B. UN ENCADREMENT CIRCONSCRIT
En vertu du premier alinéa de l'article 2 de la loi n° 78-17 du 6 janvier 1978 précitée, celle-ci « s'applique aux traitements automatisés de données à caractère personnel, ainsi qu'aux traitements non automatisés de données à caractère personnel contenues ou appelées à figurer dans des fichiers, à l'exception des traitements mis en oeuvre pour l'exercice d'activités exclusivement personnelles, lorsque leur responsable remplit les conditions prévues à l'article 5 . » Le même article définit par ailleurs le traitement de données comme « toute opération ou tout ensemble d'opérations portant sur de telles données, quel que soit le procédé utilisé, et notamment la collecte, l'enregistrement, l'organisation, la conservation, l'adaptation ou la modification, l'extraction, la consultation, l'utilisation, la communication par transmission, diffusion ou toute autre forme de mise à disposition, le rapprochement ou l'interconnexion, ainsi que le verrouillage, l'effacement ou la destruction . »
L'article 2 crée ainsi en son premier alinéa une « exception domestique » . Si la rédaction actuelle, introduite par la révision de la loi en 2004, découle des dispositions du dernier alinéa de l'article 3 de la directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 précitée, cette exception reprend une restriction qui figurait à l'article 45 de la loi initiale. La discussion parlementaire ayant conduit à inclure dans le champ d'application de la loi tous les fichiers, y compris non automatisés, cette restriction avait pour objet de répondre « à l'obligation touchant au caractère trop extensif de la notion de fichier qui aurait pu aller jusqu'à englober de simples agendas » 22 ( * ) . Si cette exception concerne donc au premier chef les fichiers liés à des activités personnelles ou domestiques tels les annuaires privés ou les bases servant à la gestion d'une cave à vin, qu'ils soient sous format papier ou dématérialisés, son champ a été étendu aux sites web et blogs personnels dont l'accès est restreint 23 ( * ) .
La proposition de loi s'inscrivant dans le cadre de la loi n° 78-17 du 6 janvier 1978 précitée, sont donc exclus de son champ d'application les traitements de données biométriques mis en oeuvre par un responsable de traitement pour l'exercice d'activités exclusivement personnelles . Ainsi par exemple des dispositifs biométriques d'authentification placés sur les ordinateurs et téléphones portables personnels.
* 22 Cf. rapport de M. Jean Foyer, fait au nom de la commission des lois de l'Assemblée nationale, sur le projet de loi relatif à l'informatique et aux libertés (n° 3352, V e législature), p. 7.
* 23 En cas d'accès non restreint, la délibération n° 2005-284 du 22 novembre 2005 décidant la dispense de déclaration des sites web diffusant ou collectant des données à caractère personnel mis en oeuvre par des particuliers dans le cadre d'une activité exclusivement personnelle (norme d'exonération n° 6) exonère le responsable de traitement de l'obligation de déclaration préalable ; le traitement reste cependant soumis aux dispositions de la loi n° 78-17 du 6 janvier 1978 précitée.