Projet de loi relatif à la protection des personnes physiques à l'égard des traitements de données à caractère personnel

¹ Par un article paru dans le journal « Le Monde » du 21 mars 1974 et intitulé « SAFARI ou la chasse aux Français ».

² Le nom du responsable, les caractéristiques et la « finalité » du traitement, le service chargé de sa mise en oeuvre, les catégories de personnes ayant accès aux informations, le caractère obligatoire ou facultatif des réponses, les conséquences d'un défaut de réponse, la liste des personnes physiques ou morales destinataires des informations, les dispositions prises pour assurer la sécurité du dispositif, les transferts éventuels de données vers l'étranger.

³ Le degré de sécurité est examiné lors de la déclaration du traitement, ainsi qu'à l'occasion des contrôles sur place effectués par la CNIL, qui adresse d'ailleurs régulièrement des avertissements.

⁴ Encore récemment s'agissant de son très remarqué rapport relatif à la cybersurveillance au travail.

⁵ Données extraites du 22 ^ème rapport d'activité de la CNIL 2001.

⁶ Le rapport de M. Guy Braibant au Premier ministre « Données et personnelles et société de l'information » soulignait en effet que nul n'est en mesure d'estimer précisément le nombre de traitements automatisés d'informations nominatives : « La CNIL en a enregistré 500.000 environ. Encore ce chiffre doit-il être minoré d'environ 20 %, pour tenir compte des traitements qui ont disparu sans que leur suppression ait été déclarée. De toute façon, le nombre actuel de traitements en fonctionnement est sans commune mesure avec celui des traitements déclarés ou autorisés. Trois millions d'entreprises sont dotées d'un ou plusieurs traitements, parfois des centaines ... Au total, et même en tenant compte des traitements dispensés de déclaration, on peut avancer sans grand risque d'exagération que quelques millions de traitements ont échappé » au contrôle de la CNIL.

⁷ une trentaine, certains fichiers et traitements relevant par nature du domaine de la loi. Certains de ces textes constituent à eux seuls une loi, comme celles de 1980 sur le casier judiciaire, de 1990 sur les permis de conduire, de 1994 sur les recherches en matière de santé ou alors ne sont que l'une de ces dispositions d'ordre social ou financier qui coexistent dans une loi fourre-tout. Parfois, ces dispositions sont introduites dans des codes, comme ceux de la santé publique, de la sécurité sociale ou du travail ou viennent modifier un texte ancien, comme le décret-loi du 30 octobre 1935 sur les chèques.

⁸ Résolution n° 45/95 du 14 décembre 1990.

⁹ Le Conseil d'Etat est intervenu sur la base des circulaires du Premier ministre de 1992 et 1993 exprimant la volonté du Gouvernement de l'associer à la préparation du droit communautaire.

¹⁰ Données personnelles et société de l'information, rapport au Premier ministre de M. Guy Braibant, la documentation française, 2 ^ème trimestre 1998.

¹¹ dont le Conseil constitutionnel a fait une première application dans sa décision du 20 janvier 1984 relative aux libertés universitaires et qui fut constamment réaffirmée par la suite (par exemple décision du Conseil constitutionnel 210 DC du 29 juillet 1986 relative au statut des entreprises de presse).

¹² Rapport public du Conseil d'Etat 1998 : « Pour une meilleure transparence de l'administration, étude sur l'accès des citoyens aux données publiques ».

¹³ L'article 182 B du code général des impôts parle ainsi de « l'installation permanente » de l'entreprise, l'article 1470 du même code parlant de « l'installation fixe » d'un contribuable.

¹⁴ La déclaration prévoit que le génome humain en son état naturel ne peut donner lieu à des gains pécuniaires ; qu'une recherche, un traitement ou un diagnostic portant sur le génome humain nécessite le consentement préalable, libre et éclairé de l'intéressé ; que nul ne doit faire l'objet de discriminations fondées sur ses caractéristiques génétiques ; que la confidentialité des données génétiques associées à une personne identifiable, conservées ou traitées à des fins de recherche ou dans tout autre but, doit être protégé ; que les limitations aux principes du consentement et de la confidentialité ne peuvent être apportées que par la loi, pour des raisons impérieuses et dans les limites du droit international public et du droit international des droits de l'homme.

¹⁵ décret n° 78-774 du 17 juillet 1978

¹⁶ Avis de la CNIL du 26 septembre 2000 relatif à l'avant projet de loi sur la protection des données personnelles.

¹⁷ en vertu de la loi organique n° 2001-692 du 1 ^er août 2001 relative aux lois de finances.

¹⁸ On distingue différents types d'autorités de contrôle : le modèle du commissaire à la protection des données -Allemagne, Luxembourg, Royaume-Uni-, le modèle de l'autorité collégiale, composée de magistrats, de parlementaires et d'autres personnalités - Italie, Portugal, Grèce, Danemark - et le modèle de la commission représentative - Suède, Espagne-.

¹⁹ Article 26 du règlement de l'Assemblée nationale et article 9 du règlement du Sénat

²⁰ Cette disposition unifie le régime des députés et sénateurs puisqu'actuellement les sénateurs sont désignés membres de la CNIL non pas pour cinq ans, ni même après chaque renouvellement triennal du Sénat, mais pour la durée de leur mandat de sénateur, soit neuf ans.

²¹ Délibération n° 87-25 du 10 février 1987 modifiée à plusieurs reprises par les délibérations n° 92-087 du 22 septembre 1992, n° 93-048 du 8 juin 1993 et n° 99-43 du 9 septembre 1999.

