Déclaration commune sur l’avant-projet de loi de transposition de la directive européenne du 24 octobre 1995 sur la protection des données personnelles

Ligue des Droits de l’Homme Collectif Informatique, Fichiers et Citoyenneté Collectif pour les droits des citoyens face à l’informatisation de l’action sociale

Paris, le 11 septembre 2000

Membres de DELIS, les signataires défendent notamment les positions suivantes et demandent leur prise en compte dans le futur projet de loi.

1/ Revoir l’objet et le champ d’application de la loi et les définitions de façon à :

  ajouter à l’art. 1 nv (nouveau) "la dignité humaine", droit de l’homme reconnu par les plus hautes juridictions françaises depuis 1995 ;
  amender le texte de l’art. 2 nv relatif aux traitements mis en œuvre pour l’exercice d’activités exclusivement personnelles en insérant après "mis en œuvre" l’expression "... sur des matériels non connectés à un réseau..." ;
  ajouter explicitement la vidéosurveillance dans le champ d’application de la loi ;
  reprendre pour la notion d’identification de la personne physique la totalité de la définition de la directive.
  retirer le dernier alinéa de l’art. 4-4° nv qui introduit la notion de "copies temporaires" pour l’exclure de la définition du "fichier de données à caractère personnel", ces copies parce qu’elles sont des fichiers auxquels il est possible d’accéder, doivent être soumises aux mêmes exigences que les fichiers référencés au premier paragraphe de l’art. 4-4° nv.

Maintenir le principe d’une déclaration préalable à la CNIL de tous les fichiers nominatifs.

Ce principe bien que maintenu est assorti d’allègements et de dispenses d’obligation de déclaration encadrées par des normes ; DELIS demande que ces dernières fassent obligation de faire connaître la finalité du traitement, les données, la durée de conservation et les destinataires, les rapprochements, interconnexions ou toute autre forme de mise en relation des données et les cessions à des tiers, de manière à ne pas rendre illusoire le contrôle a posteriori qui va être largement déployé. DELIS rejette donc le fait d’une dispense totale de déclaration.

Assurer un régime d’autorisation préalable par la CNIL pour les traitements susceptibles de présenter des risques au regard des droits et libertés des personnes concernées.

Le pouvoir d’autorisation donné à la CNIL est affaibli par les art. 15 et 16 nvx qui attribuent la décision en bien des secteurs au décret en Conseil d’État ou au ministre, en écartant la CNIL. Avec cette nouvelle répartition des pouvoirs, la CNIL a moins de pouvoir qu’elle n’en avait avec l’avis conforme pour le traitement des données sensibles, et l’arbitrage d’un tiers (le Conseil d’État) en cas d’avis défavorable.

Dans la liste des traitements nécessitant des autorisations préalables, établie en décembre 1999 par DELIS, l’avant-projet de loi ne tient pas compte :
  des traitements mettant en œuvre un usage particulier d’une technologie nouvelle (cf. considérant n°53 de la directive européenne du 24/10/1995), de nouvelles formes d’organisation sociétale (maillage des différentes composantes du secteur public et guichet unique...), des nouvelles organisations du travail (télétravail, travail itinérant, travail coopératif, gestion des processus...), de nouvelles formes d’intrusion dans la vie privée (chaînage des données, historisation des états, outils de traçabilité...), de nouvelles formes d’identification (biométriques)... ;
  des traitements produisant des profils de certains aspects de la personnalité ou du comportement des personnes notamment dans les sphères du travail, de la consommation, de la communication..., quelle que soit l’origine des données ;

