais aussi traitement, des données de
manière loyale et licite, données adéquates pertinentes et non excessives, exactes,
5
complètes, mises à jour, conservées le temps nécessaire à la réalisation de la finalité du
traitement. La nouveauté textuelle est précisément le 2° de l’article 7 qui met en
exergue le principe de finalité pour la collecte et le traitement des données. On peut se
réjouir de ce progrès par rapport au texte originaire tant le principe de finalité est
essentiel à la compréhension et à la pratique de la loi.
La section 2 traite des données sensibles (article 8). On retrouve l’essentiel du
texte originaire quant à l’interdiction de collecte et de traitement et de la nature des
données personnelles sensibles ; on ajoute l’ethnie, la santé et la vie sexuelle. Ensuite
on trouve des exceptions sectorielles, déjà existantes ou nouvelles. Il s’agit
d’adaptations reprenant d’ailleurs souvent des éléments de la doctrine de la CNIL. La
possibilité d’échapper au principe d’interdiction à la condition d’utiliser un procédé
fiable reconnu par la CNIL est utile et devrait régler des difficultés survenues dans le
cadre du texte originaire par exemple dans le secteur de la santé.
L’article 9 a tenté d’élargir aux personnes privées le droit de traiter les données
relatives aux infractions, condamnations et mesures de sûreté, déjà reconnu aux
juridictions. Mais le Conseil Constitutionnel dans sa décision du 29 juillet 2004 a
annulé le 3° d’une portée trop générale et imprécise pour ne conserver que le 4°, mais
avec une réserve d’interprétation qui impose le passage par le juge judiciaire et par la
CNIL qui délivre une autorisation, autorisant les sociétés de défense du droit d’auteur
à traiter les données personnelles relatives aux infractions et condamnations relatives à
la contrefaçon. Cette disposition nouvelle s’inscrit dans le contexte actuel de la lutte
contre le “piratage” des œuvres sur Internet et l’équilibre trouvé entre les droits des
auteurs et le respect des données personnelles est convenable. Mais d’autres groupes
de pression ont déjà l’intention d’utiliser ce précédent pour défendre leurs droits dans
d’autres domaines, le Conseil Constitutionnel ayant expliqué le mode d’emploi pour
éviter l’annulation subie par le 3° de l’article 9 voté par le Parlement…
III – Les droits des personnes concernées par les données traitées
Il faut attendre la section 2 du chapitre 5 pour que cet aspect essentiel soit abordé
par la loi ; la continuité avec le texte originaire est évidente quant aux droits reconnus.
Mais la finalité de la loi justifiait que, pour être plus lisibles et mieux perçus, les droits
des personnes concernées par les données traitées figurent bien plus haut dans le texte.
Ceci est tout à fait révélateur des priorités : la CNIL, les formalités préalables, les
obligations du responsable du traitement passent avant…
Le principe du droit d’opposition (art. 38) est conservé avec les mêmes termes.
Mais il est précisé pour les traitements de prospection pas seulement commerciale : il
s’exerce sans frais et l’opposition n’a pas a reposer sur la justification d’un motif
6
légitime. Mais la Cour de Cassation, et non le législateur a déjà étendu cette approche
au traitement des données en matière politique, philosophique ou religieuse (Cour de
Cassation, chambre criminelle, 28 septembre 2004, ASESIF).
Le droit à la curiosité portant sur l’existence d’un traitement est élargi à la
connaissance des finalités des catégories de données traitées, et des transferts hors
Union européenne des destinataires, conformément aux exigences de la directive
transposée. L’accès aux données est bien entendu consacré (article 39) sans que le
terme soit repris curieusement ; il est masqué par l’usage du terme communication qui
paraît plus en harmonie avec le droit d’obtenir copie des données reconnu ensuite. Par
contre le droit de connaître et de contester la logique qui sous-tend le traitement
automatisé servant de fondement à une décision opposée est plus restrictif que l’ancien
article 3 de la loi originaire, notamment dans le souci de protéger le droit d’auteur.
Continuité aussi dans le droit de contestation et de rectification (article 40) avec
une nouveauté pertinente permettant aux héritiers d’agir pour l’actualisation des
informations relatives à une personne décédée.
La question délicate de l’accès dit (faussement) indirect aux traitements
intéressant la sûreté de l’État, la défense ou la sécurité publique ne connaît aucune
modification par rapport à l’ancien article 39 qui ne datait dans sa rédaction que de
2003. L’équilibre relatif trouvé est conservé pour des traitements d’ailleurs non
concernés par la transposition de la directive de 1995. Aucune modification non plus
(article 43) pour l’accès aux données de santé personnelles en fait prévu par l’article
L 1111-7 du code de la santé publique.
