Loi informatique et libertés du 6 janvier 1978

Loi relative à l'informatique, aux fichiers et aux libertés du 6 janvier 1978

Wikinews propose des actualités concernant « Informatique et libertés ».

La loi n°78-17 relative à l'informatique, aux fichiers et aux libertés du 6 janvier 1978 (plus connue sous le nom de loi informatique et libertés de 1978) ^[1] est une loi française promulguée à la suite de l'affaire SAFARI, et qui réglemente aujourd'hui notamment la pratique du fichage, manuel ou informatique.

Décret de 1991 et loi de 2004

Cette loi a été ultérieurement modifiée par le décret du 4 novembre 1991, qui réorganise les fichiers des Renseignements généraux en autorisant « la collecte, la conservation et le traitement dans les fichiers des services des renseignements généraux d'informations nominatives relatives aux personnes majeures qui font apparaître » les « signes physiques particuliers, objectifs et inaltérables » ainsi que les « activités politiques, philosophiques, religieuses ou syndicales » (art. 2 ^[2]). Les informations peuvent être collectées si elles sont « relatives à des personnes physiques ou morales qui ont sollicité, exercé ou exercent un mandat politique, syndical ou économique ou qui jouent un rôle politique, économique, social ou religieux significatif, sous condition que ces informations soient nécessaires pour donner au Gouvernement ou à ses représentants les moyens d'apprécier la situation politique, économique ou sociale et de prévoir son évolution. » (art. 3 ^[2]); mais dans ce cas, elles ne peuvent être communiquées à la police ni à la gendarmerie (art.5 ^[2]). Le décret prévoie aussi un examen de la légitimité des informations détenues tous les cinq ans, sous l'égide de la CNIL (art. 6 ^[2]).

La loi de 1978 est encore modifiée par la loi ^[3] du 6 août 2004 afin de transposer dans le droit français les dispositions d'une directive européenne ^[4].

Le projet SAFARI et la création de la CNIL

Bien que signée en 1978, l'histoire de la loi Informatique et libertés est environ de dix ans plus ancienne.

En effet, dès 1970, le député Michel Poniatowski propose à l'assemblée nationale la création d'un comité de surveillance et d'un tribunal de l'informatique, cette suggestion, reprise plus tard par d'autres, est rejetée. Pourtant en 1971, l'Insee, profitant du passage de l'informatique des cartes perforées vers les bandes magnétiques, décida de centraliser à Nantes les répertoires d'identification jusque là régionaux, par le projet SAFARI (Système automatisé pour les Fichiers Administratifs et le Répertoire des Individus), qui vise à une interconnexion des fichiers notamment par l'usage du NIR (numéro INSEE de Sécurité sociale). Et dans une sorte de vertige technocratique, l'administration envisagea de cumuler cette centralisation avec celle à Tours du fichier de la Caisse nationale d'assurance vieillesse (CNAV) et de l'interconnecter avec les fichiers de la carte d'identité, gérée par le ministère de l'Intérieur.

Ce projet perçu comme une entrave grave à la liberté fit scandale lorsque Le Monde titra le 21 mars 1974 : « SAFARI ou la chasse aux Français ». Cette tribune provoqua un tollé politique, auquel dut faire face le tout récent ministre de l'Intérieur Jacques Chirac, qui venait « d'échanger » son poste à l'agriculture avec celui de Raymond Marcellin depuis moins d'un mois.

Mais le 2 avril 1974, Georges Pompidou, président de la République, que les bulletins officiels disaient atteint d'une simple grippe, décède de sa maladie de Waldenström (forme de cancer). Valéry Giscard d'Estaing est alors élu président de la République, grâce au soutien de Jacques Chirac et surtout de la popularité de ce dernier en monde rural, acquise lors de son passage à l'agriculture. Il est nommé Premier ministre et appelle au ministère de l'Intérieur M. Poniatowski, qui face à la critique, reprend son idée et crée la Commission de l'informatique et des libertés et mit sur pied le projet, qui malgré sa démission en 1977, aboutira à la loi « Informatique et Libertés » du 6 janvier 1978 et à la création de la CNIL (Commission nationale de l'informatique et des libertés). Cette précocité plaça ainsi la France dans le trio de tête européen au côté du land de Hesse (Allemagne, 1971) et de la Suède (1973) et en fit l'instigateur des législations européennes mise en place dans les dix pays de la communauté en 1981, inspirant la Convention du Conseil de l'Europe sur la protection des données (1981) et les Lignes directives pour la réglementation de fichiers de données personnelles automatisées (1990). La France sera la dernière à transposer en 2004 une directive européenne de 1995, qui modifia profondément la loi, en remplaçant notamment le terme d'« informations nominatives », par « données à caractère personnel », en donnant à l'article 2 une définition de ces dernières afin d'éviter les interprétations douteuses de cette notion et d'englober le plus de situations possibles. En outre la loi informatique et libertés s'est rapprochée des nouvelles technologies de l'information en spécifiant qu'elle ne légiférait pas pour les copies temporaires de fichiers et en définissant les conditions exactes de licéité des traitements de données à caractère personnel. On peut également noter la disparition de la distinction pour les traitements entre le secteur public et le secteur privé, les deux étant aujourd'hui soumis à une même procédure, que certains jugent trop laxiste. Aujourd'hui la plupart des regroupements du projet SAFARI ont été effectués, les uns après les autres, dans des situations mieux définies.

