Loi n°78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés refondue par la loi du 6 août 2004, prenant en compte les directives 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et 2002/58/CE du Parlement européen et du Conseil du 12 juillet 2002 concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques. Nouvelle terminologie depuis 2004 : "données nominatives de personnes physiques" devient "donnés à caractère personnel".  

La loi de 1978 demeure formellement applicable, mais seul son article 1er  a été conservé d'origine. Tout le reste du texte est issu de la loi de 2004.
Cf. la loi en vigueur sur Légifrance :
www.legifrance.gouv.fr/affichTexte.do?cidTexte=LEGITEXT000006068624

Décret d'application : Décret d’application n°2005-1309 du 20 octobre 2005.
www.legifrance.gouv.fr/affichTexte.do?cidTexte=LEGITEXT000006052580

La présente fiche décrit les principales dispositions de la loi utiles aux pratiques des professions de l'ID.

La loi et la CNIL

La loi de 1978 avait institué la toute première autorité administrative indépendante (AAI) : la Commission nationale de l'informatique et des libertés (CNIL).

Les deux corps de règles de la loi

Une partie des dispositions de la loi s’applique à tout traitement de données, même non automatisé, ce qui est trop souvent oublié. Une seconde série de dispositions s’applique en cas de traitement automatisé.

Régles communes à tout traitement de données

Personnes protégées par la loi : toute personne physique (art.1er)

Type de traitement : Automatisé ou non automatisé (art.2 al. 1er)

Donnée à caractère personnel : élément qui permet d’identifier une personne, directement ou non : celle-ci doit être identifiée ou simplement identifiable (art. 2 al. 2)

Personne identifiée : par tout élément d’identification directe d’une personne (ex. prénom, nom)

Personne identifiable : par tout élément permettant d’identifier la personne (sa photo, son numéro de téléphone…)

Traitement : toute « manipulation » de donnée (création, transmission, publication, suppression… – art.2 al.3)

Responsable du traitement : personne physique ou morale, autorité publique, service ou organisme, qui détermine les finalités et les moyens du traitement (art. 3-I)

Information des intéressés lors de la collecte d’informations nominatives (mentions de l’art. 32) :

  • Responsable du traitement
  • Finalité des traitements
  • Caractère facultatif ou obligatoire de la réponse (sauf si déduit des faits ou de la loi)
  • Conséquences du défaut de réponse (sauf si déduit des faits ou de la loi)
  • Droits détenus par la personne fichée (droit d’opposition, droits d’accès et de rectification, lieu et conditions d’exercice de ceux-ci – art. 38 à 40)

Données sensibles interdites de collecte (art. 8-I) :

Toute donnée qui directement ou indirectement, fait apparaître

  • les origines raciales ou ethniques
  • les opinions
    • politiques
    • philosophiques
    • religieuses
  • les appartenances syndicales
  • la santé
  • la « vie sexuelle » des personnes

 Principales exceptions à l'interdiction (art. 8-II) :

  • Accord exprès de l'intéressé
  • Les associations ou organismes à caractère religieux, philosophique, politique ou syndical, pour la tenue du registre de leurs membres
  • Données rendues publiques par la personne concernée

Finalité du fichier (art. 6)

  • Respecter le but de la collecte, annoncé lors de celle-ci
  • Le fichier doit être purgé des informations dès qu’elles ne sont plus utiles (délai de conservation limité)

Droit d’opposition : droit pour une personne de s’opposer au traitement de données la concernant pour des motifs légitimes (art. 38)

Droit d’accès

  • Droit d’accès direct : droit de demander à connaître les informations collectées à son sujet (art. 39-1)
  • Droit d’accès indirect obligatoire (sûreté de l’État, sécurité publique, défense – art.41) :
    • La demande transite par un commissaire de la CNIL, magistrat ou ancien magistrat
    • Le contrôle est exercé par ce dernier qui rend compte à l’intéressé de ses investigations (conformité de la collecte aux déclarations ou pas, rectifications demandées…)

Droit de rectification ou de suppression : droit d’obtenir rectification ou suppression des informations personnelles (art. 40)

Obligations en cas de traitement automatisé

NB : Automatisé : plus large qu’informatisé
Formalités préalables à la mise en œuvre des traitements ; divers cas de figure :

1. Régime allégé
– pas de déclaration (nouveauté 2004) :

  • Tenue d’un registre simplement destiné à l’information du public (art. 22-II)
  • Désignation d’un correspondant à la protection des données à caractère personnel (CIL) qui exerce toutes les obligations en interne, dispensant de déclaration normale et simplifiée (art. 22-III – cf. ci-dessous)

2. Dispense de déclaration (art. 24-II)

  • Décidées par les CNIL pour certains types de traitements (délibération de la CNIL édictant une dispense numérotée)

3. Déclaration normale (art. 22-I art. 23) :

  • Déclaration complète de conformité du traitement prévu à la loi
  • Possibilité de grouper les traitements ayant une même finalité
  • Début du traitement à réception du récépissé de déclaration

