Les " lois Informatique et libertés " (aussi appelées LiL) sont des lois destinées à garantir la protection de la vie privée des citoyens face aux moyens de traitement automatisés de données numériques.
En effet, l'informatique permet de traiter en masse des données, de manière beaucoup plus rapide et " efficace " que les fichiers papier. La première utilisation malveillante du traitement automatisé fut le tri des juifs par des ordinateurs IBM par le régime nazi en Allemagne (via Dehomag, branche allemande d'IBM à l'époque) à partir des données du recensement qui comprenaient notamment la religion. Clairement, le traitement informatisé a facilité la déportation.
En France, il s'agit de la loi [1]du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés .
Cette loi a été ultérieurement modifiée par la loi [2] du 6 août 2004 afin de transposer dans le droit français les dispositions d'une directive européenne [3].
Bien que signée en 1978, l'histoire de la loi Informatique et libertés est environ de dix ans plus ancienne.
En effet, dès 1970, le député Michel Poniatowski propose à l'assemblée nationale la création d'un comité de surveillance et d'un tribunal de l'informatique, cette suggestion, reprise plus tard par d'autres, est rejetée. Pourtant en 1971, L'INSEE, profitant du passage de l'informatique des cartes perforées vers les bandes magnétiques, décida de centraliser à Nantes les répertoires d'identification jusque là régionaux, par le projet malencontreusement nommé SAFARI pour Système Automatisé pour les Fichiers Administratifs et le Répertoire des Individus. Et dans une sorte de vertige technocratique, l'administration envisagea de cumuler cette centralisation avec celle à Tours du fichier de la Caisse nationale d'assurance vieillesse (CNAV) et de l'interconnecter avec les fichiers de la carte d'identité, gérée par le ministère de l'intérieur.
Ce projet perçu comme une entrave grave à la liberté fit scandale lorsque Le Monde titra le 21 mars 1974 : " SAFARI ou la chasse aux Français ". Cette tribune provoqua un tollé politique, auquel dut faire face le tout récent ministre de l'Intérieur Jacques Chirac, qui venait " d'échanger " son poste à l'agriculture avec celui de Raymond Marcellin depuis moins d'un mois. On reprochait à ce dernier, nommé à la suite de mai 68, sa gestion de la crise du Canard enchaîné, sorte de Watergate à la française, engendré par la découverte de deux agents de la DST (Direction de la surveillance du territoire) en train de poser des micros, déguisés en agents d'EDF, dans les locaux du célèbre journal satirique.
Mais le 2 avril 1974, Georges Pompidou, président de la République, que les bulletins officiels disaient atteint d'une simple grippe, décède de sa maladie de Waldenstrom (forme de cancer). Valéry Giscard d'Estaing est alors élu président de la République, grâce au soutien de Jacques Chirac et surtout de la popularité de ce dernier en monde rural, acquise lors de son passage à l'agriculture. Il est nommé Premier Ministre et appelle au ministère de l'Intérieur M.Poniatowski, qui face à la critique, reprend son idée et crée la Commission de l'informatique et des libertés et mit sur pied le projet, qui malgré sa démission en 1977, aboutira à la loi " Informatique et Libertés " du 6 janvier 1978 et à la création de la CNIL (Commission nationale de l'Informatique et des Libertés). Cette précocité plaça ainsi la France dans le trio de tête européen au côté du land de Hesse (Allemagne, 1971) et de la Suède (1973) et en fit l'instigateur des législations européennes mise en place dans les dix pays de la communauté en 1981, inspirant la Convention du Conseil de l'Europe sur la protection des données (1981) et les Lignes directives pour la réglementation de fichiers de données personnelles automatisées (1990). La France sera la dernière à transposer en 2004 une directive européenne de 1995, qui modifia profondément la loi, en remplaçant notamment le terme d'" informations nominatives ", par " données à caractère personnel ", en donnant à l'article 2 une définition de ces dernières afin d'éviter les interprétations douteuses de cette notion et d'englober le plus de situations possibles. En outre la loi informatique et libertés s'est rapprochée des nouvelles technologies de l'information en spécifiant qu'elle ne légiférait pas pour les copies temporaires de fichiers et en définissant les conditions exactes de licéité des traitements de données à caractère personnel. On peut également noter la disparition de la distinction pour les traitements entre le secteur public et le secteur privé, les deux étant aujourd'hui soumis à une même procédure, que certains jugent trop laxiste. Aujourd'hui la plupart des regroupements du projet SAFARI ont été effectués, les uns après les autres, dans des situations mieux définies.
