La révision de la loi " informatique et libertes "

Les principes de la loi de 1978

  transparence (droit d’accès, d’opposition, de communication ou de rectification. ;
  droit à l’oubli et au secret ou à la confidentialité
  principe de finalité,

La loi établit une distinction entre les traitements du secteur public et ceux du secteur. Les premiers doivent faire l’objet d’une autorisation préalable de la CNIL : les seconds doivent simplement lui être déclarés C’est cette distinction que remet en cause la directive européenne d’octobre 1995. La CNIL exerce un contrôle a priori (autorisation, declaration) mais aussi a posteriori : réception de "réclamations, pétitions et plaintes", "mesures de sécurité", avertissements, dénonciations au parquet, sanctions pénales. Dans les faits, la CNIL exerce rarement ce contrôle a posteriori : insuffisance des moyens matériels de la C.N.I.L. et de ses pouvoirs juridiques, sensibilité limitée des parquets et des tribunaux à des questions nouvelles et techniques.

Composition et fonctionnement de la CNIL.

La CNIL compte deux députés et deux sénateurs, deux membres du Conseil économique et social, deux membres du Conseil d’Etat, deux membres de la Cour de Cassation, deux membres e la Cour des comptes, deux personnes qualifiées pour leur connaissance des applications de l’informatique et trois personnalités désignées en raison de leur autorité et de leur compétence. Le role des commissaires est central dans le fonctionnement de la CNIL : reunion hebdomadaire, presentation des dossiers soumis aux deliberations. Les commissaires ne peuvent cependant, pour nombre d’entre eux, consacrer a cette fonction le temps qui serait necessaire. Certains sont tres presents dans les debats ; d’autres moins. Les commissaires s’appuient sur les juristes de la CNIL, tres competents et devoués.

La CNIL manque de moyens
  penurie de personnel pour assurer pleinement les missions de contrôle a posteriori
  moyens budgetaires, notamment en matiere de communication et de sensibilisation du public

L’affaire du NIR : l’interconnexion des fichiers sociaux et fiscaux

.L’administration des finances n’a jamais vraiment renoncé a ce projet (qui, sous le nom de Safari, est a l’origine de la loi de 1978).

La Commission nationale de l’informatique et des libertés faisait obstacle : elle refusait de laisser l’administration fiscale s’emparer du numéro de Sécurité sociale. Les risques étaient trop grands : constitution de fichiers individuels, interconnexion entre les fichiers fiscaux et sociaux, discriminations à partir de ce numéro qui indique le sexe, la date et le lieu de naissance.

Un amendement déposé par le député Jean-Pierre Brard (apparenté PCF, Seine-Saint-Denis) a permis de contourner la CNIL : cet amendement vote en decembre 1998 (dans le cadre de la loi de finances) autorise l’administration fiscale à utiliser le numéro de Sécurité sociale. L’objectif affiché est la lutte contre la fraude fiscale. Des lors que l’amendement etait voté, le gouvernement devait soumettre a la CNIL le decret d’application.

Le projet de décret initial ouvrait la porte a un certain nombre de derives. Il revenait a la CNIL de delimiter l’usage du NIR.

C’est un petit nombre de commissaires qui ont finalement convaincu la CNIL d’introduire des limites tres restrictives a l’usage de la CNIL. : " Uniquement pour vérifier et certifier l’identité et l’adresse des contribuables "

  L’utilisation par l’administration fiscale du NIR doit rester exceptionnelle
  Ce numéro ne peut servir d’" identifiant fiscal unique ", comme le souhaitait le ministère.
  Le ministere continuera d’utiliser le SPI ( identifiant fiscal par contribuable) , un numéro aléatoire dont les chiffres, à la différence de ceux du numéro de Sécurité sociale, ne donnent aucune indication sur le titulaire. Avec le numéro de Sécurité sociale, l’administration va pouvoir recouper ses données et attribuer à chaque contribuable un numéro SPI unique, qui sera l’instrument de communication entre eux. C’est ce numéro que les mille trois cents centres des impôts (CDI) utiliseront après l’avoir reçu des centres régionaux informatiques (CRI). Seules l’administration centrale et les seize CRI - qui ne seront plus que six en 2003 - auront accès au numéro de Sécurité sociale
  Chaque fois que Bercy souhaitera utiliser le numéro de " Sécu " hors du cadre ainsi défini, il lui faudra en demander l’autorisation à la CNIL.

