Déclaration commune de DELIS
sur le projet de loi
relatif à la protection des personnes physiques à l'égard des traitements de données à caractère personnel et modifiant la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés.
|
Les membres de DELIS constatent quelques avancées dans le projet de loi notamment par rapport aux versions connues des avant-projets de loi et à la loi de 1978. Toutefois, ils relèvent aussi des régressions sur le niveau déjà atteint par la loi de 1978. Ils attirent donc l’attention de monsieur le Rapporteur et celle de la Représentation nationale sur la nécessité d’apporter de nouvelles améliorations au projet de loi, afin d’éviter, qu’in fine, le niveau des garanties consenties aux personnes ne soit abaissé. DELIS proposera des amendements au projet de loi en ce sens.
1°/ Revoir le champ d’application de la loi et l’une des définitions.
Article 2 nouveau : DELIS demande à compléter le texte de façon à ce que la future loi soit applicable : aux traitements automatisés de données à caractère personnel, ainsi qu'aux traitements non automatisés de données à caractère personnel contenues ou appelées à figurer dans des fichiers, à l'exception des traitements mis en œuvre sur des matériels non connectés à un réseau de télécommunication pour l'exercice d'activités exclusivement personnelles,...
La loi doit pouvoir protéger la personne qui n’est pas en mesure de se protéger de risques qu’elle ne maîtrise pas.
Art. 4 nv : DELIS demande que le texte soit modifié de façon à ce que la future loi soit applicable : aux copies temporaires qui sont faites dans le cadre des activités techniques de transmission et de fourniture d'accès à un réseau numérique, en vue du stockage automatique, intermédiaire et transitoire des données et à seule fin de permettre à d'autres destinataires du service le meilleur accès possible aux informations transmises.
Ce sont des fichiers auxquels il est possible d’accéder et qui sont notamment stockés sur les proxy, ils doivent être soumises aux mêmes exigences que ceux référencés à l’art. 2 nv.
Art. 2 nv : DELIS demande que cette définition soit complétée comme suit en accord avec la directive : "Constitue une donnée à caractère personnel toute information relative à une personne physique identifiée ou qui peut être identifiée, directement ou indirectement, par référence à un numéro d'identification ou à un ou plusieurs éléments qui lui sont propres."
2°/ Élargir la notion de données sensibles.
Art. 8 nv : le projet de loi mentionne les origines raciales ou ethniques, les opinions politiques, philosophiques ou religieuses ou l'appartenance syndicale des personnes, ou les données relatives à la santé ou à l'orientation sexuelle des personnes. ; l’art. 25 nv relatif aux autorisations de traitements mentionne les données génétiques ainsi que les traitements automatisés de données comportant des appréciations sur les difficultés sociales des personnes.
DELIS demande que figure explicitement dans l’art. 8 nv "les données génétiques et les données touchant à l’intimité de la vie privée dans ses composantes psychiques et sociales", d’ailleurs la directive les mentionne à l’art. 2 pour l’identification de la personne physique.
Ces données "sensibles" doivent bénéficier de conditions de protection maximale (interdiction de traitement sauf consentement exprès de la personne, autorisation préalable de la CNIL).
3°/ Conserver le principe cardinal de la finalité.
Art. 6, 36 nvx : la finalité est le principe fondamental autour duquel s’organisent les autres principes que sont la pertinence, l’adéquation, le caractère non excessif, l'exactitude des données, la loyauté de la collecte, les destinataires, la durée de conservation. Toute réutilisation des données ne doit pas ruiner ce principe fondamental.
C’est pourquoi DELIS demande que seul un traitement ultérieur à des fins historiques, scientifiques ou statistiques puisse être admis comme non incompatible, et ce, en respectant la procédure et sans prise de décision sur les personnes, de plus pour les statistiques, l’anonymisation à la source doit être requise.
D’ailleurs, la Charte européenne des droits fondamentaux à l’art. 8 réaffirme l’exigence d’un traitement “ à des fins déterminées ”.
4°/ Établir dans la loi le statut du NIR.
Art. 25, 27 nvx : DELIS demande que le NIR soit transformé en un identifiant non signifiant. Les conditions techniques de cette évolution sont connues et certains projets en cours comme le déploiement de la carte SESAM Vitale 2 peuvent être une opportunité de mise en œuvre.
DELIS demande que soit inscrit dans la loi le principe dégagé par le Conseil constitutionnel selon lequel l’utilisation du NIR a pour finalité exclusive d’éviter les erreurs d’identité, en évitant notamment les homonymies (DC du 29/12/98 sur la constitutionnalité de l’article 107 de la loi de finances pour 1999).
DELIS refuse l'utilisation du NIR pour toute gestion et interconnexion de fichiers.
