Imprimer

Karl CROCHART

président de l'Association des Informaticiens de langue française (AILF)


Informatique et libertés : expérience française, perspectives européenne et francophone


Le développement rapide et la diffusion mondiale des technologies de l'information et de la communication impliquent la mise en place de moyens juridiques, techniques et structurels concernant la protection des données personnelles, notamment dans le cadre de la jurisfrancité.


Plusieurs pays francophones se sont dotés de moyens juridiques en la matière, comme le Canada ou la Belgique : nous rappellerons ici les principes retenus dans la loi française du 6 janvier 1978, appelée communément "Informatique et Libertés", puis nous présenterons les orientations de la directive européenne du 24 octobre 1995 et les enjeux de sa transposition en droit français, avant de proposer une démarche pour les pays francophones.


Les principes de la Loi française sur la protection de la vie privée concernent en premier lieu l'individu et sa vie familiale, sa vie professionnelle et son patrimoine.

En second lieu, elle concerne la transparence des informations recueillies par la mise en place d'un droit d'accès à ces informations et d'un droit d'opposition, ainsi qu'un droit de communication et de rectification si les informations s'avéraient erronées.

Enfin, elle implique un droit à l'oubli et un droit à la confidentialité.

C'est bien de ces différents principes que découlent les enjeux fondamentaux de l'application de la protection de la vie privée à partir du recueil et du traitement des informations.


D'autres aspects du droit français sont plus discutables comme la distinction entre les traitements du secteur public et du secteur privé. Le législateur de l'époque avait certainement perçu l'importance des grands fichiers des administrations, alors que la multitude des fichiers privés que nous connaissons aujourd'hui, tels que les fichiers commerciaux, étaient encore balbutiants.

Néanmoins, les données qui comportent ou non des informations directes ou indirectes sur les origines raciales, les opinions politiques syndicales, religieuses ou encore les mœurs d'un individu, doivent faire l'objet d'un usage très cadré, qui va de l'interdit à l'autorisation particulièrement précisée.

Enfin, le contrôle a priori des déclarations auprès de l'autorité de contrôle est très discuté aujourd'hui, car cela pose avant tout le problème des moyens mis en œuvre pour traiter ces déclarations, bien que cette obligation ait également des effets pédagogiques, notamment sur les responsables d'entreprise et de collectivité locale, ainsi que sur les chefs de projet chargés des applications pour lesquelles se posent des questions de fond sur la validité des informations et leurs traitements au regard de la protection de la vie privée.


L'autorité de protection est la Commission nationale de l'Informatique et des Libertés, la CNIL, qui est une commission administrative indépendante, composée de dix-sept commissaires issus de la Chambre des députés et du Sénat, de la Cour de cassation, du Conseil d'État, de la Cour des comptes, ainsi que des personnes qualifiées. Un Commissaire du gouvernement est nommé qui assiste aux réunions de la Commission. Cette Commission élit en son sein le bureau de la CNIL dont le Président.

Cette Commission s'appuie sur des services qui instruisent les dossiers, services qui sont composés d'environ cinquante personnes.


Une directive européenne "relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données", vise à harmoniser les lois nationales existantes et à venir. Elle comporte 33 articles et 72 considérants, ces derniers traitant des options, des exceptions et des dérogations. Il sera mis en place une institution européenne pour effectuer le suivi de cette harmonisation.

Le champ d'application de cette directive est relatif aux compétences de l'Union européenne, hors les aspects de souveraineté nationale.

Les principes sont communs, car ils s'appuient sur un corpus de principes des droits de l'homme communs : Conseil de l'Europe, OCDE, ONU, OMS, OIT, …

La transposition en droit national ne doit pas abaisser le niveau de protection actuellement en vigueur, mais au contraire elle se doit de l'améliorer. La directive ne différencie pas les traitements du secteur public et du secteur privé, comme c'est le cas en France aujourd'hui.


Le droit national applicable est :

- soit celui du pays d'établissement responsable du traitement (Union européenne),

- soit celui du territoire sur lequel sont localisés les moyens de traitement.


Concernant les données sensibles, il est ajouté les données de santé à la liste actuelle qui concerne l'origine ethnique et raciale, les opinions et les appartenances politiques syndicales, religieuses, ... Le recueil du consentement explicite de la personne concernée est souligné.


Les dérogations concernent la clause humanitaire (urgence, disparition, ...), les données manifestement rendues publiques par les personnes concernées, le traitement nécessaire à la contestation, à l'exercice et à la défense d'un droit en justice, le traitement à des fins médicales (secret professionnel), le motif d'intérêt public important comme les finalités de santé publique, la recherche scientifique, les statistiques publiques.


Sur la liberté d'expression, il est suggéré d'élaborer des codes de conduite. D'inspiration anglo-saxonne et bien que leur portée juridique soit imprécise, ils semblent bien adaptés pour certaines professions comme les journalistes, les avocats, les médecins.


Du point de vue des formalités, la déclaration devient "notification" et concerne tous les secteurs d'activité qu'ils soient public ou privé, et pour les traitements automatisés cette notification est obligatoire. Des déclarations simplifiées ou des dispenses peuvent être accordées comme pour la tenue d'un registre ouvert au public, pour les traitements d'organismes à but philosophique, politique, religieux, syndical, ... Pour "les traitements à risques particuliers" ceux-ci donnent lieu à des contrôles préalables.


Il est souhaité la mise en place d'un "détaché à la protection des données" qui assurerait une mission de contrôle indépendante à l'intérieur de l'entreprise, et pourrait agir en lieu et place de la CNIL.


Une autorisation préalable pour traitements sera émise pour les interconnexions de fichiers à finalité différente, qui ont pour objet ou effet d'exclure des personnes d'un droit ou d'une prestation, ou encore pour les traitements qui concernent la quasi-totalité de la population nationale. Ces autorisations seraient soumises pour avis à la Commission de contrôle avant décision du Parlement.


L'autorité de contrôle qui remplacerait la CNIL en France, par exemple, aurait des pouvoirs de visite, d'enquête, d'investigation, de saisie et d'injonction qui seront renforcés; le pouvoir d'ester en justice devra être envisagé, des sanctions pourront s'appliquer après des "poursuites simples et rapides" (contravention) et la formation disciplinaire d'une partie de la Commission de contrôle. Cet aspect est directement lié au remplacement du contrôle préalable par un contrôle a posteriori.


Conclusion

Face à la généralisation des technologies de l'information et de la communication, à la démultiplication de collectes des données personnelles et des traitements afférents, il est temps que les pays francophones se donnent un cadre de référence pour la protection des personnes physiques concernant le recueil et le traitement des données à caractère personnel.

Les éléments issus de la pratique française et de la directive européenne qui ont été présentés ici sont autant de références qui peuvent être traduites et enrichies par les cultures francophones.

Pour ce faire, une commission ad-hoc pourrait être créée à l'initiative du Secrétariat général à la francophonie avec pour mandat la rédaction d'un document-cadre qui respecte les spécificités de la francophonie, texte de référence en matière de protection de la vie privée confrontée aux applications des nouvelles technologies, texte contributif à la jurisfrancité.