Loi informatique et libertés
La loi no 78-17 du relative à l’informatique, aux fichiers et aux libertés, plus connue sous le nom de loi informatique et libertés[1], est une loi française qui réglemente la liberté de traitement des données personnelles[2], c'est-à-dire la liberté de ficher les personnes humaines. Cette liberté étant indissociable de l'activité informatique, cette loi réglemente donc les conséquences potentiellement antisociales de l'activité informatique.
Historique
Bien que signée en 1978, l'histoire de la loi Informatique et libertés est environ de dix ans plus ancienne.
Le projet SAFARI et la création de la CNIL
Dès 1970, le député Michel Poniatowski propose à l'Assemblée nationale la création d'un comité de surveillance et d'un tribunal de l'informatique, cette suggestion, reprise plus tard par d'autres, est rejetée.
La même année, l’Insee, profitant du passage de l'informatique des cartes perforées vers les bandes magnétiques, décide de centraliser le répertoire d'identification jusque-là réparti dans ses directions régionales. Cette démarche permet de répondre à la massification prévisible de l’utilisation du numéro d’identité du Français (le « numéro de Sécurité sociale » ou « NIR ») par les administrations (Éducation nationale, impôts, ministère de l’Intérieur…) pour vérifier l’identité des personnes. Il est envisagé à plus ou moins long terme d’ajouter au fichier des informations administratives telles que l’adresse. Par ailleurs, l’utilisation massive du NIR dans les différents fichiers administratifs permettrait de les interconnecter pour faciliter les études statistiques de la population française[3].
En 1971 naît le projet de Système automatisé pour les fichiers administratifs et le répertoire des individus (SAFARI).
Le , alors que Jacques Chirac est ministre de l'Intérieur depuis moins d’un mois (il venait d’« échanger » son poste à l'agriculture avec celui de Raymond Marcellin[4]), il doit faire face à un tollé après la publication d’une tribune de Philippe Boucher dans le journal Le Monde intitulée « SAFARI ou la chasse aux Français ». Le projet Safari y est en effet perçu comme une entrave grave à la liberté.
Mais le , Georges Pompidou, président de la République, que les bulletins officiels disaient atteint d'une simple grippe, décède de sa maladie de Waldenström (forme de cancer). Valéry Giscard d'Estaing est alors élu président de la République, grâce au soutien de Jacques Chirac et surtout de la popularité de ce dernier en monde rural, acquise lors de son passage à l'agriculture. Il est nommé Premier ministre et appelle au ministère de l'Intérieur M. Poniatowski, qui face à la critique, reprend son idée et crée la Commission de l'informatique et des libertés et mit sur pied le projet, qui malgré sa démission en 1977, aboutira à la loi « Informatique et Libertés » du et à la création de la CNIL (Commission nationale de l'informatique et des libertés). Cette précocité plaça ainsi la France dans le trio de tête européen au côté du land de Hesse (Allemagne, 1971) et de la Suède (1973) et en fit l'instigateur des législations européennes mise en place dans les dix pays de la communauté en 1981, inspirant la Convention du Conseil de l'Europe sur la protection des données (1981) et les Lignes directives pour la réglementation de fichiers de données personnelles automatisées (1990).
La France sera la dernière à transposer en 2004 une directive européenne de 1995, qui modifia profondément la loi, en remplaçant notamment le terme d'« informations nominatives », par « données à caractère personnel », en donnant à l'article 2 une définition de ces dernières afin d'éviter les interprétations douteuses de cette notion et d'englober le plus de situations possibles. En outre la loi informatique et libertés s'est rapprochée des nouvelles technologies de l'information en spécifiant qu'elle ne légiférait pas pour les copies temporaires de fichiers et en définissant les conditions exactes de licéité des traitements de données à caractère personnel. On peut également noter la disparition de la distinction pour les traitements entre le secteur public et le secteur privé, les deux étant aujourd'hui soumis à une même procédure, que certains jugent trop laxiste. Aujourd'hui la plupart des regroupements du projet SAFARI ont été effectués, les uns après les autres, dans des situations mieux définies.
