Texte intégral
La France avait été pionnière en 1978 en élaborant une des premières législations consacrées à l'informatique, aux fichiers et aux libertés. La loi du 6 janvier 1978 a ainsi, d'une part, posé les principes fondamentaux applicables aux traitements informatiques de données nominatives et d'autre part, institué pour veiller au respect de ces principes la Commission nationale de l'informatique et des libertés - la CNIL - première institution qualifiée d'autorité administrative indépendante.
Cette législation fête aujourd'hui son 24ème anniversaire. Elle a fait la preuve, tout au long de ce quasi quart de siècle, de sa pertinence et de son efficacité.
Et je voudrais ici rendre hommage aux présidents successifs de la CNIL ainsi qu'à tous ses membres car c'est d'abord grâce à leur compétence et à leur investissement que cette législation a ainsi fait ses preuves.
Le temps est, toutefois, venu non pas de la remettre en cause mais de la rénover en profondeur dans le respect même de ses principes fondateurs.
Deux changements de perspective justifient, à mon sens, la nécessité de cette modernisation.
1. En premier lieu, les risques induits par les fichiers informatiques ont changé de nature.
Pour des raisons historiques, le législateur de 1978 s'était surtout inquiété des menaces résultant des grands ordinateurs d'Etat sur lesquels il a concentré son attention. On s'en souvient, l'idée même de la loi est née de l'émotion considérable causée par la révélation d'un projet de fichier informatique, opportunément baptisé " SAFARI ", qui aurait permis de croiser toutes les informations détenues par les administrations publiques sur chaque citoyen.
Depuis, le développement des technologies a mis l'outil informatique à la disposition de tous et des dispositifs hier très sophistiqués et qui nécessitait une capacité technique et économique importante sont devenus d'usage courant pour la plupart des entreprises.
De surcroît, si, à la fin des années 1970, l'individu était " fiché " par la constitution délibérée d'un fichier structuré faisant l'objet d'une collecte de données spécifique, aujourd'hui la plupart d'entre nous sommes en situation d'être " fichés " du seul fait de la mise en oeuvre de technologies collectant automatiquement et traitant, sans que nous en ayons conscience, des données identifiantes constituant autant de traces de nos connexions, de nos consultations ou de nos transactions. La technologie des témoins de connexion, plus couramment appelé sous l'anglicisme de " cookies ", que l'internet a fait émerger, constitue un exemple particulièrement révélateur de ce phénomène. Nous aurons l'occasion d'y revenir dans le débat.
Un autre phénomène caractéristique des traitements rendus possibles sur les nouveaux réseaux de communication réside dans les possibilités de ciblage extrêmement poussé des profils individuels des consommateurs. De puissants moteurs de recherche permettent en effet d'opérer des croisements et des synthèses de fichiers qui n'étaient pas envisageables dans le cadre des technologies antérieures. Ainsi, les moyens d'interconnexion, réservés aux seules administrations il y a une vingtaine d'années, sont-ils dorénavant accessibles pour un coût limité à n'importe quel opérateur privé. La société de l'information est ainsi particulièrement exposée au développement de bases de données centralisant pour en faire commerce de multiples informations d'une nature souvent intrusive sur les comportements et les goûts individuels.
2 . Les intérêts en présence ont aussi également changé de nature.
La loi se doit toujours de trouver un point d'équilibre entre des exigences contradictoires. En 1978, c'est essentiellement au regard de la protection des intérêts publics - défense, sécurité, répression pénale ou encore établissement et recouvrement de l'impôt - que les droits fondamentaux en matière de protection des personnes étaient appréciés. Depuis, les problématiques se sont diversifiées et c'est également au regard de la liberté d'expression et de communication, ou encore de la liberté du commerce et de l'industrie que doivent désormais s'apprécier les équilibres à trouver.
A cet égard, la Commission européenne a proposé en 1990 la rédaction d'une directive harmonisant les règles applicables dans les différents Etats membres en matière de protection des personnes physiques vis-à-vis des traitements de données les concernant. Il n'était pas évident, a priori, que cette question relève de la compétence de la Communauté. Les textes pris dans le cadre du " premier pilier " ne traitent pas, en principe, des questions liées à la protection des libertés et de la vie privée. Mais la Commission avait le souci d'établir la libre circulation des données à caractère personnel, considérées en quelque sorte comme des marchandises, tout en sauvegardant les droits individuels auxquels cette libre circulation pourrait porter atteinte.
