Les règles applicables concernant la collecte de données personnelles – Chapitre 2 :
La loi informatique, fichiers et libertés du 06/01/1978 constitue la législation principale en matière de protection des données personnelles. L’Union Européenne a adopté, le 24/10/1995, la directive 95/46/CE relative à la protection des données personnelles et à la libre circulation de ces données.
Cette directive vise à réduire les divergences entre les législations nationales sur la protection des données afin de lever tout obstacle à la libre circulation des données à caractère personnel à l’intérieur de l’Union européenne. Cette directive, qui devait être ratifiée au plus tard le 25/10/1998, n’a, à l’heure actuelle, pas encore fait l’objet d’une transposition dans notre droit national. Un projet de loi a toutefois été adopté en première lecture par l’assemblée nationale le 30 janvier 2002.61
La directive de 1995 amène plusieurs apports quant à la loi de 1978 : il est tout d’abord proposé de donner directement à la C.N.I.L. le pouvoir d’accepter ou de refuser les demandes dans la plupart des cas en lieu et place de la procédure d’avis, dans les domaines où la création d’un traitement continuera à relever d’un régime d’autorisation.
De plus, le projet entend simplifier les formalités administratives imposées aux citoyens et aux entreprises lors de la mise en œuvre des traitements usuels qui ne sont pas susceptibles de porter atteinte aux droits et libertés des personnes concernées.
Enfin, le projet opte en faveur d’un renforcement substantiel des pouvoirs de contrôle a posteriori dont dispose la C.N.I.L., afin de maintenir un niveau de garantie des droits individuels équivalent à celui résultant de la loi actuelle.
Il convient donc d’envisager les droits de la personne concernée par la collecte, d’une part et les obligations du responsable du traitement d’autre part.
Section 1 : Les droits de la personne propriétaire des données
La personne concernée par la collecte de ses données personnelles dispose de plusieurs prérogatives : elle peut s’informer et accéder à des données, les contester et les rectifier, s’opposer au traitement ou encore connaître la logique qui sous-tend le traitement
§1 : Les droits de s’informer et d’accéder aux données personnelles
A) Le droit de s’informer
Il s’agit du droit d’obtenir des renseignements sur la nature du traitement. Il s’agit d’un droit ouvert et toute personne a le droit de poser la question suivante : Traitez vous des données personnelles me concernant ?
C’est ainsi que les articles 34 et 45, alinéa 3, de la loi de 1978 ont prévu que toute personne justifiant de son identité a le droit d’interroger les services ou organismes chargés de mettre en œuvre les traitements automatisés déclarés à la C.N.I.L. ou les responsables des fichiers manuels afin de déterminer s’ils détiennent ou traitent des informations de nature personnelle la concernant.
L’article 12 a de la directive de 1995 étend le champ de la curiosité de l’article 34 de la loi de 1978 puisqu’il dispose: « Les États membres garantissent à toute personne concernée le droit d’obtenir du responsable du traitement sans contrainte, à des intervalles raisonnables et sans délais ou frais excessifs, la confirmation que des données la concernant sont ou ne sont pas traitées, ainsi que des informations portant au moins sur les finalités du traitement, les catégories de données sur lesquelles il porte et les destinataires ou les catégories de destinataires auxquels les données sont communiquées ».
B) Le droit d’accès direct et de copie
La personne concernée par les données traitées peut également demander à y accéder et en obtenir copie sur support.
L’accès peut s’accomplir de différentes manières : la personne concernée peut tout d’abord exercer son droit en consultant sa fiche mais elle peut également obtenir la copie des enregistrements des données. Si elle opte pour la seconde solution, la personne devra verser une somme forfaitaire représentative du prix de l’envoi des données. La somme sera de 3 € pour le secteur public et 4.5 € pour le secteur privé.
La directive de 1995, quant à elle, reconnaît, dans son article 12 b 2), « la communication, sous une forme intelligible, des données faisant l’objet des traitements, ainsi que de toute information disponible sur l’origine des données ».
Cette communication des données doit se faire en langage clair et être conforme au contenu des enregistrements. Dans le cas contraire, la loi de 1978 prévoit une contravention de 5ème classe. En cas de refus de répondre aux demandes de renseignements ou de communiquer les données personnelles, le demandeur peut saisir la C.N.I.L.
Il n’y a pas de durée préfixée pour les réponses mais on parle de délais raisonnables. La personne physique se trouvant devant une obstruction pourra saisir le juge pénal ou la C.N.I.L.
C) Les droits d’accès indirects
L’accès à certaines données traitées peut soulever des problèmes en raison de leur caractère sensible.