Cependant il est très important de remarquer que les législateurs, qui n'avaient pour ambition que de reconnaître de nouveaux droits aux citoyens à l'égard des grands systèmes centralisés d'information, dont les administrations commençaient à se doter, ne pouvaient ne serait-ce qu'imaginer le développement d'Internet et ont toutefois réussi à créer une « loi monument », pilier de la législation électronique.

La base de la loi Informatique et libertés : les données et le traitement de données à caractère personnel

Découpée en treize parties, dont seules les trois premières (Principes et définitions, Conditions de licéité des traitements de données à caractère personnel, La commission nationale de l'informatique et des libertés) concernent directement les particuliers, la LIL inscrit dès l'article premier l'informatique dans le cadre des droits de l'homme, certainement en souvenir des fins auxquelles on put être utilisés les fichiers sous Vichy.

Article 1

L'informatique doit être au service de chaque citoyen. Son développement doit s'opérer dans le cadre de la coopération internationale. Elle ne doit porter atteinte ni à l'identité humaine, ni aux droits de l'homme, ni à la vie privée, ni aux libertés individuelles ou publiques.''

Dès le second article, elle définit son cadre, s'adressant au plus grand nombre.

Article 2

[...] Constitue une donnée à caractère personnel toute information relative à une personne physique identifiée ou qui peut être identifiée, directement ou indirectement, par référence à un numéro d'identification ou à un ou plusieurs éléments qui lui sont propres. Pour déterminer si une personne est identifiable, il convient de considérer l'ensemble des moyens en vue de permettre son identification dont dispose ou auxquels peut avoir accès le responsable du traitement ou toute autre personne.

Constitue un traitement de données à caractère personnel toute opération ou tout ensemble d'opérations portant sur de telles données, quel que soit le procédé utilisé, et notamment la collecte, l'enregistrement, l'organisation, la conservation, l'adaptation ou la modification, l'extraction, la consultation, l'utilisation, la communication par transmission, diffusion ou toute autre forme de mise à disposition, le rapprochement ou l'interconnexion, ainsi que le verrouillage, l'effacement ou la destruction.

Constitue un fichier de données à caractère personnel tout ensemble structuré et stable de données à caractère personnel accessibles selon des critères déterminés. La personne concernée par un traitement de données à caractère personnel est celle à laquelle se rapportent les données qui font l'objet du traitement.

Par la suite, elle spécifie:

• quelles sont les obligations d'un responsable de traitement
• quels peuvent-être les destinataires de ce traitement (Art. 3) : toute personne habilitée à recevoir communication de ces données
• quelles données peuvent être collectés : les « origines raciales », ethniques, les opinions politiques, philosophiques ou religieuses, l'appartenance syndicale, ou celles relatives à la santé et à la sexualité sont interdites, étant qualifiées de données sensibles, sauf exception (Art. 8 et 26)
• et comment doivent-elles êtres récoltées et conservées (Art. 6 et 7). L'article 6 définit notamment le principe de finalité, le principe de proportionnalité et le principe d'exactitude.

Article 6

Un traitement ne peut porter que sur des données à caractère personnel qui satisfont aux conditions suivantes :

1. Les données sont collectées et traitées de manière loyale et licite ;
2. Elles sont collectées pour des finalités déterminées, explicites et légitimes et ne sont pas traitées ultérieurement de manière incompatible avec ces finalités. Toutefois, un traitement ultérieur de données à des fins statistiques ou à des fins de recherche scientifique ou historique est considéré comme compatible avec les finalités initiales de la collecte des données, s'il est réalisé dans le respect des principes et des procédures prévus au présent chapitre, au chapitre IV et à la section 1 du chapitre V ainsi qu'aux chapitres IX et X et s'il n'est pas utilisé pour prendre des décisions à l'égard des personnes concernées ;
3. Elles sont adéquates, pertinentes et non excessives au regard des finalités pour lesquelles elles sont collectées et de leurs traitements ultérieurs ;
4. Elles sont exactes, complètes et, si nécessaire, mises à jour ; les mesures appropriées doivent être prises pour que les données inexactes ou incomplètes au regard des finalités pour lesquelles elles sont collectées ou traitées soient effacées ou rectifiées;
5. Elles sont conservées sous une forme permettant l'identification des personnes concernées pendant une durée qui n'excède pas la durée nécessaire aux finalités pour lesquelles elles sont collectées et traitées.

