I - L'INFORMATIQUE, LES FICHIERS ET LES LIBERTES
La loi du 6 janvier 1978 (1) relative à
l'informatique, aux fichiers et aux libertés a pour objectif la
protection des droits et des libertés de la personne au regard
de la création et de l'exploitation de traitements automatisés
d'informations nominatives.
La loi est applicable dès lors qu'une personne, privée ou publique, collecte des informations nominatives, les enregistre puis les traite par l'intermédiaire d'un fichier informatique (2). Les informations visées par la loi sont toutes les données personnelles ou individuelles qui permettent l'identification d'une personne physique de manière directe (e.g., le nom) ou indirecte par un identifiant caractérisant la personne sans la désigner nommément (3) (e.g., indication sur le lieu de résidence). Il convient de préciser que certaines dispositions de la loi sont applicables aux fichiers non automatisés ou mécanographiques (4), autres que ceux dont l'usage relève du strict exercice du droit à la vie privée (cf. art. 45).
Créée par la loi, la Commission nationale de l'informatique et des libertés (CNIL) est l'autorité administrative indépendante, chargée de veiller à son respect. La CNIL est le centre de gravité de la loi concernant les traitements réalisés par les personnes publiques, d'une part, puisqu'elle rend obligatoirement un avis, et d'autre part les personnes privées (physiques ou morales), qui sont assujetties à une obligation de déclaration préalable à la création des traitements.
La CNIL a un pouvoir de décision individuel et réglementaire (cf. art. 8, 17 et 23-3°), notamment par le biais de recommandations, insusceptibles de recours pour excès de pouvoir (5). Bien que ne disposant pas de pouvoir de police, elle a un pouvoir de contrôle de la conformité des traitements aux prescriptions de la loi et elle reçoit les plaintes déposées devant elle, qu'elle peut ensuite dénoncer au Parquet pour suppléer son manque de moyens coercitifs (6).
Dès lors qu'une entreprise ou une personne physique souhaite créer un fichier ou un traitement automatisé de données nominatives, elle doit obligatoirement en faire la déclaration préalable auprès de la CNIL en remplissant un formulaire, disponible au siège de la CNIL, dans les chambres de commerce ou les préfectures. L'obligation de déclaration pèse sur toute personne qui a le pouvoir de décider de la création d'un tel fichier ou traitement, même si l'exploitation en est sous-traitée. Le défaut de déclaration préalable est un délit, sanctionné au titre de l'article 226-16 du Code pénal.
La déclaration désigne les personnes susceptibles d'avoir accès au traitement et la finalité de sa création, permettant ainsi d'encadrer son utilisation et de sécuriser les informations. De plus, elle limite la durée de vie du fichier (7), durée au delà de laquelle le déclarant devra le détruire.
S'agissant des traitements mis en oeuvre par les personnes privées, il existe deux types de déclarations préalables, la déclaration de droit commun et la déclaration simplifiée, pour les traitements correspondant à l'une des normes établies par la CNIL et ne comportant aucune atteinte manifeste à la vie privée ou aux libertés (voir liste des normes publiée par la CNIL dans la brochure "Informatique et libertés" au JO).
Une fois cette formalité accomplie, le traitement peut être créé. Elle n'exonère toutefois pas le demandeur de toute responsabilité, celui-ci devant se conformer aux engagements pris dans sa déclaration préalable (finalité, durée, personnes autorisées...) et restant tenu d'assurer la sécurité des informations.
La procédure préalable applicable aux personnes publiques ou aux personnes privées gérant un service public, diffère de celle exposée ci-dessus dans la mesure où préalablement à la décision de création du traitement, la CNIL doit être saisie d'une demande d'avis.
Lors de la collecte des informations, un ensemble de renseignements (cf. art. 27) doit être fourni aux personnes auprès desquelles les données nominatives sont recueillies (8). La collecte ne doit pas avoir lieu à leur insu et être conforme à la finalité déclarée. Cette obligation est sanctionnée pénalement au titre de l'article 226-18 du Code pénal, en tant que délit.
Une telle transparence a pour but d'éviter la collecte de données par des moyens frauduleux, déloyaux ou illicites, d'informer la personne intéressée du caractère facultatif ou non des réponses ainsi que de ses droits (e.g. droit d'accès, de rectification, etc.). Le principal droit est celui de s'opposer au traitement, pour un motif légitime (notamment, le respect de la vie privée). Cette faculté d'opposition est toutefois écartée pour les traitements réalisés dans le cadre d'une mission de service public.