Cependant il est très important de remarquer que les législateurs, qui n'avaient pour ambition que de reconnaître de nouveaux droits aux citoyens à l'égard des grands systèmes centralisés d'information, dont les administrations commençaient à se doter, ne pouvaient ne serait-ce qu'imaginer le développement d'Internet et ont toutefois réussi à créer une « loi monument », pilier de la législation électronique.
Décret de 1991 et loi de 2004
Cette loi a été ultérieurement modifiée par décret le [5] : celui-ci réorganise les fichiers des Renseignements généraux en autorisant « la collecte, la conservation et le traitement dans les fichiers des services des renseignements généraux d’informations nominatives relatives aux personnes majeures qui font apparaître […] les signes physiques particuliers, objectifs et inaltérables [ainsi que] les activités politiques, philosophiques, religieuses ou syndicales » (article 2). Les informations peuvent être collectées si elles sont « relatives à des personnes physiques ou morales qui ont sollicité, exercé ou exercent un mandat politique, syndical ou économique ou qui jouent un rôle politique, économique, social ou religieux significatif, sous condition que ces informations soient nécessaires pour donner au Gouvernement ou à ses représentants les moyens d’apprécier la situation politique, économique ou sociale et de prévoir son évolution » (article 3) ; mais dans ce cas, elles ne peuvent être communiquées à la police ni à la gendarmerie (article 5). Le décret prévoit aussi un examen de la légitimité des informations détenues tous les cinq ans, sous l’égide de la Commission nationale de l’informatique et des libertés (CNIL) (art. 6).
La loi de 1978 est encore modifiée par la loi[6] du afin de transposer en droit français les dispositions de la directive 95/46/CE sur la protection des données personnelles. La loi de 1978 modifiée est complétée par son décret d’application n°2005-1309 en date du . Cette transposition modifie de manière substantielle le texte de 1978, en élargissant le domaine des données qualifiées de personnelle (article 2), simplifie leurs régimes juridiques et alourdit les sanctions aux articles 226-16 à 226-24 du Code pénal. De plus, les pouvoirs d’enquête, d’investigation et de sanctions de la CNIL sont renforcés.
Contenu de la loi
Découpée en treize parties, dont seules les trois premières (Principes et définitions, Conditions de licéité des traitements de données à caractère personnel, La commission nationale de l'informatique et des libertés) concernent directement les particuliers, la LIL inscrit dès l’article premier la législation sur l’informatique dans le cadre des droits de l'homme, certainement en souvenir des fins auxquelles ont pu être utilisés les fichiers sous Vichy.
« Article 1 :
L’informatique doit être au service de chaque citoyen. Son développement doit s’opérer dans le cadre de la coopération internationale. Elle ne doit porter atteinte ni à l’identité humaine, ni aux droits de l’homme, ni à la vie privée, ni aux libertés individuelles ou publiques. »
Dès le second article, elle définit son cadre, s’adressant au plus grand nombre.
« Article 2 :
[…] Constitue une donnée à caractère personnel toute information relative à une personne physique identifiée ou qui peut être identifiée, directement ou indirectement, par référence à un numéro d'identification ou à un ou plusieurs éléments qui lui sont propres. Pour déterminer si une personne est identifiable, il convient de considérer l’ensemble des moyens en vue de permettre son identification dont dispose ou auxquels peut avoir accès le responsable du traitement ou toute autre personne.
Constitue un traitement de données à caractère personnel toute opération ou tout ensemble d’opérations portant sur de telles données, quel que soit le procédé utilisé, et notamment la collecte, l’enregistrement, l’organisation, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, ainsi que le verrouillage, l’effacement ou la destruction.