Article 7

Un traitement de données à caractère personnel doit avoir reçu le consentement de la personne concernée ou satisfaire à l'une des conditions suivantes : 1° Le respect d'une obligation légale incombant au responsable du traitement ; 2° La sauvegarde de la vie de la personne concernée ; 3° L'exécution d'une mission de service public dont est investi le responsable ou le destinataire du traitement ; 4° L'exécution, soit d'un contrat auquel la personne concernée est partie, soit de mesures précontractuelles prises à la demande de celle-ci ; 5° La réalisation de l'intérêt légitime poursuivi par le responsable du traitement ou par le destinataire, sous réserve de ne pas méconnaître l'intérêt ou les droits et libertés fondamentaux de la personne concernée.

Traitements de données juridico-policiers

Article connexe : Fichage en France.

Enfin dans les articles 9 et 10, elle précise que seules les juridictions, autorités publiques, personnes gérantes d'un service public ou auxiliaire de loi peuvent mettre en œuvre des traitements de données relatifs aux infractions, condamnation et mesure de sûreté et qu'aucune décision de justice ou impliquant des conséquences juridiques ne peut-être basée sur un traitement de données à caractère personnel, protégeant ainsi les personnes de toute malversation.

L'art. 26 prévoit en outre que les traitements de données à caractère personnel qui intéressent « la sûreté de l'Etat, la défense ou la sécurité publique », ou qui ont pour objet « la prévention, la recherche, la constatation ou la poursuite des infractions pénales ou l'exécution des condamnations pénales ou des mesures de sûreté », doivent être autorisés par arrêté pris après avis motivé et publié au Journal officiel de la CNIL.

Lorsqu'ils comportent des données sensibles (cas notamment du fichier des Renseignements généraux, du STIC, d'EDVIGE et de CRISTINA), ils doivent être autorisés par un décret en Conseil d'Etat pris après avis motivé et publié de la CNIL.

Toutefois, l'autorisation de ces traitements de données peut être dispensé d'une publication au Journal officiel (cas de CRISTINA) par décret en Conseil d'Etat. Jusqu'à présent, cette procédure n'a été utilisée que pour des fichiers concernant le renseignement, et non pour des fichiers juridico-policiers (prévention, recherche, constation ou poursuite des infractions pénales, etc.).

Les droits essentiels particuliers reconnus par cette loi

La loi Informatique et libertés concentre les droits des particuliers en quatre points qui sont :

Le droit d'information

L'article 3 de la loi indique que toute personne a le droit de savoir si elle est fichée et, si oui, dans quel fichiers, c'est le droit d'information, droit fondamental base de tous les autres.

Le droit d'opposition

Le droit d'opposition autorise toute personne à s'opposer, pour un motif légitime, à ce qu'elle figure dans un fichier. De plus, elle peut s'opposer, sans justification, à ce que les données la concernant soient utilisées à des fins de prospection, en particulier commerciale.

Ainsi, la Fédération des entreprises de ventes à distance a créé le fichier Robinson, dit "stop-publicité", permettant à toute personne ne désirant pas être prospectée d'être radiée des fichiers des entreprises adhérentes à l'association. France Télécom met également à disposition du public une option dénommée Liste orange, gratuite, pour les personnes ne souhaitant pas voir leur coordonnées téléphoniques commercialisées, mais qui souhaitent tout de même figurer dans l'annuaire téléphonique

Quant aux fichiers du secteur public (services fiscaux, police, justice, fichier des passagers aériens...), ils ne sont pas, pour la majorité d'entre eux, concernés par ce droit.

Le droit d'accès

Le droit d'accès est complémentaire du droit d'information, puisqu'il permet en justifiant de son identité la consultation de ses données personnelles. Celle-ci donne la possibilité de vérifier l'exactitude des données et d'en obtenir une copie pour un coût n'excédant pas celui de la reproduction. Toutefois, ce droit est limité : si le responsable du traitement estime que la demande est abusive ou si les données sont conservées sous une forme ne présentant aucun risque, leur consultation est alors refusée, s'il s'agit de données attenantes à la sécurité de l'État, la défense, ou la sécurité publique (police, gendarmerie), un membre de la CNIL est désigné pour examiner ces données et le cas-échéant les modifier, si cette modification n'est pas d'ordre à porter préjudice à la sécurité nationale. Les traitements mis en œuvre par les administrations publiques, les personnes chargées d'une mission de service public et les services d'imposition sont également concernés par la mesure précédente.

