Après avoir passé le filtre du Conseil constitutionnel, la loi n° 2004-801 du 6 août 2004 [foruminternet.org] relative à la protection des personnes physiques à l'égard des traitements de données à caractère personnel vient modifier la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés.

Entrée en vigueur en France à l’heure où l’informatique n’était disponible qu’auprès de l’Etat et des administrations, la loi « informatique et libertés » du 6 janvier 1978 visait à l’origine à encadrer la création et l’utilisation des fichiers publics en les soumettant à l’autorisation de la nouvelle autorité administrative créée à cette occasion, la CNIL. Les fichiers émanant des organismes privés n’étaient soumis quant à eux qu’à une simple déclaration. Avec le développement des nouvelles technologies de l’information et la diversification de la nature des données personnelles pouvant être soumises à un traitement (la voix, l’image ou les données biométriques), une refonte de la loi de 78 devait être mise en oeuvre, ne serait-ce que pour mettre la législation française en conformité avec la directive 95/46/CE du 24 octobre 1995 sur la protection des données personnelles et leur libre circulation. Dès le départ, le législateur français a fait le choix symbolique de conserver ce texte fondateur, plutôt que de procéder à son abrogation. Ainsi, la loi du 6 août 2004 modifiant la loi du 6 janvier 1978 sonne à présent le glas de la summa divisio public/privé.

Un régime de droit commun de déclaration des traitements

La distinction porte à présent sur la nature des données et la finalité des traitements, l’accent étant mis sur le degré de l’atteinte à la vie privée ou aux libertés. Les formalités déclaratives à la CNIL deviennent le régime de droit commun. D’où l’allègement du contrôle préalable de la Commission, conformément à la directive de 1995, alors que ses compétences au titre du contrôle a posteriori se trouvent renforcées (voir Sandrine Rouja, "Loi informatique et libertés adoptée, Directive 95/46/CE transposée, Conseil constitutionnel saisi", Juriscom.net, 19 juillet 2004). Notons incidemment que le Conseil constitutionnel a admis que le secret professionnel pouvait être opposable à la CNIL, comme il l’était auparavant, mais de manière implicite.

Certains fichiers ne sont toutefois soumis à aucune déclaration. Il en va ainsi des traitements constitués par une association ou tout autre organisme à but non lucratif et à caractère religieux, philosophique, politique ou syndical, sous réserve, notamment, « qu’ils ne concernent que les membres de cette association ou de cet organisme et, le cas échéant, les personnes qui entretiennent avec celui-ci des contacts réguliers dans le cadre de son activité ». Il en est de même pour les mesures relatives aux futurs correspondants à la CNIL, responsables du traitement des données au sein d’organismes publics ou privés. Les mesures relatives à leur égard ont passé avec succès l’examen du Conseil constitutionnel et ils échapperont à l’obligation de déclaration préalable des fichiers. Ils devront cependant attendre la parution d’un décret d’application pour être mis en place.

Les traitements soumis à autorisation et les mesures spécifiques contre le piratage en ligne

La collecte et le traitement des données sensibles sont en principe interdits. Il s’agit des données faisant état des origines raciales ou ethniques, des opinions politiques, philosophiques ou religieuses ou de l'appartenance syndicale des personnes, ou qui sont relatives à la santé ou la vie sexuelle de celles-ci. Des dérogations à cette interdiction sont toutefois prévues, eu égard à la finalité du traitement, et autorisées par décret pris en Conseil d’État après l’avis motivé de la CNIL. Ces dérogations concernent, notamment, « les traitements pour lesquels la personne concernée a donné son consentement exprès », « les traitements nécessaires à la constatation, à l’exercice ou à la défense d’un droit en justice », ou encore « les traitements nécessaires à la recherche dans le domaine de la santé » (article 8 nouveau de la loi de 1978).

Les fichiers ayant trait aux données génétiques (sauf s’ils sont mis en œuvre par des médecins ou des biologistes), comme ceux ayant trait aux données biométriques pour les nécessités du contrôle de l’identité des personnes, devront être autorisés par la CNIL.