Cette approche a légitimement fait l'objet d'une controverse. Votre propre Assemblée, aux termes d'une résolution en date du 25 juin 1993, a souligné que l'objectif de la Communauté européenne ne pouvait - je cite - " justifier son intervention dans la réglementation des traitements de données à caractère personnel qu'à la condition que la réalisation de cet objectif ne nuise pas au haut degré de protection dont doivent bénéficier les personnes physiques à l'égard de ces traitements et encore moins assimiler ces traitements à de simples marchandises ".
Il me semble que votre préalable a été, en grande partie, satisfait. L'analyse du droit national et de la directive européenne démontre, en effet, que l'une et l'autre se fondent sur un corpus de principes communs, que l'on retrouve d'ailleurs dans les législations de nombreux Etats européens et dans les textes internationaux, comme ceux du Conseil de l'Europe, de l'OCDE ou des Nations-Unies.
Les principes fondamentaux de la loi de 1978 sont intégralement repris et même complétés par la directive et l'idée d'une autorité de contrôle indépendante a fait école.
La comparaison de la loi française et de la directive européenne révèle cependant deux différences principales que je cite pour mémoire, à ce stade de mon propos :
- la directive ne fait pas de distinction entre les traitements du secteur public et ceux du secteur privé ;
- la directive opère un glissement d'un régime de contrôle a priori vers un régime de contrôle a posteriori.
***
Le projet de loi qui vous est aujourd'hui présenté a ainsi pour premier objet d'assurer la transposition de cette directive en date du 24 octobre 1995.
Néanmoins, ainsi que je l'ai souligné dans mes propos introductifs, au-delà de cette transposition, ce texte vise à adapter le droit des fichiers informatiques aux progrès technologiques et aux réalités contemporaines, dans le respect des principes fondamentaux qu'avait posés la loi du 6 janvier 1978. En particulier, alors que la directive exclut de son champ d'application les traitements mis en oeuvre à des fins de sécurité publique, de défense, de sûreté ou de répression pénale, le Gouvernement a tenu à ce qu'une même législation continue à embrasser, de façon cohérente, l'ensemble des traitements automatisés, toutes finalités confondues, même si, bien entendu, ces traitements de souveraineté font l'objet de règles particulières.
Ce projet de loi a connu, vous le savez, une longue maturation. Même si ces travaux préparatoires ont mis la France en délicatesse avec le délai de transposition qui lui était imparti, je constate qu'ils ont été très fructueux et ont permis de lever la plupart des controverses qui s'étaient initialement faites jour. Je veux saluer, à cette occasion, le remarquable rapport que le président Guy Braibant a remis au Gouvernement sur sa demande et qui a très largement inspiré le texte qui vous est aujourd'hui soumis. J'ajoute que la CNIL elle-même abondamment sollicitée a, jusqu'au bout, apporté sa contribution à l'élaboration de ce projet.
Du reste, le projet de loi conforte pleinement le rôle de la CNIL dont la composition est, à une exception près, inchangée mais je crois que nous aurons l'occasion de revenir, dans le débat, sur cette exception. Et ses pouvoirs sont substantiellement renforcés, je le préciserai dans un instant.
Pour présenter les grandes lignes de ce projet de loi, je partirai de l'idée - essentielle aux yeux du Gouvernement - de l'amélioration apportée à la protection des droits des personnes. Ce projet de loi a, en effet, a, en effet, pour ambition de rendre cette protection - et ce sera l'articulation de mes propos - plus lisible, mieux ciblée, plus effective et, enfin, mieux adaptée à la dimension internationale qui est aujourd'hui celle de la circulation des données.
1. Une protection plus lisible quant aux principes fondateurs dont elle s'inspire :
Tout d'abord, le projet de loi substitue à la notion d'informations nominatives la notion plus large de " données à caractère personnel " de manière à viser désormais toutes les données permettant l'identification d'une personne qu'il s'agisse de son nom, d'un numéro d'identification, de sa voix, de son image ou encore de ses empreintes génétiques.
Les principes de licéité de ces traitements automatisés de données personnelles sont désormais rassemblés dans les articles liminaires de la loi et ils précisent explicitement les conditions dégagées de la doctrine de la CNIL qui doivent être respectées quant à la légitimité des finalités, l'exactitude des données collectées et l'adéquation entre les premières et les secondes.