Le droit de rectification

Le droit de rectification, complément essentiel du droit d'accès, permet à toute personne de rectifier, compléter, actualiser, verrouiller ou faire effacer des données erronées la concernant. L'application de ce droit se fait essentiellement par lettre écrite à l'organisme détenteur des dites informations, le responsable du traitement devra alors justifier qu'il a procédé aux rectifications demandées, et faire parvenir gratuitement, à la demande de la personne concernée, une copie de l'enregistrement modifié.

Article 40 Toute personne physique justifiant de son identité peut exiger du responsable d’un traitement que soient, selon les cas, rectifiées, complétées, mises à jour, verrouillées ou effacées les données à caractère personnel la concernant, qui sont inexactes, incomplètes, équivoques, périmées, ou dont la collecte, l’utilisation, la communication ou la conservation est interdite.^[5]

Les modifications apportées par la loi du 6 août 2004

La loi du 6 août 2004, qui transpose dans le droit français les dispositions de la directive européenne 95/46, apporte de nombreuses modifications à la loi Informatique et libertés. Elle a été complétée par décrets^[6] pris le 21 octobre 2005 et le 25 mars 2007.

Les nouvelles règles relatives à la déclaration des fichiers

La nouvelle loi harmonise partiellement les règles de déclaration des fichiers entre secteur privé et secteur public. Le régime général pour le secteur public n'est plus de demander une autorisation à la CNIL, mais de faire une simple déclaration de ces fichiers, comme c'était déjà le cas pour le secteur privé.

La loi prévoit d'autre part des cas dans lesquels des fichiers peuvent bénéficier d'une déclaration simplifiée, voire sont exemptés de déclaration.

Toutefois, la distinction entre personne publique et personne privée n'a pas totalement disparu. La loi du 6 août 2004 prévoit en effet une procédure nouvelle de demande d'avis imposée aux organismes du secteur public pour la création de certains fichiers contenant des données sensibles. La procédure d'autorisation demeure pour les entreprises privées et s'étend à de nouvelles catégories de données. Les fichiers devant faire l'objet d'une demande d'autorisation sont, entre autres, ceux qui utilisent le numéro de sécurité sociale (attribué par l'Insee).

Le correspondant Informatique et Libertés

Article détaillé : Correspondant informatique et libertés.

La loi prévoit la possibilité pour un organisme privé ou public de nommer un « correspondant à la protection des données à caractère personnel », couramment appelé « correspondant informatique et libertés » (CIL). Ce correspondant est chargé d'assurer l'application des dispositions de la loi à l'intérieur de l'organisme. Les formalités de déclaration à la CNIL sont alors largement simplifiées, sauf pour les traitements les plus sensibles, tels que les traitements automatisés de données biométriques ou ceux qui concernent la sûreté de l'État. D'une manière générale, il conseille l'entreprise sur toutes les questions relatives au respect des données à caractère personnel.

Nommé par l'entreprise, soit parmi ses collaborateurs, soit à l'extérieur, il doit agir de manière indépendante par rapport à elle. Il peut saisir la CNIL.

Ce poste existe déjà, sous diverses formes, dans d'autres pays comme l'Allemagne (Datenschutzbeauftragte, créé dans les années 1970), les Pays-Bas (functionaris gegevensbescherming) et la Suède (personuppgiftsombud).

Une association regroupe les CIL, l'AFCDP (Association Française des Correspondants à la protection des Données à caractère Personnel).

L'AFCDP propose un référentiel pour établir le bilan annuel du CIL : ce document doit être remis au Responsable de traitement chaque année et tenu à disposition de la CNIL.

Les nouvelles prérogatives de la CNIL

La CNIL peut désormais contrôler les locaux d'une entreprise entre 6h et 21h.

L'une des commissions de l'AFCDP prépare les entités et les CIL à une telle éventualité (déroulement d'un contrôle, Que faire ? Que ne surtout pas faire ? Droits & Devoirs ? Recommandations ? Limites ? Comment s’y préparer ? etc.)

L'organe de contrôle : la CNIL

Article détaillé : Commission nationale de l'informatique et des libertés.