Constitue un fichier de données à caractère personnel tout ensemble structuré et stable de données à caractère personnel accessibles selon des critères déterminés. »
La personne concernée par un traitement de données à caractère personnel est celle à laquelle se rapportent les données qui font l’objet du traitement.
Par la suite, elle spécifie :
- quelles sont les obligations d'un responsable de traitement ;
- quels peuvent être les destinataires de ce traitement (article 3) : « toute personne habilitée à recevoir communication de ces données » ;
- quelles données peuvent être collectées : « les origines raciales ou ethniques, les opinions politiques, philosophiques ou religieuses ou l’appartenance syndicale des personnes, ou qui sont relatives à la santé ou à la vie sexuelle de celles-ci » sont interdites, étant qualifiées de données sensibles, sauf exception (articles 8 et 26) ;
- et comment elles doivent être récoltées et conservées (article 6 et 7). L’article 6 définit notamment le principe de finalité, le principe de proportionnalité et le principe d’exactitude.
« Article 6 :
Un traitement ne peut porter que sur des données à caractère personnel qui satisfont aux conditions suivantes :
- Les données sont collectées et traitées de manière loyale et licite ;
- Elles sont collectées pour des finalités déterminées, explicites et légitimes et ne sont pas traitées ultérieurement de manière incompatible avec ces finalités. Toutefois, un traitement ultérieur de données à des fins statistiques ou à des fins de recherche scientifique ou historique est considéré comme compatible avec les finalités initiales de la collecte des données, s’il est réalisé dans le respect des principes et des procédures prévus au présent chapitre, au chapitre IV et à la section 1 du chapitre V ainsi qu'aux chapitres IX et X et s’il n’est pas utilisé pour prendre des décisions à l’égard des personnes concernées ;
- Elles sont adéquates, pertinentes et non excessives au regard des finalités pour lesquelles elles sont collectées et de leurs traitements ultérieurs ;
- Elles sont exactes, complètes et, si nécessaire, mises à jour ; les mesures appropriées doivent être prises pour que les données inexactes ou incomplètes au regard des finalités pour lesquelles elles sont collectées ou traitées soient effacées ou rectifiées ;
- Elles sont conservées sous une forme permettant l’identification des personnes concernées pendant une durée qui n’excède pas la durée nécessaire aux finalités pour lesquelles elles sont collectées et traitées. »
« Article 7 :
Un traitement de données à caractère personnel doit avoir reçu le consentement de la personne concernée ou satisfaire à l’une des conditions suivantes :
- 1° Le respect d’une obligation légale incombant au responsable du traitement ;
- 2° La sauvegarde de la vie de la personne concernée ;
- 3° L’exécution d’une mission de service public dont est investi le responsable ou le destinataire du traitement ;
- 4° L’exécution, soit d’un contrat auquel la personne concernée est partie, soit de mesures précontractuelles prises à la demande de celle-ci ;
- 5° La réalisation de l’intérêt légitime poursuivi par le responsable du traitement ou par le destinataire, sous réserve de ne pas méconnaître l’intérêt ou les droits et libertés fondamentaux de la personne concernée. »
« Article 8 :
I. - Il est interdit de collecter ou de traiter des données à caractère personnel qui font apparaître, directement ou indirectement, les origines raciales ou ethniques, les opinions politiques, philosophiques ou religieuses ou l’appartenance syndicale des personnes, ou qui sont relatives à la santé ou à la vie sexuelle de celles-ci.
II. - Dans la mesure où la finalité du traitement l’exige pour certaines catégories de données, ne sont pas soumis à l’interdiction prévue au I :
4° Les traitements portant sur des données à caractère personnel rendues publiques par la personne concernée ; »
Les procédures de déclaration
Plusieurs procédures sont prévues pour déclarer un traitement à la CNIL :
- La demande d'autorisation (article 25), pour les traitements les plus dangereux en matière de vie privée. Ils ne peuvent être démarrés qu'après avoir été formellement autorisés par la CNIL.