Par ailleurs, les informations collectées et traitées par des personnes privées ne peuvent en aucun cas faire apparaître, directement ou indirectement, les origines raciales, les opinions politiques, philosophiques ou religieuses (9), les appartenances syndicales (10) ou les moeurs des personnes. Il est cependant possible de collecter ces informations avec le consentement exprès, en principe écrit, des intéressés.
L'informatique représente souvent une aide à la décision. Or, une personne a le droit d'exiger que les décisions la concernant ne soient pas uniquement prises eu égard aux informations nominatives contenues dans un traitement automatisé. Le traitement automatisé ne doit pas constituer le support unique de la décision (11).
Ainsi, la personne physique fichée a un droit d'accès aux données nominatives la concernant, sans avoir à justifier d'un intérêt particulier, d'un motif, mais seulement de son identité. Ce droit d'accès est exercé directement auprès de la personne en charge du traitement. Elle pourra alors en obtenir communication et demander le cas échéant la modification des données inexactes, incomplètes, équivoques ou périmées. Le droit d'accès peut également porter sur les raisonnements utilisés par le traitement, qu'il est possible de contester ; à ce titre, il convient de souligner qu'un tel accès est conditionné à l'accès au programme-source du logiciel de traitement.
Pour les informations intéressant la sûreté de l'Etat, la sécurité publique et la défense, l'accès a lieu par l'intermédiaire de la CNIL. Dans ce cas, l'objet de la communication se limite à l'existence ou non d'une traitement concernant l'intéressé (12).
Le droit d'accès ayant un caractère strictement personnel, une personne morale (13) ne peut demander communication d'informations la concernant. Toutefois, les représentants légaux des entreprises, dès lors qu'ils apparaissent dans les informations nominatives, peuvent en tant que dirigeant, actionnaire ou associé, exercer leur droit d'accès.
La commercialisation des données nominatives doit être entreprise avec précaution, les informations ayant été collectées en vue d'une finalité circonscrite dans la déclaration préalable. La cession des informations doit en outre préserver les droits de la personne fichée, tels qu'exposés ci-avant.
Notes :
(1) Textes internationaux, voir :
La Convention adoptée dans le cadre du Conseil de l'Europe, du 28 janvier 1981 pour la protection des personnes à l'égard du traitement automatisé de données à caractère personnel, Décret n°85-1203 du 15 novembre 1985 (JO du 20 nov. 1985) ; DIT 1988/2, p. 45 ; DIT 1990/1, p. 19.
La recommandation de l'OCDE du 23 septembre 1980, concernant les lignes directrices régissant la protection de la vie privée et les flux transfontières de données de caractère personnel. Sur cette question, voir notamment :
"Espace européen sans frontières pour les échanges d'informations : les principes de base de la protection des personnes", art. H. Blanc ; "Securing equivalent protection among nations in the context of transborder data flows : a possible role for contract law (the standard contract proposed by the Council of Europe) ", art. L. Early, dossier sur l'informatique et les libertés, DIT 1990/4, p. 6.
(2) L'opération est qualifiée de traitement automatisé dès lors que des applications, peu importe leur qualification de fichier, base de données, ou banque de données, concourent à la manipulation d'informations nominatives.
La jurisprudence conçoit cette notion de façon plus extensive. Selon un jugement du TGI Paris, 17ème ch. corr., du 5 décembre 1991, constituent un traitement informatisé d'informations nominatives, la seule collecte et le seul enregistrement d'informations nominatives, en dehors même de toute mise en oeuvre ou de toute exploitation de ces données. Voir également :
"La notion de traitement automatisé de donnE9‚es nominatives au sens de la loi informatique, fichiers et libertés", Expertises n° 148, p. 107, art. J. Frayssinet ; TGI Paris, 6 juin 1988, Expertises n° 116, p. 146, note J. Frayssinet.
(3) L'utilisation généralisée du répertoire national d'identification des personnes physiques (auquel est assimilé le numéro de sécurité sociale) sans le contrôle de la CNIL présente des risques car elle permettrait de réaliser des interconnexions entre différents fichiers. Dès lors, l'utilisation de cet identifiant est subordonnée à une autorisation par décret pris après avis de la CNIL, et ce quel que soit le demandeur.