4. Déclaration simplifiée (art. 24) :

  • Élaboration de normes simplifiées par la CNIL pour les traitements les plus courants
  • Déclaration en conformité avec une de ces normes
  • Début du traitement à réception du récépissé de déclaration

5. Autorisations uniques — AU (art.25-I)

  • Pour les traitements les plus courants supposant autorisation de la CNIL
  • Déclaration simplifiée dans ce cas

6. Actes réglementaires uniques - RU (art. 26-IV)

  • Pour les traitements courants supposant une autorisation par acte réglementaire (voir 8 et 9 ci-après)
  • Déclaration simplifiée dans ce cas

7. Autorisation par la CNIL (art. 25)

  • Autorisation expressément demandée à la CNIL (art. 25-I)
  • Possibilité de grouper les traitements ayant une même finalité (art. 25-II)

8. Autorisation par arrêté ministériel sur avis de la CNIL (art. 26-I et 27)

  • Possibilité de grouper les traitements ayant une même finalité (art. 26-IV)

9. Autorisation par décret en Conseil d’État sur avis de la CNIL (art. 26-II et III et 27-I et II)

  • Possibilité de grouper les traitements ayant une même finalité (art. 27-III)

Encadrement de la CNIL

La CNIL émet régulièrement des délibérations permettant d’encadrer les diverses déclarations, autorisations et actes réglementaires pour les traitements les plus courants.

  • Normes simplifiées (art. 24)
  • Autorisations uniques (art. 25-II)
  • Actes réglementaires uniques (art. 26-IV)

Déclaration de site Internet

Supprimée en tant que telle le 10 juillet 2006 par la CNIL.
Seule subsiste l’obligation de déclarer des traitements à but de sollicitation commerciale (norme simplifiée n°48).

Sanctions du non-respect de la loi

Pouvoir de contrôle de la CNIL : peut réaliser des contrôles dans toutes les entreprises et collectivités.
Sanctions « pécuniaires » de la CNIL : peut prononcer des sanctions financières assorties de publication dans les médias.
Sanctions pénales :
Délit d'entrave : maximum de 5 ans de prison et 300 000 euros d’amende (art. 226-16 à 226-24 du code pénal) ;
Contraventions de 5ème classe (1500 € d’amende) pour certaines règles mineures (art. R.625-10 à 13 du code pénal).

Le nouveau correspondant informatique et libertés (CIL)

Le « correspondant à la protection des données à caractère personnel », en raccourci : correspondant informatique et libertés ou CIL, est issu de la loi de 2004, en vue d’alléger les procédures et d’éviter leur centralisation auprès de la CNIL. C’est une sorte de Monsieur CNIL dans l’entreprise, également considéré comme un vecteur de diffusion de la culture de la protection des données à caractères personnel dans les entreprises.

Rôle et missions du CIL

  • Se substitue aux déclarations normales et simplifiées, mais ne dispense pas l’entreprise des procédures de demandes d’autorisation (art. 22-III) ni des déclarations en vertu des Autorisations uniques, AU, ou des Actes réglementaires uniques, RU (voir ci-dessus)
  • Tient à jour la liste des traitements effectués dans l’entreprise et la met à disposition de toute personne (décret, art. 47 & 48)
  • Veille à l’application de la loi par voie de conseil, médiation en interne et alerte, au besoin auprès de la CNIL (décret, art. 49 al.1er à 5, art. 51)
  • Rend compte de son action au responsable des traitements par un bilan annuel tenu à disposition de la CNIL (décret, art. 49 al.6)

Statut et responsabilités

Issu de l’art. 22-III et du décret :

  • Désigné par le responsable du traitement (al.1er)
  • Désignation portée à la connaissance des institutions représentatives du personnel (décret, art.45) et notifiée à la CNIL (al.2)
  • Ne peut être sanctionné par l’employeur du fait de sa mission (al.3)
  • Doit être qualifié en matière de droit et de technologie, mais aucun agrément ni exigence de diplômes ne sont prévus (idem)
  • Ne peut exercer d’autres fonctions qui entreraient en conflit d’intérêt avec sa mission (décret, art. 46 al.4)
  • Répond de sa mission devant la CNIL qui peut le faire décharger de ses fonctions (al.4 et décret, art. 52)

Personne interne ou externe à l'entreprise

Décret, art. 44 :

  • Lorsque moins de 50 personnes sont chargées des traitements ou y ont directement accès : faculté de choix entre correspondant extérieur ou interne
  • À partir de 50 personnes : correspondant forcément interne à la structure.

Voir, pour une présentation synthétique du CIL : www.cnil.fr/la-cnil/nos-relais/correspondants

En savoir plus

Le site de la CNIL (www.cnil.fr) propose toutes sortes de documents de synthèse sur l’application de la loi, les obligations déclaratives, le CIL, toutes les délibérations et les normes simplifiées à jour. Il permet aussi de procéder à toutes les télé-déclarations possibles (déclarations normales, simplifiées, etc.) 

|cc| Didier Frochot — septembre 2004 — février 2005 — octobre 2006 — septembre 2010 — juin 2013