considérations générales

I - CONSIDERATIONS GENERALES

La France dispose d'un délai de trois ans pour transposer dans sa législation interne, comme les autres Etats de l'Union, la Directive 95/46 du 24 octobre 1995 "relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données".

A la différence de certains de ces Etats, la France est déjà dotée, depuis plus de vingt ans, d'une législation protectrice des libertés contre les risques que comporte le développement de l'informatique. Il y a donc lieu de prendre la mesure des différences existant entre le régime de droit issu de la loi n 78-17 du 6 janvier 1978 dite "informatique et libertés", de ses textes d'application et de la pratique de la CNIL d'une part, et celui résultant de la Directive d'autre part. La Directive, texte d'harmonisation du droit entre les pays de l'Union, présente un certain nombre d'options à lever, qui appellent autant de décisions à prendre par les Etats membres. En France, ces décisions doivent nécessairement tenir compte de l'acquis constitué par la loi de 1978 et la pratique de la CNIL, et de l'évaluation qui peut en être faite aujourd'hui.

l - Comparaison de la loi de 1978 et de la Directive

A - Les principaux traits de la loi de 1978 sont connus :

a) C'est une loi de procédures : les règles de fond ne sont pas absentes, notamment en ce qui concerne les droits des personnes concernées par les traitements (chap. IV et V, droit d'information et droit d'accès), mais l'accent est mis sur la description des procédures, notamment en ce qui concerne la composition et le rôle de la CNIL (chap. II) et les formalités préalables à la mise en oeuvre des traitements automatisés (chap. III).

b) C'est une loi fondée sur la distinction entre les traitements du secteur public et ceux du secteur privé. Les premiers (opérés pour le compte de l'Etat, d'un établissement public, d'une collectivité territoriale ou d'une personne morale de droit privé gérant un service public) sont soumis aux "formalités préalables" que constitue le contrôle a priori de la CNIL et l'émission de son avis, dont la portée est très importante en pratique. Les seconds sont soumis, en principe, à un régime de simple déclaration.

c) C'est une loi dont l'application a été caractérisée par la montée en puissance et l'affirmation du pouvoir de la CNIL, dans des conditions remarquables et qui ont établi, dans la pratique, un régime de contrôle probablement différent de ce qu'avait conçu le législateur de 1978.

B - Les principales causes de cette situation peuvent être ainsi résumées :

a) l'incertitude de la situation de départ sur la nature et l'ampleur des risques créés par les développements de l'informatique (il est tentant, dans une situation de ce genre, de s'en remettre à l'appréciation d'un collège d'experts dont la composition, dès l'origine, reflète le souci d'une vigilance particulière sur la question des libertés ; et effectivement, sans que ce soit le lieu ici d'insister sur ce point, toute étude de l'application de la loi de 1978 ne pourra que souligner l'énorme travail de réflexion et de pédagogie accompli par la CNIL ; un véritable savoir-faire a été acquis, il faudra en tenir compte dans la nouvelle loi issue de la transposition de la directive.

b) Les insuffisances de la réglementation et la pratique parfois "prétorienne" de la commission. Par exemple :

s'agissant des traitements du secteur privé, l'article 16 de la loi prévoit que le récépissé de la déclaration est délivré "sans délai" ; mais en pratique, l'absence de précision sur ce point permet d'allonger le délai dans des conditions inconfortables pour le déclarant. Par ailleurs le même article prévoit que la déclaration comporte l'engagement que le traitement satisfait aux exigences de la loi ; mais il est arrivé à la CNIL de refuser la délivrance d'un récépissé au motif que, selon son appréciation, le traitement envisagé ne satisfaisait pas aux conditions de fond de la loi, ce qui paraît surprenant dans le cadre d'un régime déclaratif ; le Conseil d'Etat aura d'ailleurs bientôt à se prononcer, au contentieux, sur la légalité de cette pratique.

s'agissant des traitements du secteur public, l'article 15 de la loi donne à la commission un délai de deux mois, renouvelable une fois, pour notifier son avis ; mais en l'absence de précision sur le point de départ de ce délai - lequel, selon la commission, ne court pas tant que le dossier n'est pas totalement instruit - ledit délai peut être étiré indéfiniment.

