Texte intégral
La garde des Sceaux, ministre de la justice a présenté un projet de loi relatif à la protection des personnes à l'égard des traitements de données à caractère personnel. Ce texte modifie la loi du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés.
Ce projet de loi a pour objet d'assurer la transposition de la directive européenne du 24 octobre 1995 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données. Au-delà de cette transposition, il vise à adapter le droit des fichiers informatiques aux progrès technologiques et aux réalités contemporaines, dans le respect des principes fondamentaux posés par la loi du 6 janvier 1978.
Les principales dispositions du projet de loi peuvent être résumées autour de quatre axes :
- le renforcement des droits fondamentaux des personnes dès lors que des données, de quelque nature qu'elles soient (informations nominatives, voix, image, empreintes génétiques...), font l'objet d'un fichier, sous forme d'un traitement automatisé ou non, ainsi que le renforcement des obligations pesant sur les responsables de ces traitements. En particulier, le caractère discrétionnaire du droit d'opposition des personnes intéressées à l'encontre de la mise en oeuvre de tels traitements à des fins de prospection, notamment commerciale, est reconnu ;
- la consécration de la Commission nationale de l'informatique et des libertés (CNIL), dont la composition est, à une exception près, inchangée, comme l'autorité administrative indépendante chargée du contrôle de la mise en oeuvre de la loi. La commission voit ses pouvoirs substantiellement développés ; elle sera, en particulier, dotée de pouvoirs d'investigation, d'injonction et de sanction administrative qui lui permettront d'exercer un contrôle a posteriori sur les traitements de données ;
- la rationalisation des formalités préalables exigées pour la création d'un traitement automatisé de données à caractère personnel : le projet de loi ne distingue plus le régime administratif applicable selon la nature publique ou privée du responsable du traitement. Le régime de droit commun sera celui de la déclaration, qui sera simplifiée pour les modèles de traitement les plus courants. Mais toutes les catégories de traitement dont les finalités ou le contenu présentent des risques particuliers au regard des droits des personnes seront soumises à l'autorisation de la CNIL. Les traitements publics, dits de souveraineté, intéressant la sûreté de l'Etat, la défense et la sécurité publique, ou les traitements publics utilisant le numéro d'inscription des personnes au répertoire national d'identification des personnes physiques, continueront à faire l'objet d'une autorisation par un décret ou par un arrêté pris après avis de la CNIL.
- la prise en compte du caractère international de l'utilisation des traitements de données, par un encadrement des transferts de données vers des Etats n'appartenant pas à la Communauté européenne.
Ce projet de loi a pour objet d'assurer la transposition de la directive européenne du 24 octobre 1995 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données. Au-delà de cette transposition, il vise à adapter le droit des fichiers informatiques aux progrès technologiques et aux réalités contemporaines, dans le respect des principes fondamentaux posés par la loi du 6 janvier 1978.
Les principales dispositions du projet de loi peuvent être résumées autour de quatre axes :
- le renforcement des droits fondamentaux des personnes dès lors que des données, de quelque nature qu'elles soient (informations nominatives, voix, image, empreintes génétiques...), font l'objet d'un fichier, sous forme d'un traitement automatisé ou non, ainsi que le renforcement des obligations pesant sur les responsables de ces traitements. En particulier, le caractère discrétionnaire du droit d'opposition des personnes intéressées à l'encontre de la mise en oeuvre de tels traitements à des fins de prospection, notamment commerciale, est reconnu ;
- la consécration de la Commission nationale de l'informatique et des libertés (CNIL), dont la composition est, à une exception près, inchangée, comme l'autorité administrative indépendante chargée du contrôle de la mise en oeuvre de la loi. La commission voit ses pouvoirs substantiellement développés ; elle sera, en particulier, dotée de pouvoirs d'investigation, d'injonction et de sanction administrative qui lui permettront d'exercer un contrôle a posteriori sur les traitements de données ;
- la rationalisation des formalités préalables exigées pour la création d'un traitement automatisé de données à caractère personnel : le projet de loi ne distingue plus le régime administratif applicable selon la nature publique ou privée du responsable du traitement. Le régime de droit commun sera celui de la déclaration, qui sera simplifiée pour les modèles de traitement les plus courants. Mais toutes les catégories de traitement dont les finalités ou le contenu présentent des risques particuliers au regard des droits des personnes seront soumises à l'autorisation de la CNIL. Les traitements publics, dits de souveraineté, intéressant la sûreté de l'Etat, la défense et la sécurité publique, ou les traitements publics utilisant le numéro d'inscription des personnes au répertoire national d'identification des personnes physiques, continueront à faire l'objet d'une autorisation par un décret ou par un arrêté pris après avis de la CNIL.
- la prise en compte du caractère international de l'utilisation des traitements de données, par un encadrement des transferts de données vers des Etats n'appartenant pas à la Communauté européenne.