Surtout les droits des personnes sont renforcés. Je citerai trois exemples :
- Tout d'abord, il est créé une obligation d'information des intéressés en cas de collecte indirecte des données traitées, c'est-à-dire lorsque ces données ne sont pas recueillies par un questionnaire rempli directement par les personnes intéressées ;
- Ensuite, la loi du 6 janvier 1978 subordonnait le droit d'opposition à la justification de " raisons légitimes ". Désormais, s'agissant des données utilisées à des fins de prospection, notamment commerciale, ce droit d'opposition sera discrétionnaire et pourra être exercé sans perception de frais ;
- Enfin, dans le cas des traitements susceptibles de faire l'objet d'un droit d'accès indirect exercé par un membre de la CNIL pour le compte de la personne intéressée qui l'a saisie à cet effet - il s'agit, en particulier des fichiers intéressant la sûreté de l'Etat, la défense et la sécurité publique -, il est désormais prévu que l'intéressé pourra obtenir communication des données le concernant s'il est constaté que cette communication ne met pas en cause ces intérêts publics.
2. Une protection mieux ciblée :
La loi du 6 janvier 1978 reposait sur une distinction fondamentale entre les traitements publics soumis à un régime d'autorisation préalable et les traitements privés soumis à un simple régime de déclaration. Cette distinction repose sur une vision datée, je l'ai dit, de la dangerosité des fichiers informatiques. Bon nombre de traitements publics collectent des données anodines qui ne justifie pas un encadrement renforcé alors que de plus en plus de traitements mis en oeuvre par des opérateurs privés présentent des risques sérieux d'atteintes aux droits des personnes et notamment à la protection de la vie privée.
Désormais, c'est la finalité du traitement et la nature des données qu'il collecte qui détermineront le régime applicable, et notamment l'intervention préalable ou non de la CNIL, quelle que la soit la nature publique ou privée de la personne qui le constitue.
Le régime de droit commun est celui de la déclaration ; celle-ci sera, de surcroît, simplifiée pour les catégories les plus courantes de traitements répondant à des normes définies par la CNIL. La commission pourra même dispenser de toute déclaration les traitements les plus anodins. La déclaration, comme la délivrance de son récépissé, pourront être effectuées par voie électronique.
Huit catégories de traitements seront, en revanche, soumis à un régime d'autorisation préalable. Nous y reviendrons dans le détail, au cours de la discussion du texte. A titre d'exemple, je souhaiterais toutefois illustrer mon propos par des exemples concrets
- les traitements de données de santé connaissent un développement remarquable, à la fois quant à leur nombre et quant à la diversification de leurs finalités. Ce phénomène s'est accru par l'apparition sur l'internet de multiples sites dédiés à la santé, dans des conditions pas toujours licites et pas toujours sûres au regard de la protection de la confidentialité.
Le projet de loi procède en conséquence, moyennant certaines dérogations nécessaires pour permettre les traitements des professionnels de santé, à une inclusion des données relatives à la santé des personnes parmi les catégories de données dites sensibles, dont tout traitement nécessite un contrôle préalable ainsi qu'une autorisation ad hoc ;
- autre exemple : les traitements de données génétiques, lesquels comportent, ainsi que l'a souligné le rapport du président Braibant, des risques significatifs d'atteinte à l'identité et de discrimination.
Le projet de loi fait ainsi des traitements automatisés portant sur des données génétiques une catégorie spécifique de traitements soumis à la délivrance préalable d=une autorisation ;
- il en est de même des traitements de données biométriques, lorsqu'ils ont pour finalité un contrôle d'identité, phénomène souvent associé à la vidéosurveillance dont les prémisses se manifestent pour l'heure surtout au Royaume Uni et aux Etats-Unis ;
- dernier exemple : la multiplication des fichiers à finalité privée recensant des incidents de paiement ou destinés à lutter contre la fraude.
Sous le régime procédural actuel, la CNIL n'est pas en mesure de se livrer à un contrôle préalable de tels fichiers, dans la mesure où leur finalité privée les soumet à une simple formalité déclarative.
Des traitements automatisés de cette nature pourront être mieux appréhendés par le régime de contrôle préalable que se propose d'instaurer le projet de loi, puisque celui-ci soumet à un tel contrôle les traitements automatisés ayant pour finalité - je cite - " de sélectionner les personnes susceptibles de bénéficier d'un droit , d'une prestation ou d'un contrat alors que celles-ci ne sont exclues de ce bénéfice par aucune disposition légale ou réglementaire ".
Désormais donc, les fichiers publics seront soumis soit au droit commun du régime déclaratif, soit au régime d'autorisation de la CNIL s'ils appartiennent à l'une des huit catégories dont je viens d'évoquer quelques exemples.