Cependant il est très important de remarquer que les législateurs, qui n'avaient pour ambition que de reconnaître de nouveaux droits aux citoyens à l'égard des grands systèmes centralisés d'information, dont les administrations commençaient à se doter, ne pouvaient ne serait-ce qu'imaginer le développement d'Internet et ont toutefois réussi à créer une " loi monument ", pilier de la législation électronique.
Découpée en treize parties, dont seules les trois premières (Principes et définitions, Conditions de licéité des traitements de données à caractère personnel, La commission nationale de l'informatique et des libertés) concernent directement les particuliers, la LIL inscrit dès l'article premier l'informatique dans le cadre des droits de l'homme, certainement en souvenir des détournements qu'ont pu subir les informations personnelles durant le nazisme.
Article 1
L'informatique doit être au service de chaque citoyen. Son développement doit s'opérer dans le cadre de la coopération internationale. Elle ne doit porter atteinte ni à l'identité humaine, ni aux droits de l'homme, ni à la vie privée, ni aux libertés individuelles ou publiques.''
Dès le second article, elle définit son cadre, s'adressant au plus grands nombre.
Article 2
[...] Constitue une donnée à caractère personnel toute information relative à une personne physique identifiée ou qui peut être identifiée, directement ou indirectement, par référence à un numéro d'identification ou à un ou plusieurs éléments qui lui sont propres. Pour déterminer si une personne est identifiable, il convient de considérer l'ensemble des moyens en vue de permettre son identification dont dispose ou auxquels peut avoir accès le responsable du traitement ou toute autre personne. Constitue un traitement de données à caractère personnel toute opération ou tout ensemble d'opérations portant sur de telles données, quel que soit le procédé utilisé, et notamment la collecte, l'enregistrement, l'organisation, la conservation, l'adaptation ou la modification, l'extraction, la consultation, l'utilisation, la communication par transmission, diffusion ou toute autre forme de mise à disposition, le rapprochement ou l'interconnexion, ainsi que le verrouillage, l'effacement ou la destruction. Constitue un fichier de données à caractère personnel tout ensemble structuré et stable de données à caractère personnel accessibles selon des critères déterminés. La personne concernée par un traitement de données à caractère personnel est celle à laquelle se rapportent les données qui font l'objet du traitement.
Par la suite, elle spécifie quelles sont les obligations d'un responsable de traitement, quels peuvent-être les destinataires de ce traitement (Art. 3) : toute personne habilitée à recevoir communication de ces données, quelles données peuvent être collectés : les origines raciales, ethniques, les opinions politiques, philosophique ou religieuse, l'appartenance syndicale, ou celles relatives à la santé et à la sexualité sont interdites, sauf consentement exprès des personnes et sous certaines conditions (Art. 8), et comment doivent-elles êtres récoltés et conservées (Art. 6 et 7).
Article 6
Un traitement ne peut porter que sur des données à caractère personnel qui satisfont aux conditions suivantes : 1° Les données sont collectées et traitées de manière loyale et licite ; 2° Elles sont collectées pour des finalités déterminées, explicites et légitimes et ne sont pas traitées ultérieurement de manière incompatible avec ces finalités. Toutefois, un traitement ultérieur de données à des fins statistiques ou à des fins de recherche scientifique ou historique est considéré comme compatible avec les finalités initiales de la collecte des données, s'il est réalisé dans le respect des principes et des procédures prévus au présent chapitre, au chapitre IV et à la section 1 du chapitre V ainsi qu'aux chapitres IX et X et s'il n'est pas utilisé pour prendre des décisions à l'égard des personnes concernées ;3° Elles sont adéquates, pertinentes et non excessives au regard des finalités pour lesquelles elles sont collectées et de leurs traitements ultérieurs ;4° Elles sont exactes, complètes et, si nécessaire, mises à jour ; les mesures appropriées doivent être prises pour que les données inexactes ou incomplètes au regard des finalités pour lesquelles elles sont collectées ou traitées soient effacées ou rectifiées ;5° Elles sont conservées sous une forme permettant l'identification des personnes concernées pendant une durée qui n'excède pas la durée nécessaire aux finalités pour lesquelles elles sont collectées et traitées.
Article 7
Un traitement de données à caractère personnel doit avoir reçu le consentement de la personne concernée ou satisfaire à l'une des conditions suivantes : 1° Le respect d'une obligation légale incombant au responsable du traitement ; 2° La sauvegarde de la vie de la personne concernée ; 3° L'exécution d'une mission de service public dont est investi le responsable ou le destinataire du traitement ; 4° L'exécution, soit d'un contrat auquel la personne concernée est partie, soit de mesures précontractuelles prises à la demande de celle-ci ; 5° La réalisation de l'intérêt légitime poursuivi par le responsable du traitement ou par le destinataire, sous réserve de ne pas méconnaître l'intérêt ou les droits et libertés fondamentaux de la personne concernée.
