EXPOSÉ GÉNÉRAL

Mesdames, Messieurs,

La France a été l'un des premiers Etats à introduire dans sa législation des dispositions protégeant les personnes physiques contre les risques induits par l'informatique sur leur vie privée.

Tout d'abord, cette menace a été perçue comme susceptible de provenir d'un Etat-Léviathan. La loi du 6 janvier 1978 a donc distingué les traitements publics réputés plus dangereux et les traitements privés bénéficiant d'une présomption d'innocuité, cette distinction organique étant tempérée par une distinction matérielle entre traitements de données sensibles et traitements courants ne comportant manifestement pas d'atteinte aux libertés.

Cette perspective a désormais évolué. Le développement de l'informatique dans les entreprises a conduit à une diversification des risques, encore décuplée par le développement d'Internet. L'Etat n'est désormais plus le seul à pouvoir opérer des recoupements et des interconnexions susceptibles de porter atteinte à la vie privée des personnes physiques.

Entre-temps, l'approche normative a évolué, notamment sous l'influence des organisations internationales, conscientes de la valeur marchande de ces données. Elle est ainsi passée de la protection de la vie privée à la promotion de la libre-circulation et de la commercialisation des informations nominatives.

La directive 95/46 CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données a pour sa part tenté de concilier avec pragmatisme ces deux intérêts.

S'inspirant fortement de la loi du 6 janvier 1978, longtemps considérée comme un modèle en Europe, elle s'adapte néanmoins aux évolutions technologiques intervenues ces dernières décennies.

Le présent projet de loi, adopté le 30 janvier 2002 en première lecture à l'Assemblée nationale, en assure donc -avec près de cinq ans de retard- la transposition.

I. LE RÔLE PRÉCURSEUR MAIS DÉSORMAIS APPELÉ À ÉVOLUER DE LA LOI INFORMATIQUE ET LIBERTÉS

A. UNE INITIATIVE INNOVANTE : LA LOI DU 6 JANVIER 1978

Dès la fin des années soixante, des chercheurs mettent en avant les risques sur les libertés publiques du développement de l'informatique, notamment dans les administrations publiques.

Le Land de Hesse en 1970, puis la Suède en 1976, se dotent d'une législation spécifique. En janvier 1974, les Etats-Unis adoptent un Privacy Act limité aux fichiers détenus par les administrations fédérales et prévoyant un droit d'accès pour les citoyens.

En France, la prise de conscience intervient en 1974 avec la révélation au public ^{1 ( * )} des projets d'élaboration d'un « Système automatisé des fichiers administratifs et du répertoire des individus » (SAFARI), prévoyant une interconnexion des fichiers publics (dont les renseignements généraux, la direction de la sécurité du territoire et la police judiciaire) à partir d'un identifiant unique, le numéro de sécurité sociale.

Une commission présidée par M. Chenot fut alors chargée de proposer des mesures tendant à concilier le développement de l'informatique dans les secteurs public, semi-public et privé et le respect de la vie privée, des libertés individuelles et des libertés publiques. Son rapport, rédigé par MM. Bernard Tricot et le professeur Pierre Catala, remis en juin 1975, inspira la loi du 6 janvier 1978.

Dès son article 1 ^er , elle proclame que « L'informatique doit être au service de chaque citoyen. (...) Elle ne doit porter atteinte ni à l'identité humaine, ni aux droits de l'homme, ni à la vie privée, ni aux libertés individuelles ou publiques ».

Ce principe de protection de la vie privée implique le caractère uniquement fonctionnel de tout traitement automatisé.

1. Des traitements d'informations nominatives en principe autorisés, mais fortement encadrés

a) Un champ d'application étendu

La loi du 6 janvier 1978 régit la collecte et l'utilisation des informations nominatives , définies à l'article 4 comme permettant d'identifier, directement ou indirectement, des personnes physiques.

Elle exclut les traitements dont l'usage relève du strict exercice du droit à la vie privée (article 45), mais s'applique aux :

- traitements automatisés , quelle que soit la technique utilisée, définis à l'article 5 comme : « tout ensemble d'opérations réalisées par les moyens automatiques, relatif à la collecte, l'enregistrement, l'élaboration, la modification, la conservation et la destruction d'informations nominatives ainsi que tout ensemble d'opérations de même nature se rapportant à l'exploitation des fichiers ou bases de données et notamment les interconnexions et rapprochements, consultations ou communications d'informations nominatives » ;

- « fichiers manuels ou mécanographiques », inclus à l'initiative du Parlement, mais soumis uniquement à certaines dispositions de la loi (notamment celles relatives à la collecte, l'enregistrement et la conservation des informations, ainsi qu'au droit d'accès ou d'opposition), à l'exclusion de certaines obligations telles que les formalités préalables à la mise en oeuvre. Le quatrième alinéa de l'article 45 permet d'étendre le champ des dispositions leur étant applicables par décret en Conseil d'Etat sur proposition de la CNIL, mais cette disposition n'a jamais été appliquée.

b) Des formalités préalables à la mise en oeuvre des traitements reposant sur une distinction organique

Tout traitement automatisé d'informations nominatives doit faire l'objet, avant sa mise en oeuvre, d'une demande d'avis ou d'une déclaration auprès de la CNIL.