Seuls les traitements dits de souveraineté c'est-à-dire les fichiers intéressant la sûreté de l'Etat, la défense, la sécurité publique ou la répression pénale, ainsi que les fichiers utilisant le numéro d'inscription au répertoire national d'identification des personnes physiques (le NIR) ou portant sur la quasi totalité de la population, seront autorisés par un acte réglementaire pris avis de la CNIL. Il ne sera plus exigé que cet avis soit conforme, comme c'est actuellement le cas pour les traitements de souveraineté, mais cet avis sera publié en même temps que le décret autorisant le traitement, de manière à ce que, le cas échéant, les observations ou les réserves de la Commission soient parfaitement connues.
3. Une protection dont l'effectivité est améliorée :
La CNIL sera désormais dotée de pouvoirs de contrôle a posteriori lui permettant de vérifier la conformité des traitements automatisé existants aux obligations prévues par la loi et, le cas échéant, de sanctionner la méconnaissance de ces obligations.
Aujourd'hui, si la CNIL dispose d'un pouvoir d'enquête, elle est dépourvue de tout moyen contraignant pour le mettre en oeuvre. De surcroît, ses constatations ne peuvent, le cas échéant, donner lieu qu'à un avertissement ou à une dénonciation au Parquet, si les faits identifiés sont constitutifs d'une infraction pénale.
Demain, la CNIL sera en mesure d'accéder à tout local professionnel servant à l'exploitation d'un fichier et aux matériels qu'il contient, sur autorisation judiciaire en cas d'opposition du propriétaire des lieux. Le cas échéant, elle pourra mettre en demeure le responsable du traitement de se conformer aux dispositions de la loi et prononcer des sanctions administratives, notamment pécuniaires d'un montant maximal de 150.000 euros (300.000 en cas de manquement réitéré).
De plus, en cas d'atteinte grave et immédiate aux droits dont la loi assure la protection, le président de la CNIL disposera d'un droit de saisir le juge selon une procédure d'urgence, en vue du prononcé de toute mesure nécessaire à la sauvegarde de ces droits. De même, sera-t-il avisé par le parquet des poursuites et procédures engagées par les juridictions pénales du chef d'atteinte aux droits de la personne résultant d'un traitement informatique.
Enfin, le projet de loi souhaite à encourager les bonnes pratiques de la part des responsables de traitement eux-mêmes ou des fabricants de matériels informatiques.
A cet effet, la CNIL se voit investie d'une nouvelle mission tenant à l'appréciation des règles déontologiques qui pourront lui être soumises par les organismes professionnels intéressés, voire à la labellisation, toujours à la demande de ces organismes, de logiciels ou de procédures techniques permettant de contribuer à la protection des usagers. Il est en effet essentiel que l'offre de plus en plus nombreuse de logiciels et de services dits de protection de la vie privée ne soit pas abandonnée à l'avenir à la seule logique du marché, mais qu'elle puisse faire l'objet d'une veille technologique de la part d'une autorité indépendante.
4. Une protection dont l'application est mieux adaptée à la dimension internationale qui est aujourd'hui celle de la circulation des données :
Les bases de données sont aujourd'hui transférables d'une manière quasi-instantanée d'un point à l'autre du globe. Cette dimension internationale des échanges était au coeur des préoccupations des auteurs de la directive. Pour assurer sa transposition, le projet de loi prévoit que le transfert de fichiers vers un pays n'appartenant pas à la Communauté européenne ne peut avoir lieu que si ce pays assure un niveau de protection adéquate de la vie privée et des libertés et droits fondamentaux des personnes, sauf exceptions dûment précisées.
Il appartient à la Commission européenne d'apprécier le niveau de protection offert par les Etats tiers. Le projet de loi prévoit, toutefois, que la CNIL peut enjoindre au responsable du traitement de suspendre un transfert de données vers un pays tiers si elle estime devoir saisir la Commission européenne d'une difficulté à ce sujet.
***
Pour clore cette brève présentation des grandes lignes du projet de loi, je souhaiterais insister sur le fait que les mutations technologiques de la société de l'information sont regardées avec suspicion par beaucoup de nos concitoyens. Le syndrome de Big brother est présent dans notre inconscient collectif, alimenté sans doute par des craintes irrationnelles nées de méconnaissances techniques mais aussi par l'existence de pratiques sauvages parfois aux marges de la légalité. Il nous appartient d'instaurer dans le monde virtuel un climat de confiance de niveau au moins équivalent à celui du monde réel, ce qui suppose de dissiper les suspicions infondées mais aussi de rappeler les acteurs de la société de l'information au respect d'un certain nombre de principes fondamentaux. Je crois sincèrement que ce projet de loi doit y contribuer.