L’avant-projet n’a pris en compte, souvent de façon partielle, que les traitements suivants :
  les traitements mis en œuvre dans les matières de souveraineté nationale ; car la CNIL n’a pas le pouvoir d’autorisation mais seulement un pouvoir d’avis motivé qui est parfois non publié.
  les traitements relatifs à la vidéosurveillance susceptibles de porter atteinte au respect de la vie privée ; car l’art. 71 nv confirme que la loi du 21 janvier 1995 est maintenue et que la compétence de la CNIL ne peut s’étendre ni à la décision d’installer un système de vidéosurveillance, ni à la collecte, ni aux manipulations éventuelles, ni à l’interprétation des images recueillies, ni au respect de la durée de conservation avant leur stockage, etc.
  les traitements de données sensibles, c’est-à-dire celles qui révèlent l’origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques, l’appartenance syndicale, les mœurs et la santé des personnes [art. 28 nv] ; auxquelles il convient d’ajouter les données génétiques [partiellement retenues dans l’art. 14-2°nv] et celles relatives à l’intimité de la vie privée dans ses composantes psychiques et sociales (voir 5/) ;
  des traitements dont la mise en œuvre dérogerait à certains principes fondamentaux de la protection des données, tel le droit d’accès, le droit à l’information, les mesures de publicité devant entourer leur mise en œuvre, etc. [partiellement repris dans la multiplicité des renvois entre les articles qui comportent des dérogations mais sans assurer une compréhension du texte immédiate et sûre de la part du citoyen] ;
  les traitements recourant à l’enregistrement du numéro d’inscription aux répertoires (RNIPP, RNIAM, fichiers d’adresses...) ou de tout autre identifiant de portée générale, [partiellement retenus à l’art. 16 nv], auxquels il convient d’ajouter ceux permettant indirectement ou par inférence l’identification des personnes [partiellement retenus dans les art 40-11 à 40-15 pour le traitement des données personnelles de santé à des fins d’évaluation ou d’analyse des activités de soins et de prévention] ;
  les traitements recourant à des interconnexions de fichiers [partiellement retenus à l’art. 14-5° nv et à l’art. 16 nv] ; ceux recourant à des rapprochements de données, provenant de différents fichiers, et portant sur une même personne ou un groupe de personnes, permettant notamment d’en déduire les caractéristiques ou les comportements ;
  les traitements incluant des données relatives aux infractions, condamnations ou mesures de sûreté [art. 14-3° nv] ;
  les traitements destinés à exclure les personnes d’un droit, d’une prestation ou d’un contrat [art. 14-4°] ;
  les enquêtes statistiques lorsqu’elles concernent la totalité ou une très grande partie de la population ou l’exhaustivité de celle-ci au regard d’une qualité déterminée (élèves, patients, contribuables...) [partiellement retenus à l’art. 16 nv] ;
  les traitements de données faisant l’objet d’un flux transfrontière, au sens de la directive, c’est-à-dire d’un flux hors du territoire des états membres de l’Union européenne [art. 41 à 43 nvx].

DELIS demande un régime d’autorisation par la CNIL pour l’exhaustivité des douze traitements mentionnés ci-dessus.

Conserver le principe cardinal de la finalité.

DELIS relève à l’art. 25 nv que la finalité est le principe fondamental autour duquel s’organisent les autres principes que sont la pertinence, l’adéquation, le caractère non excessif, l’exactitude des données, la loyauté de la collecte, les destinataires, la durée de conservation ; c’est pourquoi DELIS demande que la durée de conservation soit aussi mentionnée dans les actes autorisant la création d’un traitement prévus à l’art. 17 nv, et dans la liste des traitements prévue à l’art. 21 nv. Quant à la réutilisation des données cédées à la recherche et aux statistiques pour "d’autres finalités", à l’art. 33 nv, elle vient ruiner ce principe fondamental, même si le consentement de la personne est obtenu, car la notion de finalité incompatible perd son sens comme celle de durée de conservation des données. DELIS juge qu’après le premier traitement pour la finalité duquel les données ont été collectées, et le passage de ces données à la recherche, toute cession, réutilisation, conservation des données pour un traitement ultérieur ou évolution des finalités sont à interdire ou doivent faire l’objet d’un nouvel examen par la CNIL. Le concept de finalités "liées" ou "dérivées" ou "non incompatibles" et les problèmes posés par à la réutilisation secondaire de données relèvent de cette exigence minimum.