On tirera deux enseignements de cette affaire du NIR :
  les projets de Bercy n’ont pas sucité un grand nombre de reactions. Le Monde et Libe ont publié, il est vrai, des articles critiques. Les alertes des collectifs n’ont pas rencontré un grand echo.
  La CNIL a pleinement joué son role de "gardienne des libertés ".

Regain de vigilance

La nouvelle CNIL (sa composition a été partiellement renouvelée) est decidée a exercer l’ensemble de ses competences : contrôle des fichiers " sur place " (après denonciation d’un laboratoire pharmaceutique qui collectait des donnéees sensibles sur ses salariés), transmission au parquet des cas d’infraction de la loi ...

la Directive européenne

La directive communautaire relative à la protection des personnes physiques a l’egard du traitement des données a caractere personnel et a la libre circulation de ces données a été adoptée en 1995. La France a pris du retard pour transposer cette directive en droit français.

Cette directive vise à réduire les divergences entre les législations nationales sur la protection des données afin de lever tout obstacle à la libre circulation des données à caractère personnel à l’intérieur de l’Union européenne.

Les dispositions de cette directive doivent être reprises par chaque État dans une loi nationale (transposition) dans un délai de trois ans après la date d’adoption de la directive, c’est-à-dire avant le 24 octobre 1998.

La France a pris du retard pour transposer cette directive en droit français.

La directive est exceptionnelle, à la fois parce qu’elle porte sur des questions qui touchent directement aux droits de l’homme et parce qu’elle comporte de nombreuses options, exceptions et dérogations, qui laissent aux Etats membres de grandes marges d’appréciation dans sa transposition.

Dans l’ensemble, la directive maintient un niveau elevé de protection : elle reprend les dispositions des lois nationales les plus exigeantes (France, lAllemagne, pays scandinaves). La directive pose en principe, dans ses considérants, que le rapprochement des législations nationales " ne doit pas conduire à affaiblir la protection qu’elles assurent, mais doit au contraire avoir pour objectif de garantir un niveau élevé de protection dans la Communauté".

" La directive et loi du 6 janvier 1978 se fondent sur un corpus de principes communs concernant les données, les traitements et les personnes.
  Les données doivent être exactes et pertinentes ;
  les données dites "sensibles" doivent être particulièrement protégées. ;
  Les traitements sont soumis aux principes de finalité, de sécurité, de proportionnalité et de transparence. ;
  les personnes concernées ont le droit d’être informées, de refuser leur consentement lorsqu’il est prévu, d’accéder à leurs données, d’en demander la rectification et de s’opposer aux traitements.
  Une autorité indépendante de contrôle doit veiller à l’application de ces règles ".

La directive met sur le même plan secteur public et privé, pour les règles applicables, mais aussi pour les formalités imposées. (Dans la loi de 1978, seuls les traitements du secteur public sont soumis a autorisation prealable) .

La directive opere un glissement du contrôle à priori vers le contrôle a posteriori. Seront cependant soumis à examen préalable les traitements "susceptibles de présenter des risques particuliers au regard des droits et libertés des personnes concernées". Et ce pour le secteur prive comme pour le secteur public.

Discussion

Ou en est le STIC ?

Le " systeme de traitement des infractions constatées " du ministere de l’intérieur recense les noms des personne mises en cause dans des procedures judiciaires : ce qui est en cause ici, c’est la presomption d’innocence et le droit à l’oubli. La CNIL a donné son feu vert l’an dernier, après avoir obtenu un certain nombre d’ameliorations.

La méconnaissance de la loi de 1978 dans le public

Très peu de citoyens exercent leurs droits : acces, rectification.. Il n’est pas facile de faire valoir le droit d’acces pour les fichiers de " securité " (police, gendarmerie, defense).. On ne peut y acceder qu’indirectement, par la biais de la CNIL.

L’idée surgit que des membres de temps reels pourraient demander a acceder a un certain nombre de fichiers, y cormpis des fichiers de securité (RG, DST...) et experimenter ainsi, in vivo, la "realite du droit d’acces (direct ou indirect).

Comment protéger les données personnelles dans un contexte de mondialisation ?

Les etats européens harmonisent leurs legislations. Qui des etats qui n’ont pas des legislations comparables ? A commencer par les Etats Unis.

L’un d’entre nous cite le cas des firmes mondiales d’origine américaine. Elles gerent leurs salariés sur une base mondiale. Les données considerees comme sensibles en Europe ne sont pas considérées comme telles aux Etats Unis. (Aux etats unis, compte tenu des lois et programmes de discrimination positive, elles sont tenues de connaître l’origine ethnique de leurs salariés).

La directive européenne ne soulève pas de probleme majeur

   La directive rencontre un large consensus. Y compris dans les cercles associatifs et militants specialisés dans la protection des libertés.