(source http://www.justice.gouv.fr, le 31 janvier 2002)
Cette législation fête aujourd'hui son 24ème anniversaire. Elle a fait la preuve, tout au long de ce quasi quart de siècle, de sa pertinence et de son efficacité.
Et je voudrais ici rendre hommage aux présidents successifs de la CNIL ainsi qu'à tous ses membres car c'est d'abord grâce à leur compétence et à leur investissement que cette législation a ainsi fait ses preuves.
Le temps est, toutefois, venu non pas de la remettre en cause mais de la rénover en profondeur dans le respect même de ses principes fondateurs.
Deux changements de perspective justifient, à mon sens, la nécessité de cette modernisation.
1. En premier lieu, les risques induits par les fichiers informatiques ont changé de nature.
Pour des raisons historiques, le législateur de 1978 s'était surtout inquiété des menaces résultant des grands ordinateurs d'Etat sur lesquels il a concentré son attention. On s'en souvient, l'idée même de la loi est née de l'émotion considérable causée par la révélation d'un projet de fichier informatique, opportunément baptisé " SAFARI ", qui aurait permis de croiser toutes les informations détenues par les administrations publiques sur chaque citoyen.
Depuis, le développement des technologies a mis l'outil informatique à la disposition de tous et des dispositifs hier très sophistiqués et qui nécessitait une capacité technique et économique importante sont devenus d'usage courant pour la plupart des entreprises.
De surcroît, si, à la fin des années 1970, l'individu était " fiché " par la constitution délibérée d'un fichier structuré faisant l'objet d'une collecte de données spécifique, aujourd'hui la plupart d'entre nous sommes en situation d'être " fichés " du seul fait de la mise en oeuvre de technologies collectant automatiquement et traitant, sans que nous en ayons conscience, des données identifiantes constituant autant de traces de nos connexions, de nos consultations ou de nos transactions. La technologie des témoins de connexion, plus couramment appelé sous l'anglicisme de " cookies ", que l'internet a fait émerger, constitue un exemple particulièrement révélateur de ce phénomène. Nous aurons l'occasion d'y revenir dans le débat.
Un autre phénomène caractéristique des traitements rendus possibles sur les nouveaux réseaux de communication réside dans les possibilités de ciblage extrêmement poussé des profils individuels des consommateurs. De puissants moteurs de recherche permettent en effet d'opérer des croisements et des synthèses de fichiers qui n'étaient pas envisageables dans le cadre des technologies antérieures. Ainsi, les moyens d'interconnexion, réservés aux seules administrations il y a une vingtaine d'années, sont-ils dorénavant accessibles pour un coût limité à n'importe quel opérateur privé. La société de l'information est ainsi particulièrement exposée au développement de bases de données centralisant pour en faire commerce de multiples informations d'une nature souvent intrusive sur les comportements et les goûts individuels.
2 . Les intérêts en présence ont aussi également changé de nature.
La loi se doit toujours de trouver un point d'équilibre entre des exigences contradictoires. En 1978, c'est essentiellement au regard de la protection des intérêts publics - défense, sécurité, répression pénale ou encore établissement et recouvrement de l'impôt - que les droits fondamentaux en matière de protection des personnes étaient appréciés. Depuis, les problématiques se sont diversifiées et c'est également au regard de la liberté d'expression et de communication, ou encore de la liberté du commerce et de l'industrie que doivent désormais s'apprécier les équilibres à trouver.
A cet égard, la Commission européenne a proposé en 1990 la rédaction d'une directive harmonisant les règles applicables dans les différents Etats membres en matière de protection des personnes physiques vis-à-vis des traitements de données les concernant. Il n'était pas évident, a priori, que cette question relève de la compétence de la Communauté. Les textes pris dans le cadre du " premier pilier " ne traitent pas, en principe, des questions liées à la protection des libertés et de la vie privée. Mais la Commission avait le souci d'établir la libre circulation des données à caractère personnel, considérées en quelque sorte comme des marchandises, tout en sauvegardant les droits individuels auxquels cette libre circulation pourrait porter atteinte.
Cette approche a légitimement fait l'objet d'une controverse. Votre propre Assemblée, aux termes d'une résolution en date du 25 juin 1993, a souligné que l'objectif de la Communauté européenne ne pouvait - je cite - " justifier son intervention dans la réglementation des traitements de données à caractère personnel qu'à la condition que la réalisation de cet objectif ne nuise pas au haut degré de protection dont doivent bénéficier les personnes physiques à l'égard de ces traitements et encore moins assimiler ces traitements à de simples marchandises ".
