Loading AI tools
De Wikipédia, l'encyclopédie libre
La loi no 78-17 du relative à l’informatique, aux fichiers et aux libertés, plus connue sous le nom de loi informatique et libertés[1], est une loi française qui réglemente le traitement des données personnelles.
Dès 1970, le député Michel Poniatowski propose à l'Assemblée nationale la création d'un comité de surveillance et d'un tribunal de l'informatique, cette suggestion est rejetée.
La même année, l’Insee, profitant du passage de l'informatique des cartes perforées vers les bandes magnétiques, décide de centraliser le répertoire d'identification jusque-là réparti dans ses directions régionales. Cette démarche permet de répondre à la généralisation prévisible de l’utilisation du numéro d’identité du Français (le « numéro de Sécurité sociale » ou « NIR ») par les administrations (Éducation nationale, impôts, ministère de l’Intérieur…) pour vérifier l’identité des personnes. Il est envisagé à plus ou moins long terme d’ajouter au fichier des informations administratives telles que l’adresse. Par ailleurs, l’utilisation massive du NIR dans les différents fichiers administratifs permettrait de les interconnecter pour faciliter les études statistiques de la population française[2].
En 1971 naît le projet de Système automatisé pour les fichiers administratifs et le répertoire des individus (SAFARI).
Le , alors que Jacques Chirac est ministre de l'Intérieur depuis moins d’un mois (il venait d’« échanger » son poste à l'agriculture avec celui de Raymond Marcellin[3]), il doit faire face à un tollé après la publication d’une tribune de Philippe Boucher dans le journal Le Monde intitulée « SAFARI ou la chasse aux Français ». Le projet Safari y est en effet perçu comme une entrave grave à la liberté.
Mais le , Georges Pompidou, président de la République, que les bulletins officiels disaient atteint d'une simple grippe, décède de sa maladie de Waldenström (forme de cancer). Valéry Giscard d'Estaing est alors élu président de la République, grâce au soutien de Jacques Chirac et surtout de la popularité de ce dernier en monde rural, acquise lors de son passage à l'agriculture. Il est nommé Premier ministre et appelle au ministère de l'Intérieur M. Poniatowski, qui face à la critique, reprend son idée et crée la Commission de l'informatique et des libertés et mit sur pied le projet, qui malgré sa démission en 1977, aboutira à la loi « Informatique et Libertés » du et à la création de la CNIL (Commission nationale de l'informatique et des libertés). Cette précocité plaça ainsi la France dans le trio de tête européen au côté du land de Hesse (Allemagne, 1971) et de la Suède (1973) et en fit l'instigateur des législations européennes mise en place dans les dix pays de la communauté en 1981, inspirant la Convention du Conseil de l'Europe sur la protection des données (1981) et les Lignes directives pour la réglementation de fichiers de données personnelles automatisées (1990)[4].
Cette loi a été ultérieurement modifiée par décret le [5] : celui-ci réorganise les fichiers des Renseignements généraux en autorisant « la collecte, la conservation et le traitement dans les fichiers des services des renseignements généraux d’informations nominatives relatives aux personnes majeures qui font apparaître […] les signes physiques particuliers, objectifs et inaltérables [ainsi que] les activités politiques, philosophiques, religieuses ou syndicales » (article 2). Les informations peuvent être collectées si elles sont « relatives à des personnes physiques ou morales qui ont sollicité, exercé ou exercent un mandat politique, syndical ou économique ou qui jouent un rôle politique, économique, social ou religieux significatif, sous condition que ces informations soient nécessaires pour donner au Gouvernement ou à ses représentants les moyens d’apprécier la situation politique, économique ou sociale et de prévoir son évolution » (article 3) ; mais dans ce cas, elles ne peuvent être communiquées à la police ni à la gendarmerie (article 5). Le décret prévoit aussi un examen de la légitimité des informations détenues tous les cinq ans, sous l’égide de la Commission nationale de l’informatique et des libertés (CNIL) (art. 6).
