Les 30 ans de la loi Informatique et Libertés et de la CNIL, par Blandine Poidevin et Viviane Gelles, Avocates (Analyse)

La crainte d’un fichage général de la population a ainsi été à l’origine de la création par le Garde des Sceaux de l’époque d’une commission Informatique et Libertés, dont la mission était de mener une réflexion quant aux garanties à prévoir, pour que le développement de l’informatique se réalise dans le respect de la vie privée, des libertés individuelles et des libertés publiques.

C’est sur proposition de cette commission qu’a été créée une autorité administrative indépendante, la Commission Nationale Informatique et Libertés, CNIL, dont on fête aujourd’hui également le trentenaire.

L’article 1 de la loi du 6 janvier 1978 portant adoption de cette Commission et fixant le cadre juridique applicable à cette problématique rappelle ainsi que :

"L’informatique doit être au service de chaque citoyen. Son développement doit s’opérer dans le cadre de la coopération internationale. Elle ne doit porter atteinte ni à l’identité humaine, ni aux droits de l’homme, ni à la vie privée, ni aux libertés individuelles ou publiques".

Près de trois décennies plus tard, il convient de relever, malgré la réforme de cette loi entreprise en 2004, suite à l’adoption de la directive communautaire du 24 octobre 1995, que près d’un Français sur deux ignore l’existence de la CNIL et que 74 % d’entre eux s’estiment insuffisamment informés de leurs droits en la matière. De même, 61 % des Français pensent que la constitution des fichiers porte atteinte à leur vie privée (1).

La loi du 6 août 2004 avait notamment comme objectif d’unifier les dispositions applicables aux secteurs public et privé, d’harmoniser le droit de la protection des données à toute l’Union Européenne, de simplifier les procédures pour les traitements les plus courants, tout en renforçant les garanties les plus intrusives, et enfin de reconnaître aux citoyens un véritable droit de propriété sur leurs propres données (2).

Dans ce contexte, et malgré le renforcement des pouvoirs de la CNIL (notamment en matière de sanctions pécuniaires), le bilan reste mitigé.

Tout d’abord, il est nécessaire de relever l’insuffisance des moyens mis à la disposition de la CNIL pour l’exercice de ses missions :

   insuffisance de moyens humains tout d’abord, puisque la CNIL compte 97 agents là où ils sont 270 en Grande-Bretagne et 400 en Allemagne ;

   insuffisance de moyens financiers ensuite, puisque malgré l’augmentation de son budget au cours des dernières années, celui-ci reste modeste par rapport à ceux de ses voisins.

Ces insuffisances sont pointées par la CNIL elle-même, notamment dans son rapport annuel pour l’année 2006, publié le 13 juillet 2007, et rappelées lors du communiqué précité du 25 janvier 2008.

Ces carences n’ont notamment pas permis à la CNIL de prendre toute la mesure de ses nouveaux pouvoirs de sanctions consacrés par la réforme de 2004, qui exigent une procédure lourde, en formation restreinte, et ne peuvent être mis en œuvre qu’après une première mise en demeure, ce qui allonge et alourdit les délais de traitement.

Ainsi, au cours des six premiers mois de l’année 2007, seules six condamnations pour un montant total de 120.000 euros ont été prononcées par la CNIL, à l’encontre notamment de cabinets d’enquêtes privées et de recouvrement de créances, procédant à des collectes illicites de données sur les débiteurs et dépassant les durées de conservations prescrits.

Sur un autre plan, les dernières lois intervenues dans le cadre de la lutte contre le terrorisme semblent porter sérieusement atteinte aux principes édictés par la loi Informatique et Libertés de 1978.

Ainsi, la loi antiterroriste du 23 janvier 2006 offre désormais la possibilité aux services de Police d’accéder et d’exploiter les données initialement collectées pour un autre objet, malgré les avis rendus par la CNIL (par exemple, le fichiers des passagers aériens). De la même manière, la loi du 5 mars 2007 relative à la prévention de la délinquance permet dans certaines conditions aux maires d’avoir communication de l’ensemble des données relatives aux difficultés sociales de leurs administrés, et autorise la création d’un fichier des personnes hospitalisées d’office.

De manière générale, le constat d’une marginalisation des avis rendus par la CNIL en matière de protection des libertés individuelles est à relever. Ainsi, son appréciation a également été remise en cause s’agissant du peer to peer par le Conseil d’Etat dans son arrêt du 23 mai 2007. La CNIL avait alors estimé disproportionnée, au regard de la finalité poursuivie (en l’espèce la lutte contre la contrefaçon), la collecte massive de données à caractère personnel sur Internet, ainsi que la surveillance exhaustive et continue des réseaux d’échange de fichiers peer to peer par les sociétés d’auteurs (Délibération de la CNIL du 18 octobre 2005).

Dans le même esprit, certaines positions de la CNIL, au regard par exemple de la qualité de donnée personnelle des adresses IP, sont également remises en question, à titre d’exemple, la Cour d’Appel de PARIS, dans son arrêt du 27 avril 2007, considère que l’adresse IP ne permet pas d’identifier la ou les personnes qui ont utilisé cet ordinateur, puisque seule l’autorité légitime pour poursuivre l’enquête peut obtenir du fournisseur d’accès l’identité de l’utilisateur (3).

Par ailleurs, force est de constater que malgré la législation informatique et libertés, et malgré les efforts de la CNIL à ce titre, la pratique du spam se poursuit.

La CNIL envisage plusieurs pistes, telles que les campagnes d’information à destination du grand public et des plus jeunes.

Elle prévoit la création d’antennes régionales ; elle entend soutenir le mouvement de désignation de correspondants informatique et libertés dans les administrations et entreprises.

Il est urgent d’insuffler une culture "Informatique et libertés" à chacun.

En effet, la loi du 6 janvier 1978 modifiée par la loi du 6 août 2004 a donné de nouveaux outils qui élargissent considérablement le droit des données personnelles.

La donnée personnelle est véritablement au cœur du dispositif :

"Toute information relative à une personne physique identifiée ou qui peut être identifiée, directement ou indirectement, par référence à un numéro d’identification ou à un ou plusieurs éléments qui lui sont propres. Pour déterminer si une personne est identifiable, il convient de considérer l’ensemble des moyens en vue de permettre son identification dont dispose ou auxquels peut avoir accès le responsable du traitement ou toute autre personne" (article 2 A 12) : cette acceptation englobe de façon considérable les données diffusées par une personne, même à son insu.

De la même façon, la définition de la notion d’opération permet de faire entrer toute intervention sur les données dans le champ d’application de la loi.

L’application territoriale de la loi française envisage le recours à des moyens, quels qu’ils soient, situés sur le territoire français.

Il apparaît donc que le cadre juridique doit inciter à l’optimisme. Quelle que soit l’évolution des techniques, le cadre juridique devrait pouvoir au moins partiellement les appréhender.

Restent les moyens humains et matériels pour décider de leur application.

Reste l’enjeu de cette "culture informatique et libertés" à inculquer dès le plus jeune âge.

C’est l’enjeu de notre société du XXIe siècle, de la communication à outrance et de ses conséquences.

Blandine POIDEVIN

Avocat

Chargée d’enseignement à l’Université en droit du Commerce Electronique

Viviane GELLES

Avocat

(1) Communiqué CNIL du 25 janvier 2008

(2) Pierre LECLERCQ "Refonte de la loi Informatique et Libertés en 2004 : Panorama de la réforme

(3) Pierre LECLERCQ : "Un an d’application de la législation Informatique et Libertés", Communication Commerce Electronique, LEXIS NEXIS, Jurisclasseur d’Octobre 2007