Il en va de même des fichiers de « listes noires ». En effet, l’article 25 nouveau de la loi « informatique et libertés » énumère les traitements devant faire l’objet d’une autorisation de la CNIL, parmi lesquels :

- « les traitements automatisés susceptibles, du fait de leur nature, de leur portée ou de leurs finalités, d’exclure des personnes du bénéfice d’un droit, d’une prestation ou d’un contrat en l’absence de toute disposition législative ou réglementaire » ;

-  « les traitements automatisés de données comportant des appréciations sur les difficultés sociales des personnes » ;

- ou encore « les traitements, automatisés ou non, portant sur des données relatives aux infractions, condamnations ou mesures de sûreté », sauf ceux mis en oeuvre par des auxiliaires de justice.

Au titre des personnes susceptibles de mettre en oeuvre ces derniers traitements relatifs aux infractions, condamnations ou mesures de sûreté, la loi du 6 août déférée devant le Conseil constitutionnel faisait figurer non seulement les juridictions, auxiliaires de justice, autorités publiques et personnes morales chargées de la gestion d'un service public, mais aussi deux nouvelles catégories d’organismes, à savoir :

-  « les personnes morales victimes d'infractions ou agissant pour le compte desdites victimes pour les stricts besoins de la prévention et de la lutte contre la fraude, ainsi que de la réparation du préjudice subi » ;

-  et les sociétés de gestion de droit d’auteur et de droits voisins françaises aux fins d'assurer la défense des droits dont elles assurent la gestion.

Cette première catégorie d’organismes a été invalidée par le Conseil constitutionnel pour manque de précision quant à ses modalités d’application.

La deuxième catégorie a, par contre, était admise, la haute juridiction ayant considéré les nouvelles mesures à leur égard suffisamment précises et même « indispensables » pour lutter efficacement contre les partages de fichiers contrefaits. Il s’agit des sociétés civiles de perception et de répartition des droits d'auteur, des artistes-interprètes, des producteurs de phonogrammes et de vidéogrammes, ainsi que les organismes de défense professionnelle, notamment : la Société des Auteurs, Compositeurs et Editeurs de Musique (SACEM), la Société Civile pour l'exercice des droits des Producteurs Phonographiques (SCPP), la société civile des Auteurs, Réalisateurs et Producteurs de cinéma (ARP) ou d'associations représentant les titulaires de droits.

Les personnes morales représentatives des ayants droit peuvent donc, désormais, sur autorisation de la CNIL, constituer des fichiers de données de connexion (adresses IP, date et heures de connexion) des utilisateurs des réseaux d’échange peer-to-peer qui contrefont les œuvres protégées par le droit d’auteur et de droit voisins. Ces sociétés de gestion des ayants droit ne pourront cependant pas constituer des fichiers nominatifs identifiant directement les contrefacteurs, et devront, comme par le passé, s’adresser au juge pour obtenir leur identité auprès des fournisseurs d’accès à Internet (FAI). Notons que ces sociétés devront alors agir dans le délai d’un an, puisque la conservation des paramètres de connexion des abonnés par les FAI est elle-même limitée à cette durée.

Les obligations d’information

En plus du droit d’accès, d’opposition et de rectification des données à caractère personnel dont disposent les personnes faisant l’objet d’un traitement, l’article 32 nouveau de la loi « informatique et libertés » oblige le responsable du traitement à les informer sur son identité, sur la finalité du traitement, sur le caractère obligatoire ou facultatif des réponses, les conséquences éventuelles d’un défaut de réponse, sur les destinataires des données et sur les transferts des données envisagés à destination d’un État tiers à la Communauté européenne.

Cette loi est d’application immédiate. En ce qui concerne les formalités de déclaration, les organismes privés ou publics disposent toutefois d’un délai de 3 ans pour se conformer à ces nouvelles obligations lorsque la déclaration des traitements ont fait l’objet d’un récépissé (s’agissant des organismes privés) ou lorsque les traitements ont été autorisés (s’agissant des organismes publics), à moins que leurs caractéristiques ne soit pas modifiées.

Ainsi, la nouvelle loi a souligné l’obsolescence de la distinction originelle public/privé qui faisait échapper à l’autorisation de la CNIL le traitement des fichiers à caractère personnel constitués par les organismes privés. Il reste que cette loi est assez difficile à appréhender, compte tenu des nombreux renvois qu’elle comporte. Et pourtant, les responsables des traitements des données à caractère personnel doivent très vite en apprécier les subtilités.

Sandrine Rouja