La loi de 1978 est encore modifiée par la loi[6] du afin de transposer en droit français les dispositions de la directive 95/46/CE sur la protection des données personnelles. Elle a été complétée par décrets[7] pris le et le .
Cette transposition élargit le domaine des données qualifiées de « personnelle », simplifie leurs régimes juridiques et alourdit les sanctions pénales. De plus, les pouvoirs d’enquête, d’investigation et de sanctions de la CNIL sont renforcés.
Le terme d'« informations nominatives » est remplacé par « données à caractère personnel ». En outre la loi tient désormais compte des nouvelles technologies de l'information, et spécifie qu'elle ne légifère pas pour les copies temporaires de fichiers et définit les conditions exactes de licéité des traitements de données à caractère personnel.
La nouvelle loi harmonise les règles de déclaration des fichiers entre secteur privé et secteur public. Le régime général pour le secteur public n'est plus de demander une autorisation à la CNIL, mais de faire une simple déclaration de ces fichiers, comme c'était déjà le cas pour le secteur privé. Le demandeur doit alors attendre le récépissé de la CNIL avant l'utilisation effective du fichier. Cette modification introduit la possibilité de sanctions pénales en cas de méconnaissance des obligations.
Toutefois, la distinction entre personne publique et personne privée n'a pas totalement disparu. La loi du prévoit en effet une procédure nouvelle de demande d'avis imposée aux organismes du secteur public pour la création de certains fichiers contenant des données sensibles. La procédure d'autorisation demeure pour les entreprises privées et s'étend à de nouvelles catégories de données. Les fichiers devant faire l'objet d'une demande d'autorisation sont, entre autres, ceux qui utilisent le numéro de sécurité sociale (attribué par l'Insee).
La loi prévoit la possibilité pour un organisme privé ou public de nommer un « correspondant à la protection des données à caractère personnel », couramment appelé « correspondant informatique et libertés » (CIL), qui s’assure de l’application de la loi. Les formalités de déclaration à la CNIL sont alors simplifiées.
Ce poste existe déjà, sous diverses formes, dans d'autres pays comme l'Allemagne (Datenschutzbeauftragter, créé dans les années 1970), les Pays-Bas (functionaris gegevensbescherming) et la Suède (personuppgiftsombud).
Depuis 2007 une grande école, l’institut supérieur d'électronique de Paris, forme au sein d'un mastère spécialisé les correspondants informatique et libertés[8]. Une association regroupe les CIL, l’Association française des correspondants à la protection des données à caractère personnel.
En 2010, le Conseil d'État annule[9] partiellement l'arrêté de création du fichier « Base élèves 1er degré » du ministère de l'Éducation nationale, au motif que les services du ministère avaient commencé à utiliser le fichier sans attendre le récépissé de la déclaration à la CNIL. Pour cette même raison, le Conseil d'État annule totalement[10] le décret d'application de la base nationale des identifiants élèves, qui attribue un matricule à chaque enfant scolarisé dès 3 ans.
Le , une proposition de loi a été votée en première lecture au Sénat. Elle propose, dans son article 3, de rendre obligatoire le correspondant informatique et libertés « lorsqu’une autorité publique ou un organisme privé recourt à un traitement de données à caractère personnel qui relève du régime d’autorisation en application des articles 25, 26 ou 27 ou pour lequel plus de cent personnes y ont directement accès ou sont chargées de sa mise en œuvre »[11]. Le président de la CNIL s’est prononcé à plusieurs reprises pour cette formule[12].