5°/ Préciser les conditions de la prise de décision individuelle automatisée.
Art. 10 nv : DELIS demande que soit ajouté à l’évaluation de certains aspects de la personnalité la notion de profil.
6°/ Simplifier le régime d’autorisation et maintenir le principe d’une déclaration préalable.
Art. 22, 24 nvx : DELIS demande la suppression des dispenses de déclaration et appelle à une meilleure utilisation des moyens de communication comme l’internet pour faciliter l’établissement des déclarations ainsi que la mise à disposition de normes permettant des déclarations simplifiées.
Il s'agit principalement par une déclaration fût-elle simplifiée, de sensibiliser les responsables des traitements sur la particularité que revêt un traitement de données personnelles.
Il convient de noter par ailleurs qu'à défaut de déclaration, tant le dispositif de protection des personnes que le dispositif pénal répressif, sont mis en échec.
Art.7, 8, 10, 25, 26, 27 nvx et art. 15 du projet de loi : DELIS demande que le régime d’autorisation soit organisé sur le principe d’une autorisation délivrée par la CNIL ou d’un décret en Conseil d’État pris après avis motivé et publié de la CNIL, les traitements sont alors répartis comme suit :
Sont mis en oeuvre après autorisation de la Commission nationale de l'informatique et des libertés :
-
Les traitements de données sensibles à l'exception pour les données relatives à la santé des traitements relatifs à la stricte gestion des dossiers médicaux au sein d’un cabinet médical.
-
Les traitements automatisés portant sur des données génétiques, à l'exception de ceux d'entre eux qui sont mis en œuvre dans le cadre de la stricte gestion des dossiers médicaux au sein d’un cabinet médical.
-
Les traitements automatisés de données comportant des appréciations sur les difficultés sociales des personnes et de données relatives à l'intimité de la vie privée dans ses composantes psychiques et sociales.
-
Les traitements automatisés ayant pour finalité de sélectionner les personnes susceptibles de bénéficier d'un droit, d'une prestation ou d'un contrat alors que les personnes en cause ne sont exclues de ce bénéfice par aucune disposition légale ou réglementaire.
-
Les traitements produisant des profils sur certains aspects de la personnalité ou du comportement des personnes notamment dans les sphères du travail, de la consommation, de la communication, quelle que soit l’origine des données.
-
Tout traitement relatif à la vidéosurveillance.
-
Les traitements automatisés ayant pour objet toute interconnexion lorsque les responsables de traitements sont distincts ou que les finalités sont différentes.
-
Les traitements qui requièrent une consultation du répertoire national d'identification des personnes physiques sans inclure le numéro d'inscription à ce répertoire.
-
Les traitements automatisés comportant des données biométriques nécessaires au contrôle de l'identité des personnes.
-
Les traitements dont la mise en oeuvre dérogerait à certains principes fondamentaux de la protection des données tel le droit d’accès, le droit à l’information, les mesures de publicité liées à leur mise en œuvre ;
-
Les traitements mettant en oeuvre un usage particulier d’une technologie nouvelle, de nouvelles formes d’organisation sociétale, de nouvelles organisations du travail, de nouvelles formes de traçabilité et d’historisation de la vie privée et de nouvelles formes d’identification des personnes.
-
Les bases de données juridiques publiques lorsqu’elles permettent l’identification directe ou indirecte des personnes.
-
Les enquêtes statistiques lorsqu’elles concernent la totalité ou une très grande partie de la population par rapport à une qualité déterminée.
-
Les traitements de données faisant l’objet d’un flux transfrontière, au sens de la directive, c’est-à-dire d’un flux hors du territoire des États membres de l’Union européenne.
Sont autorisés par décret en Conseil d'État, pris après avis motivé et publié de la Commission nationale de l'informatique et des libertés :
-
Les traitements de données à caractère personnel mis en oeuvre pour le compte de l'État et :
-
Qui intéressent la sûreté de l'État, la défense ou la sécurité publique ;
-
Ou qui ont pour objet la prévention, la recherche ou la poursuite des infractions pénales, ou l'exécution des condamnations pénales ou des mesures de sûreté.
-
Les traitements, automatisés ou non, portant sur des données relatives aux infractions, condamnations ou mesures de sûreté, sauf ceux qui sont mis en œuvre par des auxiliaires de justice pour les besoins de leurs missions de défense des personnes concernées.
-
Les traitements de données à caractère personnel mis en oeuvre par toute personne que se soit :
-
Qui portent sur des données parmi lesquelles figure le numéro d'inscription des personnes au répertoire national d'identification des personnes physiques ou tout autre identifiant de portée générale ;
-
Ou qui portent sur la totalité ou la quasi-totalité de la population de la France.
