La réforme de la Loi Informatique et Libertés : la Loi du 6 août 2004
La loi n° 2004-801 du 6 août 2004 relative à la protection des personnes physiques à l’égard des traitements de données à caractère personnel, modifie la loi du 6 janvier 1978 [1].
Cette loi est d’application immédiate sauf pour quelques dispositions renvoyant à un décret d’application.
Le projet de loi a fait l’objet d’un recours devant le Conseil Constitutionnel, qui, par décision du 29 juillet 2004 [2], a déclaré contraire à la Constitution le nouvel alinéa 3° de l’article 9, à propos du droit pour une personne morale de droit privé de constituer une base de données d’informations nominatives sur des infractions.
Le Conseil Constitutionnel a reconnu la conformité des autres dispositions à la Constitution.
Le processus législatif d’adoption de la présente loi a été particulièrement long, dans la mesure où le projet de loi avait été déposé à l’Assemblée Nationale le 18 juillet 2001, puis adopté en deuxième lecture le 29 avril 2004 par l’Assemblée Nationale, puis le 15 juillet 2004 par le Sénat.
L’origine de la loi consiste à transposer la Directive Européenne du 25 octobre 1995, qui a pour objet d’harmoniser à l’intérieur de l’Union Européenne les divergences entre les législations Nationales en matière de données nominatives. Cette Directive retient le principe de la liberté de circulation des données à l’intérieur de l’Union.
1) Définition
La loi définit ce qu’il faut entendre par ‘traitement de données à caractère personnel’, et par là, le champ d’application de la loi.
Il s’agit de toute opération ou de tout ensemble d’opération portant sur de telles données, quel que soit le procédé utilisé, et notamment la collecte, l’enregistrement, l’organisation, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, ainsi que le verrouillage, l’effacement ou la destruction.
La loi donne également une définition large de la notion de ‘données à caractère personnel’, puisqu’il s’agit de toute information relative à une personne physique identifiée ou qui peut être identifiée, directement ou indirectement, par référence à un numéro d’identification, ou à un ou plusieurs éléments qui lui sont propres.
Pour déterminer si une personne est identifiable, il convient de considérer l’ensemble des moyens, en vue de permettre son identification, à disposition du responsable du traitement.
2) Modification du rôle de la CNIL
D’un contrôle a priori, la CNIL se voit octroyer un rôle a posteriori plus important.
En effet, ses pouvoirs d’investigation sur place d’accès aux données se trouvent considérablement renforcés. Surtout, la CNIL se voit disposer d’un pouvoir de sanction et donc d’appréciation. Ces sanctions peuvent consister en sanctions administratives, telles que l’avertissement, et en sanctions financières jusqu’à 150.000 Euros, doublées en cas de récidive.
3) Allégement des formalités
La nouvelle loi met en place un principe de dispense de toutes formalités préalables dans des hypothèses déterminées. Les organismes (privés ou publics) qui ont mis en place, ou désigné, un correspondant à la protection des données personnelles seront dispensés de toute formalité déclarative. La CNIL pourra s’appuyer dans le cadre de son contrôle sur ce correspondant aux données personnelles.
Toutefois, cette disposition est soumise à un décret d’application. L’application de ces dispositions reste donc en suspens pour le moment.
Sont également exclus de toute formalité :
– les traitements mis en œuvre pour l’exercice d’activités exclusivement personnelles,
– les traitements ayant pour seul objet la tenue d’un registre qui est destiné exclusivement à l’information du public et est ouvert à la consultation de celui-ci, ou de toute personne justifiant d’un intérêt,
– les traitements mis en place par un organisme à but non lucratif, dans la mesure où le traitement ne concerne que les membres de cette association ou de cet organisme, et, le cas échéant, les personnes qui entretiennent avec celui-ci des contacts réguliers dans le cadre de son activité.
4) Dispositions contre le piratage
Les sociétés d’auteur se voient reconnaître la possibilité de constituer des fichiers de données de connexion, telles que les adresses IP, la date et l’heure de connexion, etc., pour lutter contre le piratage des œuvres dont elles sont dépositaires.
Toutefois, les sociétés mettant en place un tel traitement devront continuer à s’adresser à l’autorité judiciaire pour obtenir l’identité des contrefacteurs.
5) Validité du secret professionnel
La nouvelle loi prévoit que pourra être opposé à la CNIL lors de ses vérifications le secret professionnel.
6) Le régime de l’autorisation
Certains traitements restent soumis à un principe d’autorisation de la CNIL avant leur mise en œuvre. Il s’agit principalement des traitements relatifs à la santé publique, aux opinions politiques, religieuses ou syndicales, aux mœurs, aux origines raciales et ethniques.
Ces traitements sont en principe interdit, sauf autorisation expresse de l’intéressé, et procédure d’autorisation par décret du Conseil d’Etat après avis motivé de la CNIL.
De même, tous les fichiers concernant des données génétiques et biométriques, notamment dans le cadre du contrôle de l’identité des personnes intéressées, devront être autorisés par la CNIL.
Ne sont pas concernés les traitements mis en œuvre par les médecins ou les biologistes.
Devront également faire l’objet d’une autorisation de la CNIL les traitements comportant des appréciations sur les difficultés sociales des personnes.
Le principe de l’établissement d’une liste de fraudeurs est admis dans la mesure où le traitement est mis en place après autorisation de la CNIL. L’article 25 prévoit un régime d’autorisation pour les traitements automatisés susceptibles, du fait de leur nature, de leur portée ou de leurs finalités, d’exclure des personnes du bénéfice d’un droit, d’une prestation ou d’un contrat, en absence de toute disposition législative ou réglementaire.
7) Un droit d’information étendu
La loi de 1978, dans sa version précédente, prévoyait un droit d’accès, d’opposition et de rectification à l’égard des personnes faisant l’objet de ces traitements.
Le nouvel article 32 prévoit que l’information doit porter sur l’identité du responsable du traitement, la finalité du traitement, le caractère obligatoire ou facultatif des réponses, les conséquences éventuelles d’un défaut de réponse, les destinataires des données et les éventuels transferts à des Pays hors Union Européenne.
En conclusion, on peut considérer que les modifications les plus importantes concernent les administrations, dans la mesure où la distinction public/privé n’existe plus.
Tout organisme ayant réalisé des déclarations ou des procédures d’avis avant l’entrée en vigueur de la loi de s’assurer de la mise en conformité de leur traitement aux nouvelles règles, notamment d’informations.
La loi fixe à trois ans la période de mise en conformité.
Pour les traitements dont l’instruction n’est pas terminée au moment de l’entrée en vigueur de la présente loi, les nouvelles règles sont applicables.
[1] JO du 7 août 2004
[2] Décision n° 2004-499DC