1
Par un article paru dans le journal
« Le Monde » du 21 mars 1974 et intitulé
« SAFARI ou la chasse aux Français ».
2
Le nom du responsable, les caractéristiques et la
« finalité » du traitement, le service chargé
de sa mise en oeuvre, les catégories de personnes ayant accès aux
informations, le caractère obligatoire ou facultatif des
réponses, les conséquences d'un défaut de réponse,
la liste des personnes physiques ou morales destinataires des informations, les
dispositions prises pour assurer la sécurité du dispositif, les
transferts éventuels de données vers l'étranger.
3
Le degré de sécurité est examiné lors
de la déclaration du traitement, ainsi qu'à l'occasion des
contrôles sur place effectués par la CNIL, qui adresse d'ailleurs
régulièrement des avertissements.
4
Encore récemment s'agissant de son très
remarqué rapport relatif à la cybersurveillance au travail.
5
Données extraites du 22
ème
rapport
d'activité de la CNIL 2001.
6
Le rapport de M. Guy Braibant au Premier ministre
«
Données et personnelles et société de
l'information
» soulignait en effet que nul n'est en mesure
d'estimer précisément le nombre de traitements automatisés
d'informations nominatives : « La CNIL en a enregistré
500.000 environ. Encore ce chiffre doit-il être minoré d'environ
20 %, pour tenir compte des traitements qui ont disparu sans que leur
suppression ait été déclarée. De toute
façon, le nombre actuel de traitements en fonctionnement est sans
commune mesure avec celui des traitements déclarés ou
autorisés. Trois millions d'entreprises sont dotées d'un ou
plusieurs traitements, parfois des centaines ... Au total, et même en
tenant compte des traitements dispensés de déclaration, on peut
avancer sans grand risque d'exagération que quelques millions de
traitements ont échappé » au contrôle de la CNIL.
7
une trentaine, certains fichiers et traitements relevant par
nature du domaine de la loi. Certains de ces textes constituent à eux
seuls une loi, comme celles de 1980 sur le casier judiciaire, de 1990 sur les
permis de conduire, de 1994 sur les recherches en matière de
santé ou alors ne sont que l'une de ces dispositions d'ordre social ou
financier qui coexistent dans une loi fourre-tout. Parfois, ces dispositions
sont introduites dans des codes, comme ceux de la santé publique, de la
sécurité sociale ou du travail ou viennent modifier un texte
ancien, comme le décret-loi du 30 octobre 1935 sur les
chèques.
8
Résolution n° 45/95 du 14 décembre 1990.
9
Le Conseil d'Etat est intervenu sur la base des circulaires du
Premier ministre de 1992 et 1993 exprimant la volonté du Gouvernement de
l'associer à la préparation du droit communautaire.
10
Données personnelles et société de
l'information, rapport au Premier ministre de M. Guy Braibant, la
documentation française, 2
ème
trimestre 1998.
11
dont le Conseil constitutionnel a fait une première
application dans sa décision du 20 janvier 1984 relative aux
libertés universitaires et qui fut constamment réaffirmée
par la suite (par exemple décision du Conseil constitutionnel 210 DC du
29 juillet 1986 relative au statut des entreprises de presse).
12
Rapport public du Conseil d'Etat 1998 : « Pour une
meilleure transparence de l'administration, étude sur l'accès des
citoyens aux données publiques ».
13
L'article 182 B du code général des impôts
parle ainsi de « l'installation permanente » de
l'entreprise, l'article 1470 du même code parlant de
« l'installation fixe » d'un contribuable.
14
La déclaration prévoit que le génome
humain en son état naturel ne peut donner lieu à des gains
pécuniaires ; qu'une recherche, un traitement ou un diagnostic
portant sur le génome humain nécessite le consentement
préalable, libre et éclairé de l'intéressé ;
que nul ne doit faire l'objet de discriminations fondées sur ses
caractéristiques génétiques ; que la
confidentialité des données génétiques
associées à une personne identifiable, conservées ou
traitées à des fins de recherche ou dans tout autre but, doit
être protégé ; que les limitations aux principes du
consentement et de la confidentialité ne peuvent être
apportées que par la loi, pour des raisons impérieuses et dans
les limites du droit international public et du droit international des droits
de l'homme.
15
décret n° 78-774 du 17 juillet 1978
16
Avis de la CNIL du 26 septembre 2000 relatif à l'avant
projet de loi sur la protection des données personnelles.
17
en vertu de la loi organique n° 2001-692 du 1
er
août 2001 relative aux lois de finances.
18
On distingue différents types d'autorités de
contrôle : le modèle du commissaire à la protection
des données -Allemagne, Luxembourg, Royaume-Uni-, le modèle de
l'autorité collégiale, composée de magistrats, de
parlementaires et d'autres personnalités - Italie, Portugal,
Grèce, Danemark - et le modèle de la commission
représentative - Suède, Espagne-.
19
Article 26 du règlement de l'Assemblée nationale et
article 9 du règlement du Sénat
20
Cette disposition unifie le régime des
députés et sénateurs puisqu'actuellement les
sénateurs sont désignés membres de la CNIL non pas pour
cinq ans, ni même après chaque renouvellement triennal du
Sénat, mais pour la durée de leur mandat de sénateur, soit
neuf ans.
21
Délibération n° 87-25 du 10 février
1987 modifiée à plusieurs reprises par les
délibérations n° 92-087 du 22 septembre 1992, n°
93-048 du 8 juin 1993 et n° 99-43 du 9 septembre 1999.