Le , la Commission européenne publie un projet de règlement européen visant à remplacer la directive 95/46/CE (et en conséquence à modifier en profondeur la loi informatique et libertés). Ce projet prévoit la désignation d'un délégué à la protection des données (évolution de la fonction de correspondant informatique et libertés). Cette désignation serait obligatoire au sein des autorités et organismes publics, et obligatoire au sein des entreprises employant 250 personnes ou plus, et obligatoire au sein des entreprises employant moins de 250 personnes mais dont « les activités de base du responsable du traitement ou du sous-traitant consistent en des traitements qui, du fait de leur nature, de leur portée et/ou de leurs finalités, exigent un suivi régulier et systématique des personnes concernées ».
En 2016, l’Union européenne se dote d’un règlement général sur la protection des données (RGPD) qui est transcrit en France dans la Loi informatique et libertés en 2018[13] et complété en 2019[14]. Ainsi, les organismes traitant des données personnelles ne sont plus tenus de déclarer de telles fichiers auprès de la CNIL, mais deviennent responsables de ces données. Les internautes obtiennent d’une part le droit à la portabilité de leurs données, d’autre part le droit à l’effacement de ces données. Par ailleurs, les règles de protection des données s’imposent également aux organismes en dehors de l’Union européenne dès lors qu’ils traitent des données de personnes au sein de l’Union[15].
Pour se conformer au RGPD, à partir de 2018, les sites web qui utilisent des témoins de connexion (appelés cookies en anglais) pour suivre l’activité de leurs visiteurs informent ces derniers que l’utilisation du site implique un suivi par témoin. Cependant, en 2020, la CNIL considère que le consentement explicite des visiteurs est nécessaire : chacun ou chacune doit pouvoir refuser simplement d’être suivi à cause de ces témoins[16].
En réponse à l'essor des réseaux sociaux et à la grande utilisation de ceux-ci notamment par les jeunes, le texte de la Loi est modifié en 2023 par le parlement pour instaurer une « majorité numérique ». Avant celle-ci, fixée à 15 ans, il est interdit de s’inscrire sur une application de réseautage social. Les modifications obligent aussi les réseaux sociaux à proposer un moyen de gestion du temps passé sur leur plateforme, ainsi qu’à réagir à toutes demandes dites « urgentes » en moins de huit heures[17].
Découpée en treize parties, dont seules les trois premières (Principes et définitions, Conditions de licéité des traitements de données à caractère personnel, La commission nationale de l'informatique et des libertés) concernent directement les particuliers, la LIL inscrit dès l’article premier la législation sur l’informatique dans le cadre des droits de l'homme, certainement en souvenir des fins auxquelles ont pu être utilisés les fichiers sous Vichy.
« Article 1 :
L’informatique doit être au service de chaque citoyen. Son développement doit s’opérer dans le cadre de la coopération internationale. Elle ne doit porter atteinte ni à l’identité humaine, ni aux droits de l’homme, ni à la vie privée, ni aux libertés individuelles ou publiques. »
Dès le second article, elle définit son cadre, s’adressant au plus grand nombre.
« Article 2 :
[…] Constitue une donnée à caractère personnel toute information relative à une personne physique identifiée ou qui peut être identifiée, directement ou indirectement, par référence à un numéro d'identification ou à un ou plusieurs éléments qui lui sont propres. Pour déterminer si une personne est identifiable, il convient de considérer l’ensemble des moyens en vue de permettre son identification dont dispose ou auxquels peut avoir accès le responsable du traitement ou toute autre personne.
Constitue un traitement de données à caractère personnel toute opération ou tout ensemble d’opérations portant sur de telles données, quel que soit le procédé utilisé, et notamment la collecte, l’enregistrement, l’organisation, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, ainsi que le verrouillage, l’effacement ou la destruction.
Constitue un fichier de données à caractère personnel tout ensemble structuré et stable de données à caractère personnel accessibles selon des critères déterminés. »
La personne concernée par un traitement de données à caractère personnel est celle à laquelle se rapportent les données qui font l’objet du traitement.
