Refonte de la loi « informatique et libertés » : première synthèse
Publié le 21/07/2004 par Thibault Verbiest, Pascal Reynaud
Avec beaucoup de retard, la nouvelle version de la loi n°78-17 du 6 janvier 1978 vient d’être adoptée définitivement. Elle transpose la directive 95/46/CE du 24 octobre 1995 relative à la protection des données personnelles et à la libre circulation de ces données. Cette transposition aurait dû intervenir avant octobre 1998. La CNIL était depuis…
Avec beaucoup de retard, la nouvelle version de la loi n°78-17 du 6 janvier 1978 vient d’être adoptée définitivement. Elle transpose la directive 95/46/CE du 24 octobre 1995 relative à la protection des données personnelles et à la libre circulation de ces données. Cette transposition aurait dû intervenir avant octobre 1998. La CNIL était depuis lors dans une position délicate….
Mais cette transposition ne concerne pas la directive 2002/58/CE du 12 juillet 2002 dites » vie privée et communications électroniques ».
Pour résumer, les formalités préalables ont été allégées alors que les pouvoirs de la CNIL sont renforcés. Mais la loi nouvelle suscite une forte opposition notamment pour ceux qui lui reprochent de laisser une trop grande liberté aux responsables des traitements. A l’opposé certains déploreront la lourdeur persistante du système…. On attend aussi la position du Conseil Constitutionnel sur le sujet.
Le champ d’application de la loi
Une nouvelle liste de principes et de définitions viennent préciser le champ d’application et définir le responsable et le destinataire du traitement (art. 1 à 5)
Ainsi constitue notamment une donnée à caractère personnel, toute information relative à une personne physique qui peut être identifiée indirectement par référence à un numéro d’identification (art. 2).
Le régime de la collecte
Les traitements seront considérés comme licites s’ils respectent les articles 6 et 7. Les conditions d’une collecte licite des données sont ainsi précisées.
Les articles 8 à 10 contiennent des dispositions propres aux données dites sensibles ( race, religion etc..). Si le principe reste l’interdiction de la collecte, de nombreuses exceptions sont prévues à ce régime (art. 8 II). Cela pourrait laisser la place à certains abus.
De plus la loi permettra aux sociétés de gestion de droit d’auteur et de droits voisins de constituer des fichiers relatifs à la contrefaçon, sous le contrôle de la CNIL (art. 9). Cette dernière mesure retient tout particulièrement l’attention dans le cadre du débat actuel sur le P2P et la piraterie sur Internet.
Les formalités préalables
Concernant les procédures préalables à la mise en œuvre des traitements (art. 22), la loi distingue la déclaration (art. 23 et 24) de l’autorisation pour les données sensibles (art. 25 à 29).
Il sera possible de ne faire qu’une seule déclaration pour les traitements dont les finalités sont identiques ou liées entre elles (art. 23 II).
Comme grande nouveauté, « des correspondants à la protection des données » pourront être mis en place dans les entreprises. Ce mécanisme qui est prévu par la directive européenne, existe déjà dans plusieurs pays tels que la Suède, les Pays Bas et surtout l’Allemagne et a pour objectif principal d’améliorer la diffusion d’une culture de la protection des données personnelles.
Chargés du respect de la loi dans l’entreprise, ces correspondants ne seront pas soumis en principe à l’obligation de déclaration (art. 22). Cette dispense de déclaration est critiquée pour son laxisme même s’il est prévu un décret d’application pour mettre en place cette mesure.
Les articles 32 à 37 contiennent les différentes obligations des responsables des traitements. Les articles 38 à 43 viennent poser les droits des personnes qui font l’objet d’un traitement.
Les pouvoirs renforcés de la CNIL
Les agents de la CNIL se voient dotés de nouvelles possibilités d’investigations dans les lieux servant à la mise en œuvre d’un traitement à l’exception du domicile privé (art.44).
La Commission pourra aussi prononcer des sanctions pécuniaires qui pourront s’élever jusqu’à 300 000 € (art. 45 à 49).
Le président de la CNIL pourra notamment saisir le juge des référés en cas d’atteinte grave et immédiate aux droits reconnues par la présente loi ( art. 45 III).
Par ailleurs des sanctions pénales sont prévues aux articles 226-16 à 226-24 du Code pénal (art. 50 à 52).
Les collectes ayant une finalité particulière
Des dispositions spécifiques sont prévues pour les traitements ayant une finalité particulière, à savoir :
- La recherche dans le domaine de la santé ( art. 53 à 61)
- l’évaluation ou l’analyse des pratiques ou des activités de soins et de prévention (article 62 à 66)
- le journalisme et l’expression littéraire et artistique (article 67)
Le régime des transferts vers les pays hors Communauté
Les articles 68 et suivants prévoient le régime des transferts à l’égard des pays n’appartenant pas à la Communauté européenne.
Le transfert ne peut avoir lieu que si l’Etat assure un niveau de protection suffisant ( art. 68). A titre dérogatoire, le consentement de la personne faisant l’objet du traitement peut permettre un transfert vers un Etat ne répondant à ces critères de protection (art. 69).
Plus d’infos ?
En prenant connaissance de la nouvelle loi
.