²² S'agissant des données dites sensibles, des données génétiques, des données portant sur des infractions, des condamnations ou des mesures de sûreté, des données ayant pour objet de sélectionner les personnes susceptibles de bénéficier d'un droit, d'une prestation ou d'un contrat, des traitements ayant pour but l'interconnexion de fichiers, des données sur lesquelles figure le numéro d'inscription des personnes au répertoire national d'identification des personnes physiques, ainsi que les appréciations sur les difficultés sociales des personnes et les données biométriques.

²³ Loi n° 94-126 du 11 février 1994 relative à l'initiative et à l'entreprise individuelle.

²⁴ Par exemple la délibération n° 94-112 du 20 décembre 1994 (JO du 3 janvier 1995) portant adoption d'une norme simplifiée concernant les traitements automatisés d'informations nominatives mis en oeuvre à l'aide d'autocommutateurs téléphoniques desservant des postes téléphoniques mis à la disposition de la clientèle contre facturation.

²⁵ « Le nombre de traitements automatisés de données personnelles s'élève en France à plusieurs millions. Il ne serait pas raisonnable d'imposer à leurs responsables de les déclarer tous ni de submerger l'autorité de contrôle sous une marée de documents inutiles. Certains ont exprimé le voeu d'une déclaration obligatoire de tous les traitements afin de faire de l'autorité de contrôle un conservatoire. Mais il vaut beaucoup mieux, dans l'intérêt même des libertés et des droits de l'homme, qu'elle consacre ses efforts à la surveillance efficace des traitements réellement ou potentiellement dangereux ».

²⁶ pages 115 et 116.

²⁷ Avis de la CNIL du 26 septembre 2000.

²⁸ Celui-ci soulignait qu'en cas d'avis défavorable de la CNIL, « les gouvernements hésitaient à faire en quelque sorte « appel » de la CNIL au Conseil d'Etat et à se trouver ainsi enfermés entre deux avis d'autorités qui dans les deux cas et de façon inhabituelle dans notre droit, le lient ; ils préfèrent continuer à négocier avec la CNIL pour aboutir à un compromis hypothétique ».

²⁹ dont la loi n° 2000-230 du 13 mars 2000 relative à la signature électronique a pour l'essentiel assuré la transposition en droit interne.

³⁰ Article 5 ter de l'ordonnance n° 67-833 du 28 septembre 1967 modifiée par la loi n° 89-531 du 2 août 1989.

³¹ en vertu de l'article L. 621-12 du code monétaire et financier.

³² Décisions 88-248 DC du 17 janvier 1989 sur le Conseil supérieur de l'audiovisuel, 89-260 DC du 28 juillet 1989 sur la Commission des opérations de bourse, 96-378 DC du 23 juillet 1996 sur l'Autorité de régulation des télécommunications et 97-395 DC sur la loi de finances pour 1998.

³³ Notamment la décision du 23 octobre 1995, Gradinger c/ Autriche.

³⁴ L'arrêt Kress contre France de la Cour européenne des droits de l'Homme du 7 juin 2001 a considéré que la présence du commissaire du Gouvernement auprès du Conseil d'Etat au délibéré constituait une violation de l'article 6§1 relatif au droit à un procès équitable.

³⁵ Délibération n° 97-008 du 4 février 1997

³⁶ Délibération n° 01-011 du 8 mars 2001

³⁷ Loi n° 94-548 du 1 ^er juillet 1994 relative au traitement de données nominatives ayant pour fin la recherche dans le domaine de la santé.

³⁸ Loi n° 99-641 du 27 juillet 1999 relative à la création de la couverture maladie universelle.

³⁹ Par sa décision n° 94-352 DC du 18 janvier 1995 relative à la loi de programmation sur la sécurité, le Conseil constitutionnel avait considéré à propos de la demande d'autorisation prévue auprès du préfet pour la mise en place de systèmes de vidéosurveillance qu'elle devait être expresse, s'agissant d'un domaine touchant aux libertés individuelles et publiques.

⁴⁰ Délibération n° 95-012 du 24 janvier 1995 portant recommandation relative aux données personnelles traitées ou utilisées par des organismes de la presse écrite ou audiovisuelle à des fins journalistiques et rédactionnelles.

⁴¹ Le groupe de protection des personnes à l'égard du traitement des données à caractère personnel créé par l'article 29 de la directive avait recommandé le 25 février 1997 le respect du principe de proportionnalité dans l'octroi des dérogations - notamment en fonction des garanties accordées aux personnes par la législation sur la presse- et une limitation des dérogations et exemptions aux traitements de données à des fins de journalisme, aucune dérogation ne pouvant être prévue au chapitre III (recours juridictionnel, responsabilité, sanctions).

⁴² « L'abaissement des sanctions ne parait pas justifié. Une telle initiative pourrait de surcroît altérer l'esprit de la réforme : la protection des données personnelles et de la vie privée n'a pas une moindre valeur aujourd'hui qu'hier » : avis de la CNIL sur le présent projet de loi - septembre 2000.

⁴³ Rapport approuvé le 13 novembre 2001.

⁴⁴ Un traitement loyal et licite, des collectes pour des finalités déterminées, explicites et légitimes, pas de traitement ultérieur incompatible, des données adéquates, pertinentes et non excessives au regard des finalités, exactes et si nécessaire mises à jour, conservées sous une forme permettant l'identification des personnes pendant une durée n'excédant pas celle nécessaire à la réalisation des finalités.