22
S'agissant des données dites sensibles, des données
génétiques, des données portant sur des infractions, des
condamnations ou des mesures de sûreté, des données ayant
pour objet de sélectionner les personnes susceptibles de
bénéficier d'un droit, d'une prestation ou d'un contrat, des
traitements ayant pour but l'interconnexion de fichiers, des données sur
lesquelles figure le numéro d'inscription des personnes au
répertoire national d'identification des personnes physiques, ainsi que
les appréciations sur les difficultés sociales des personnes et
les données biométriques.
23
Loi n° 94-126 du 11 février 1994 relative à
l'initiative et à l'entreprise individuelle.
24
Par exemple la délibération n° 94-112 du 20
décembre 1994 (JO du 3 janvier 1995) portant adoption d'une norme
simplifiée concernant les traitements automatisés d'informations
nominatives mis en oeuvre à l'aide d'autocommutateurs
téléphoniques desservant des postes téléphoniques
mis à la disposition de la clientèle contre facturation.
25
« Le nombre de traitements automatisés de
données personnelles s'élève en France à plusieurs
millions. Il ne serait pas raisonnable d'imposer à leurs responsables de
les déclarer tous ni de submerger l'autorité de contrôle
sous une marée de documents inutiles. Certains ont exprimé le
voeu d'une déclaration obligatoire de tous les traitements afin de faire
de l'autorité de contrôle un conservatoire. Mais il vaut beaucoup
mieux, dans l'intérêt même des libertés et des droits
de l'homme, qu'elle consacre ses efforts à la surveillance efficace des
traitements réellement ou potentiellement dangereux ».
26
pages 115 et 116.
27
Avis de la CNIL du 26 septembre 2000.
28
Celui-ci soulignait qu'en cas d'avis défavorable de la
CNIL, « les gouvernements hésitaient à faire en quelque
sorte « appel » de la CNIL au Conseil d'Etat et à se
trouver ainsi enfermés entre deux avis d'autorités qui dans les
deux cas et de façon inhabituelle dans notre droit, le lient ; ils
préfèrent continuer à négocier avec la CNIL pour
aboutir à un compromis hypothétique ».
29
dont la loi n° 2000-230 du 13 mars 2000 relative à la
signature électronique a pour l'essentiel assuré la transposition
en droit interne.
30
Article 5 ter de l'ordonnance n° 67-833 du 28 septembre 1967
modifiée par la loi n° 89-531 du 2 août 1989.
31
en vertu de l'article L. 621-12 du code monétaire et
financier.
32
Décisions 88-248 DC du 17 janvier 1989 sur le Conseil
supérieur de l'audiovisuel, 89-260 DC du 28 juillet 1989 sur la
Commission des opérations de bourse, 96-378 DC du 23 juillet 1996 sur
l'Autorité de régulation des télécommunications et
97-395 DC sur la loi de finances pour 1998.
33
Notamment la décision du 23 octobre 1995, Gradinger c/
Autriche.
34
L'arrêt Kress contre France de la Cour européenne des
droits de l'Homme du 7 juin 2001 a considéré que la
présence du commissaire du Gouvernement auprès du Conseil d'Etat
au délibéré constituait une violation de l'article
6§1 relatif au droit à un procès équitable.
35
Délibération n° 97-008 du 4 février 1997
36
Délibération n° 01-011 du 8 mars 2001
37
Loi n° 94-548 du 1
er
juillet 1994 relative au
traitement de données nominatives ayant pour fin la recherche dans le
domaine de la santé.
38
Loi n° 99-641 du 27 juillet 1999 relative à la
création de la couverture maladie universelle.
39
Par sa décision n° 94-352 DC du 18 janvier 1995
relative à la loi de programmation sur la sécurité, le
Conseil constitutionnel avait considéré à propos de la
demande d'autorisation prévue auprès du préfet pour la
mise en place de systèmes de vidéosurveillance qu'elle devait
être expresse, s'agissant d'un domaine touchant aux libertés
individuelles et publiques.
40
Délibération n° 95-012 du 24 janvier 1995
portant recommandation relative aux données personnelles traitées
ou utilisées par des organismes de la presse écrite ou
audiovisuelle à des fins journalistiques et rédactionnelles.
41
Le groupe de protection des personnes à l'égard du
traitement des données à caractère personnel
créé par l'article 29 de la directive avait recommandé le
25 février 1997 le respect du principe de proportionnalité dans
l'octroi des dérogations - notamment en fonction des garanties
accordées aux personnes par la législation sur la presse- et une
limitation des dérogations et exemptions aux traitements de
données à des fins de journalisme, aucune dérogation ne
pouvant être prévue au chapitre III (recours juridictionnel,
responsabilité, sanctions).
42
« L'abaissement des sanctions ne parait pas
justifié. Une telle initiative pourrait de surcroît altérer
l'esprit de la réforme : la protection des données
personnelles et de la vie privée n'a pas une moindre valeur aujourd'hui
qu'hier » : avis de la CNIL sur le présent projet de loi
- septembre 2000.
43
Rapport approuvé le 13 novembre 2001.
44
Un traitement loyal et licite, des collectes pour des
finalités déterminées, explicites et légitimes, pas
de traitement ultérieur incompatible, des données
adéquates, pertinentes et non excessives au regard des finalités,
exactes et si nécessaire mises à jour, conservées sous une
forme permettant l'identification des personnes pendant une durée
n'excédant pas celle nécessaire à la réalisation
des finalités.
Projet de loi relatif à la protection des personnes physiques à l'égard des traitements de données à caractère personnel
Rapports législatifs
Rapport n° 218 (2002-2003), déposé le