- La demande d'avis (articles 26 et 27), qui concerne principalement les traitements de l’État.
- Les normes simplifiées, pour lesquelles un simple acte d’engagement auprès de la CNIL suffit.
- Les autorisations uniques.
- L'engagement de conformité à un décret en Conseil d’État, instauré par le décret n° 2012-1249[7].
Traitements de données juridico-policiers
Enfin dans les articles 9 et 10, elle précise que seules les juridictions, autorités publiques, personnes gérantes d'un service public ou auxiliaire de loi peuvent mettre en œuvre des traitements de données relatifs aux infractions, condamnation et mesure de sûreté et qu'aucune décision de justice ou impliquant des conséquences juridiques ne peut être fondée sur un traitement de données à caractère personnel, protégeant ainsi les personnes de toute malversation.
L'art. 26 prévoit en outre que les traitements de données à caractère personnel qui intéressent « la sûreté de l’État, la défense ou la sécurité publique », ou qui ont pour objet « la prévention, la recherche, la constatation ou la poursuite des infractions pénales ou l'exécution des condamnations pénales ou des mesures de sûreté », doivent être autorisés par arrêté pris après avis motivé de la CNIL publié également au Journal officiel. Les informations transmises à la CNIL peuvent cependant être moindres que celle concernant d'autres fichiers, et ce depuis la loi du 23 janvier 2006 sur le terrorisme (art. 13).
Lorsqu'ils comportent des données sensibles (cas notamment du fichier des Renseignements généraux, du STIC, d'EDVIGE et de CRISTINA), ils doivent être autorisés par un décret en Conseil d’État pris après avis motivé et publié de la CNIL.
Toutefois, l'autorisation de ces traitements de données peut être dispensé d'une publication au Journal officiel (cas de CRISTINA) par décret en Conseil d'État. Jusqu'à présent, cette procédure n'a été utilisée que pour des fichiers concernant le renseignement, et non pour des fichiers juridico-policiers (prévention, recherche, constatation ou poursuite des infractions pénales, etc.).
Les sanctions
Le texte original de 1978[8] prévoit, en cas de non-respect de la loi, en plus d’un avertissement par la CNIL, des sanctions uniquement pénales, prononçables par un tribunal. Ces sanctions pénales ont évolué pour devenir les suivantes :
- cinq ans d'emprisonnement et jusqu'à 150 000 euros d'amende, 300 000 en cas de récidive légale (articles 226-16 et suivant du code pénal) ;
- annulation d'un licenciement prononcé sur la base de preuves obtenues par un traitement qui n'a pas été déclaré à la CNIL[9] ;
- annulation de la cession d'une base de données en cas de méconnaissance des obligations déclaratives auprès de la CNIL. Dans ce cas le fichier vendu fut considéré par la Cour de cassation comme étant hors du commerce juridique, comme les organes du corps humain. En conséquence, un tel fichier ne peut être vendu et n'a aucune valeur économique.
Les modifications apportées à la loi en 2004[10] ajoutent des sanctions administratives, prononçables par la CNIL, et pouvant être contestées devant le Conseil d’État. Ces sanctions ont ensuite évolué, notamment du fait de la loi du [11], pour devenir les suivantes :
- l’injonction à cesser le traitement ou retrait de l'autorisation ;
- le verrouillage de certaines données ;
- le recours au Premier ministre ou à la justice pour prendre les mesures nécessaires afin de faire cesser le traitement ;
- une sanction pécuniaire de nature administrative d'un maximum de 150 000 € et 300 000 en cas de récidive légale.
Les droits essentiels particuliers reconnus par cette loi et leur exercice concret
La loi Informatique et libertés concentre les droits des particuliers en quatre points :
- le droit d’information,
- le droit d’opposition,
- le droit d’accès,
- le droit de rectification.
