|
La nouvelle loi Informatique et liberté, adoptée par le Parlement le 15 juillet dernier, validée dans sa quasi-totalité par le Conseil Constitutionnel le 29 juillet, a été publiée au Journal officiel du 8 août 2004. La nouvelle loi est donc immédiatement applicable. La loi transpose la directive communautaire 95/46/CE d'octobre 1995 et modifie la loi du 6 janvier 1978 relative à l'informatique aux fichiers et aux libertés.
En résumé, la nouvelle loi remplace la notion de "données nominatives" par celle de "données à caractère personnel" et introduit des concepts juridiques adaptés aux nouvelles formes de traitements issus de la société de l'information et de l'économie numérique. Elle renforce aussi les droits et protections reconnus aux personnes physiques, et augmente le niveau d'obligations incombant aux responsables de traitements.
En apparence, il s'agit d'un changement dans la continuité. La Commission nationale de l'informatique et des libertés (CNIL) applique en effet la directive de 1995 depuis plusieurs années, en marge de la loi de 1978. Elle a modifié son organisation et son action dans ce sens. Un grand nombre de principes juridiques issus du texte communautaire lui ont permis de résoudre des questions clés.
Sur le fond, la nouvelle loi marque le coup d'envoi d'une réforme d'envergure
En premier lieu, le nouveau texte réforme profondément les formalités de déclaration. Huit catégories génériques de traitements, considérés comme générateurs de risques pour les droits et libertés, sont désormais soumis à l'autorisation préalable de la CNIL du fait de la nature des données concernées et de leur finalité. En pratique, les traitements suivants pourraient être concernés : segmentation de la clientèle de type CRM, profiling, scoring, lutte contre la fraude et listes noires, cybersurveillance des salariés, biométrie, géolocalisation.
La liste pourrait encore être complétée. Les transferts de données hors d'Europe seront dans tous les cas en régime d'autorisation. En parallèle, la loi instaure un régime déclaratif réservé aux traitements les plus courants, permettant de recourir à des déclarations extrêmement simplifiées. Elle innove également en proposant aux entreprises de nommer un correspondant à la protection des données à caractère personnel permettant à ces dernières d'être exonérées des obligations déclaratives dès lors qu'elles tiennent un registre interne et garantissent la conformité des traitements à la loi.
En second lieu, l'allégement des formalités trouve sa contrepartie dans l'augmentation des pouvoirs de la CNIL. La loi précise les modalités de cette action, maintient l'existence du délit d'entrave, renforce la coopération de la CNIL avec la justice. En cas d'urgence, la CNIL pourra recourir au référé sous astreinte, ordonner le verrouillage de bases de données et l'interruption de traitements ou encore retirer une autorisation.
Enfin, autre grande nouveauté, la CNIL rejoint le club très fermé des autorités administratives dotées d'un pouvoir de sanction financière. La sanction pourra être proportionnée à la gravité des manquements commis et aux avantages qui en sont tirés. Pouvant se situer entre 150.000 et 300.000 euros elle pourra être rendue publique. Les sanctions pénales existant dans la loi de 1978 sont alourdies et demeurent applicables aux personnes physiques et morales.
Ne risque-t-on pas de s'orienter vers une "judiciarisation" de l'action de la CNIL ?
Lors de sa conférence de presse annuelle, la CNIL a dévoilé un plan d'actions dont le message est clair : simplification des formalités et contrôle des abus. D'ores et déjà en 2004 elle a multiplié les contrôles sur place dans les entreprises, augmenté le nombre d'avertissements et les saisines du Parquet, simplifié des formalités. Désormais ces contrôles devraient être périodiques et sectoriels (exemples : banque, marketing direct, santé etc.). Les plaintes de clients ou de salariés déposées à la CNIL feront figure de baromètre et de déclencheur.
Quelle sera la stratégie des entreprises face à cette réforme ?
Informatique et Libertés prend ici une nouvelle dimension : choix stratégique entre régime d'autorisation ou de déclaration, création du correspondant CNIL, conformité des traitements aux nouvelles exigences et gestion de la situation transitoire, mise à niveau de l'information des personnes physiques quels que soient les modes de collecte ou de traitement des données, sont quelques chantiers prioritaires.
La formation des équipes au nouveau cadre légal, la gestion efficace des plaintes des clients ou de salariés seront sans aucun doute des facteurs clés dans la prévention du risque. Une chose est certaine, la réussite de la nouvelle loi dépendra de la capacité de la CNIL et des entreprises à travailler ensemble. Sur ce plan, notons que le législateur montre la voie en permettant désormais à la CNIL de valider des règles professionnelles. 
|