c) L'incapacité politique du Gouvernement, quelle que soit la majorité en place, à mettre en oeuvre les dispositions du 2° alinéa de l'article 15 qui permettent, en principe, de passer outre un avis défavorable de la CNIL en procédant par décret pris sur avis conforme du Conseil d'Etat. Cette procédure, prévue pour surmonter une situation de blocage, n'a jamais fonctionné. On sait pourquoi : la sensibilité de l'opinion à la question des libertés en général, et aux "dangers de l'informatique" en particulier, est telle que devant l'opinion, le Gouvernement n'a jamais voulu se mettre en désaccord avec une institution identifiée, par excellence, à la cause de la défense des libertés. A cet égard, la garantie représentée par l'exigence d'un décret sur avis conforme du Conseil d'Etat n'a jamais paru suffisante. Il en résulte un déséquilibre évident dans le dispositif conçu par le législateur en 1978. Les mêmes causes risquant de produire les mêmes effets, il faut en tirer les leçons pour l'avenir.

C - La situation créée, en ce qui concerne l'équilibre des pouvoirs dans l'application de la loi, peut être ainsi caractérisée :

a) en ce qui concerne les traitements du secteur public, le régime est en pratique celui de la codécision. La CNIL n'agit pas comme instance de contrôle des projets de traitement au regard des dispositions de la loi, mais comme coauteur de ces traitements, mis au point de concert à l'occasion des échanges d'informations et d'observation présidant à l'élaboration de ses avis. Cette situation se vérifie tout particulièrement dans l'application des articles suivants de la loi :

article 31 : cet article prévoit lui-même que les traitements portant sur des "données sensibles" ne peuvent être mis en oeuvre que sur avis conforme de la commission, par décret en Conseil d'Etat ; c'est une compétence partagée de droit.

article 15 : on a vu les raisons pour lesquelles l'avis défavorable de la commission ne peut être surmonté par décret en Conseil d'Etat; par ailleurs et même en l'absence d'avis formellement défavorable, la pratique de l'avis avec réserves permet à la commission de faire modifier, selon ses vues, tout projet de traitement public puisque le rejet, en tout ou partie, de ces réserves par l'auteur du traitement, interdit la mise en oeuvre de celui-ci ; la compétence est partagée de fait.

b) A cette situation de codécision correspond un face à face entre l'auteur du traitement et la commission qui ne peut, en cas de blocage, donner lieu à l'intervention d'un tiers extérieur.

On a vu que le Conseil d'Etat n'est pas saisi dans le cadre de son rôle consultatif. Il ne peut l'être non plus au contentieux puisque le désaccord ou la situation de blocage résulte d'un avis. Or un avis n'est pas une décision, et ne peut être déféré au juge de l'excès de pouvoir. Au demeurant, la contrainte d'ordre politique qui interdit la saisine du Conseil d'Etat au stade consultatif jouerait plus fortement encore pour empêcher sa saisine au contentieux.

Il n'y a donc aucune possibilité de dénouer, par un arbitrage extérieur, un désaccord de fond. Le seul moyen d'en sortir est la négociation. Cause d'allongement des délais.

c) Les contraintes nées de l'application de la loi de 1978 font que dans un certain nombre de cas, la loi n'est, purement et simplement, pas appliquée. Sans qu'il soit possible évidemment, de donner la mesure de ce phénomène d'évitement, il y a toutes raisons de penser qu'un certain nombre de traitements, aussi bien privés que publics, prospèrent en dehors de la loi. C'est sans doute le plus sûr moyen d'échapper aux contraintes des déclarations ou des formalités préalables. Mais on ne peut se satisfaire d'une telle situation. L'un des enjeux de la nouvelle législation issue de la directive sera de savoir s'il est possible de replacer ces traitements sous le régime du droit.

