B. UN REMANIEMENT INÉLUCTABLE MOTIVÉ PAR DES IMPÉRATIFS TECHNOLOGIQUES ET COMMUNAUTAIRES
Un bilan positif de l'action de la CNIL a pu être dressé. En effet, elle a su définir une véritable jurisprudence grâce à des avis fortement motivés et jouer un rôle normatif par le biais de ses recommandations et de ses normes simplifiées. Elle a en outre exercé une action pédagogique auprès des administrations et des entreprises.
Néanmoins, le système a révélé des faiblesses.
1. Des faiblesses inhérentes à la loi
Des millions de traitements n'ont pas été déclarés 6 ( * ) , tandis que le bilan de la répression, administrative et pénale, est globalement faible, quelques dizaines de sanctions ou de poursuites. En effet, la CNIL ne dispose que de moyens réduits.
En outre, de très importants fichiers de sécurité concernant tous les citoyens et comportant de graves dangers pour leurs droits et libertés ont fonctionné et pour certains fonctionnent encore sans autorisation . Saisie de ces traitements, la CNIL a donné des avis défavorables, mais le Gouvernement n'a pas voulu passer outre par décret pris en Conseil d'Etat. Le Conseil d'Etat ayant jugé que des avis négatifs, même s'ils avaient pour effet de lier l'autorité compétente, ne constituaient pas des décisions susceptibles de recours, cette situation s'apparente à un déni de droit.
Par ailleurs, le droit d'accès indirect n'a pas fonctionné de manière satisfaisante, les services ne montrant souvent aux magistrats de la CNIL que des dossiers partiels et la CNIL ne pouvant qu'informer les personnes que les vérifications avaient été effectuées, sans pouvoir en communiquer les résultats.
Enfin, la multiplication de lois particulières 7 ( * ) a été source d'incohérences.
2. Des faiblesses découlant de facteurs externes
a) Des milliers de Big brother privés potentiels
L'émergence de « la société de l'information » conduit à s'interroger sur la pérennité de la loi du 6 janvier 1978.
En effet, elle se caractérise par un développement considérable de l'informatique au sein des entreprises , qui possèdent aujourd'hui des fichiers de données à caractère personnel susceptibles de porter atteinte aux libertés individuelles. Leur présomption d'innocuité ne parait plus aussi justifiée.
Ces traitements poursuivent notamment des buts d'organisation interne, comme la mise en place de systèmes de gestion simplifiée des rémunérations, mais peuvent également conduire à décider d'accorder ou non une prestation ou un service à une personne, ou d'améliorer leur démarche commerciale grâce à des techniques de « profilage » de leur clientèle, actuelle ou prospective. Les données sont devenues des marchandises qu'on vend, achète, sous-traite ou enrichit.
Or, alors que l'achat, la cession ou la revente de ces données constitue une activité fort lucrative, leur traitement demeure soumis à une simple déclaration auprès de la CNIL.
La loi est donc restée centrée sur son objectif initial -les grands ordinateurs publics- et n'a pas su s'adapter au passage à la micro-informatique privée et démocratisée.
b) Les défis de la convergence technologique
A la crainte de l'apparition d'un Etat Big brother a succédé l'apparition de témoins de connexion ( cookies ) permettant de classer les sites personnels et les individus par rubrique sur Internet . La plus grande régie mondiale de publicité, la société américaine Double click a ainsi été accusée de collecter trop d'informations intimes sur les internautes et de combiner ces données avec des informations nominatives détaillées. Les techniques de profilage, de traçage, les moyens de paiement en ligne sont autant d'occasions de collecte et de traitement de données personnelles. La CNIL a d'ailleurs rappelé dans deux délibérations du 7 novembre 1995 que la loi de 1978 a également vocation à s'appliquer à la circulation des données nominatives sur Internet.
En outre, la « convergence technologique » a également contribué à fragiliser son dispositif. Internet véhicule ainsi indifféremment du texte, de l'image et du son. Le développement des cartes à puces, la vidéo-surveillance et les nouveaux services de téléphonie fixe ou mobile reposent sur l'exploitation de données de connexion aux réseaux numériques.
Par conséquent, la notion de fichiers traditionnels apparaît largement obsolète et incapable de recouvrir l'ensemble des problèmes. La directive opère d'ailleurs un glissement sémantique substituant à l'expression « informations nominatives » celle de « données à caractère personnel » afin de garantir la protection de la vie privée « quelles que soient les techniques concernées » et adopte une neutralité technologique visant à préserver la loi d'évolutions aujourd'hui imprévisibles.
c) La pression exercée par le droit international en faveur de la libre circulation des informations nominatives
Au début des années 80, la multiplication de lois comparables en Europe a suscité la crainte de certains Etats que les législations sur la protection des données n'entravent la libre circulation et les échanges commerciaux dont elles font l'objet.