-
Les enquêtes statistiques lorsqu’elles concernent la totalité ou une très grande partie de la population.
7°/ Faire évoluer les modalités de mise en oeuvre des interconnexions nécessaires.
Art. 25, 27 nvx : Si des interconnexions doivent être effectuées, DELIS demande qu’elles soient réalisées par des tierces parties de confiance et non par les personnes qui ont intérêt à ladite interconnexion.
On rappelle que les données concernées ne peuvent en principe être traitées que pour les fins en vue desquelles elles ont été recueillies. Interdiction est alors faite à ces tiers de commercialiser les données qu’ils gèrent et obligation leur est faite de ne pas conserver lesdites données au-delà du temps nécessaire à l'exécution de leur mission.
8°/ Homogénéiser les listes d’informations exigées.
Art. 24 nv relatif aux normes simplifiées;
art. 29 nv relatif aux actes autorisant la création d’un traitement;
art. 30 nv relatif aux déclarations, demandes d’autorisation et demandes d’avis;
art. 31 nv relatif à l’information faite par la CNIL sur les traitements ayant fait l’objet des formalités prévues;
art. 32 nv relatif à l’information de la personne concernée par le traitement.
DELIS demande que les informations mentionnées dans les articles précités soient identiques, pour ce faire il convient d’utiliser la liste de l’art. 30 nv, la plus complète, à laquelle il faut toutefois ajouter l’information relative aux “ rapprochements, interconnexions ou toute autre forme de mise en relation de ces données, ainsi que leur cession à des tiers ”.
9°/ Maintenir le niveau de protection des droits des personnes concernées par un traitement.
Art. 7, 8, 32, 38, 39, 42 nvx : DELIS relève plusieurs dérogations qui abaissent le niveau de protection qu’offre la loi de 1978, mêmes si elles sont couvertes par la directive, et réaffirme certains principes.
-
Le droit d'information : ce droit ne peut être retiré à la personne, seules les modalités de son exercice peuvent être aménagées.
-
Le consentement : pour renforcer le principe du consentement, il faut privilégier le consentement exprès à un simple droit d’opposition et l’appliquer notamment aux données sensibles, aux données captées sur l’internet et à celles cédées à des tiers. Seules les situations d’urgence médicale nécessitent une dérogation à ce principe.
Nous rappelons à ce propos la décision récente du Conseil des ministres de l’Union européenne relative à la vente en ligne et aux messages non sollicités.
-
Le droit d’opposition : l’exercice du droit d’opposition ne doit être subordonné qu’à des motifs légitimes pour lesquels la loi doit préciser qu’ils sont fondés sur l’expression de la volonté de la personne limitée par sa seule conscience. Ce droit ne doit pas créer de préjudice pour la personne qui l’exerce.
DELIS constate une amélioration de la rédaction de l’art. 40 nv relatif au droit de rectification et de l’art. 41 relatif au droit d’accès à propos des traitements de souveraineté quant à l’information fournie à la personne concernée par le traitement.
10°/ Accroître les pouvoirs juridiques, les moyens et les ressources d’expertises de la CNIL.
Pour que la CNIL exerce sa mission en toute plénitude et en toute indépendance, de telles exigences sont au moins justifiées par la massification de la technique et la technologie informatiques et par son introduction dans la sphère privée, faits qui créent un autre contexte qu’en 1978.
Art. 11 nv : DELIS estime que :
-
la CNIL doit participer à la préparation de la position française dans les négociations internationales relatives à son objet et, comme le fait l’ART, à la représentation française dans les organisations internationales et communautaires ;
-
la CNIL doit désigner parmi ses membres le représentant de l’État français au groupe de l’art. 29 de la directive dit “ Groupe de protection des personnes à l’égard du traitement des données à caractère personnel ”.
DELIS propose que :
-
la CNIL ait le pouvoir d’ester en justice ainsi que l’exigence la directive ;
-
la Commission accueille parmi ses membres des représentants de la société civile (associations, syndicats, etc.) ;
-
l’accroissement des moyens de la CNIL passe notamment par la mise en place de délégations régionales permanentes en liaison avec les acteurs sociaux locaux ;
-
un comité consultatif prenant en compte les diverses composantes sociales soit constitué et soit saisi des projets d’informatisation les plus sensibles.
Les signataires, membre de DELIS :
-
le Collectif Informatique, Fichiers et Citoyenneté
-
le Collectif pour les droits des citoyens face à l'informatisation de l'action sociale,
-
le Collectif des associations et des syndicats contre la connexion des fichiers fiscaux et sociaux
-
et la Ligue des Droits de l'Homme.
|