Retour
à l'indexVIII - DEROGATIONS
L'article 13 de la directive - "Exceptions et limitations" - prévoit la possibilité pour les Etats membres de limiter la portée de certains droits ou obligations prévus par la directive.
Cette possibilité concerne quatre types de droits ou d'obligations :
Ne sont toutefois autorisées que des limitations à ces droits et obligations, et non la suppression de ces droits et obligations ; et la directive subordonne ces limitations à la nécessité de sauvegarder l'un ou l'autre des intérêts majeurs suivants : sûreté de l'Etat ; défense ; sécurité publique ; prévention, recherche, détection ou poursuite d'infractions pénales ou de manquements à la déontologie pour les professions réglementées ; intérêt économique ou financier important, y compris dans les domaines monétaire, budgétaire et fiscal ; mission de contrôle ou d'inspection ; protection de la personne concernée ou des droits et libertés d'autrui.
1 - dérogations à la qualité des données (article 6-1)
Sur la base de l'article 6-1 de la directive, les données doivent être traitées loyalement et licitement, être collectées pour des finalités déterminées, être adéquates, pertinentes et non excessives au regard des finalités, être exactes et mises à jour, être conservées sous une forme permettant l'identification des personnes concernées pendant une durée n'excédant pas celle nécessaire à la réalisation des finalités.
Compte tenu de l'importance qui s'attache à ces caractéristiques, il semble difficile d'envisager des dérogations effectives ; au demeurant, aucune dérogation précise en cette matière n'a été demandée. Un point est toutefois raisonnablement susceptible de donner lieu à dérogation : le principe selon lequel les données doivent être collectées pour des finalités déterminées, et ne pas être traitées ultérieurement de manière incompatible avec ces finalités. Il s'agit notamment de la réutilisation éventuelle à des fins statistiques de données collectées par divers organismes à des fins administratives ou de gestion : l'INSEE rappelle que la norme simplifiée n° 26 permet déjà une telle extension de finalité.
2 - Dérogations au droit d'accès
Le droit d'accès est prévu par l'article 12 de la directive ; il comporte, au profit de toute personne concernée par un traitement, le droit d'obtenir :
- l'information relative à l'existence d'un traitement de données le concernant, la communication de ces données et de la logique qui sous-tend le traitement ;
- la rectification ou l'effacement ou le verrouillage des données dont le traitement n'est pas conforme, et notamment des données incomplètes ou inexactes ;
- la notification de toute rectification, effacement ou verrouillage aux tiers auxquels les données initiales ont été communiquées.
A l'exception du point relatif à la logique qui sous-tend le traitement, tous ces éléments sont déjà prévus par la loi de 1978 (chapitre V: articles 34 à 40), étant entendu que le titulaire du droit d'accès peut obtenir la rectification, la mise à jour et l'effacement des informations, mais non leur verrouillage. En ce qui concerne la logique qui sous-tend le traitement, le droit d'accès tel qu'il est prévu par la directive n'est obligatoire que pour les décisions automatisées, et sous réserve de ne pas porter atteinte au secret des affaires, ni à la propriété intellectuelle, notamment au droit d'auteur protégeant le logiciel (Considérant 41).
Positions des ministères : un seul ministère, le ministère de l'économie, des finances et du budget, souhaite, mais très vivement, que soient exploitées les possibilités de dérogations.
Ces dérogations seraient essentiellement motivées par la nécessité d'éviter de favoriser la fraude: dans cette perspective, il est souhaitable de limiter le droit d'accès et de rectification pour une douzaine de fichiers liés à l'exercice du contrôle fiscal et du recouvrement, tel que le Fichier des Comptes Bancaires (FICOBA) ou le Système des Informations de recoupement (SIR). Les demandes d'accès soulèvent en effet des difficultés, notamment quand elles interviennent à l'occasion d'un contrôle fiscal, dans la mesure où l'accès au fichier peut permettre au titulaire du compte d'adapter ses réponses en fonction des informations nominatives le concernant effectivement recensées. Sur ce point, la CNIL a d'ores et déjà suggéré à la DGI de demander un délai de réponse lorsque l'exercice du droit d'accès est de nature à porter atteinte au déroulement d'une procédure de vérification en cours ; elle a même, tout récemment, admis le principe d'une modification du Livre des procédures fiscales qui limiterait le droit d'accès dans de telles hypothèses.
Cette dérogation est également souhaitée, pour la même raison, en ce qui concerne les enquêtes des missions d'inspection ou de contrôle, au nombre desquelles figurent notamment celles de la Commission des Opérations de Bourse (COB).
Ces dérogations sont non seulement opportunes, mais indispensables : dans la mesure où elles entrent dans le cadre de la directive, il convient de les prévoir expressément.
3 - Dérogations à l'information de la personne concernée
La possibilité de dérogation prévue à l'article 13 de la directive porte également sur les dispositions des articles 10 et 11 de la directive, qui imposent l'obligation d'informer la personne concernée par la collecte des données, que cette collecte se soit faite directement auprès d'elle ou non.
Actuellement, la loi de 1978 ne prévoit l'obligation d'informer la personne concernée que lorsque les données sont directement recueillies auprès d'elle (article 27).
Pour l'ensemble de ce point, le ministère de l'économie et de finances souhaite que soient ouvertes les mêmes dérogations que celles qu'il demande pour le droit d'accès, pour les mêmes raisons.
En ce qui concerne l'article 11 de la directive et l'extension de l'obligation d'informer la personne concernée au cas où les données n'ont pas été recueillies auprès d'elle, sont soulignés le coût et les contraintes engendrées par cette obligation ; au demeurant, le 11-2 permet d'écarter cette obligation si l'information se révèle impossible ou implique des efforts disproportionnés, notamment pour un traitement à finalité statistique ou de recherche historique ou scientifique. Il est proposé d'utiliser cette possibilité.
4 - Dérogations à la publicité des traitements
L'article 21 de la directive prévoit la publicité des traitements, leur inscription sur un registre et l'ouverture du registre à la consultation. Il est possible de déroger à tout ou partie de ces dispositions.
La loi de 1978 prévoit actuellement, d'une part que la CNIL met à la disposition du public la liste des traitements (publics et privés), d'autre part que sont tenus à la disposition du public les décisions, avis ou recommandations de la commission dont la connaissance est utile à l'application de la loi (article 22) ; de plus, elle prévoit que des décrets en Conseil d'Etat peuvent, pour des traitements publics intéressant la sûreté de l'Etat, la défense et la sécurité publique, écarter la publication de l'acte réglementaire.
Ces dérogations paraissent pouvoir être conservées dans le cadre nouveau de la directive.
CONCLUSION
Bien que les diverses dérogations évoquées ci-dessus ne soient que des facultés pour les Etats membres, et même s'il n'est pas envisagé de les mettre toutes en oeuvre, il est certainement opportun que la loi de transposition retienne le principe de toutes les dérogations autorisées par la directive ; il appartiendra ensuite à des décrets en Conseil d'Etat d'ouvrir effectivement telle ou telle de ces dérogations et d'en préciser la portée, soit par secteur, soit par catégorie de dérogation.
Contactez-nous : info@celog.fr