élargir la notion de données " sensibles " ;

L’art. 28 nv mentionne les origines raciales ou ethniques, les opinions politiques, philosophiques et religieuses, l’appartenance syndicale, les mœurs, les données relatives à la santé et à la vie sexuelle ; l’art. 14 nv traite des données génétiques, celles-ci devraient aussi figurer explicitement dans l’art. 28 nv. DELIS demande l’ajout des données touchant à "l’intimité de la vie privée dans ses composantes psychiques et sociales", d’ailleurs la directive les mentionne (art. 2) pour l’identification de la personne physique. Ces données " sensibles " doivent bénéficier de conditions de protection maximale (consentement exprès de la personne, autorisation préalable de la CNIL voire interdiction de traitement).

Limiter et encadrer rigoureusement l’utilisation du NIR ou de tout autre identifiant de portée générale.

Si un identifiant doit être utilisé, il doit être non signifiant et propre au secteur d’activité concerné. DELIS propose d’inscrire dans la loi de transposition l’utilisation exclusive que le Conseil constitutionnel a retenue pour le NIR, dans la décision sur l’art. 107 de la loi de finances pour 1999 : garantir l’identité des personnes et éviter les homonymies, ce qui exclut la possibilité de l’utiliser pour gérer des fichiers, faire des statistiques, procéder à des interconnexions.

Limiter et encadrer rigoureusement les interconnexions de fichiers, ce qui inclut l’interdiction d’interconnecter des fichiers au moyen du NIR, ou de tout autre identifiant de portée générale, entre organismes distincts ou au sein d’un même organisme lorsque les finalités sont différentes. DELIS a mis en discussion sur son site internet un texte portant sur la création d’un véritable système indépendant pour procéder aux interconnexions en terrain neutre.

Maintenir le niveau de protection des droits des personnes concernées par un traitement. DELIS relève plusieurs dérogations qui abaissent le niveau de protection qu’offre la loi de 1978.

  Le droit d’information. L’art. 30 nv l’enrichit au I, et introduit trois nouvelles dérogations au III qui marquent un abaissement du niveau de garantie qu’offre l’art. 31 de la loi de 1978, mêmes si elles sont couvertes par la directive : ® les traitements nécessaires à la conservation de données à des fins historiques, statistiques ou scientifiques, lorsque ces données ont été initialement recueillies pour un autre objet [art. 13-2 de la directive, mais les "garanties appropriées" qui y sont prévues ne sont pas mises en œuvre par l’art. 25 nv] ; ® les traitements de souveraineté de l’art. 15 nv [art. 13-I-a) b) c) de la directive] ; ® la difficulté caractérisée de retrouver une personne [art. 11-2 de la directive].

  Le consentement. L’art. 28 nv déroge au consentement exprès en allant au-delà de ce qu’autorise l’art 31 de la loi de 1978, notamment en 28-4° pour les traitements nécessaires pour la médecine préventive, les diagnostics médicaux, l’administration de soins ou de traitements ou la gestion de services de santé effectués par un professionnel de santé ; seules les situations d’urgence médicale nécessitent une telle dérogation, comme en dispose l’art. 36 de la loi CMU sur le volet santé de la carte Vitale 2, qui prévoit sinon de subordonner l’enregistrement des informations médicales à l’accord du titulaire de la carte. Chaque dérogation porte sur la totalité des informations sensibles, sans chercher un ajustement avec la finalité du traitement ; cette démarche est beaucoup trop générale par rapport au caractère sensible des données, et ne respecte pas le principe de proportionnalité. Pour renforcer le principe du consentement, DELIS demande de privilégier le consentement exprès à un simple droit d’opposition, pour les données sensibles, pour celles captées sur Internet, pour la cession des données à des tiers...

