Loi informatique et libertés adoptée, Directive 95/46/CE transposée, Conseil constitutionnel saisi

/ /
Publié le 19 juillet 2004
Par .

Actualisation du 22/07/2004 : les sénateurs socialistes ont saisi le Conseil constitutionnel le 20 juillet pour vérifier la conformité de la nouvelle Loi informatique et libertés avec la Constitution française. La saisine porte essentiellement sur les trois points suivants : la création des fichiers d’infraction par des personnes morales, la nomination de correspondants aux données dans…

Actualisation du 22/07/2004 : les sénateurs socialistes ont saisi le Conseil constitutionnel le 20 juillet pour vérifier la conformité de la nouvelle Loi informatique et libertés avec la Constitution française. La saisine porte essentiellement sur les trois points suivants : la création des fichiers d’infraction par des personnes morales, la nomination de correspondants aux données dans les entreprises, et le statut des données génétiques et biométriques.

__________

 

Le sénat vient d’adopter définitivement, le 15 juillet 2004, le projet de loi [senat.fr] relatif à la protection des personnes physiques à l’égard des traitements de données à caractère personnel et modifiant la loi n° 78-17 du 6 janvier 1978 « Informatique et libertés ».

 

Déposé initialement à l’Assemblée nationale par le gouvernement de Lionel Jospin, en juillet 2001, ce projet de loi complète le dispositif juridique national protégeant les données à caractère personnel. Il transpose la directive 95/46/CE du 24 octobre 1995 relative à la protection des données personnelles et à la libre circulation de ces données, qui devait être mise en œuvre pour le 25 octobre 1998. Tout dernier Etat membre à se conformer à cette directive générale, la France a fait l’objet d’une procédure devant la Cour de justice des Communautés.

 

Cette loi adapte la loi de 1978 à l’essor des nouvelles technologies de ces dernières années, comme la biométrie, la géo-localisation ou la prospection commerciale par courriel et prend en compte la dimension transfrontalière de la circulation des données personnelles (voir Sandrine Rouja, « SPAM : entreprises, internautes, défendez vous ! – le point sur les règles applicables« , III° partie, Juriscom.net, 24 juin 2004). Son champ d’application s’étend « aux traitements automatisés de données à caractère personnel, ainsi qu’aux traitements non automatisés de données à caractère personnel contenues ou appelées à figurer dans des fichiers, à l’exception des traitements mis en oeuvre pour l’exercice d’activités exclusivement personnelles ».

 

Si la nouvelle loi « Informatique et libertés » allège et simplifie les formalités de contrôle a priori et de déclaration des traitements automatisés, elle étend parallèlement les pouvoirs de contrôle a posteriori de la CNIL.

 

Des formalités préalables allégées…

 

Les organismes privés ou publics auront la possibilité de faire une déclaration unique pour les traitements de données dont les finalités sont « identiques ou liées entre elles ». La nouvelle loi prévoit par ailleurs la mise en place dans les entreprises de « correspondants à la protection des données », dont la désignation sera notifiée à la CNIL. Ils seront responsables du respect de la loi concernant le traitement des données et seront dispensés de la déclaration des fichiers, à l’exception des formalités soumises à autorisation et des transferts de données à caractère personnel à destination d’un État non membre de la Communauté européenne. Un décret d’application devrait être pris pour mettre en œuvre cette mesure.

 

… contrebalancées par des pouvoirs de contrôle renforcés

 

L’autorité administrative dispose de nouvelles possibilités d’investigation, d’intervention et de sanction, qui vont de l’avertissement et la mise en demeure au pouvoir de sanction pécuniaire, dans la limite de 150.000 euros ou de 300.000 euros en cas de récidive (article 47 de la nouvelle loi « Informatique et libertés »). Ces sanctions pécuniaires ne sont pas imposées par la directive et elles pourront faire l’objet d’un recours devant le Conseil d’Etat. La CNIL pourra par ailleurs adopter des mesures provisoires (comme l’interruption de la mise en œuvre du traitement) pour faire cesser toute atteinte grave aux droits et libertés protégés par la loi et demander au juge des référés de prononcer des mesures de sécurité en vue de sauvegarder ces droits et libertés.

 

Cette loi fait face à une forte opposition qui pourrait aboutir à la saisine du Conseil constitutionnel. Parmi les oppositions figure la dispense de déclaration accordée aux futurs correspondants à la protection des données, ou encore les neufs dérogations introduites par la loi au principe de l’interdiction de la collecte et de l’enregistrement des données sensibles. Les mesures prises pour lutter contre la piraterie sur Internet sont aussi décriées.

 

En effet, les sociétés de gestion des droits d’auteurs et des droits voisins sont désormais autorisées à constituer des fichiers relatifs aux infractions, en prévention ou en réparation du préjudice subi, sous le contrôle a posteriori et au cas par cas de la CNIL (article 9 de la nouvelle loi « Informatique et libertés »).

 

Notons que les amendements présentés devant le Sénat ont tous été rejetés et c’est donc le texte adopté par l’Assemblée nationale en 2ème lecture qui a été retenu, mettant ainsi un terme à la navette parlementaire. Seul le Conseil constitutionnel pourrait avoir le dernier mot.

 

Sandrine Rouja

Secrétaire de rédaction de Juriscom.net