La loi du 6 janvier 1978 prévoit des formalités préalables différentes selon la nature du responsable du traitement :

- les traitements automatisés d'informations nominatives opérés pour le compte de l'Etat, des établissements publics, des collectivités territoriales et des personnes morales de droit privé gérant un service public sont présumés dangereux et requièrent donc un avis de la CNIL, puis un acte réglementaire d'autorisation . Cet avis est réputé favorable au terme d'un délai de deux mois, renouvelable une fois. S'il est défavorable, il ne peut être passé outre que par un décret pris sur avis conforme du Conseil d'Etat ou, s'agissant des collectivités territoriales, en vertu d'une décision de l'organe délibérant approuvée par décret pris sur avis conforme du Conseil d'Etat (article 15) ;

- en revanche, les traitements des autres personnes morales (notamment les sociétés civiles ou commerciales et les associations) sont soumis à un simple régime de déclaration associé à un engagement de conformité du traitement aux exigences de la loi (article 16).

La création de traitements automatisés « clandestins » est réprimé par l'article 226-16 du code pénal.

c) Une ébauche de distinction matérielle

La loi établit une seconde distinction, matérielle cette fois , entre les données, en prévoyant que les formalités pourront être allégées pour « les catégories les plus courantes de traitements à caractère public ou privé, qui ne comportent manifestement pas d'atteinte à la vie privée ou aux libertés » , une simple déclaration de conformité aux normes simplifiées élaborées par la CNIL étant alors exigée (article 17).

Au contraire, certaines données nominatives, dites sensibles , font l'objet d'une réglementation spécifique :

- la mise en oeuvre de traitements d'informations relatives aux origines raciales, opinions politiques, philosophiques ou religieuses, appartenances syndicales ou moeurs est subordonnée au consentement exprès de l'intéressé ou à l'existence d'un motif d'intérêt public sur proposition ou avis conforme de la CNIL après décret en Conseil d'Etat (article 31) ;

- l'utilisation à des fins de traitement nominatif du numéro de sécurité sociale est soumise à autorisation par décret en Conseil d'Etat, après avis de la CNIL (article 18) ;

- les informations sur les condamnations pénales ne peuvent être utilisées que par des juridictions et autorités publiques agissant dans le cadre de leurs attributions légales ou par des personnes morales gérant un service public sur avis conforme de la CNIL (article 30) ;

- les données médicales, bien que ne constituant pas des données sensibles interdites, sont soumises à des régimes particuliers (chapitres V bis en matière de recherche et V ter en matière d'évaluation et d'analyse des activités de soins et de prévention).

Le non-respect de ces dispositions est puni de cinq ans d'emprisonnement et 300.000 euros d'amende. Des dérogations sont prévues au bénéfice des églises ou des groupements à caractère religieux, philosophique, politique ou syndical (article 31) et des organismes de la presse écrite ou audiovisuelle (article 33).

d) Une protection des personnes fondée sur la transparence

A l'exception des données sensibles, et sous réserve des formalités déclaratives préalables, la collecte et le traitement d'informations nominatives sont libres. Toutefois, la collecte des données par des moyens frauduleux, déloyaux ou illicites est interdite (article 25), et réprimée pénalement (article 226-18 du code pénal).

La loi impose aux responsables de traitements nominatifs de préciser dans leurs déclarations et demandes d'avis certaines informations, qui permettront ensuite aux personnes concernées d'exercer leur droit d'accès et d'opposition ^{2 ( * )} .

Elaborée au cours de la même période que les lois instituant une Commission d'accès aux documents administratifs et érigeant en principe la motivation des actes administratifs individuels, la loi repose donc sur le principe de transparence, qui se décline en droits d'accès, d'opposition, de communication ou de rectification pour la personne concernée.

