B. DES CONFLITS DE COMPÉTENCE NON TRANCHÉS
1. Le débat sur la compétence de la CNIL
Comme il a été vu ci-dessus, avant la loi du 21 janvier 1995, la doctrine était déjà divisée sur la compétence de la CNIL en matière de vidéosurveillance.
Pour cette raison, en 1995, le législateur a souhaité trancher ce débat. La compétence de la CNIL a été écartée, le texte adopté disposant sans ambiguïtés que « les enregistrements visuels de vidéosurveillance ne sont considérés comme des informations nominatives, au sens de la loi du 6 janvier 1978 [...], que s'ils sont utilisés pour la constitution d'un fichier nominatif ».
Les raisons de ce choix étaient diverses :
- la charge de travail déjà excessive de la CNIL ;
- l'éloignement de la CNIL, l'examen de chaque demande d'installation exigeant de bien connaître les situations locales ;
- le rejet de l'argument selon lequel tout système numérique serait constitutif d'un traitement automatisé ;
- une jurisprudence qui refuse d'assimiler les enregistrements analogiques à une succession de photos constituant chacune une information nominative en tant que telle.
Cette rédaction avait également pour effet d'écarter la compétence de la CNIL pour tous les systèmes de vidéosurveillance , y compris ceux ne relevant pas de la loi du 21 janvier 1995, c'est-à-dire ceux installés dans les lieux non ouverts au public.
Toutefois, la loi n° 2004-801 du 6 août 2004 relative à la protection des personnes physiques à l'égard des traitements de données à caractère personnel et modifiant la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés pour la protection des données a sensiblement modifié cet équilibre.
Si la loi continue d'écarter la compétence de la CNIL pour les systèmes de vidéosurveillance relevant de la loi du 21 janvier 1995, sauf si les enregistrements sont utilisés dans un traitement automatisé -dans ce cas, la CNIL a une compétence exclusive-, en revanche :
- elle ne dispose plus explicitement que les enregistrements ne sont pas des informations nominatives, donc insusceptibles d'entrer dans le champ de la loi du 6 janvier 1978 ;
- elle n'exclut plus la compétence de la CNIL et l'application de la loi du 6 janvier 1978 pour les enregistrements de vidéosurveillance ne relevant pas de la loi du 21 janvier 1995.
Il en résulte que la CNIL est compétente pour les systèmes de vidéosurveillance dans les lieux non ouverts au public au sens de la jurisprudence. Tel est notamment le cas des entrepôts ou des locaux réservés à l'usage des personnels (dans ces lieux, le code du travail et la législation sur le droit à l'image s'appliquent également).
On ajoutera que la loi du 21 janvier 1995 modifiée par la loi du 6 août 2004 prévoit désormais que le Gouvernement transmet chaque année à la CNIL un rapport faisant état de l'activité des commissions départementales chargées d'émettre un avis et de contrôler les systèmes de vidéosurveillance et, de manière plus générale, des conditions d'application de cette législation.
Enfin, la loi du 6 août 2004 a considérablement élargi le champ d'application de la loi du 6 janvier 1978.
L'article 2 de la loi du 6 janvier 1978 dispose désormais que :
« La présente loi s'applique aux traitements automatisés de données à caractère personnel, ainsi qu'aux traitements non automatisés de données à caractère personnel contenues ou appelées à figurer dans des fichiers [...].
« Constitue une donnée à caractère personnel 31 ( * ) toute information relative à une personne physique identifiée ou qui peut être identifiée, directement ou indirectement, par référence à un numéro d'identification ou à un ou plusieurs éléments qui lui sont propres. Pour déterminer si une personne est identifiable, il convient de considérer l'ensemble des moyens en vue de permettre son identification dont dispose ou auxquels peut avoir accès le responsable du traitement ou toute autre personne.
« Constitue un traitement de données à caractère personnel toute opération ou tout ensemble d'opérations portant sur de telles données, quel que soit le procédé utilisé, et notamment la collecte, l'enregistrement, l'organisation, la conservation, l'adaptation ou la modification, l'extraction, la consultation, l'utilisation, la communication par transmission, diffusion ou toute autre forme de mise à disposition, le rapprochement ou l'interconnexion, ainsi que le verrouillage, l'effacement ou la destruction.
« Constitue un fichier de données à caractère personnel tout ensemble structuré et stable de données à caractère personnel accessibles selon des critères déterminés. »
Tant la définition des données à caractère personnel que celle des traitements automatisés offrent des arguments en faveur d'une reconnaissance de la compétence de la CNIL en matière de vidéosurveillance dès lors que celle-ci donne lieu à enregistrement et utilise la technologie numérique .
Enfin, les perspectives de développement de la biométrie, en particulier de la reconnaissance faciale, relèvent incontestablement de la CNIL. Les traitements ayant recours à des techniques biométriques sont en effet soumis sans exception à une procédure d'autorisation préalable par la CNIL, en vertu notamment des articles 25-8° et 27 de loi « informatique et libertés ».
Ces modifications législatives ainsi que la généralisation de la technologie numérique ont relancé les débats sur la compétence de la CNIL en matière de vidéosurveillance des espaces publics.
* 31 La loi du 6 août 2004 a substitué la notion de « données à caractère personnel » à celle « d'informations nominatives ». Les informations nominatives étaient définies comme celles permettant « sous quelque forme que ce soit, directement ou non, l'identification des personnes physiques auxquelles elles s'appliquent, que le traitement soit effectué par une personne physique ou par une personne morale ».