Il est important de noter que pour l'exercice de ces droits, les entités sollicitées doivent :
- vérifier au préalable l'identité du demandeur. À défaut, elles risqueraient de communiquer des données personnelles à un tiers non autorisé
- répondre sous un délai maximal de deux mois
Selon l'index 2011 de l’Association Française des Correspondants à la protection des Données à caractère Personnel[12], moins de 18 % des organismes sollicités ont fait une réponse conforme au droit.
Le droit d'information
L'article 3[13] de la loi indique que toute personne a le droit de savoir si elle est fichée et, si oui, dans quel(s) fichier(s), c'est le droit d'information, droit fondamental base de tous les autres.
Le droit d'opposition
Le droit d'opposition autorise toute personne à s'opposer, pour un motif légitime, à ce qu'elle figure dans un fichier. De plus, elle peut s'opposer, sans justification, à ce que les données la concernant soient utilisées à des fins de prospection, en particulier commerciale.
Ainsi, la Fédération des entreprises de ventes à distance a créé le fichier Robinson, dit stop-publicité, permettant à toute personne ne désirant pas être prospectée d'être radiée des fichiers des entreprises adhérentes à l'association. France Télécom met également à disposition du public une option dénommée liste orange, gratuite, pour les personnes ne souhaitant pas voir leurs coordonnées téléphoniques commercialisées, mais qui souhaitent tout de même figurer dans l'annuaire téléphonique.
Quant aux fichiers du secteur public (services fiscaux, police, justice, fichier des passagers aériens...), ils ne sont pas, pour la majorité d'entre eux, concernés par ce droit. Néanmoins, il faut noter qu'à la suite de la saisie par deux particuliers du Conseil d'État, ce dernier a rétabli[14], le , le droit d'opposition des parents au fichier du ministère de l'Éducation nationale, intitulé base élèves 1er degré et qui concerne tous les enfants scolarisés dès trois ans. Le Conseil d'État a ainsi jugé que l'arrêté du ministère méconnaissait l'article 38 de la loi, relative au droit d'opposition des personnes physiques.
Le droit d'accès
Le droit d'accès est complémentaire du droit d'information, puisqu'il permet en justifiant de son identité la consultation de ses données personnelles. Celle-ci donne la possibilité de vérifier l'exactitude des données et d'en obtenir une copie pour un coût n'excédant pas celui de la reproduction. Toutefois, ce droit est limité : si le responsable du traitement estime que la demande est abusive ou si les données sont conservées sous une forme ne présentant aucun risque, leur consultation est alors refusée, s'il s'agit de données attenantes à la sécurité de l'État, la défense, ou la sécurité publique (police, gendarmerie), un membre de la CNIL est désigné pour examiner ces données et le cas échéant les modifier, si cette modification n'est pas d'ordre à porter préjudice à la sécurité nationale. Les traitements mis en œuvre par les administrations publiques, les personnes chargées d'une mission de service public et les services d'imposition sont également concernés par la mesure précédente.
Le droit de rectification
Le droit de rectification, complément essentiel du droit d'accès, permet à toute personne de rectifier, compléter, actualiser, verrouiller ou faire effacer des données erronées la concernant. L'application de ce droit se fait essentiellement par lettre écrite à l'organisme détenteur des dites informations, le responsable du traitement devra alors justifier qu'il a procédé aux rectifications demandées, et faire parvenir gratuitement, à la demande de la personne concernée, une copie de l'enregistrement modifié.
Article 40[15] :
« Toute personne physique justifiant de son identité peut exiger du responsable d’un traitement que soient, selon les cas, rectifiées, complétées, mises à jour, verrouillées ou effacées les données à caractère personnel la concernant, qui sont inexactes, incomplètes, équivoques, périmées, ou dont la collecte, l’utilisation, la communication ou la conservation est interdite. »
Les modifications apportées par la loi du 6 août 2004
La loi du , qui transpose dans le droit français les dispositions de la directive 95/46/CE, apporte de nombreuses modifications à la loi Informatique et libertés. Elle a été complétée par décrets[16] pris le et le .