Les personnes concernées doivent être informées de leur :

- droit d'accès : toute personne a le droit de savoir si des informations nominatives la concernant figurent dans un traitement et d'en obtenir communication (articles 34 et 35). Néanmoins, s'agissant des traitements intéressant la sûreté de l'Etat, la défense et la sécurité publique, l'intéressé doit s'adresser à la CNIL, l'un de ses membres ayant qualité de magistrat exerçant alors ce droit pour son compte (article 39) ;

- droit de rectification : la personne peut exiger que soient rectifiées, complétées, clarifiées, mises à jour ou effacées les informations erronées ou illégalement enregistrées la concernant (article 36), et les responsables doivent garantir la qualité des données collectées (article 29) ;

- droit d'opposition : toute personne physique peut s'opposer, pour des « raisons légitimes », à ce que des informations nominatives la concernant fassent l'objet d'un traitement, à l'exception de ceux mis en oeuvre par les autorités publiques ou par les personnes privées gérant un service public (article 26), le déni de ce droit étant pénalement réprimé (article 226-18 du code pénal). Néanmoins, la collecte d'informations nominatives est libre et non subordonnée au consentement de la personne.

e) Des obligations a posteriori en pratique souvent réduites pour les responsables

La loi du 6 janvier 1978 prévoit un certain nombre d'obligations pour le responsable de traitement, mais leur application s'est en pratique révélée difficile.

Tout d'abord, le responsable doit informer la CNIL de l'évolution du traitement par le biais d'une déclaration de modification ou de suppression. En effet, si la loi ne fait pas expressément mention d'un principe de finalité, le détournement de finalité d'un traitement d'informations nominatives est passible de cinq ans d'emprisonnement et de 300.000 euros d'amende (article 226-21 du code pénal).

En outre, la durée de conservation des informations ne peut excéder « la durée nécessaire à la réalisation des finalités pour lesquelles elles ont été collectées ou traitées » (article 28), mis à part pour des traitements à des fins historiques, statistiques ou scientifiques. Ceci constitue donc un « droit à l'oubli » pour les personnes concernées.

De même, la cession d'informations nominatives à des tiers (sous forme de rapprochements ou d'interconnexions) doit être prévue dans la déclaration initiale ou avoir fait l'objet d'un avis de modification. Le respect de cette obligation est particulièrement important, la commercialisation des fichiers représentant désormais un marché énorme. L'acquéreur est tenu de respecter les dispositions de la loi du 6 janvier 1978 (notamment les droits d'opposition, d'accès et de rectification des personnes concernées).

Par ailleurs, les responsables de traitements doivent assurer la sécurité et la confidentialité des traitements (article 29) ^{3 ( * )} , le non-respect de cette obligation de précaution étant puni pénalement (article 226-17 du code pénal).

Enfin, la transmission des informations vers l'étranger est possible, sous réserve d'être mentionnée dans la déclaration initiale ou la demande d'avis. Si l'article 24 de la loi prévoit que le transfert de certains traitements soumis à déclaration peut être assujetti à un régime particulier, y compris d'autorisation préalable, le décret en Conseil d'Etat prévu à cet effet n'a jamais été publié.

2. Une autorité de contrôle innovante mais principalement tournée vers le contrôle formel a priori

La Commission nationale de l'informatique et des libertés (CNIL) a été la première instance de contrôle qualifiée de « autorité administrative indépendante » créée.

Elle compte dix-sept membres nommés pour cinq ans ou pour la durée de leur mandat : deux députés et deux sénateurs élus par l'Assemblée nationale et le Sénat ; deux membres, respectivement du Conseil économique et social, du Conseil d'Etat, de la Cour de cassation et de la Cour des comptes ; deux personnalités qualifiées nommées par décret sur proposition des présidents des assemblées parlementaires ; trois personnalités désignées par décret en Conseil des ministres en raison de leur autorité et de leur compétence. Elle élit en son sein pour cinq ans un président et deux vice-présidents (article 8). Un commissaire du Gouvernement chargé de tenir informé le Premier ministre siège auprès d'elle, avec pour seul pouvoir de convoquer une seconde délibération dans les dix jours d'une délibération (article 9).

La CNIL est chargée de « veiller au respect des dispositions de la présente loi, notamment en informant toutes les personnes concernées de leurs droits et obligations, en se concertant avec elles et en contrôlant les applications de l'informatique aux traitements des informations nominatives » (article 6).

a) Une mission d'information reconnue mais une vocation de conseil à affirmer

La CNIL a tout d'abord contribué à sensibiliser le grand public aux risques induits par le développement de l'informatique et des nouvelles technologies de l'information et de la communication ^{4 ( * )} .

Elle tient ainsi à la disposition du public le registre des traitements déclarés avec leurs principales caractéristiques, ainsi que ses décisions, avis ou recommandations (article 22), à l'exception de certains traitements intéressant la sûreté de l'Etat, la défense et la sécurité publique (article 20). Elle a par ailleurs développé une politique très active de communication par l'intermédiaire de son site Internet, créé en 1998, et qui a accueilli en 2001 900.000 visiteurs.