IV – Les obligations incombant au responsable du traitement
Elles sont regroupées dans le chapitre V de la loi dans une section 1, la section 2
étant consacrée aux droits des personnes. Il aurait été préférable de faire deux chapitres
distincts et de placer plutôt dans les obligations du responsable du traitement tout le
chapitre IV de la loi consacrée aux formalités préalables à la mise en œuvre du
traitement ; ces dernières constituent bien des obligations incombant au responsable du
traitement.
On retrouve l’essentiel de la loi originaire avec quelques ajouts.
L’article 32, transposant sur ce point la directive, augmente le nombre
d’informations – sept rubriques – à délivrer à la personne auprès de laquelle sont
recueillies directement les données personnelles. Il s’agit de l’identité du responsable
du traitement, de la finalité du traitement, de l’existence du droit d’accès, de
contestation, de rectification, et d’opposition, du transfert des données hors Union
7
européenne, des destinataires, du caractère obligatoire ou facultatif des réponses. Les
questionnaires de collecte de données devront reprendre la plupart de ces rubriques et
il convient de les modifier s’ils existent déjà, sous peine de contravention pénale.
Le paragraphe II de l’article 32 impose aussi une information claire et complète
de l’intéressé de « la finalité de toute action tendant à accéder, par voie de
transmission électronique, à des informations stockées dans son équipement terminal
de connexion, ou à inscrire par la même voie, des informations dans son équipement
terminal de connexion », et des moyens dont il dispose pour s’y opposer, ce qui crée
un droit d’opposition spécifique différent de celui de l’article 38 ; deux exceptions
pratiques sont prévues pour faciliter la communication et la fourniture d’un service de
communication en ligne. Cette disposition concerne en particulier, mais pas seulement,
les cookies et transpose en réalité non pas la directive du 24 octobre 1995 mais
l’article 9 de la directive 2002/58 du 12 juillet 2002 concernant le traitement des
données à caractère personnel et la protection de la vie privée dans le secteur des
communications électroniques. Si on peut se réjouir de cette nouveauté, encore
convient-il de ne pas en exagérer la portée pratique vis-à-vis d’un site américain ou
australien par exemple. On aurait aimé que la loi française instaure expressément aussi
l’interdiction d’interdire l’accès à un site en cas de refus des cookies.
Le paragraphe III de l’article 32 de la loi transpose la directive quant à
l’information à donner en cas de collecte indirecte, prévoit un régime particulier pour
les traitements nécessaires à la conservation des données à des fins historiques,
statistiques ou scientifiques et allège utilement l’information à donner en cas
d’utilisation rapide, après leur collecte, d’un procédé d’anonymisation des données
homologuées par la CNIL. Il serait utile que, sur tous ces points, la CNIL explicite la
portée de ces dispositions nouvelles et sa doctrine à l’intention des responsables des
traitements sous forme de fiches par exemple sur son site Internet. Il en est de même
pour la gestion des données personnelles par les prestataires de services de
certification électronique (article 33) et les relations entre le responsable du traitement
et un sous-traitant (article 35), le texte de la loi reprenant celui de la directive.
Par contre on regrettera vivement que l’article 34 relatif à l’obligation de
sécuriser le traitement des données personnelles ne reproduise pas mot pour mot la
rédaction de l’article 17 de la directive de 1995 beaucoup plus explicite sur la portée
d’une forte obligation de moyen du responsable du traitement, d’autant plus que
l’article 226-17 du code pénal sanctionne lourdement le manquement à l’obligation de
sécurité qui, à l’heure de l’Internet et des formes multiples de cybercriminalité, expose
à des risques largement sous-estimés par les responsables des traitements.
8
Les articles 36 et 37 règlent dans les mêmes conditions générales antérieures les
relations avec le code du patrimoine pour la conservation des données à des fins
d’archivage ou de traitement à des fins historiques, statistiques ou scientifiques au delà
de la durée de conservation liée à la finalité déclarée, et la “loi CADA” d’accès aux
documents administratifs. Enfin le chapitre XI (article 67) prévoit pour les traitements
de données personnelles aux fins de journalisme et d’expression littéraire et artistique
que certaines contraintes ne s’appliqueront pas à eux (durée de conservation limitée,
données sensibles, déclaration ou autorisation du traitement, obligation d’information
préalable à la collecte, droit d’accès et de contestation, transfert des données hors
Union européenne) ; les libertés d’expression, d’opinion, d’information, de
communication l’emportent sur le souci de protéger les données personnelles, sous
certaines conditions.