1- Données intéressant la sûreté de l’Etat, la défense et la sécurité publique
L’article 39 de la loi de 1978 prévoit un faux droit d’accès. En réalité, une personne pourra s’intéresser aux données la concernant mais elle ne pourra pas y accéder. Elle devra adresser sa demande auprès de la C.N.I.L. qui désignera un de ses membres qui mènera toutes investigations utiles et fera procéder aux modifications nécessaires sans que le requérant y accède.
Le droit d’accès concernant ce type de traitements est en légère augmentation : il y a eu 817 demandes pour l’année 2000 ce qui constitue 22% d’augmentation par rapport à l’année 1999. Ces demandes résultant le plus souvent de refus d’embauche de la part des administrations, d’enquêtes d’habilitation défavorable, de refus de délivrance d’un visa …
Le projet de loi tente une innovation puisque son article 41 énonce : « Lorsque la C.N.I.L. constate, en accord avec le responsable du traitement, que la communication des données à caractère personnel enregistrées ou du résultat des opérations effectuées en application du premier alinéa de l’article 40 ne met pas en cause les finalités poursuivies par ces traitements, ces données ou ces résultats sont communiqués au requérant ».
Les données détenues par les Renseignements Généraux constituent un cas particulier. A l’origine, le traitement de ces fichiers était régi par l’article 39 de la loi de 1978. La C.N.I.L. a souhaité faire entrer ces fichiers dans la légalité et deux décrets sont pris la 14/10/199162. Le premier crée les types de fichiers et les finalités et le second organise la collecte d’informations dites sensibles. Un droit d’accès particulier est mis en œuvre et la C.N.I.L., en accord avec le ministre de l’Intérieur, peut constater que si des informations demandées ne mettent pas en cause la sécurité de l’Etat, il y a lieu de les communiquer à l’intéressé.
Pour l’année 2000, sur 365 investigations, 241 requérants n’étaient pas fichés, 104 l’étaient dont 18 non communicables.
2- Données médicales
Jusqu’à la loi du 04/03/2002, l’accès aux données médicales relevait de l’article 40 de la loi de 1978. Cet article prévoyait un accès indirect des données. La nouvelle loi prévoit un accès direct des données mais elle laisse également l’ancien système en vigueur et un médecin pourra donc accéder aux données en lieu et place de la personne concernée.
§2 : Le droit de contestation ou de rectification
Selon l’article 36 de la loi de 1978, on peut demander la clarification de l’information, la mise à jour, la rectification ou l’effacement de l’information.
La directive de 1995 ajoute la possibilité de verrouiller l’information. Ce droit de rectification est un droit ouvert et on peut l’exercer à tout moment. Il fonctionne aussi bien pour les personnes privées que publiques.
Deux cas de figure sont envisageables : Si le gestionnaire des données accepte la contestation, il n’y a pas de problème majeur. En revanche, dans le cas où le gestionnaire des données refuse la contestation, quand il y a désaccord entre le demandeur et le gestionnaire, il y a un renversement de la charge de la preuve qui pèse dorénavant sur le gestionnaire des données. Si le gestionnaire n’est pas en mesure d’apporter la preuve, il devra répondre à la demande.
Le demandeur pourra avoir accès à la modification du fichier afin de vérifier que le fichier ait bien été modifié. Il est à noter que l’opposition à l’exercice de rectification est sanctionnée d’une amende de 5ème classe.
§3 : Le droit d’opposition
L’article 26 de la loi de 1978 dispose « toute personne physique a le droit de s’opposer, pour des raisons légitimes, à ce que des informations nominatives la concernant fassent l’objet d’un traitement ».
Le projet de loi va dans le même sens que cet article sans opérer de distinction particulière. La directive de 1995 précise que la personne physique a le droit de s’opposer à tout moment.
Sur un plan pratique, le droit d’opposition apporte un intérêt particulier lors de la collecte des données. Dans un arrêt du 30/07/1997, le Conseil d’Etat avait « couvert » la C.N.I.L. dans le lien qu’elle avait fait entre la case à cocher et la collecte de données. En assimilant ainsi la case à cocher avec une collecte de données personnelles, le droit d’opposition pourra donc s’exercer à tout moment même si la case n’a pas été cochée.
Concernant les raisons légitimes à invoquer afin de s’opposer au traitement, contrairement à ce que préconisent la directive et le projet de loi, la C.N.I.L. a tendance à dire qu’il n’y a plus de raison légitime à donner, en particulier concernant Internet. La C.N.I.L. considère que toutes les données contenues sur Internet échappent à la personne.
Lire le mémoire complet ==> (Les problèmes juridiques des logiciels indiscrets
Mémoire de D.E.A Informatique et Droit – Formation Doctorale : Informatique et Droit
Université MONTPELLIER 1 – Faculté de Droit
___________________________
62 Décret n° 1051 et 1052 du 14/10/1991
Si le bouton de téléchargement ne répond pas, vous pouvez télécharger ce mémoire en PDF à partir cette formule ici.