D - Les caractéristiques de la Directive font apparaître, dans la comparaison terme à terme, des différences sensibles avec la loi de 1978.

a) La Directive, texte substantiel, est riche en dispositions de fond : qu'il s'agisse des définitions (article 2), des conditions générales de licéité des traitements (chap. II, articles 6 et 7 notamment) et des droits des personnes concernées (droits d'information, d'opposition, d'accès, de rectification), la directive est sensiblement plus précise que la loi de 1978. De ce fait, le rôle de l'autorité de contrôle apparaît nettement plus encadré que ne l'est celui de la CNIL dans le dispositif de la loi de 1978.

b) La directive ne connaît pas la distinction entre traitements publics et traitements privés : il est d'ailleurs à noter que cette distinction figurait à l'origine dans le projet de directive, mais qu'elle a paru si peu pertinente qu'elle a été abandonnée, ce dont il conviendra de tenir compte (une telle distinction pourrait en effet, dans une certaine mesure, être réintroduite par le biais de la question du champ d'application de la directive (voir ci-après II).

c) Equilibre des pouvoirs dans le dispositif de contrôle :

l'accent est mis sur le régime déclaratif (ce que la directive désigne comme l'obligation de notification, article 18), et par voie de conséquence sur le contrôle a posteriori, pour lequel de larges options sont ouvertes en ce qui concerne les pouvoirs de l'autorité de contrôle (article 28).

le champ d'application du contrôle a priori (ou "examen préalable" aux termes de l'article 20) est en principe très réduit ; il ne porte que sur les traitements présentant des risques particuliers au regard des droits et libertés, dont le nombre devrait être "très restreint" (considérants 53 et 54).

l'importance donnée par le texte de la directive aux dispositions de fond, notamment en ce qui concerne les conditions de licéité des traitements fournit le cadre et les limites de l'examen effectué par l'autorité de contrôle, a priori ou a posteriori (à noter cependant que le caractère général de certaines dispositions laisse subsister une large marge d'appréciation : ainsi les données doivent elles être collectées pour des finalités "légitimes" ; ne pas être "excessives" au regard des finalités; et être conservées que pendant une durée n'excédant pas celle nécessaire à la réalisation desdites finalités, etc.).

2 - Difficultés et contraintes de la transposition à la directive.

A bien des égards, l'exercice de transposition dans l'ordonnancement juridique national de la directive s'annonce délicat. Trois séries d'observations peuvent être faites :

A - Harmonisation et options

Par certains côtés, la directive révèle de fortes contradictions. Une contradiction explicite est celle qui se dégage des deux objectifs à caractère général poursuivi simultanément : favoriser, dans le cadre du marché intérieur, la libre circulation d'un Etat membre à l'autre, des données à caractère personnel (à l'instar des marchandises, des personnes et des services) ; mais aussi, sauvegarder dans le même temps, les droits fondamentaux des personnes (article 3).

Une contradiction non avouée réside dans la poursuite de l'objectif, affiché, d'harmonisation des régimes de droit des Etats membres en matière "d'informatique et libertés" et dans le nombre des options qui sont ouvertes aux Etats membres dans l'exercice de transposition. Ces options s'expliquent sans doute par les difficultés rencontrées dans le processus de négociation (lequel a duré plusieurs années), mais il est à craindre que si elles sont levées par certains Etats membres dans des sens systématiquement opposés (et les positions prises dans la négociation en donnent une indication), l'effet d'harmonisation soit singulièrement affaibli, voire annulé. Les pays ayant effectué sur tous les points les choix les plus "protecteurs" risquent alors de se retrouver en situation relativement défavorable à l'intérieur de l'Union, alors que l'existence du marché intérieur lui-même facilitera toutes les délocalisations possibles.

Les points sur lesquels la directive ouvre des options sont les suivants :

article 8 : "données sensibles" ; 2 a : consentement de la personne ; 4 : motif d'intérêt public important ; 5 : données relatives aux jugements civils et aux sanctions administratives ; 7 : numéro national d'identification ;
article 9 : régime de liberté d'expression. Choix des dérogations ;
articles 10 et 11 : information de la personne concernée par un traitement (informations minimales ou supplémentaires) ;
article 13 : régime général des dérogations. Il y a lieu de choisir dans un "menu", à la fois les points d'application des dérogations (aux conditions générales de licéité, aux droits des personnes concernées, etc.) et les motifs de ces dérogations, limitativement énumérés ;
article 14 : droit d'opposition (le droit national peut l'exclure dans certains cas)
article 18 : obligation de notification. Plusieurs points à décider : exonérations, simplification ; détaché à la protection des données ; fichiers manuels ;
article 20 : examen préalable. Champ d'application et pouvoirs de l'autorité de contrôle ;
article 21 : publicité des traitements ;
article 26 : dispositions relatives aux transferts à destination de pays tiers. Dérogations ;
article 28 : pouvoirs de l'autorité de contrôle : quels pouvoirs dans le cadre du contrôle a posteriori ;
article 32 : mise en conformité : quel délai pour des fichiers annuels.