V – Les formalités préalables à la mise en œuvre des traitements
Cette question fait l’objet du chapitre IV de la loi modifiée. La directive de 1995
laissait la possibilité aux États de prévoir des montages variés en fonction des choix
politiques et législatifs. Lui consacrer le chapitre le plus long de la loi est significatif
du caractère, peut-on dire, réglementaire du texte. Les formalités préalables ont
toujours eu une importance disproportionnée dans l’esprit des responsables publics et
privés des traitements masquant leurs autres obligations et les droits des personnes
concernées.
On ne procédera pas à une analyse détaillée des procédures qui résultent des
contraintes mêlées de la transposition de la directive, de l’expérience acquise, des
souhaits d’allègement et de simplification de la CNIL et des pressions du secteur privé
et du secteur public. Il y a aussi derrière les procédures établies une large part de non
dit, d’intérêts cachés, d’arrière-pensées, de conflits de pouvoir ; en la matière il y a
beaucoup à lire entre les lignes quand on connaît les contextes, les alliances et les
oppositions… Les procédures applicables au secteur public sont à cet égard un chefd’œuvre d’ambiguïté florentine dont on pourrait découvrir à l’avenir certains effets
pervers pour la défense des droits et libertés des personnes dans un état démocratique.
Le système prévu par la loi modifiée est beaucoup moins simple, compréhensible
que celui du texte originaire. Cela promet du plaisir pour les responsables des
traitements pour naviguer au plus près entre des cas multiples allant de la dispense de
formalités, à la déclaration simple, à la déclaration simplifiée, à l’autorisation délivrée
par la CNIL ou par une autorité réglementaire sur avis de la CNIL, intervenant à des
niveaux différents selon une typologie des traitements pour le secteur public. On
aboutit à un montage de type “usine à gaz”, source d’insécurité juridique et
9
d’éventuels contentieux. La prétention affirmée au départ de prévoir des règles proches
pour le secteur privé et le secteur public ne se retrouve pas à l’arrivée. On peut
promettre un bel avenir à celui qui mettra sur le marché un bon logiciel d’aide à la
décision sur le système des procédures ; cette tâche pourrait aussi légitimement revenir
à la CNIL pour rendre le droit intelligible.
Grande nouveauté : l’instauration de l’institution du correspondant à la protection
des données à caractère personnel qui dispense les personnes (plutôt morales),
publiques et privées de procéder aux formalités de la déclaration simple ou de la
déclaration conforme à des normes simplifiées, sauf s’il y a un transfert des données
hors Union européenne. Il faudra attendre le décret d’application qui précisera le statut
du correspondant, (qui doit être indépendant et qualifié, tenir un registre des
traitements en interne, répondre de ses actes y compris devant la CNIL), pour mieux
évaluer la portée de l’innovation que le “rapport Braibant”, d’ailleurs totalement
négligé lors des débats parlementaires, estimait peu compatible avec la mentalité
française. Il s’agit d’un acte de confiance de la loi qui peut être approuvé si le
correspondant a véritablement les moyens de répandre la culture “protection des
données personnelles” au sein des organisations publiques et privées. Le
correspondant à la protection des données réapparaît au détour de l’article 67, 2° pour
dispenser les traitements liés au journalisme professionnel de la déclaration au titre de
l’article 22 ; le responsable du traitement devra désigner un correspondant appartement
forcément à un organisme de la presse écrite ou audiovisuelle.
Peuvent aussi être dispensés de formalités préalables par la CNIL certains
traitements particuliers (article 22, II, 1°) ou des catégories entières de traitements,
(article 24, II) a priori non dangereux ; de même, des traitements proches peuvent être
regroupés dans une déclaration unique. On se réjouira de cet esprit de simplification et
d’allègement car la CNIL n’est pas une institution qui a la vocation et les moyens
d’exercer l’essentiel de son activité dans la gestion a priori d’une multitude de
traitements ; le tamis ne doit retenir que les cas problématiques.