Tout d'abord, l' OCDE adopte le 23 septembre 1980 « les lignes directrices régissant la vie privée et le flux transfrontières des données à caractère personnel ». Ce document, dépourvu de valeur juridique contraignante, retient une approche privilégiant la libre-circulation des données.
Le Conseil de l'Europe adopte ensuite la convention n° 108 du 28 janvier 1981 pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel. Entrée en vigueur le 1 er octobre 1985, elle évoque en préambule « la nécessité de concilier les valeurs fondamentales du respect de la vie privée et la libre circulation de l'information entre les peuples ».
Elle prévoit que les Etats s'abstiennent de limiter les flux de données sauf lorsqu'un Etat ne se conforme pas « pour l'essentiel » aux lignes directrices, ou lorsque la réexportation des données permettrait de contourner sa législation interne sur la protection de la vie privée et des libertés individuelles. Les Etats ne doivent pas élaborer de lois ou procédures qui, sous couvert de protection de la vie privée et des libertés individuelles, créeraient des obstacles à la circulation des données allant au-delà des exigences propres à cette protection. L'harmonisation préconisée des législations est donc fondée sur la nécessité d'empêcher que les flux internationaux de données ne subissent des interruptions.
Les lignes directrices adoptées par l'Assemblée générale des Nations-Unies 8 ( * ) en 1990 établissent ensuite les garanties minimales s'appliquant aux fichiers publics et privés devant figurer dans les législations nationales.
Les données doivent circuler librement entre les Etats lorsque ceux-ci offrent des garanties comparables. Dans le cas contraire, les limites ne doivent pas dépasser ce qui est nécessaire à la protection de la vie privée.
Il s'agit du premier instrument international à recommander la mise en place d'une autorité de contrôle, mais il est dépourvu de valeur juridique obligatoire.
Enfin, l'article XIV de l'accord du 15 avril 1994 établissant l'Organisation mondiale du commerce dispose que « sous réserve que ces mesures ne soient pas appliquées de façon à constituer soit un moyen de discrimination arbitraire ou injustifiable entre les pays où des conditions similaires existent, soit une restriction déguisée au commerce des services, [le présent accord] n'empêche pas l'adoption ou l'application de mesures nécessaires pour assurer le respect des lois et règlements qui ne sont pas incompatibles avec les dispositions du présent accord, y compris celles qui se rapportent à la protection de la vie privée des personnes pour ce qui est du traitement et de la discrimination des données personnelles, ainsi qu'à la protection du caractère confidentiel des dossiers et comptes personnels ».
On distingue donc deux points de vue, certes compatibles, mais correspondant néanmoins à deux sensibilités différentes. Tandis que les droits allemand, français ou suédois font de la protection de l'individu face aux dangers de l'informatique une fin en soi, les droits international et européen font de cette protection la contrepartie du principe de libre circulation de l'information .
3. L'exigence de transposition en droit interne de la directive 95/46 du 24 octobre 1995
L'Union européenne s'est elle aussi dotée d'un cadre commun avec la directive 95/46 CE du 24 octobre 1995 relative à la protection des personnes physiques à l'égard des traitements de données à caractère personnel.
L'article 7 de la Charte des droits fondamentaux, proclamée au Conseil européen de Nice le 7 décembre 2000, dispose en outre que : « Toute personne a droit à la protection des données à caractère personnel la concernant. Ces données doivent être traitées loyalement, à des fins déterminées et sur la base du consentement de la personne concernée ou en vertu d'un autre fondement légitime prévu par la loi. Toute personne a le droit d'accéder aux données collectées la concernant et d'en obtenir la rectification. Le respect de ces règles est soumis au contrôle d'une autorité indépendante. »
Il s'agit dans une large mesure d'une consécration de la loi du 6 janvier 1978, qui a servi de base aux négociations de la directive.
a) La genèse de la directive
La question de la compétence de la Communauté européenne pour légiférer dans cette matière s'est posée, la protection des libertés et de la vie privée étant exclue de son champ de compétence. Néanmoins, la Commission des Communautés européennes a considéré qu'il s'agissait principalement d'établir la libre circulation des données à caractère personnel, considérées comme des marchandises , ce qui explique que la directive 95/46 CE soit une directive « marché intérieur ».