Par la suite, elle spécifie :
« Article 6 :
Un traitement ne peut porter que sur des données à caractère personnel qui satisfont aux conditions suivantes :
- Les données sont collectées et traitées de manière loyale et licite ;
- Elles sont collectées pour des finalités déterminées, explicites et légitimes et ne sont pas traitées ultérieurement de manière incompatible avec ces finalités. Toutefois, un traitement ultérieur de données à des fins statistiques ou à des fins de recherche scientifique ou historique est considéré comme compatible avec les finalités initiales de la collecte des données, s’il est réalisé dans le respect des principes et des procédures prévus au présent chapitre, au chapitre IV et à la section 1 du chapitre V ainsi qu'aux chapitres IX et X et s’il n’est pas utilisé pour prendre des décisions à l’égard des personnes concernées ;
- Elles sont adéquates, pertinentes et non excessives au regard des finalités pour lesquelles elles sont collectées et de leurs traitements ultérieurs ;
- Elles sont exactes, complètes et, si nécessaire, mises à jour ; les mesures appropriées doivent être prises pour que les données inexactes ou incomplètes au regard des finalités pour lesquelles elles sont collectées ou traitées soient effacées ou rectifiées ;
- Elles sont conservées sous une forme permettant l’identification des personnes concernées pendant une durée qui n’excède pas la durée nécessaire aux finalités pour lesquelles elles sont collectées et traitées. »
« Article 7 :
Un traitement de données à caractère personnel doit avoir reçu le consentement de la personne concernée ou satisfaire à l’une des conditions suivantes :
- 1° Le respect d’une obligation légale incombant au responsable du traitement ;
- 2° La sauvegarde de la vie de la personne concernée ;
- 3° L’exécution d’une mission de service public dont est investi le responsable ou le destinataire du traitement ;
- 4° L’exécution, soit d’un contrat auquel la personne concernée est partie, soit de mesures précontractuelles prises à la demande de celle-ci ;
- 5° La réalisation de l’intérêt légitime poursuivi par le responsable du traitement ou par le destinataire, sous réserve de ne pas méconnaître l’intérêt ou les droits et libertés fondamentaux de la personne concernée. »
« Article 8 :
I. - Il est interdit de collecter ou de traiter des données à caractère personnel qui font apparaître, directement ou indirectement, les origines raciales ou ethniques, les opinions politiques, philosophiques ou religieuses ou l’appartenance syndicale des personnes, ou qui sont relatives à la santé ou à la vie sexuelle de celles-ci.
II. - Dans la mesure où la finalité du traitement l’exige pour certaines catégories de données, ne sont pas soumis à l’interdiction prévue au I :
4° Les traitements portant sur des données à caractère personnel rendues publiques par la personne concernée ; »
Plusieurs procédures sont prévues pour déclarer un traitement à la CNIL :
Enfin dans les articles 9 et 10, elle précise que seules les juridictions, autorités publiques, personnes gérantes d'un service public ou auxiliaire de loi peuvent mettre en œuvre des traitements de données relatifs aux infractions, condamnation et mesure de sûreté et qu'aucune décision de justice ou impliquant des conséquences juridiques ne peut être fondée sur un traitement de données à caractère personnel, protégeant ainsi les personnes de toute malversation.
L'art. 26 prévoit en outre que les traitements de données à caractère personnel qui intéressent « la sûreté de l’État, la défense ou la sécurité publique », ou qui ont pour objet « la prévention, la recherche, la constatation ou la poursuite des infractions pénales ou l'exécution des condamnations pénales ou des mesures de sûreté », doivent être autorisés par arrêté pris après avis motivé de la CNIL publié également au Journal officiel. Les informations transmises à la CNIL peuvent cependant être moindres que celle concernant d'autres fichiers, et ce depuis la loi du 23 janvier 2006 sur le terrorisme (art. 13).
Lorsqu'ils comportent des données sensibles (cas notamment du fichier des Renseignements généraux, du STIC, d'EDVIGE et de CRISTINA), ils doivent être autorisés par un décret en Conseil d’État pris après avis motivé et publié de la CNIL.
