La loi « informatique et libertés » du 6 janvier 1978 a été modifiée par la loi du 6 août 2004.
Cette modification était nécessaire afin de permettre la transposition de la directive européenne du 24 octobre 1995 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel.
La nouvelle loi précise son champ d'application :
La notion d' « informations nominatives » est abandonnée au profit de « données à caractère personnel » (article 2).
Ainsi, ce terme vise toutes les données permettant l'identification d'une personne : nom, numéro d'identification, voix, image et empreintes digitales.
La loi crée un chapitre relatif aux conditions de licéité des traitements de données à caractère personnel.
Les données à caractère personnel doivent remplir plusieurs conditions pour être licites (article 6) :
- être collectées et traitées de manière loyale et licite
- être collectées pour des finalités déterminées,
- être adéquates, pertinentes et non excessives eu égard à leur finalité
- être exactes, complètes et mises à jour
- être conservées en respectant les délais de conservation.
L'article 7 précise qu'un traitement de données à caractère personnel doit avoir reçu le consentement de la personne concernée.
La nouvelle loi renforce l'obligation d'information et les droits des personnes concernées :
Le responsable des traitements de données a l'obligation d'informer les personnes concernées, notamment lorsque les données les concernant ne sont pas recueillies directement auprès d'elles (article 32 à 37).
La nouvelle loi précise que le responsable se doit de conserver les données et d'en préserver la sécurité sous peine de sanction.
En effet, le responsable du traitement doit prendre toutes les précautions utiles, au regard de la nature des données et des risques présentées par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu'elles soient déformées, endommagées, ou que des tiers non autorisés, y aient accès (article 34).
De plus, les personnes concernées par le traitement disposent de droits nouveaux.
La loi de 1978 subordonnait le droit d'opposition à la justification de « raisons légitimes ».
La nouvelle loi maintient ce droit (article 38) mais précise que ce droit d'opposition sera discrétionnaire et sans frais lorsque les données seront utilisées à des fins de prospection, notamment commerciale.
Par ailleurs, les fichiers relatifs à la sûreté de l'Etat, la défense et la sécurité publique, accessibles seulement par l'intermédiaire de la CNIL, pourront être communiqués à la personne concernée si les intérêts publics ne sont pas mis en cause (articles 41 et 42).
Enfin, la nouvelle loi prévoit sans changement, le droit d'accès et de rectification des données à caractère personnel par les intéressés (article 40).
La nouvelle loi simplifie la procédure de déclaration des fichiers :
Jusque là, les fichiers publics et privés n'avaient pas le même régime : les premiers devaient être autorisés préalablement par la CNIL, les seconds devaient être seulement déclarés.
Désormais, c'est la finalité du fichier et la nature des données collectées qui détermineront le régime applicable, peu importe qu'il s'agisse d'un fichier public ou privé.
La loi prévoit deux régimes :
- la déclaration des fichiers relatifs à des données anodines :
La CNIL va établir et publier de nouvelles normes pour simplifier l'obligation de déclaration des catégories les plus courantes de traitements de données à caractère personnel (article 24).
Les personnes morales seront dispensées de toute déclaration si elles se dotent d'un correspondant à la protection des données, une personne qui servira d'intermédiaire entre l'entreprise et la CNIL et veillera au respect des dispositions de la loi (article 22).
Un décret doit apporter des précisions sur cette nouvelle fonction.
- l'autorisation par la CNIL pour les fichiers portant sur des données plus sensibles tels que des données génétiques ou relatives aux infractions et condamnations (article 25) :
Les traitements automatisés qui ont pour finalité l'exclusion du bénéfice d'un droit, d'une prestation ou d'un contrat, dès lors que cette exclusion ne repose pas sur une condition légale ou réglementaire ou qui ont pour finalité l'interconnexion de fichiers de nature différente, seront soumis à autorisation de la CNIL.
La nouvelle loi dote la CNIL de nouveaux pouvoirs de contrôle et de sanction :
A l'heure actuelle, la CNIL peut enquêter mais ne dispose d'aucun moyen contraignant pour mettre en œuvre ses investigations.
Si elle constate la non-conformité d'un traitement avec la loi, elle ne peut émettre qu'un avertissement ou transmettre le dossier au Parquet qui se charge de déterminer l'opportunité d'une poursuite.
Avec la nouvelle loi, ses pouvoirs de contrôle sont renforcés (articles 44 à 49) : en cas d'opposition du propriétaire des lieux, elle pourra désormais, sur autorisation judiciaire, accéder à tout local professionnel et aux matériels qui permettent le traitement des données.
Par ailleurs, outre un avertissement, la CNIL pourra mettre en demeure le responsable du traitement de se conformer aux dispositions de la loi sous peine de sanctions administratives et notamment pécuniaires pouvant aller jusqu'à 300 000 euros d'amende.
La CNIL est donc désormais dotée de pouvoirs de contrôle a posteriori effectifs lui permettant de vérifier si les fichiers existants sont conformes aux obligations prévues par la loi.
Elle pourra sanctionner la méconnaissance de ces obligations.
Il vous appartient donc de veiller au bon respect de ces nouvelles dispositions.
Vous pouvez contacter le pôle d'expertise en Droit de l'Informatique au 01.45.38.81.02 qui se tient à votre disposition pour tous renseignements complémentaires.