Les nouvelles règles relatives à la déclaration des fichiers
La nouvelle loi harmonise partiellement les règles de déclaration des fichiers entre secteur privé et secteur public. Le régime général pour le secteur public n'est plus de demander une autorisation à la CNIL, mais de faire une simple déclaration de ces fichiers, comme c'était déjà le cas pour le secteur privé. Le demandeur doit alors attendre le récépissé de la CNIL avant l'utilisation effective du fichier. Cette modification introduit la possibilité de sanctions pénales en cas de méconnaissance des obligations Informatique et Libertés (articles 226 -16 et suivants du Code pénal).
Cette simplification de la loi ne va pas sans poser de problèmes, le Conseil d'État ayant récemment annulé[14] partiellement l'arrêté de création du fichier "Base élèves 1er degré" du ministère de l'Éducation nationale, au motif que les services du ministère avaient commencé à utiliser le fichier sans attendre le récépissé de la déclaration à la CNIL. Pour cette même raison, le Conseil d'État a annulé totalement[17] le décret d'application de la base nationale des identifiants élèves, qui attribue un matricule à chaque enfant scolarisé dès 3 ans. Ces deux exemples ont pu relancer le débat selon lequel la simple déclaration à la CNIL, contrairement à une demande d'autorisation, ne permet plus à cette dernière de protéger les citoyens quand des fichiers scolaires concernant toute une population, et plus particulièrement une population d'enfants, sont mis en place de manière irrégulière par l'État.
La loi prévoit d'autre part des cas dans lesquels des fichiers peuvent bénéficier d'une déclaration simplifiée, voire sont exemptés de déclaration.
Toutefois, la distinction entre personne publique et personne privée n'a pas totalement disparu. La loi du prévoit en effet une procédure nouvelle de demande d'avis imposée aux organismes du secteur public pour la création de certains fichiers contenant des données sensibles. La procédure d'autorisation demeure pour les entreprises privées et s'étend à de nouvelles catégories de données. Les fichiers devant faire l'objet d'une demande d'autorisation sont, entre autres, ceux qui utilisent le numéro de sécurité sociale (attribué par l'Insee).
Le correspondant Informatique et Libertés
La loi prévoit la possibilité pour un organisme privé ou public de nommer un « correspondant à la protection des données à caractère personnel », couramment appelé « correspondant informatique et libertés » (CIL). Ce correspondant est chargé d'assurer l'application des dispositions de la loi à l'intérieur de l'organisme. Les formalités de déclaration à la CNIL sont alors largement simplifiées, sauf pour les traitements les plus sensibles, tels que les traitements automatisés de données biométriques ou ceux qui concernent la sûreté de l'État. D'une manière générale, il conseille l'entreprise sur toutes les questions relatives au respect des données à caractère personnel.
Nommé par l'entreprise, soit parmi ses collaborateurs, soit à l'extérieur, il doit agir de manière indépendante par rapport à elle. Il peut saisir la CNIL.
Ce poste existe déjà, sous diverses formes, dans d'autres pays comme l'Allemagne (Datenschutzbeauftragter, créé dans les années 1970), les Pays-Bas (functionaris gegevensbescherming) et la Suède (personuppgiftsombud).
Depuis 2007 une grande école, l’institut supérieur d'électronique de Paris, forme au sein d'un mastère spécialisé les correspondants informatique et libertés[18].
Une association regroupe les CIL, l’Association française des correspondants à la protection des données à caractère personnel.
Le , une proposition de loi a été votée en première lecture au Sénat. Elle propose, dans son article 3, de rendre obligatoire le correspondant informatique et libertés « lorsqu’une autorité publique ou un organisme privé recourt à un traitement de données à caractère personnel qui relève du régime d’autorisation en application des articles 25, 26 ou 27 ou pour lequel plus de cent personnes y ont directement accès ou sont chargées de sa mise en œuvre »[19]. Le président de la CNIL s’est prononcé à plusieurs reprises pour cette formule[20].