Toutefois, l'autorisation de ces traitements de données peut être dispensé d'une publication au Journal officiel (cas de CRISTINA) par décret en Conseil d'État. Jusqu'à présent, cette procédure n'a été utilisée que pour des fichiers concernant le renseignement, et non pour des fichiers juridico-policiers (prévention, recherche, constatation ou poursuite des infractions pénales, etc.).
Le texte original de 1978[19] prévoit, en cas de non-respect de la loi, en plus d’un avertissement par la CNIL, des sanctions uniquement pénales, prononçables par un tribunal. Ces sanctions pénales ont évolué pour devenir les suivantes :
Les modifications apportées à la loi en 2004[21] ajoutent des sanctions administratives, prononçables par la CNIL, et pouvant être contestées devant le Conseil d’État. Ces sanctions ont ensuite évolué, notamment du fait de la loi du [22], pour devenir les suivantes :
La loi Informatique et libertés concentre les droits des particuliers en quatre points :
Il est important de noter que pour l'exercice de ces droits, les entités sollicitées doivent :
Selon l'index 2011 de l’Association Française des Correspondants à la protection des Données à caractère Personnel[23], moins de 18 % des organismes sollicités ont fait une réponse conforme au droit.
L'article 3[24] de la loi indique que toute personne a le droit de savoir si elle est fichée et, si oui, dans quel(s) fichier(s), c'est le droit d'information, droit fondamental base de tous les autres.
Le droit d'opposition autorise toute personne à s'opposer, pour un motif légitime, à ce qu'elle figure dans un fichier. De plus, elle peut s'opposer, sans justification, à ce que les données la concernant soient utilisées à des fins de prospection, en particulier commerciale.
Ainsi, la Fédération des entreprises de ventes à distance a créé le fichier Robinson, dit stop-publicité, permettant à toute personne ne désirant pas être prospectée d'être radiée des fichiers des entreprises adhérentes à l'association. France Télécom met également à disposition du public une option dénommée liste orange, gratuite, pour les personnes ne souhaitant pas voir leurs coordonnées téléphoniques commercialisées, mais qui souhaitent tout de même figurer dans l'annuaire téléphonique.
Quant aux fichiers du secteur public (services fiscaux, police, justice, fichier des passagers aériens...), ils ne sont pas, pour la majorité d'entre eux, concernés par ce droit. Néanmoins, il faut noter qu'à la suite de la saisie par deux particuliers du Conseil d'État, ce dernier a rétabli[9], le , le droit d'opposition des parents au fichier du ministère de l'Éducation nationale, intitulé base élèves 1er degré et qui concerne tous les enfants scolarisés dès trois ans. Le Conseil d'État a ainsi jugé que l'arrêté du ministère méconnaissait l'article 38 de la loi, relative au droit d'opposition des personnes physiques.
Le droit d'accès est complémentaire du droit d'information, puisqu'il permet en justifiant de son identité la consultation de ses données personnelles. Celle-ci donne la possibilité de vérifier l'exactitude des données et d'en obtenir une copie pour un coût n'excédant pas celui de la reproduction. Toutefois, ce droit est limité : si le responsable du traitement estime que la demande est abusive ou si les données sont conservées sous une forme ne présentant aucun risque, leur consultation est alors refusée, s'il s'agit de données attenantes à la sécurité de l'État, la défense, ou la sécurité publique (police, gendarmerie), un membre de la CNIL est désigné pour examiner ces données et le cas échéant les modifier, si cette modification n'est pas d'ordre à porter préjudice à la sécurité nationale. Les traitements mis en œuvre par les administrations publiques, les personnes chargées d'une mission de service public et les services d'imposition sont également concernés par la mesure précédente.