Il me semble que votre préalable a été, en grande partie, satisfait. L'analyse du droit national et de la directive européenne démontre, en effet, que l'une et l'autre se fondent sur un corpus de principes communs, que l'on retrouve d'ailleurs dans les législations de nombreux Etats européens et dans les textes internationaux, comme ceux du Conseil de l'Europe, de l'OCDE ou des Nations-Unies.
Les principes fondamentaux de la loi de 1978 sont intégralement repris et même complétés par la directive et l'idée d'une autorité de contrôle indépendante a fait école.
La comparaison de la loi française et de la directive européenne révèle cependant deux différences principales que je cite pour mémoire, à ce stade de mon propos :
- la directive ne fait pas de distinction entre les traitements du secteur public et ceux du secteur privé ;
- la directive opère un glissement d'un régime de contrôle a priori vers un régime de contrôle a posteriori.
***
Le projet de loi qui vous est aujourd'hui présenté a ainsi pour premier objet d'assurer la transposition de cette directive en date du 24 octobre 1995.
Néanmoins, ainsi que je l'ai souligné dans mes propos introductifs, au-delà de cette transposition, ce texte vise à adapter le droit des fichiers informatiques aux progrès technologiques et aux réalités contemporaines, dans le respect des principes fondamentaux qu'avait posés la loi du 6 janvier 1978. En particulier, alors que la directive exclut de son champ d'application les traitements mis en oeuvre à des fins de sécurité publique, de défense, de sûreté ou de répression pénale, le Gouvernement a tenu à ce qu'une même législation continue à embrasser, de façon cohérente, l'ensemble des traitements automatisés, toutes finalités confondues, même si, bien entendu, ces traitements de souveraineté font l'objet de règles particulières.
Ce projet de loi a connu, vous le savez, une longue maturation. Même si ces travaux préparatoires ont mis la France en délicatesse avec le délai de transposition qui lui était imparti, je constate qu'ils ont été très fructueux et ont permis de lever la plupart des controverses qui s'étaient initialement faites jour. Je veux saluer, à cette occasion, le remarquable rapport que le président Guy Braibant a remis au Gouvernement sur sa demande et qui a très largement inspiré le texte qui vous est aujourd'hui soumis. J'ajoute que la CNIL elle-même abondamment sollicitée a, jusqu'au bout, apporté sa contribution à l'élaboration de ce projet.
Du reste, le projet de loi conforte pleinement le rôle de la CNIL dont la composition est, à une exception près, inchangée mais je crois que nous aurons l'occasion de revenir, dans le débat, sur cette exception. Et ses pouvoirs sont substantiellement renforcés, je le préciserai dans un instant.
Pour présenter les grandes lignes de ce projet de loi, je partirai de l'idée - essentielle aux yeux du Gouvernement - de l'amélioration apportée à la protection des droits des personnes. Ce projet de loi a, en effet, a, en effet, pour ambition de rendre cette protection - et ce sera l'articulation de mes propos - plus lisible, mieux ciblée, plus effective et, enfin, mieux adaptée à la dimension internationale qui est aujourd'hui celle de la circulation des données.
1. Une protection plus lisible quant aux principes fondateurs dont elle s'inspire :
Tout d'abord, le projet de loi substitue à la notion d'informations nominatives la notion plus large de " données à caractère personnel " de manière à viser désormais toutes les données permettant l'identification d'une personne qu'il s'agisse de son nom, d'un numéro d'identification, de sa voix, de son image ou encore de ses empreintes génétiques.
Les principes de licéité de ces traitements automatisés de données personnelles sont désormais rassemblés dans les articles liminaires de la loi et ils précisent explicitement les conditions dégagées de la doctrine de la CNIL qui doivent être respectées quant à la légitimité des finalités, l'exactitude des données collectées et l'adéquation entre les premières et les secondes.