B - Directive et loi de 1978

L'existence de la loi du 6 janvier 1978 comporte, pour la transposition, toute une série de conséquences :

a) au fond, la directive peut dans toutes ses dispositions êtres analysée au regard de la loi de 1978. Sur certains points, ses auteurs ont manifestement été inspirés par notre législation et notre pratique : existence d'une autorité de contrôle qui effectue, dans certains cas, un examen préalable, certains droits de la personne comme le droit d'accès ou le droit de rectification ; problème particulier de l'identifiant national ; allusion (article 2 g) à la doctrine CNIL du "tiers autorisé", etc. Sur d'autres points, le système de la directive est différent de celui de la loi de 1978 (abandon de la distinction public/privée ; accent sur le contrôle a posteriori, etc). De telle sorte qu'il est difficile de se prononcer, a priori, sur le point de savoir si globalement la directive offre ou non un degré de protection équivalent à celui de la loi de 1978, ou si elle va plus ou moins loin. Une approche analytique paraît mieux convenir à cet égard.

En tout état de cause l'existence de la loi de 1978 et de la "jurisprudence" de la CNIL nous paraît avoir deux conséquences :

- il faut saisir l'occasion pour "remettre complètement à plat" tout le régime de droit issu de la loi de 1978. Aussi bien, d'une part la directive est très détaillée et les obligations qui nous incombent en termes de transposition, sous le contrôle de Bruxelles, sont tellement fortes qu'on voit mal comment l'exercice de transposition pourrait se limiter à de simples modifications de la loi de 1978. Il nous semble que l'approche devrait être inverse : c'est la directive qui devrait constituer la base de la nouvelle législation en matière d'informatique et libertés, la transposition permettant de réinsérer dans la nouvelle loi, au besoins en les adaptant, certaines dispositions de la loi de 1978 compatibles avec la directive. D'autre part, près de vingt-cinq ans après la publication de la loi de 1978 le moment paraît propice à un bilan d'ensemble de cette législation ; la période d'application a été suffisamment longue pour justifier une réflexion rétrospective sur la pratique suivie, et sur cette base, envisager des infléchissements.

b) Mais quel que soit le parti retenu, il faudra tenir compte du cadre tracé par la jurisprudence du Conseil constitutionnel, en matière de libertés publiques en général, et en ce qui concerne le thème de l'informatique et des libertés en particulier.

Sur un plan général, s'agissant des libertés, la loi nouvelle doit offrir des garanties équivalentes à celles de l'ancienne. Et en particulier, le Conseil constitutionnel a laissé entendre que certaines modifications de la loi de 1978, dans la mesure où elles toucheraient à des dispositions protectrices des libertés individuelles, seraient de nature à porter atteinte à un principe fondamental reconnu en 1977 (voir CC 20 janvier 1993, n° 92-316 DC). Il faut donc déterminer quelles sont les dispositions de la loi de 1978 qui revêtent un caractère essentiel et qu'il faudra donc reprendre.

C - Problèmes posés par l'image et le son

Il résulte très clairement de la directive (considérant 14) que ses dispositions s'appliquent aux données constituées par des images et des sons, relatives aux personnes physiques. Pour autant, les conséquences de cette inclusion - décidée tout à fait in fine, dans la négociation - soulèvent de redoutables questions d'application, ainsi par exemple : dans quel cas ces données ont-elles un caractère personnel, qui les fait effectivement rentrer dans le champ d'application de la directive (ce qui renvoie à la question de savoir dans quels cas une personne peut être considérée comme identifiée ou identifiable)? Dans quelles conditions s'exercera, vis à vis de ce type de données, le droit de rectification? L'image d'une personne doit-elle être dans tous les cas regardée comme une donnée sensible ? etc.

Les auteurs de la directive, conscients de ces difficultés, ont eux-mêmes prévu que dans son rapport sur l'application de la directive mentionnée à l'article 32, la commission examinerait en particulier les problèmes posés par les traitements de données constituées par des sons et des images.

Contactez-nous : info@celog.fr

Retour à l'index