Le droit de rectification, complément essentiel du droit d'accès, permet à toute personne de rectifier, compléter, actualiser, verrouiller ou faire effacer des données erronées la concernant. L'application de ce droit se fait essentiellement par lettre écrite à l'organisme détenteur des dites informations, le responsable du traitement devra alors justifier qu'il a procédé aux rectifications demandées, et faire parvenir gratuitement, à la demande de la personne concernée, une copie de l'enregistrement modifié.
Article 40[25] :
« Toute personne physique justifiant de son identité peut exiger du responsable d’un traitement que soient, selon les cas, rectifiées, complétées, mises à jour, verrouillées ou effacées les données à caractère personnel la concernant, qui sont inexactes, incomplètes, équivoques, périmées, ou dont la collecte, l’utilisation, la communication ou la conservation est interdite. »
Le , le Parlement instaurait non seulement la loi informatique et libertés mais aussi l'autorité de contrôle permettant sa bonne application : la Commission nationale de l'informatique et des libertés (CNIL), premier organisme à avoir été qualifié d'autorité administrative indépendante.
L'OIPC (Organisation internationale de police criminelle), communément appelée Interpol est une organisation de collaboration des polices criminelles internationales, née en 1923 sous l'impulsion du prince Albert Ier de Monaco. Placée sous la direction de l'Autriche, qui disposait des immenses archives issues de l'Empire austro-hongrois, elle connut une période noire durant la Seconde Guerre mondiale, en devenant une base du génocide juif, lors de son commandement nazi. Ayant survécu grâce à la ténacité d'un policier belge, elle s'est dotée en 1955 d'une charte, fondement de ses principes. Installée à Lyon depuis 1989, cette célèbre organisation, qui compte aujourd'hui 182 membres participant activement à la lutte contre la grande criminalité et notamment le terrorisme, s'était fait remarquer en 1982, en refusant de participer à l'arrestation de Klaus Barbie, ancien criminel nazi, chef de la Gestapo rhônalpine, tortionnaire de Jean Moulin, il s'était réfugié en Bolivie et fut expulsé après la chute du général Banzer (dictateur militariste de 1971 à 1978, puis Président de 1997 à 2001) pour être jugé à Lyon.
À la fin des années soixante-dix, Interpol décida d'informatiser sa base de renseignements, encore traitée manuellement. Cette informatisation fut source d'un conflit entre l'organisation, basée à Saint-Cloud à l'époque, et la république française qui soutenait que sa loi Informatique et libertés était applicable aux données contenues dans les locaux de l'organisation, auquel elle avait droit d'accès. Interpol estimait que l'application de cette loi était impossible pour deux raisons : les informations qu'elle détient sont propriété des pays membres, elle n'en est que le dépositaire, le fait de la soumettre à un système législatif lui donne un caractère extra-territorial, de plus cela risquerait de compromettre la coopération policière internationale, certains pays préférant renoncer à communiquer des informations auxquels aurait accès librement l'État Français.
Après plusieurs années de conflits, les deux parties se mirent d'accord par la signature d'un nouvel accord de siège le et un échange de lettre en 1984. Le premier texte définit non seulement le cadre général de l'organisation (propriété insaisissable, immunité diplomatique de ses hauts dignitaires, très peu de soumission à l'impôt...), mais aussi l'inviolabilité des fichiers et des archives d'Interpol ; le second prône la mise en place d'une autorité de contrôle interne des fichiers et non pas nationale. Ainsi la France a renoncé à faire appliquer sa loi aux fichiers de l'Organisation grâce aux garanties que cette dernière a fournies, pour assurer la coopération internationale.
Les directives européennes, en particulier celle de 2016, ont harmonisé la législation dans les différents pays de l’Union européenne en instaurant un règlement général sur la protection des données.
Seamless Wikipedia browsing. On steroids.
Every time you click a link to Wikipedia, Wiktionary or Wikiquote in your browser's search results, it will show the modern Wikiwand interface.
Wikiwand extension is a five stars, simple, with minimum permission required to keep your browsing private, safe and transparent.