Le projet de réforme du droit des fichiers
Le projet de loi de réforme de la loi du 6 janvier 1978 modifie sensiblement le régime applicable aux traitements automatisés de données effectué par les entreprises, par l’administration ou les associations.
La notion de données personnelles devient la pierre angulaire du projet de loi, quelle que soit l’entité exploitante.
1) Les fichiers des entreprisesLe projet de loi abandonne le système des formalités uniques de déclaration préalable.
Plusieurs types de procédures existeront à côté de la déclaration préalable, selon le type de données traitées.
En principe, demeurent l’objet d’une déclaration préalable tous les traitements qui ne font pas l’objet d’un régime spécifique.
Toutefois, certains traitements sont dispensés de toute formalité (nouvel article 22-2).
Il s’agit :
- Des traitements ayant pour seul objet la tenue d’un registre, qui en vertu des dispositions législatives ou réglementaires, est destiné à l’information du public et est ouvert à la consultation de celui-ci, ou de toute personne justifiant d’un intérêt légitime.
- Des traitements pour lesquels le responsable du traitement a désigné un correspondant à la protection des données à caractère personnel, chargé d’assurer le respect des obligations prévues par la loi, et de tenir un registre des traitements effectués, immédiatement accessible à toute personne en faisant la demande.
La nomination d’un responsable des données personnelles paraît pouvoir être mise en place par de nombreuses entreprises, justifiée par l’importance que revêtent pour elles les fichiers ou leur volume.
Un décret en Conseil d’Etat devrait préciser le régime de cette dispense.
La CNIL pourra également expressément dispenser de déclarations certains traitements faisant mentions de caractéristiques prédéfinies.
Le régime de la déclaration simplifiée, dans l’hypothèse où une norme a été adoptée par la CNIL, est maintenu.
Le nouvel article 25 prévoit le cas des traitements soumis à autorisation.
Il s’agit :
- des fichiers susceptibles d’exclure des personnes du bénéfice d’un droit, d’une prestation, ou d’un contrat ;
- des fichiers ayant pour objet l’interconnexion de fichiers dont les finalités sont différentes ;
- des fichiers comportant des appréciations sur les difficultés sociales des personnes ;
- des fichiers utilisant le numéro INSEE ou comportant des données biométriques nécessaires au contrôle de l’identité des personnes.
La CNIL se prononce dans un délai de deux mois, renouvelable une fois. A défaut de réponse, l’autorisation est réputée rejetée.
Le projet de loi, en matière d’information vers les personnes objet de la collecte, précise que l’information peut avoir lieu lors de la collecte ou lors de l’enregistrement des données, ou encore si une communication à des tiers est envisagée, au plus tard lors de la première communication des données.
L’obligation d’information ne s’applique pas aux fichiers constitués à des fins historiques, statistiques ou scientifiques, aux fichiers pour lesquels l’information exigerait des efforts disproportionnés par rapport à l’intérêt de la démarche ou serait impossible, ou encore concernant une personne déjà informée.
En matière de sécurisation des traitements, le décret, pris après avis de la CNIL, fixera les prescriptions techniques auxquelles doivent se conformer les traitements.
En matière de ‘cookies’, le nouvel article 32-1 bis dispose que toute personne utilisatrice des réseaux de communication électronique doit être informée de manière claire et complète par le responsable du traitement ou son représentant :
– de la finalité de toute action tendant à accéder par voie de transmission électronique à des informations stockées dans son équipement de terminal de connexion, d’inscrire par la même voie des informations dans son équipement de terminal de connexion ;
– des moyens dont elle dispose pour s’y opposer.
Le projet de loi rappelle également le droit pour tout individu de s’opposer à un traitement pour motif légitime, ou de s’opposer simplement à l’utilisation de ses données à des fins de prospection. Sont bien sûr exceptés les traitements répondant à une obligation légale.
L’exercice du droit d’accès doit donner accès aux informations suivantes : à la confirmation de l’existence ou non du traitement de données personnelles, à la finalité du traitement ainsi qu’au destinataire concerné, au transfert des données éventuellement envisagé vers un Etat non membre de l’Union Européenne, à la communication sous une forme accessible des données et de toute information relative à leur origine, et aux informations permettant de contester la logique du traitement.
L’auteur du fichier peut s’y opposer en cas de demandes manifestement abusives, par leur caractère répétitif ou systématique, ainsi qu’en cas de données conservées sous une forme excluant manifestement tout risque d’atteinte à la vie privée.
En cas de crainte de dissimulation ou de disparition des informations, une procédure de référé est mise en place afin de garantir les droits des individus.
2) Les fichiers de l’administration publique
L’actuel article 15 de la loi du 6 janvier 1978 prévoit une procédure d’autorisation préalable pour la mise en place d’un fichier.
Le projet de loi supprime ce régime spécifique aux personnes publiques, qui sont désormais soumises au même régime juridique que les personnes privées.
Les fichiers des établissements publics sont en conséquence soumis à un principe de déclaration préalable auprès de la CNIL. Ils peuvent bénéficier des dispenses de formalités comme indiqué ci-dessus, ainsi que la procédure de déclaration simplifiée, et doivent respecter la procédure d’autorisation pour certains fichiers.
Ainsi, le projet de loi n’opère plus la même distinction entre personnes privées et personnes publiques, mais fonde le nouveau régime des données nominatives sur une distinction basée sur le type des données traitées.
Les traitements relatifs à la sûreté de l’Etat, à la Défense ou à la Sécurité Publique, ainsi que ceux qui ont pour objet la prévention, la recherche, la constatation ou la poursuite des infractions pénales, sont soumis à autorisation du Ministre compétent, pris après avis motivé et publié de la CNIL. Il s’agit de traitements impérativement mis en œuvre pour le compte de l’Etat.
Sauf dispense de déclaration, la mise en œuvre d’un fichier requiert une information précise des organes qui seront appelés à se prononcer sur la déclaration ou la demande qui leur sera présentée.
Les obligations internes d’effacement des données, de sécurisation des traitements, d’obligations relatives aux ‘cookies’, s’appliquent de la même façon aux établissements publics.
Selon le nouvel article 36, les données ne peuvent être conservées au-delà d’une durée nécessaire à la finalité pour lesquelles elles sont collectées et traitées.
3) Les fichiers des associations
De la même façon que concernant les entreprises et les administrations publiques, les formalités que devront accomplir les associations varieront en fonction des types de données traitées.
Selon le type de données traitées, l’association devra respecter la procédure de déclaration préalable, ou alors pourra bénéficier d’une dispense de formalités, ou encore devra solliciter l’autorisation de la CNIL avant la mise en œuvre de son fichier.
Toutes les autres obligations en matière d’informations à communiquer aux intéressés ainsi que les obligations en terme de sécurité, d’effacement de données, de sécurisation des traitements et de ‘cookies’, devront être respectées.