La Ligue des droits de l’Homme, le Collectif Informatique-Fichiers-Citoyenneté et le collectif des citoyens face a l’informatisation de l’action sociale, avaient en 1997, dans un communiqué conjoint, declaré que la directive communautaire apporte un certain nombre d’avancées par rapport a la loi française.

  les principes relatifs à la qualité des données (article 6),
  la nécessaire légitimation du traitement de données (article 7),
  l’information de la personne concemée sur les finalités du traitement auquel les données sont destinées (article 10),
  l’information des personnes concernées auprès desquelles les données n’ont pas été collectées (article 1 1),
  l’extension du droit d’opposition à l’ensemble des traitements publics et privés.

Question a suivre de pres quand le projet de loi sera connu : les données et traitements soumis a un regime d’examen prealable

  La directive aligne secteurs privé et public au regard des regles et formalités.

Elle distingue

  un régime d’examen préalable du traitement susceptible de présenter des risques particuliers au regard des droits et libertés des personnes concernées (article 20. 1),
   un régime de notification à l’autorité de contrôle, préalable de la mise en oeuvre d’un traitement (article 1 8. 1),
  un régime de simplification ou de dérogation à la notification de l’article 18. 1, dans certains cas.

   La question des "traitements à risques"

La directive ne precise pas ce que sont les " traitements susceptibles de présenter des risques particuliers au regard des droits ". Il revient aux lois nationales de definir ces " traitements a risques " .

Il faut d’abord rappeler qu’un certain nombre de traitements et de fichiers relèvent par eux mêmes et directement du domaine de la loi . C’est le cas (selon Braibant) des grands fichiers nationaux de police et de sécurité, des traitements mettant en jeu des secrets particulièrement protégés par la loi , des interconnexions de traitements à finalités totalement différentes, comme la protection sociale et la police, de ceux qui se rattachent aux procédures pénales ou aux principes fondamentaux de la sécurité sociale.

La liste des catégories concernées devra donc être inscrite dans la loi de transposition.

Une definition restrictive aura pour effet de faire passer des " traitements a risques " dans le regime du contrôle a posteriori...

Une definition trop ouverte aurait pour effet d’alourdir, voire de saturer, le fonctionnement de la CNIL .

On dispose a ce jour de trois definitions (en fait, trois listes) des " traitements susceptibles de présenter des risques particuliers au regard des droits ".

  Une délibération de la CNIL du 14 mai 1996, reprise dans son rapport annuell. Cette liste comprend 11 rubriques :

  le rapport Braibant : celui ci suggere de ne retenir que 6 categories parmi les 11
  la declaration des collectifs : ceux ci reprennent les 11 categories de la CNIL, suggerent de rajouter deux categories : les traitements de données sensibles relatives à la santé et à caractère social par exemple l’inscription au RMI, les traitements relatifs à la vidéosurveillance susceptibles de porter atteinte au respect de la vie privée..

Les collectifs proposent que " les traitements qui concement la totalité de la population ou une partie très largement majoritaire de la population concemée doivent faire l’objet d’une enquête publique organisée sous la responsabilité de l’autorité de contrôle ".

Conclusions

Nous reprendrons cette discussion quand le projet de loi sera public.

  D’ores et deja, nous retenons l’idée, formulée par les collectifs, d’une " enquête publique quand les traitements concement la totalité de la population ou une partie très largement majoritaire de la population ". C’est une enquête publique de ce type qui a fait defaut lors de l’adoption du NIR ou lors de la mise en place de la Carte Vitale.

  Renforcement de la CNIL.

Tout le monde s’accorde sur la necessite de renforcer la CNIL.

A l’occasion de la revision de la loi de 1978, le debat sur la composition de la CNIL va rebondir.

• le nombre de commissaires : faut il en conserver 17, ou reduire leur nombre.

• qui les designe ?

• faut il renforcer le nombre de personnalités qualifiées, et notamment de professionnels ? faut il conserver les parlementaires ?

Ces deux aspects (composition de la CNIL, renforcement) sont liés.

  Il se degage de la discussion que le point le plus important concerne la "disponibilité " et l’implication des commissaires. Pourquoi ne pas aligner la CNIL sur les autres autorites administratives independantes (CSA, ART) ?

Si l’on veut renforcer la CNIL, si on veut qu’elle exerce ses missions de contrôle a posteriori, il faut doter la CNIL de commissaires a plein temps, c’est a dire inscrire dans la loi l’incompatibilité avec toute autre activité (sauf les droits d’auteur).