Surtout les droits des personnes sont renforcés. Je citerai trois exemples :
- Tout d'abord, il est créé une obligation d'information des intéressés en cas de collecte indirecte des données traitées, c'est-à-dire lorsque ces données ne sont pas recueillies par un questionnaire rempli directement par les personnes intéressées ;
- Ensuite, la loi du 6 janvier 1978 subordonnait le droit d'opposition à la justification de " raisons légitimes ". Désormais, s'agissant des données utilisées à des fins de prospection, notamment commerciale, ce droit d'opposition sera discrétionnaire et pourra être exercé sans perception de frais ;
- Enfin, dans le cas des traitements susceptibles de faire l'objet d'un droit d'accès indirect exercé par un membre de la CNIL pour le compte de la personne intéressée qui l'a saisie à cet effet - il s'agit, en particulier des fichiers intéressant la sûreté de l'Etat, la défense et la sécurité publique -, il est désormais prévu que l'intéressé pourra obtenir communication des données le concernant s'il est constaté que cette communication ne met pas en cause ces intérêts publics.
2. Une protection mieux ciblée :
La loi du 6 janvier 1978 reposait sur une distinction fondamentale entre les traitements publics soumis à un régime d'autorisation préalable et les traitements privés soumis à un simple régime de déclaration. Cette distinction repose sur une vision datée, je l'ai dit, de la dangerosité des fichiers informatiques. Bon nombre de traitements publics collectent des données anodines qui ne justifie pas un encadrement renforcé alors que de plus en plus de traitements mis en oeuvre par des opérateurs privés présentent des risques sérieux d'atteintes aux droits des personnes et notamment à la protection de la vie privée.
Désormais, c'est la finalité du traitement et la nature des données qu'il collecte qui détermineront le régime applicable, et notamment l'intervention préalable ou non de la CNIL, quelle que la soit la nature publique ou privée de la personne qui le constitue.
Le régime de droit commun est celui de la déclaration ; celle-ci sera, de surcroît, simplifiée pour les catégories les plus courantes de traitements répondant à des normes définies par la CNIL. La commission pourra même dispenser de toute déclaration les traitements les plus anodins. La déclaration, comme la délivrance de son récépissé, pourront être effectuées par voie électronique.
Huit catégories de traitements seront, en revanche, soumis à un régime d'autorisation préalable. Nous y reviendrons dans le détail, au cours de la discussion du texte. A titre d'exemple, je souhaiterais toutefois illustrer mon propos par des exemples concrets
- les traitements de données de santé connaissent un développement remarquable, à la fois quant à leur nombre et quant à la diversification de leurs finalités. Ce phénomène s'est accru par l'apparition sur l'internet de multiples sites dédiés à la santé, dans des conditions pas toujours licites et pas toujours sûres au regard de la protection de la confidentialité.
Le projet de loi procède en conséquence, moyennant certaines dérogations nécessaires pour permettre les traitements des professionnels de santé, à une inclusion des données relatives à la santé des personnes parmi les catégories de données dites sensibles, dont tout traitement nécessite un contrôle préalable ainsi qu'une autorisation ad hoc ;
- autre exemple : les traitements de données génétiques, lesquels comportent, ainsi que l'a souligné le rapport du président Braibant, des risques significatifs d'atteinte à l'identité et de discrimination.
Le projet de loi fait ainsi des traitements automatisés portant sur des données génétiques une catégorie spécifique de traitements soumis à la délivrance préalable d=une autorisation ;
- il en est de même des traitements de données biométriques, lorsqu'ils ont pour finalité un contrôle d'identité, phénomène souvent associé à la vidéosurveillance dont les prémisses se manifestent pour l'heure surtout au Royaume Uni et aux Etats-Unis ;
- dernier exemple : la multiplication des fichiers à finalité privée recensant des incidents de paiement ou destinés à lutter contre la fraude.
Sous le régime procédural actuel, la CNIL n'est pas en mesure de se livrer à un contrôle préalable de tels fichiers, dans la mesure où leur finalité privée les soumet à une simple formalité déclarative.
Des traitements automatisés de cette nature pourront être mieux appréhendés par le régime de contrôle préalable que se propose d'instaurer le projet de loi, puisque celui-ci soumet à un tel contrôle les traitements automatisés ayant pour finalité - je cite - " de sélectionner les personnes susceptibles de bénéficier d'un droit , d'une prestation ou d'un contrat alors que celles-ci ne sont exclues de ce bénéfice par aucune disposition légale ou réglementaire ".
Désormais donc, les fichiers publics seront soumis soit au droit commun du régime déclaratif, soit au régime d'autorisation de la CNIL s'ils appartiennent à l'une des huit catégories dont je viens d'évoquer quelques exemples.
