Après deux lectures à l'Assemblée nationale et au Sénat, le processus législatif, engagé il y a plus de deux ans par le gouvernement de Lionel Jospin, visant à toiletter la loi « informatique et libertés » du 6 janvier 1978 aboutit enfin avec le vote définitif, le 15 juillet, de la loi sur la protection à l'égard des traitements de données à caractère personnel. Elle transpose, avec six années de retard par rapport à la date limite, une directive européenne du 24 octobre 1995 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données. Nous en présentons les principales dispositions, sous réserve de la décision du Conseil constitutionnel, saisi le 20 juillet par les sénateurs socialistes.
En prévoyant, tout d'abord, de distinguer les régimes des formalités préalables en fonction de la dangerosité - supposée ou réelle - des traitements de données à caractère personnel, la loi bouleverse le fondement même de la loi du 6 janvier 1978, qui prévoyait que tous les traitements mis en œuvre par les personnes morales de droit public devaient donner lieu à un avis de la Commission nationale de l'informatique et des libertés (CNIL), puis à un acte réglementaire, les traitements entrepris par les personnes morales de droit privé étant, pour leur part, soumis à une simple déclaration préalable. Désormais, les traitements de données à caractère personnel, publics comme privés, devront faire l'objet d'une simple déclaration de conformité aux normes élaborées par la CNIL (1), seuls demeurant soumis à l'autorisation préalable les traitements susceptibles de comporter des risques particuliers au regard des droits et des libertés (2).
Le texte limite ensuite les contrôles a priori des fichiers par la commission pour lui substituer, le plus souvent, un contrôle a posteriori. En contrepartie, la commission disposera de pouvoirs d'investigation ou d'accès aux données accrus, puisqu'elle est désormais en mesure d'accéder à tout local professionnel servant à la mise en œuvre d'un traitement de données à caractère personnel, sur autorisation judiciaire si nécessaire.
A ces pouvoirs de contrôles renforcés s'ajoute la possibilité pour la CNIL de prononcer des sanctions administratives graduées allant du simple avertissement jusqu'à des sanctions pécuniaires d'un montant maximal de 150 000 € (300 000 € en cas de manquement réitéré).
Au-delà, la loi accroît également les droits et libertés des personnes à l'égard du traitement des données collectées. Notamment, la notion de « données à caractère personnel » est substituée à celle d' « informations nominatives » pour recouvrir, outre le texte, l'image et le son. De plus, elle précise que le consentement exprès des personnes ne suffit pas nécessairement à fonder des traitements de données sensibles, ce consentement pouvant être donné sans véritable prise de conscience des conséquences auxquelles les personnes s'exposent. Le traitement de ces données peut ainsi être également subordonné au respect de certaines conditions énumérées par la loi (sauvegarde de la vie de la personne concernée, exécution d'une mission de service public dont est investi le responsable ou le destinataire du traitement...).
(1) Ce qui inquiète d'ailleurs les membres du collectif interassociatif Droits et libertés face à l'informatisation de la société (DELIS) - Voir ASH n° 2358 du 7-05-04.
(2) Il s'agit des données à caractère personnel qui font apparaître, directement ou indirectement, les origines raciales ou ethniques, les opinions politiques, philosophiques ou religieuses ou l'appartenance syndicale des personnes, ou qui sont relatives à la santé ou à la vie sexuelle de celles-ci.