Sa négociation fut longue et difficile, s'agissant d'un problème de liberté opposant des cultures différentes.
Le Conseil d'Etat s'est prononcé en assemblée générale par un avis du 10 juin 1993 9 ( * ) invitant le Gouvernement à veiller à ce que la directive « ne contienne pas de dispositions qui conduiraient à priver des principes de valeur constitutionnelle de la protection que leur accorde la loi du 6 janvier 1978 actuellement en vigueur » afin de prévenir « tout risque d'inconstitutionnalité de la future loi assurant la transposition de cette directive » et énumérant certaines dispositions du projet susceptibles de conduire à une régression du niveau de protection.
En outre, le Parlement a adopté des résolutions sur ce projet en application de l'article 88-4 de la Constitution issu de la révision du 25 juin 1992.
L'Assemblée nationale a estimé dans une résolution du 25 juin 1993 que l'intervention de la Communauté européenne ne devait pas nuire au haut degré de protection dont devaient bénéficier les personnes, ni assimiler ces données à de simples marchandises. Elle craignait également que les options très larges laissées aux Etats membres pour la transposition ne garantissent pas l'homogénéité de cette protection dans la Communauté européenne. Elle demandait donc au Gouvernement de subordonner son accord au maintien intégral du niveau de protection assuré par la loi du 6 janvier 1978, de prévenir le risque de divergences dangereuses au moment de la transposition de la directive par les Etats membres, et de garantir aux Etats membres le pouvoir d'interdire le transfert de données à caractère personnel vers des pays tiers n'assurant pas un niveau de protection adéquat, au besoin par l'instauration d'une procédure d'urgence.
Le Sénat a adopté une résolution le 7 juin 1994, par laquelle il observait que la référence à des articles du Traité de nature économique, appliquée en l'espèce au domaine des libertés publiques conduisait à une interprétation extensive des compétences de la Communauté, mais que cette intervention était justifiée. Il appelait en outre à une harmonisation préalable de leur législation par les Etats membres.
Ces recommandations ont été suivies dans une large mesure.
b) Les principales différences avec la loi du 6 janvier 1978
La loi du 6 janvier 1978 prévoit déjà un certain nombre de points importants de la directive, comme le principe de loyauté de la collecte des données, la protection des données dites sensibles, le principe de finalité des traitements ou le droit d'information, de rectification ou d'opposition des personnes, ainsi que l'exigence d'une autorité de contrôle indépendante.
Toutefois, des différences substantielles existent entre la loi du 6 janvier 1978 et la directive 95/46, requérant en conséquence une modification de notre législation, même si elle comporte de nombreuses options, exceptions et dérogations, qui laissent aux Etats membres de grandes marges d'appréciation dans sa transposition.
(1) Le champ d'application
Tout d'abord, la directive ne s'applique qu'aux traitements relevant du champ de compétences de l'Union européenne, c'est à dire qu'elle exclut notamment les « traitements de souveraineté » (défense, sécurité publique, sûreté de l'Etat, droit pénal).
En revanche, son champ d'application est élargi puisqu'elle s'étend non seulement aux traitements automatisés, mais aussi aux fichiers manuels à l'expiration d'un délai de 12 ans à compter de son adoption, c'est à dire en octobre 2007.
Par ailleurs, elle couvre les sons et les images à l'exclusion des traitements de vidéosurveillance mis en oeuvre à des fins de sécurité publique.
(2) La méthode retenue
La directive s'attache tout d'abord à définir les conditions générales de licéité des traitements, puis les droits fondamentaux des personnes concernées ainsi que les restrictions susceptibles d'y être apportées, avant de déterminer les procédures et recours destinés à assurer la régularité des traitements de données à caractère personnel.
La directive privilégie donc clairement les principes de fond sur les dispositions de forme, les Etats membres possédant davantage de marge de manoeuvre pour transposer les secondes que les premières .
Ce choix fondamental implique donc un bouleversement de la loi du 6 janvier 1978, qui déduit d'une distinction fondée sur la nature juridique du destinataire du traitement la procédure et les règles de forme applicables .
(3) L'égalité de principe entre secteurs public et privé
Alors que la loi du 6 janvier 1978 retient un critère organique, la directive retient un critère matériel et soumet les traitements similaires de responsables publics et privés à une même procédure .
Ainsi, les traitements de données à caractère personnel, qu'ils soient privés ou publics, ne sont plus désormais soumis qu'à une obligation de déclaration préalable auprès de l'autorité de contrôle.