  Le droit d’opposition. L’art. 35 nv exige que la personne concernée par le traitement excipe de"motifs légitimes tenant à sa situation et prévalant sur l’intérêt du responsable de celui-ci", ce qui, pour DELIS, annihile ce droit dans certaines circonstances, en particulier celles où la personne est en état d’infériorité (patient, salarié, consommateur, ...). DELIS estime que l’exercice du droit d’opposition ne doit pas être subordonné à des "motifs légitimes", et qu’il ne doit pas créer de préjudice pour la personne qui l’exerce.

  Le droit d’accès. Les art. 36, 38 et 39 nvx introduisent trois suppressions du droit d’accès : une suppression pleine et entière accordée à l’INSEE en 36-III nv, une suppression potentielle (sous la forme d’une possibilité de s’opposer à l’accès) pour la constatation des infractions au profit de la justice et une suppression sous conditions pour l’administration fiscale, en 39 nv. Cet abaissement est réel pour les citoyens même si il est couvert par la directive et DELIS s’y oppose.

  Le droit de rectification. DELIS souhaite que la rédaction de l’art. 37 nv se rapproche de celle de l’art. 12-b) et c) de la directive qui exige sans réserve que la rectification soit faite par le responsable du traitement et qui ne considère qu’elle ne "doit pas s’avérer impossible ou ne doit pas supposer un effort disproportionné" que concernant le tiers

Les projets d’une certaine ampleur doivent faire l’objet d’une enquête préalable - comme en matière d’urbanisme - ou de toute autre procédure, visant à en déterminer les impacts en terme de vie privée et de libertés fondamentales.

Sur les lieux de travail, la plus large concertation doit être organisée (consultation des organismes représentatifs, des représentants syndicaux, de l’ensemble des personnels concernés). Face à ces projets, les personnels doivent pouvoir exercer un droit d’alerte pouvant déboucher sur un droit de retrait.

Renforcer les exigences de sécurité des traitements de données.

DELIS relève qu’il faut :

  ajouter aux risques énoncés dans l’art. 31 nv, à la fin du premier alinéa : "ou capturées à l’insu des personnes concernées" ce qui visent les serveurs et les routeurs d’Internet, les cookies...
  que les prescriptions techniques, inscrites au second alinéa, pour garantir la sécurité des traitements de données sensibles, soient étendues à toutes autres données, et soient rédigéesgrâce à l’expertise de la CNIL, car l’efficacité d’un décret en Conseil d’État en la matière est loin d’être évidente.

Accroître les pouvoirs juridiques, les moyens et les ressources d’expertises de la CNIL, pour lui permettre d’exercer sa mission en toute plénitude et en toute indépendance.

DELIS estime que :

  la CNIL doit continuer de recevoir sans restriction les recours individuels ou collectifs (réclamations pétitions et plaintes) ;
  la présence du commissaire du gouvernement porte fortement atteinte à l’indépendance de la CNIL ;
  la situation privilégiée qui est faite aux magistrats contribue à créer deux catégories de commissaires, ce qui n’est pas acceptable ;
  la CNIL doit participer à la "préparation de la position française dans les négociations internationales relatives à ce secteur" et, comme le fait l’ART, "à la représentation française dans les organisations internationales et communautaires..." ;
  la CNIL doit désigner son représentant au groupe de l’art. 29 de la directive dit "Groupe de protection des personnes à l’égard du traitement des données à caractère personnel", il conviendrait d’ajouter un 11° $ à l’art. 13 nv ;

DELIS propose que :
  la CNIL ait le pouvoir d’ester en justice ;
  la Commission ait comme membre des représentants de la société civile (associations, syndicats, etc.) ;
  l’accroissement des moyens de la CNIL passe notamment par la mise en place de délégations régionales permanentes en liaison avec les acteurs sociaux locaux ;
  un comité consultatif prenant en compte les diverses composantes sociales soit constitué et soit saisi des projets d’informatisation les plus sensibles.

Texte adressé à la Commission Nationale Informatique et Libertés (CNIL) et à la Commission Nationale Consultative des Droits de l’Homme (CNCDH).

http://www.delis.sgdg.org/menu/transposition/trans0900.htm