Sur la base de l’article 20 de la directive de 1995, l’article 25 de la loi modifiée
prévoit huit cas de traitements pour lesquels l’autorisation de la CNIL est
indispensable. Le premier et le troisième cas qui touchent à la gestion des données
sensibles et celles qui touchent aux infractions, condamnations et mesures de sûreté
exigent l’autorisation non seulement pour les traitements automatisés mais aussi pour
les fichiers manuels – sur support papier. Autorisation aussi pour la gestion des
données génétiques, biométriques servant au contrôle de l’identité, au numéro dit de
sécurité sociale, à l’interconnexion des fichiers, aux traitements d’exclusion de droits
(listes noires, scoring), d’appréciation des difficultés sociales.
10
La liste correspond bien à des applications susceptibles de présenter aujourd’hui
des risques particuliers pour les droits et libertés ; mais elle est très circonstancielle ; or
en la matière les choses changent vite, les risques se déplacent en fonction de la
technologie, des usages. On aurait pu aussi bien mettre dans la liste d’autres types de
traitements à risque ; les critères de choix des cas retenus (mais peut-on avoir des
critères ?) sont plutôt impressionnistes – ou préconçus.
Restent les articles 26 et 27 concernant les traitements du secteur public jugés les
plus à risque, qui relèvent de décrets en Conseil d’État ou d’arrêtés pris par l’autorité
compétente après avis motivé et publié de la CNIL. L’avis négatif de la CNIL ne
fonctionnera plus de fait comme une décision négative. La loi originaire renvoyait
l’intervention d’un décret pris sur avis conforme du Conseil d’État pour passer outre
l’avis négatif de la CNIL. Par delà les textes, il est clair qu’on a entendu diminuer le
pouvoir d’influence de la Commission, organisme gênant pour des administrations
puissantes. Il n’est pas certain que leur calcul soit bon ; plutôt que de négocier
directement avec les administrations, la CNIL, si elle entend défendre sa fonction,
devra politiser le débat ou le porter devant l’opinion publique pour faire une pression
efficace sur le pouvoir politique.
Sur les modalités pratiques (contenu des dossiers, de déclaration ou
d’autorisation, de demande d’avis, délais d’instruction, publicité, etc.) on retrouve
pour l’essentiel les règles de la loi originaire adaptées.
On doit se réjouir que rapidement la CNIL a utilisé toutes les possibilités
nouvelles pour instituer des cas de dispense de formalités préalables ou pour alléger et
simplifier les procédure d’autorisation. La Commission a ainsi manifesté sa volonté
forte de renforcer le contrôle a posteriori au détriment du contrôle a priori.
Enfin le chapitre IX relatif aux traitements de données personnels ayant pour fin
la recherche dans le domaine de la santé et le chapitre X sur les traitements à des fins
d’évaluation ou d’analyse des pratiques ou des activités de soins et de prévention
(anciens chapitre V bis et V ter) conservent leur teneur antérieure.
Le principe reste celui de l’autorisation donnée dans des conditions spécifiques,
avec des possibilités nouvelles d’allègement des procédures. On aurait pu profiter de
l’occasion de la transposition pour ranger ces deux chapitres dans le code de la santé
où ils seraient mieux placés en raison de leur aspect très sectoriel.
VI – La CNIL : l’institution, ses compétences et ses pouvoirs
Au niveau de sa composition (article 13), la CNIL reste exactement ce qu’elle
était alors qu’il y avait consensus pour procéder à des rééquilibrages au bénéfice
11
notamment de la société civile ; le rapport Braibant en 1998 avait envisagé différentes
possibilités qui n’ont pas été considérées ; cette stabilité pourrait passer pour du
conservatisme ou un certain manque de courage et, s’il y a sur ce point un problème, il
reste entier. De même pour les critères de choix des membres, leur motivation
personnelle, et leur apport personnel à l’institution ; à écouter le personnel de la CNIL
qui de tout temps a établi un hit-parade, les disparités restent fortes… Le statut des
commissaires (article 14) demeure dans le même esprit ; il en va de même pour
l’organisation et les délibérations de la commission (article 15), le Commissaire du
gouvernement (article 18) ; la fonction de secrétaire général (article 19) est
institutionnalisé, ce qui se comprend.
Les compétences de la CNIL (article 11) restent d’une grande stabilité et sont
seulement adaptées. Ce n’est pas des ajouts comme la possibilité pour la Commission
de donner un avis sur les projets de règles professionnelles, la possibilité de délivrer un
label à des produits, résultant de la transposition, qui constituent un grand changement.
Par contre, les pouvoirs d’action et surtout de sanction de la CNIL sont renforcés.