La distinction entre les régimes de la déclaration et de l'autorisation, qui subsiste, est donc désormais indépendante de la qualité du responsable.
On retrouve un tel précédent dans la loi « informatique et libertés » en matière de traitement de recherche dans le domaine de la santé et d'évaluation des pratiques de soins.
L'assimilation des deux secteurs ne sera néanmoins pas totale, puisque les traitements de souveraineté ne sont pas concernés par les dispositions de la directive, celle-ci ne s'appliquant qu'aux traitements relevant du champ de compétence de l'Union européenne.
(4) Le renforcement du contrôle a posteriori
L'article 20 de la directive indique que les Etats membres doivent préciser les traitements « susceptibles de présenter des risques particuliers au regard des droits et des libertés des personnes concernées et veillent à ce que ces traitements soient examinés avant leur mise en oeuvre ». A l'inverse, ceux qui « ne sont pas susceptibles de porter atteinte aux droits et libertés des personnes concernées » peuvent ne donner lieu qu'à une déclaration simplifiée ou même être exonérés de toute formalité.
Parallèlement à cette limitation des contrôles a priori , la directive invite à un recentrage des missions de la CNIL en direction du contrôle a posteriori . L'article 28 de la directive relatif aux prérogatives de l'autorité de contrôle précise donc qu'elle doit disposer en particulier de pouvoirs d'investigations ou d'accès aux données ainsi que de pouvoirs « effectifs d'intervention » lui permettant le cas échéant d'ordonner le verrouillage, l'effacement ou la destruction des données.
Si la loi du 6 janvier 1978 comporte déjà des dispositions relatives aux pouvoirs de contrôle a posteriori de la CNIL (article 21), l'insuffisance des moyens de la CNIL et la relative indifférence des parquets et tribunaux face à une matière nouvelle et technique ont, dans les faits, largement relativisé sa portée.
(5) La reconnaissance de l'importance des flux internationaux de données à caractère personnel
Si la loi du 6 janvier 1978 évoque déjà la question de la circulation des données, elle ne distingue pas entre les transferts vers d'autres Etats membres de la Communauté européenne et ceux intervenant vers des Etats tiers.
Or, la mondialisation de la circulation des données a été démultipliée par l'apparition des nouvelles technologies de l'information et de la communication.
Dès son article premier, la directive affirme donc le principe de la libre circulation des données au sein des Etats membres de l'Union européenne.
En revanche, ne sont possibles les transferts vers des pays tiers que si ceux-ci assurent un niveau de protection adéquat . La directive prévoit des mécanismes communautaires permettant de l'évaluer (articles 25 et 26), ainsi que leur articulation avec les modalités d'intervention en la matière de l'autorité nationale de contrôle.
* 6 Le rapport de M. Guy Braibant au Premier ministre « Données et personnelles et société de l'information » soulignait en effet que nul n'est en mesure d'estimer précisément le nombre de traitements automatisés d'informations nominatives : « La CNIL en a enregistré 500.000 environ. Encore ce chiffre doit-il être minoré d'environ 20 %, pour tenir compte des traitements qui ont disparu sans que leur suppression ait été déclarée. De toute façon, le nombre actuel de traitements en fonctionnement est sans commune mesure avec celui des traitements déclarés ou autorisés. Trois millions d'entreprises sont dotées d'un ou plusieurs traitements, parfois des centaines ... Au total, et même en tenant compte des traitements dispensés de déclaration, on peut avancer sans grand risque d'exagération que quelques millions de traitements ont échappé » au contrôle de la CNIL.
* 7 une trentaine, certains fichiers et traitements relevant par nature du domaine de la loi. Certains de ces textes constituent à eux seuls une loi, comme celles de 1980 sur le casier judiciaire, de 1990 sur les permis de conduire, de 1994 sur les recherches en matière de santé ou alors ne sont que l'une de ces dispositions d'ordre social ou financier qui coexistent dans une loi fourre-tout. Parfois, ces dispositions sont introduites dans des codes, comme ceux de la santé publique, de la sécurité sociale ou du travail ou viennent modifier un texte ancien, comme le décret-loi du 30 octobre 1935 sur les chèques.
* 8 Résolution n° 45/95 du 14 décembre 1990.
* 9 Le Conseil d'Etat est intervenu sur la base des circulaires du Premier ministre de 1992 et 1993 exprimant la volonté du Gouvernement de l'associer à la préparation du droit communautaire.