Le , la Commission européenne a publié un projet de règlement européen visant à remplacer la directive 95/46/CE (et en conséquence à modifier en profondeur la loi informatique et libertés). Ce projet prévoit la désignation d'un délégué à la protection des données (évolution de la fonction de correspondant informatique et libertés). Cette désignation serait obligatoire au sein des autorités et organismes publics, et obligatoire au sein des entreprises employant 250 personnes ou plus, et obligatoire au sein des entreprises employant moins de 250 personnes mais dont "les activités de base du responsable du traitement ou du sous-traitant consistent en des traitements qui, du fait de leur nature, de leur portée et/ou de leurs finalités, exigent un suivi régulier et systématique des personnes concernées".
Les nouvelles prérogatives de la CNIL
La CNIL peut désormais contrôler les locaux d'une entreprise entre 6h et 21h.
L'organe de contrôle : la CNIL
Le , le Parlement instaurait non seulement la loi informatique et libertés mais aussi l'autorité de contrôle permettant sa bonne application : la Commission nationale de l'informatique et des libertés (CNIL), premier organisme à avoir été qualifié d'autorité administrative indépendante.
Les limites de la loi informatique et libertés : le cas Interpol
L'OIPC (Organisation internationale de police criminelle), communément appelée Interpol est une organisation de collaboration des polices criminelles internationales, née en 1923 sous l'impulsion du prince Albert Ier de Monaco. Placée sous la direction de l'Autriche, qui disposait des immenses archives issues de l'Empire austro-hongrois, elle connut une période noire durant la Seconde Guerre mondiale, en devenant une base du génocide juif, lors de son commandement nazi. Ayant survécu grâce à la ténacité d'un policier belge, elle s'est dotée en 1955 d'une charte, fondement de ses principes. Installée à Lyon depuis 1989, cette célèbre organisation, qui compte aujourd'hui 182 membres participant activement à la lutte contre la grande criminalité et notamment le terrorisme, s'était fait remarquer en 1982, en refusant de participer à l'arrestation de Klaus Barbie, ancien criminel nazi, chef de la Gestapo rhônalpine, tortionnaire de Jean Moulin, il s'était réfugié en Bolivie et fut expulsé après la chute du général Banzer (dictateur militariste de 1971 à 1978, puis Président de 1997 à 2001) pour être jugé à Lyon.
À la fin des années soixante-dix, Interpol décida d'informatiser sa base de renseignements, encore traitée manuellement. Cette informatisation fut source d'un conflit entre l'organisation, basée à Saint-Cloud à l'époque, et la république française qui soutenait que sa loi Informatique et libertés était applicable aux données contenues dans les locaux de l'organisation, auquel elle avait droit d'accès. Interpol estimait que l'application de cette loi était impossible pour deux raisons : les informations qu'elle détient sont propriété des pays membres, elle n'en est que le dépositaire, le fait de la soumettre à un système législatif lui donne un caractère extra-territorial, de plus cela risquerait de compromettre la coopération policière internationale, certains pays préférant renoncer à communiquer des informations auxquels aurait accès librement l'État Français.
Après plusieurs années de conflits, les deux parties se mirent d'accord par la signature d'un nouvel accord de siège le et un échange de lettre en 1984. Le premier texte définit non seulement le cadre général de l'organisation (propriété insaisissable, immunité diplomatique de ses hauts dignitaires, très peu de soumission à l'impôt...), mais aussi l'inviolabilité des fichiers et des archives d'Interpol ; le second prône la mise en place d'une autorité de contrôle interne des fichiers et non pas nationale. Ainsi la France a renoncé à faire appliquer sa loi aux fichiers de l'Organisation grâce aux garanties que cette dernière a fournies, pour assurer la coopération internationale.