Le chapitre VI (article 44) précise le pouvoir de contrôle de la Commission sur
les traitements mis en œuvre. On retrouve le système prévu par la loi originaire de
contrôle sur place, de capacité d’investigation et d’information. Il est simplement
réécrit pour être en conformité avec les évolutions récentes jurisprudentielles ou
législatives renforçant le respect du droit à la défense, la légalité des procédures
inquisitoriales administratives, le respect du pouvoir du juge.
Par contre le point IV de l’article 44 qui met hors de portée du contrôle sur place
les traitements intéressant la sûreté de l’Etat et dispensés de la publication de l’acte
réglementaire institutif en application de l’article 26, III manifeste un recul de l’État de
droit.
Le chapitre III (article 45) qui, comme le chapitre VI, aurait dû être rattaché ou
proche du chapitre consacré à la CNIL, vient renforcer les capacités de sanction de la
Commission. On garde l’avertissement public ou discret, on ajoute la mise en demeure
adressée au responsable de faire cesser le manquement à la loi, dans un délai fixé ; en
cas de non-respect de la mise en demeure, la CNIL pourra prononcer une sanction
pécuniaire. Celle-ci sera proportionnée au manquement, ne pourra excéder 150 000
ou, pour une entreprise, 5 % du chiffre d’affaires sans dépasser 300 000 (article 47).
La Commission pourra aussi dans certains cas adresser une injonction de cesser
le traitement, décider l’arrêt du traitement ou son verrouillage, informer le Premier
ministre pour le secteur public, saisir la juridiction compétente par la voie du référé
pour qu’elle ordonne toute mesure de sécurité nécessaire à la sauvegarde des droits et
libertés. Parallèlement la loi (article 46) organise la procédure dans le respect des
12
droits de la défense et l’article 49 prévoit un mécanisme de collaboration entre la
CNIL et ses homologues européens pour faire des vérifications et communiquer des
informations.
La transposition de la directive ouvrait une période dangereuse pour la CNIL.
Certains avaient bien l’intention de transformer l’institution, de rogner ses ailes faute
de pouvoir la supprimer. Au total l’institution s’en sort plutôt bien, sauf en partie visà-vis du secteur public. La CNIL, disposant de moyens nouveaux et renforcés d’action
pourra rester le moteur de la loi Informatique, fichiers et libertés, maintenir des
équilibres entre des intérêts contradictoires, le dispensateur d’une doctrine riche et
utile dans l’interprétation et l’application de la loi, le défenseur des droits et libertés
des personnes dans un contexte très évolutif des techniques et de leurs usages.
VII – Le transfert des données à caractère personnel hors de l’Union
européenne
La loi modifiée transpose cet aspect nouveau dans les conditions instaurées par la
directive. Alors que la directive de 1995 subordonne le transfert (article 25) à ce que le
pays d’accueil dispose d’une législation assurant un niveau de protection adéquat, la
loi modifiée (article 68) vise un niveau de protection suffisant, ce qui n’est pas
forcément la même chose ; cette différence qui joue sur les mots, amène à s’interroger
sur le respect ou non de la directive de 1995. On aurait pu se dispenser de créer
inutilement une incertitude juridique et d’interprétation à partir de la sémantique.
L’article 69 transpose la directive pour les cas autorisant un transfert (consentement
exprès, exécution d’un contrat, respect d’engagements de protection de parties ou
transfert etc.) et l’article 70 règle les rapports entre la CNIL et la Commission des
communautés européennes et leur incidence sur la délivrance du récépissé de
déclaration du traitement.
VIII – Les dispositions pénales
Elles restent dispersées : le chapitre VIII de la loi modifiée sanctionne
pénalement (article 51) l’entrave à l’action de la CNIL (un an de prison et 15 000
d’amende) en adaptant la rédaction du texte de l’ancien article 43 tout en en gardant
l’esprit ; le décret du 23 décembre 1981 instituant des contraventions pour des
infractions mineures est conservé mais il conviendrait de le revoir car il n’est plus en
harmonie avec le texte de la loi modifiée. Enfin l’article 50 de la loi modifiée fait le
renvoi, comme auparavant, aux articles 226-16 à 226-24 du code pénal. En réalité du
fait de l’ajout de nouvelles infractions dans le code pénal, on passe de neuf à quinze
articles avec des numérotations tarabiscotées. Le quantum des peines pénales est
13
fortement alourdi et aligné sur cinq ans de prison et 300 000 d’amende. Certes, le
message dissuasif est fort ; mais est-il adapté aux réalités de terrain et à la perception
des juges pénaux qui en la matière ont montré, à travers un contentieux peu abondant
mais croissant, un net manque d’entrain à prononcer des sanctions pénales
conséquentes ? Il serait utile que la CNIL sensibilise les juridictions pénales à l’intérêt
à notre époque de protéger les données personnelles et de sanctionner la délinquance
nouvelle. Sans procéder à une analyse détaillée de l’ensemble des dispositions du code
pénal – ce qui serait nécessaire en raison des principes de légalité des délits et des
peines et d’interprétation stricte des textes pénaux – il convient d’observer que
l’écriture des dispositions pénales est défectueuse et mériterait d’être reprise
rapidement. Les notions employées, la structuration des éléments constitutifs des
infractions ne sont pas toujours en harmonie avec le texte de la loi modifiée. Le
manque de cohérence dénote un travail fait à moitié, de replâtrage des textes existants.