La CNIL est favorable à l'utilisation d'un numéro quand il est nécessaire pour assurer une gestion efficace d'un service (e.g., gestion du répertoire des entreprises SIRENE, le but étant la vérification de l'état civil des 3 500 000 personnes inscrites à ce répertoire).
L'utilisation du NIR sans autorisation est un délit sanctionné au titre de l'article 42 de la loi.
(4) Sur la distinction faite par la jurisprudence entre "dossier" et "fichier", le dossier n'étant pas assujetti à la loi du 6 janvier 1978 :
CCass., ch. Crim., 3 novembre 1987, Expertises n° 103, p. 473
Les renseignements obtenus sur la solvabilité de certaines personnes, qui figurent dans leur dossier mais non dans un traitement informatisé d'informations nominatives, ni dans aucun fichier, ne sont pas concernés par la loi du 6 janvier 1978.
Dans son 8ème rapport, la CNIL considère que cet arrêt "n'est pas un arrêt de principe qui fera jurisprudence".
Voir également : "Contre l'excessive distinction entre fichier et dossier : le pas en avant du tribunal correctionnel de Paris", Expertises n° 124, p. 16, note J. Frayssinet.
(5) Les actes administratifs décidant de la création de traitements, pris après avis de la CNIL conformément à la procE9‚dure de l'article 15 de la loi, sont en revanche susceptibles de recours.
(6) Affaire S.K.F., TGI Créteil, 12ème ch. corr., 10 juillet 1987, DIT 1988/3, p. 52 ; TGI Rennes, 8 décembre 1988, Expertises n° 113, p. 30, obs. O. Itéanu.
(7) Il existe un problème de compatibilité entre la loi du 6 janvier 1978, "dont l'un des fondements réside dans le droit à l'oubli" et celle du 3 janvier 1979 relative aux archives qui précise que "les archives publiques sont imprescriptibles".
La délibération de la CNIL du 10 mai 1988 (JO 3 juin 1988 ; DIT 1988/3, p. 87, obs. A. Mole) distingue :
- les archives "courantes et intermédiaires", conservées pour une durée déterminée fixée d'un commun accord entre les services administratifs concernés, et dont la CNIL doit tenir compte dans ses avis ;
- les archives publiques imprescriptibles, dont la CNIL peut ordonner la destruction si la conservation des traitements informatiques est contraire à l'art. 1er de la loi du 6 janvier 1978 et s'ils n'ont aucun "intérêt pour la recherche ou l'histoire" (e.g., sur le dossier du "fichier des juifs", Expertises n° 157, p. 13, art. M. Linglet).
Le fait de conserver des informations au-delà de la durée autorisée dans la déclaration préalable est un délit sanctionné au titre de l'article 226-20 du Code pénal.
(8) Cette information doit permettre à la personne de contrôler les données qu'elle fournit, en lui indiquant l'étendue de ses obligations. Pour un exemple de condamnation pénale pour collecte par des moyens illicites d'informations par une société de recouvrement et entrave à l'action de la CNIL : TGI Rennes, 3ème ch., 16 décembre 1985, Expertises n° 81, p. 40.
(9) Voir notamment : arrêt Kaberseli, Expertises n° 106, p. 178, n° 162, p. 226, note J. Frayssinet et n° 163, p. 228 ; DIT 1988/3, p. 40, obs. H. Maisl.
(10) Voir notamment : Société Perrin / Lacroix, CA Dijon, ch. soc., 8 décembre 1987, DIT 1988/4, p. 41, note A. Mole.
(11) Sur l'ensemble de la question, on pourra consulter :
"L'application de la loi Informatique et Libertés aux relations entre les banques et leur clientèle", DIT 1990/2 p. 94, art. L. Richet.
La délibération de la CNIL n° 88-83 du 5 juillet 1988 portant adoption d'une recommandation relative à la gestion des crédits ou des prêts consentis à des personnes physiques par des établissements de crédit.
"La CNIL et les traitements des établissements de crédit", DIT 1988/4, p. 102, art. H. Maisl.
(12) DIT 1988/4, p. 40, note H. Maisl.
S'agissant des fichiers des Renseignements généraux, Conseil d'Etat, 26 mai 1993, Expertises n° 166, p. 383, note J. Frayssinet.
(13) Voir délibération de la CNIL n° 84-28 du 3 juillet 1984.