En outre, elle joue un rôle de conseil auprès des personnes et organismes mettant en oeuvre des traitements automatisés d'informations nominatives ou désireux de le faire (article 1 ^er du décret n° 78-774 du 17 juillet 1978). Depuis 1978, elle a ainsi reçu plus de 11.500 demandes de conseil. En 2001, les secteurs d'activité ayant suscité le plus de demandes étaient par ordre décroissant le travail, la santé, l'immobilier et la fiscalité. Les demandes de conseil portent le plus fréquemment sur les formalités préalables à la mise en oeuvre des fichiers ^{5 ( * )} .

Enfin, elle remet chaque année au président de la République ainsi qu'aux présidents des assemblées parlementaires un rapport d'activité (article 23).

b) Un contrôle encore essentiellement formel et a priori

La CNIL exerce un contrôle formel sur les déclarations portant sur la mise en oeuvre des traitements automatisés, plus appuyé s'agissant des demandes d'avis .

Par ailleurs, elle peut procéder à des vérifications sur place des conditions de mise en oeuvre d'un traitement. La commission peut se faire communiquer tout renseignement et complément utile à sa mission, recueillir des témoignages et lever l'obligation de confidentialité des informaticiens (article 13). Aucun responsable de traitement, même ministre, ne peut s'opposer à son action. Il doit au contraire prendre toutes mesures utiles afin de faciliter sa tâche (article 21). Le délit d'entrave à l'action de la CNIL est passible d'un an d'emprisonnement et de 15.000 francs d'amende (article 43).

En 2001, la CNIL a procédé à une trentaine de contrôles sur place et à deux auditions en séance plénière.

Elle reçoit également les réclamations, pétitions et plaintes, adresse des avertissements et dénonce au parquet les infractions dont elle a connaissance (article 21).

La CNIL a reçu depuis 1978 plus de 36.200 plaintes (au 31 décembre 2001). Les secteurs d'activité ayant suscité en 2001 le plus grand nombre de plaintes étaient, par ordre décroissant, la prospection commerciale, la banque, le travail et les télécommunications. Les plaintes concernent le plus fréquemment l'exercice des droits, et plus particulièrement du droit d'opposition à figurer dans un traitement ou à faire l'objet de prospection commerciale, mais également l'exercice du droit d'accès aux données.

En 2001, la CNIL n'a délivré aucun avertissement, ce qui maintient à 47 le nombre d'avertissements émis depuis 1978. En revanche, la CNIL a transmis à la justice une affaire de divulgation sur Internet d'informations sensibles, ce qui porte à 18 le nombre de dénonciations au parquet effectuées.

Le nombre de dossiers reçus et traités par la CNIL en 2002 par rapport à celui de 1995 a augmenté de 135 %, alors que dans le même temps, les effectifs budgétaires de la CNIL n'augmentaient que de 35 %, pour passer de 55 à 74 agents. L'autorité britannique, aux compétences moins étendues, comprend déjà 110 personnes et l'autorité allemande plus de 250 personnes.

Or, le présent projet de loi va nécessiter des moyens accrus, du fait de l'augmentation attendue des contrôles sur place.

De même, la CNIL ne dispose que d'un budget de 6,724 millions d'euros pour 2003, les dépenses de personnel en représentant les deux tiers.

c) Un pouvoir réglementaire intéressant

La CNIL peut, outre l'établissement de son règlement intérieur (article 8) :

- élaborer des normes simplifiées pour les catégories les plus courantes de traitements ne comportant manifestement pas d'atteinte à la vie privée ou aux libertés (article 17). Au 31 décembre 2001, le nombre de traitements enregistrés par la CNIL depuis 1978 était de plus de 800.000, dont 67,5 % déclarés selon une procédure simplifiée ;

- définir des règlements types tendant à assurer la sécurité des systèmes (article 21). Elle n'a usé de cette compétence qu'une seule fois (délibération n° 81-94 du 21 juillet 1981).

La loi du 6 janvier 1978 a donc eu une action très positive. Elle doit cependant aujourd'hui être remaniée, du fait de l'évolution technologique et de l'adoption d'une directive communautaire.

* ¹ Par un article paru dans le journal « Le Monde » du 21 mars 1974 et intitulé « SAFARI ou la chasse aux Français ».

* ² Le nom du responsable, les caractéristiques et la « finalité » du traitement, le service chargé de sa mise en oeuvre, les catégories de personnes ayant accès aux informations, le caractère obligatoire ou facultatif des réponses, les conséquences d'un défaut de réponse, la liste des personnes physiques ou morales destinataires des informations, les dispositions prises pour assurer la sécurité du dispositif, les transferts éventuels de données vers l'étranger.

* ³ Le degré de sécurité est examiné lors de la déclaration du traitement, ainsi qu'à l'occasion des contrôles sur place effectués par la CNIL, qui adresse d'ailleurs régulièrement des avertissements.

* ⁴ Encore récemment s'agissant de son très remarqué rapport relatif à la cybersurveillance au travail.

* ⁵ Données extraites du 22 ^ème rapport d'activité de la CNIL 2001.