Par exemple : l’article 6 de la loi modifiée dispose maintenant que “les données sont
collectées et traitées de manière loyale et licite. L’ancien article 25 ne visait que les
collectes ; l’article L 226-18 du code pénal ne réprime toujours que la collecte ce qui
ne permet pas de sanctionner le traitement déloyal et illicite, ce qui prive d’effet
l’article 6. On a déjà constaté l’importance de ces discordances dans des contentieux
en cours (par exemple TGI de Paris, 7 décembre 2004, Ministère public c/Fabrice H,
l’affaire étant en appel).
IX — Une loi c’est bien mais ce n’est pas tout !
De la comparaison du texte modifié nouveau et du texte précédent de la loi
Informatique, fichiers et libertés, il ressort que la tendance est nettement à la continuité
pour les principes de base et même pour leur organisation et mise en œuvre. Il y a
évolution et non-révolution. Certaines évolutions résultent directement et
exclusivement de l’obligation de transposer les différences provenant de la directive de
1995 qui est reprise de manière généralement proche. Cette adaptation était facilitée
par la cohérence d’esprit de la loi française avant transposition et de la directive de
1995 qui s’en est inspirée largement ; on peut parler d’un processus d’ajustement.
D’autres évolutions importantes sont des choix nationaux : il s’agit principalement du
renforcement des pouvoirs d’action et de sanction de la CNIL et du système des
formalités préalables à la création des traitements automatisés de données
personnelles. Relativement compréhensible et équilibré pour le secteur privé ce
système est déséquilibré et obscur pour le secteur public et, à travers lui, pour le
pouvoir politique. On a profité aussi de la transposition pour tenir compte de
14
l’expérience acquise depuis 1978, intégrer des éléments de la doctrine de la CNIL,
affiner le texte en fonction de difficultés rencontrées.
Mais tout l’avenir n’est pas dans le seul texte nouveau de la loi. La loi donnera sa
pleine mesure en fonction d’autres éléments contextuels prévisibles ou imprévisibles.
Par exemple, comment la sensibilité “protection des données personnelles” va-telle évoluer dans la société numérique, spécialement en raison du rôle de catalyseur de
l’Internet ?
Les exigences sociales et juridiques vont-elles devenir plus fortes, plus globales à
l’égard des responsables des traitements ? L’opinion publique, les syndicats, les
associations de consommateurs, les milieux politiques vont-il modifier les seuils –
aujourd’hui bas – de sensibilité ? En fonction des usages nouveaux (secteur des
télécommunications, cybersurveillance, commerce électronique etc.) la perception des
risques réels et potentiels pour les droits et libertés des personnes va-t-elle changer ?
Quel sera le style d’action de la CNIL ? Comment la Commission va-t-elle
utiliser ses nouveaux pouvoirs ? Pourra-t-elle influencer l’administration et les
pouvoirs publics ? Dans l’immédiat, comme le demande son Président, il conviendrait
de renforcer fortement les moyens financiers et humains de l’autorité qui connaît un
regain de dynamisme et d’activité depuis le vote de la loi modificative. Il s’agit d’une
question de crédibilité de l’institution La Commission devra continuer à vivifier la loi
dans un contexte toujours changeant.
Enfin pour instaurer un climat de confiance dans la société numérique, il
conviendra que le cadre juridique Informatique, fichiers et libertés ne se réduise pas
seulement à un cadre législatif contraignant perçu comme autoritaire mais se diffuse
aussi à travers des engagements contractuels jouant les droits et obligations sur une
autre mélodie. Assurer la protection des données personnelles est souvent plus
aujourd’hui de l’intérêt du responsable du traitement que de celui de la personne
concernée par les données ; les enjeux sont différents mais deviennent convergents.