La nouvelle loi « Informatique et Libertés »

La loi n°2004-801 du 6 août 2004 modifiant la loi n°78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés a été publiée au Journal Officiel du 7 août 2004. Cette loi transpose une directive européenne 95/46/CE du 24 octobre 1995 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation des données qui aurait dû être transposée, en France, au plus tard en 1998.

Ce nouveau dispositif légal est immédiatement applicable. Toutefois, certaines dispositions et modalités légales seront précisées par décret comme celles portant sur les correspondants à la protection des données.

La publication intervient quelques jours après sa validation par le Conseil constitutionnel. Par sa décision n°2004-499 DC du 29 juillet 2004, ce dernier a principalement reconnu la conformité de ce texte à la Constitution et notamment au respect de la vie privée.

La nouvelle loi vient d’harmoniser les régimes antérieurs fondés sur une distinction entre les traitements mises en œuvre par le secteur public et par le secteur privé.

En effet, jusqu’à présent, le secteur public devait systématiquement demander un avis à la CNIL pour constituer tout fichier quand le secteur privé n’avait besoin que d’effectuer une déclaration.

Les dernières modifications législatives ne fondent plus le régime de protection des données personnelles sur la distinction entre les secteurs public et privé mais s’organisent autour de la distinction entre données sensibles et non sensibles faisant l’objet des traitements en cause.

Désormais, seules les données à caractères sensibles feront l'objet d'une déclaration préalable à la CNIL. A l'exception cependant, de cas définis par la loi modifiée : tels que les fichiers contenant des opinions philosophiques, religieuses, sexuelles, des informations de santé, des données biométriques, génétiques, de police ou de sécurité, des infractions..., qui, eux, font l’objet d’un régime d’autorisation.

Par ailleurs, la CNIL se voit doter, par la nouvelle réforme, d’un éventail de pouvoirs et de sanctions renforcés allant de l’avertissement à la sanction financière pouvant atteindre jusqu’à 150.000 euros (avec, notamment, une nouveauté consistant à prendre en compte un critère économique des entreprises visée dans ces sanctions financières), tout en passant par le verrouillage des données et de la possibilité de saisir, en cas d’urgence, le juge des référés.

Dans le même ordre d’idées, le législateur a souhaité renforcer l’activité de contrôle de la CNIL en mettant en œuvre un délit spécifique d’entrave à l’action de ses agents. Parallèlement, le nouveau dispositif législatif reconnaît un principe d’équilibre entre le droit d’enquête de la CNIL et le secret professionnel dont les entreprises contrôlées seraient dépositaire.

Pour assurer l’effectivité des nouveaux pouvoirs dont elle est dotée, la CNIL va donc devoir évoluer et, sans doute, étoffer son personnel. A ce jour, la CNIL dispose d’effectifs faibles par rapport à ses homologues européens ; ce fait pouvant entraver ses réelles possibilités de contrôle, dans le cadre de son activité courante.

A cet égard, l’instauration de correspondants à la protection des données (« CPD »), qui est l’une des avancées majeures du nouveau dispositif légal, devrait participer à un allégement de l’activité en amont de la CNIL.

Ces correspondants devant bénéficier de qualifications requises pour cette mission seront désignés par les responsables de traitement, astreints à déclaration. Les CPD seront chargés, de manière indépendante, de tenir le registre des traitements de données nominatives et d’assurer le respect des obligations prescrites par la loi, notamment au bénéfice des personnes physiques dont les données ont été collectés.

La contrepartie de cette désignation facultative permettra au responsable du traitement d’être dispensé des formalités déclaratives ; cette dispense ne pouvant, en revanche, intervenir soit en matière d’autorisations, soit lorsque les données collectées sont transférées à destination d’un Etat non-membre de la Communauté européenne.

Cette désignation devra, en outre, être notifiée aux instances représentatives du personnel et à la CNIL. En cas de non-respect des dispositions légales par le CPD, la CNIL pourra exiger du responsable du traitement qu’il décharge ce dernier de ses fonctions.

Le législateur a souhaité que l’activité du CPD ne puisse faire l’objet d’aucune pression de la part du responsable du traitement du fait de l’accomplissement de ses missions. Dès lors, cette activité réalisée en interne par un salarié ne pourra faire l’objet d’aucune sanction par l’employeur.

L’instauration de ce nouveau régime influera sur les travaux à mener en interne par les responsables de traitement notamment par l’identification des fichiers relevant des différents régimes légaux, par le choix et la formation du CPD, ainsi que par la mise en place ou la revue des procédures de délégations de pouvoirs de responsabilité pénale en ce domaine.

Régis Carral, avocat associé

Article publié pour la première fois dans Stratégie internet de septembre 2004.