Enfin dans les articles 9 et 10, elle précise que seules les juridictions, autorités publiques, personnes gérantes d'un service public ou auxiliaire de loi peuvent mettre en œuvre des traitements de données relatifs aux infractions, condamnation et mesure de sûreté et qu'aucune décision de justice ou impliquant des conséquences juridiques ne peut-être basée sur un traitement de données à caractère personnel, protégeant ainsi les personnes de toute malversation.
La loi Informatique et libertés concentre les droits des particuliers en quatre points qui sont :
L'article 3 de la loi indique que toute personne a le droit de savoir si elle est fichée et, si oui, dans quel fichiers, c'est le droit d'information, droit fondamental base de tous les autres.
Le droit d'opposition autorise toute personne à s'opposer, pour un motif légitime, à ce qu'elle figure dans un fichier. De plus elle peut s'opposer, sans justification, à ce que les données la concernant soit utilisées à des fins de prospection, en particulier commerciale. La majorité des fichiers du secteur public (services fiscaux, police, justice,...) ne sont pas concernés par ce droit.
Le droit d'accès est complémentaire du droit d'information, puisqu'il permet en justifiant de son identité la consultation de ses données personnelles. Celle-ci donne la possibilité de vérifier l'exactitude des données et d'en obtenir une copie pour un coût n'excédant pas celui de la reproduction. Toutefois, ce droit est limité : si le responsable du traitement estime que la demande est abusive ou si les données sont conservées sous une forme ne présentant aucun risque, leur consultation est alors refusée, s'il s'agit de données attenantes à la sécurité de l'État, la défense, ou la sécurité publique (police, gendarmerie), un membre de la CNIL est désigné pour examiner ces données et le cas-échéant les modifier, si cette modification n'est pas d'ordre à porter préjudice à la sécurité nationale. Les traitements mis en œuvre par les administrations publiques, les personnes chargées d'une mission de service public et les services d'imposition sont également concernés par la mesure précédente.
Le droit de rectification, complément essentiel du droit d'accès, permet à toute personne de rectifier, compléter, actualiser, verrouiller ou faire effacer des données erronées la concernant. L'application de ce droit se fait essentiellement par lettre écrite à l'organisme détenteur des dites informations, le responsable du traitement devra alors justifier qu'il a procédé aux rectifications demandées, et faire parvenir gratuitement, à la demande de la personne concernée, une copie de l'enregistrement modifié.
Article 40 Toute personne physique justifiant de son identité peut exiger du responsable d’un traitement que soient, selon les cas, rectifiées, complétées, mises à jour, verrouillées ou effacées les données à caractère personnel la concernant, qui sont inexactes, incomplètes, équivoques, périmées, ou dont la collecte, l’utilisation, la communication ou la conservation est interdite.(lien) source: http://www.cnil.fr/index.php?id=301
La loi du 6 août 2004, qui transpose dans le droit français les dispositions de la directive européenne 95/46, apporte de nombreuses modifications à la loi Informatique et libertés. Elle a été complétée par décrets[4] pris le 21 octobre 2005 et le 25 mars 2007.
La nouvelle loi harmonise partiellement les règles de déclaration des fichiers entre secteur privé et secteur public. Le régime général pour le secteur public n'est plus de demander une autorisation à la CNIL, mais de faire une simple déclaration de ces fichiers, comme c'était déjà le cas pour le secteur privé.
Le loi prévoit d'autre part des cas dans lesquels des fichiers peuvent bénéficier d'une déclaration simplifiée, voire sont exemptés de déclaration.
Toutefois, la distinction entre personne publique et personne privée n'a pas totalement disparu. La loi du 6 août 2004 prévoit en effet une procédure nouvelle de demande d'avis imposée aux organismes du secteur public pour la création de certains fichiers contenant des données sensibles. La procédure d'autorisation demeure pour les entreprises privées et s'étend à de nouvelles catégories de données. Les fichiers devant faire l'objet d'une demande d'autorisation sont, entre autres, ceux qui utilisent le numéro de sécurité sociale (attribué par l'INSEE).
La loi prévoit la possibilité pour un organisme privé ou public de nommer un " correspondant à la protection des données à caractère personnel ", couramment appelé " correspondant Informatique et Libertés " (CIL). Ce correspondant est chargé d'assurer l'application des dispositions de la loi à l'intérieur de l'organisme. Les formalités de déclaration à la CNIL sont alors largement simplifiées, sauf pour les traitements les plus sensibles, tels que les traitements automatisés de données biométriques ou ceux qui concernent la sûreté de l'État. D'une manière générale, il conseille l'entreprise sur toutes les questions relatives au respect des données à caractère personnel.