Notes et références
- Loi n°78-17 du 6 janvier 1978, Loi relative à l'informatique, aux fichiers et aux libertés Légifrance
- Nicolas Ochoa, Le droit des données personnelles, une police administrative spéciale, thèse, Paris I, (lire en ligne)
- Jacques Desabie, « L’Insee entreprend d’automatiser le répertoire des personnes », Économie et Statistique, no 10, , p. 69–71 (DOI 10.3406/estat.1970.1930, lire en ligne, consulté le )
- Raymond Marcellin : de l'Intérieur à l'Agriculture ()
- Décret no 91-1051 du portant application aux fichiers informatisés, manuels ou mécanographiques gérés par les services des renseignements généraux des dispositions de l’article 31, alinéa 3, de la loi no 78-17 du relative à l’informatique, aux fichiers et aux libertés.
- Loi n°2004-801 du 6 août 2004, Loi relative à la protection des personnes physiques à l'égard des traitements de données à caractère personnel et modifiant la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés - Légifrance
- http://legifrance.gouv.fr/affichTexte.do?cidTexte=JORFTEXT000026601637&fastPos=1&fastReqId=986979498&categorieLien=id&oldAction=rechTexte
- Dans le texte de 1978, le chapitre 6 « Dispositions pénales » (articles 41 à 44) prévoit des punitions sous forme d’emprisonnement (de deux mois à cinq ans) et d’amende (de 2 000 à 2 millions de francs).
- « Ne pas déclarer un traitement à la CNIL, causes et conséquences », sur Matthieu WIEDENHOFF, (consulté le ).
- Dans la version de la loi au , le chapitre 7 est dédié aux « Sanctions prononcées par la Commission nationale de l'informatique et des libertés » (articles 45 à 49).
- La version de la loi Informatique et Libertés au dispose des sanctions administratives dans son article 20, et non plus dans l’article 45.
- [http://www.afcdp.net/Index-AFCDP-2011-du-Droit-d-Acces Index AFCD 2011 du Droit d’Accès aux données personnelles consulté le 28 janvier 2011
- http://www.lexinter.net/lois/principes_et_definitions.htm
- Arrêté du Conseil d'État du 19 juillet 2010 sur les fichiers de l'Éducation Nationale Base élèves 1er degré et BNIE - www.conseil-etat.fr
- « Loi 78-17 du 6 janvier 1978 modifiée », sur CNIL.fr (consulté le )
- Décret n° 2005-1309 du 20 octobre 2005 modifié par Décret n° 2007-451 du 25 mars 2007(décrets d'application de la réforme de 2004),
- Arrếté du Conseil d'État du 19 juillet 2010 sur le fichier de l'Éducation Nationale "BNIE" -
- Marc Jacob, « L’ISEP vient d’ouvrir la neuvième session de son Mastère Spécialisé® « Informatique & Libertés » », sur Global Security Mag Online, (consulté le )
- « Proposition de loi visant à mieux garantir le droit à la vie privée à l’heure du numérique. », sur le site officiel du Sénat, (consulté le )
- Allocution d'Alex Turk.
Voir aussi
Articles connexes
- Fichage en France
- Fuite d'information
- Protection de la vie privée
- Haute Autorité de lutte contre les discriminations et pour l'égalité (HALDE)
- Commission nationale de l'informatique et des libertés (CNIL)
- Association française des correspondants à la protection des données à caractère personnel (AFCDP)
Liens externes
- Loi no 78-17 du – texte consolidé, prenant en compte les modifications ultérieures,
- Loi n°2004-801 du 6 août 2004 - texte consolidé, prenant en compte les modifications ultérieures,
- Le site officiel de la Commission nationale informatique et libertés (CNIL).
- Portail du droit français
- Portail de la sécurité de l’information
- Portail des années 1970
- Portail de la politique française