Seuls les traitements dits de souveraineté c'est-à-dire les fichiers intéressant la sûreté de l'Etat, la défense, la sécurité publique ou la répression pénale, ainsi que les fichiers utilisant le numéro d'inscription au répertoire national d'identification des personnes physiques (le NIR) ou portant sur la quasi totalité de la population, seront autorisés par un acte réglementaire pris avis de la CNIL. Il ne sera plus exigé que cet avis soit conforme, comme c'est actuellement le cas pour les traitements de souveraineté, mais cet avis sera publié en même temps que le décret autorisant le traitement, de manière à ce que, le cas échéant, les observations ou les réserves de la Commission soient parfaitement connues.
3. Une protection dont l'effectivité est améliorée :
La CNIL sera désormais dotée de pouvoirs de contrôle a posteriori lui permettant de vérifier la conformité des traitements automatisé existants aux obligations prévues par la loi et, le cas échéant, de sanctionner la méconnaissance de ces obligations.
Aujourd'hui, si la CNIL dispose d'un pouvoir d'enquête, elle est dépourvue de tout moyen contraignant pour le mettre en oeuvre. De surcroît, ses constatations ne peuvent, le cas échéant, donner lieu qu'à un avertissement ou à une dénonciation au Parquet, si les faits identifiés sont constitutifs d'une infraction pénale.
Demain, la CNIL sera en mesure d'accéder à tout local professionnel servant à l'exploitation d'un fichier et aux matériels qu'il contient, sur autorisation judiciaire en cas d'opposition du propriétaire des lieux. Le cas échéant, elle pourra mettre en demeure le responsable du traitement de se conformer aux dispositions de la loi et prononcer des sanctions administratives, notamment pécuniaires d'un montant maximal de 150.000 euros (300.000 en cas de manquement réitéré).
De plus, en cas d'atteinte grave et immédiate aux droits dont la loi assure la protection, le président de la CNIL disposera d'un droit de saisir le juge selon une procédure d'urgence, en vue du prononcé de toute mesure nécessaire à la sauvegarde de ces droits. De même, sera-t-il avisé par le parquet des poursuites et procédures engagées par les juridictions pénales du chef d'atteinte aux droits de la personne résultant d'un traitement informatique.
Enfin, le projet de loi souhaite à encourager les bonnes pratiques de la part des responsables de traitement eux-mêmes ou des fabricants de matériels informatiques.
A cet effet, la CNIL se voit investie d'une nouvelle mission tenant à l'appréciation des règles déontologiques qui pourront lui être soumises par les organismes professionnels intéressés, voire à la labellisation, toujours à la demande de ces organismes, de logiciels ou de procédures techniques permettant de contribuer à la protection des usagers. Il est en effet essentiel que l'offre de plus en plus nombreuse de logiciels et de services dits de protection de la vie privée ne soit pas abandonnée à l'avenir à la seule logique du marché, mais qu'elle puisse faire l'objet d'une veille technologique de la part d'une autorité indépendante.
4. Une protection dont l'application est mieux adaptée à la dimension internationale qui est aujourd'hui celle de la circulation des données :
Les bases de données sont aujourd'hui transférables d'une manière quasi-instantanée d'un point à l'autre du globe. Cette dimension internationale des échanges était au coeur des préoccupations des auteurs de la directive. Pour assurer sa transposition, le projet de loi prévoit que le transfert de fichiers vers un pays n'appartenant pas à la Communauté européenne ne peut avoir lieu que si ce pays assure un niveau de protection adéquate de la vie privée et des libertés et droits fondamentaux des personnes, sauf exceptions dûment précisées.
Il appartient à la Commission européenne d'apprécier le niveau de protection offert par les Etats tiers. Le projet de loi prévoit, toutefois, que la CNIL peut enjoindre au responsable du traitement de suspendre un transfert de données vers un pays tiers si elle estime devoir saisir la Commission européenne d'une difficulté à ce sujet.
***
Pour clore cette brève présentation des grandes lignes du projet de loi, je souhaiterais insister sur le fait que les mutations technologiques de la société de l'information sont regardées avec suspicion par beaucoup de nos concitoyens. Le syndrome de Big brother est présent dans notre inconscient collectif, alimenté sans doute par des craintes irrationnelles nées de méconnaissances techniques mais aussi par l'existence de pratiques sauvages parfois aux marges de la légalité. Il nous appartient d'instaurer dans le monde virtuel un climat de confiance de niveau au moins équivalent à celui du monde réel, ce qui suppose de dissiper les suspicions infondées mais aussi de rappeler les acteurs de la société de l'information au respect d'un certain nombre de principes fondamentaux. Je crois sincèrement que ce projet de loi doit y contribuer.
(source http://www.justice.gouv.fr, le 31 janvier 2002)