Nommé par l'entreprise, soit parmi ses collaborateurs, soit à l'extérieur, il doit agir de manière indépendante par rapport à elle. Il peut saisir la CNIL.
Ce poste existe déjà, sous diverses formes, dans d'autres pays comme l'Allemagne (Datenschutzbeauftragte, créé dans les années 1970), les Pays-Bas (functionaris gegevensbescherming) et la Suède (personuppgiftsombud).
La CNIL peut désormais perquisitionner dans les locaux d'une entreprise entre 6h et 21h.
Le 6 janvier 1978, le Parlement instaurait non seulement la loi informatique et libertés mais aussi l'autorité de contrôle permettant sa bonne application : la Commission Nationale Informatique et Libertés (CNIL).
La CNIL est dirigée par un collège pluraliste de dix-sept commissaires : 4 parlementaires (2 députés, 2 sénateurs), 2 membres du Conseil économique et social, 6 représentants des hautes juridictions (2 conseillers d’État, 2 conseillers à la Cour de cassation, 2 conseillers à la Cour des comptes), 5 personnalités qualifiées désignées par le Président de l’Assemblée nationale (1 personnalité), par le Président du Sénat (1 personnalité), par le conseil des ministres (3 personnalités)., dont douze sont élus ou désignés par les assemblés ou juridiction auquel ils appartiennent. C'est ce corps qui élit le président parmi ces membres, actuellement il s'agit d'Alex Türk. Le reste de la Commission est formé de l'ensemble des agents de l'autorité administrative, contractuels de l'État. La CNIL est une autorité indépendante, qui ne peut recevoir d'instructions du gouvernement ou de toute autre autorité ou société mais dont le budget est imputé sur celui de l'État. Son rôle se divise en cinq missions essentielles :
L'OIPC (Organisation Internationale de Police Criminelle), communément appelée Interpol est une organisation de collaboration des polices criminelles internationales, née en 1923 sous l'impulsion du prince Albert Ier de Monaco. Placée sous la direction de l'Autriche, qui disposait des immenses archives issues de l'empire Austro-Hongrois, elle connut une période noire durant la Seconde Guerre mondiale, en devenant une base du génocide juif, lors de son commandement nazi. Ayant survécu grâce à la ténacité d'un policier belge, elle s'est dotée en 1955 d'une charte, fondement de ses principes. Installé à Lyon depuis 1989, cette célèbre organisation, qui compte aujourd'hui 182 membres participants activement à la lutte contre la grande criminalité et notamment le terrorisme, s'était fait remarquer en 1982, en refusant de participer à l'arrestation de Klaus Barbie, ancien criminel nazi, chef de la Gestapo rhônalpine, tortionnaire de Jean Moulin, il s'était réfugié en Bolivie et fut expulsé après la chute du Général Banzer (dictateur militariste de 1971 à 1978, puis Président de 1997 à 2001) pour être jugé à Lyon.
A la fin des années soixante-dix, Interpol décida d'informatiser sa base de renseignements, encore traitée manuellement. Cette informatisation fut source d'un conflit entre l'organisation, basée à Saint-Cloud à l'époque, et la république française qui soutenait que sa loi Informatique et libertés était applicable aux données contenues dans les locaux de l'organisation, auquel elle avait droit d'accès. Interpol estimait que l'application de cette loi était impossible pour deux raisons : les informations qu'elle détient sont propriété des pays membres, elle n'en est que le dépositaire, le fait de la soumettre à un système législatif lui donne un caractère extra-territorial, de plus cela risquerait de compromettre la coopération policière internationale, certains pays préférant renoncer à communiquer des informations auxquels aurait accès librement l'État Français.
Après plusieurs années de conflits, les deux parties se mirent d'accord par la signature d'un nouvel accord de siège le 3 novembre 1983 et un échange de lettre en 1984. Le premier texte définit non seulement le cadre général de l'organisation (propriété insaisissable, immunité diplomatique de ses hauts dignitaires, très peu de soumission à l'impôt...), mais aussi l'inviolabilité des fichiers et des archives d'Interpol ; le second prône la mise en place d'une autorité de contrôle interne des fichiers et non pas nationale. Ainsi la France a renoncé à faire appliquer sa loi aux fichiers de l'Organisation grâce aux garanties que cette dernière a fournies, pour assurer la coopération internationale.