Le 6 janvier 1978, le Parlement instaurait non seulement la loi informatique et libertés mais aussi l'autorité de contrôle permettant sa bonne application : la Commission nationale de l'informatique et des libertés (CNIL), premier organisme à avoir été qualifié d'autorité administrative indépendante.

Les limites de la LIL : le cas Interpol

L'OIPC (Organisation internationale de police criminelle), communément appelée Interpol est une organisation de collaboration des polices criminelles internationales, née en 1923 sous l'impulsion du prince Albert I^er de Monaco. Placée sous la direction de l'Autriche, qui disposait des immenses archives issues de l'empire Austro-Hongrois, elle connut une période noire durant la Seconde Guerre mondiale, en devenant une base du génocide juif, lors de son commandement nazi. Ayant survécu grâce à la ténacité d'un policier belge, elle s'est dotée en 1955 d'une charte, fondement de ses principes. Installée à Lyon depuis 1989, cette célèbre organisation, qui compte aujourd'hui 182 membres participant activement à la lutte contre la grande criminalité et notamment le terrorisme, s'était fait remarquer en 1982, en refusant de participer à l'arrestation de Klaus Barbie, ancien criminel nazi, chef de la Gestapo rhônalpine, tortionnaire de Jean Moulin, il s'était réfugié en Bolivie et fut expulsé après la chute du général Banzer (dictateur militariste de 1971 à 1978, puis Président de 1997 à 2001) pour être jugé à Lyon.

À la fin des années soixante-dix, Interpol décida d'informatiser sa base de renseignements, encore traitée manuellement. Cette informatisation fut source d'un conflit entre l'organisation, basée à Saint-Cloud à l'époque, et la république française qui soutenait que sa loi Informatique et libertés était applicable aux données contenues dans les locaux de l'organisation, auquel elle avait droit d'accès. Interpol estimait que l'application de cette loi était impossible pour deux raisons : les informations qu'elle détient sont propriété des pays membres, elle n'en est que le dépositaire, le fait de la soumettre à un système législatif lui donne un caractère extra-territorial, de plus cela risquerait de compromettre la coopération policière internationale, certains pays préférant renoncer à communiquer des informations auxquels aurait accès librement l'État Français.

Après plusieurs années de conflits, les deux parties se mirent d'accord par la signature d'un nouvel accord de siège le 3 novembre 1983 et un échange de lettre en 1984. Le premier texte définit non seulement le cadre général de l'organisation (propriété insaisissable, immunité diplomatique de ses hauts dignitaires, très peu de soumission à l'impôt...), mais aussi l'inviolabilité des fichiers et des archives d'Interpol ; le second prône la mise en place d'une autorité de contrôle interne des fichiers et non pas nationale. Ainsi la France a renoncé à faire appliquer sa loi aux fichiers de l'Organisation grâce aux garanties que cette dernière a fournies, pour assurer la coopération internationale.

Législation semblable dans les autres pays

(A compléter)

Notes

1. ↑ Loi n°78-17 du 13 janvier 1978, Loi relative à l'informatique, aux fichiers et aux libertés Légifrance
2. ↑ ^{a , b , c  et d} Décret no 91-1051 du 14 octobre 1991 portant application aux fichiers informatisés, manuels ou mécanographiques gérés par les services des renseignements généraux des dispositions de l'article 31, alinéa 3, de la loi no 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, JORF n°241 du 15 octobre 1991 page 13498
3. ↑ Loi n°2004-801 du 6 août 2004, Loi relative à la protection des personnes physiques à l'égard des traitements de données à caractère personnel et modifiant la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés - Légifrance
4. ↑ Directive 95/46 du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données. EuroParl
5. ↑ Voir le site de la cnil
6. ↑ Décret n° 2005-1309 du 20 octobre 2005 modifié par Décret n° 2007-451 du 25 mars 2007(décrets d'application de la réforme de 2004),

Voir aussi

Articles connexes

• Fichage en France
• Fuite d'information
• Protection de la vie privée
• HALDE
• CNIL
• Association Française des Correspondants à la protection des Données à caractère Personnel (AFCDP)

Liens externes

• Loi n°78-17 du 6 janvier 1978 - texte consolidé, prenant en compte les modifications ultérieures,
• Loi n°2004-801 du 6 août 2004 - texte consolidé, prenant en compte les modifications ultérieures,
• Le site officiel de la Commission nationale informatique et libertés (CNIL).
• Site de la Fédération Informatique et Libertés
• Association française des correspondants à la protection des Données à caractère Personnel (association regroupant les CIL)

Ce document provient de « Loi relative %C3%A0 l%27informatique, aux fichiers et aux libert%C3%A9s du 6 janvier 1978 ».