Dans
les années 70, le développement de l’informatique, multiplie
les risques d’atteinte aux libertés et droits des individus et
le projet SAFARI, d’interconnexion des fichiers nominatifs
de l’administration interpelle. Le premier ministre de l’époque,
Monsieur Messmer, décide alors de créer une commission dont le
rôle est de proposer des mesures pour garantir et protéger les
libertés et les droits des individus dans les domaines privés
et publics. La CNIL sera le résultat de cette prospection et verra le
jour par la loi du 6 janvier 1978.
Les atteintes aux libertés et aux droits des individus se sont considérablement
développées. Les données personnelles à titre professionnel
ou privé font l’objet de traitement automatisé. La collecte,
l’échange, le stockage sont des processus parmi d’autres
dont l’information, comme matière première, peut porter
atteinte ou pas à l’individu. C’est en envisageant ces différents
traitements de l’information et parce que l’utilisation de l’informatique
est à la portée de tous que les mesures ont évolué
et été adaptées. Cependant quelles sont ces mesures juridiques
et comment sont-elles mises en œuvre ?
Deux périodes peuvent être distinguées :
-
du 6 janvier 1978 - la loi informatique et libertés jusqu’à
2004 -
depuis le 21juin 2004 : la loi LCEN ou loi de confiance
dans l’économie numérique, et la redéfinition
des nouvelles missions de la CNIL.
1/
Du 6 janvier 1978 ou la loi informatique et libertés jusqu’à
2004
«
L’Informatique doit être au service de chaque citoyen. Son développement
doit s’opérer dans le cadre de la coopération internationale.
Elle ne doit porter atteinte ni à l’identité humaine, ni
aux droits de l’homme, ni à la vie privée, ni aux libertés
individuelles ou publiques. » Article 1er de la loi du 06/01/1978.
La
CNIL, autorité administrative indépendante veille au respect des
dispositions de la loi et informe les personnes concernées de leurs droits
et de leurs obligations. Grâce à l’article 26, chaque citoyen
a le droit de s’opposer à tout traitement des données nominatives
le concernant. De son coté la CNIL veillera, selon l’article 25
que « la collecte de données opérées par tout moyen
frauduleux, déloyal ou illicite soit interdite ». C’est donc
le caractère « données personnelles »
et le « traitement automatisé » de ces données
qui guident les travaux de la CNIL.
Les données personnelles sont définies comme toute information
associée au nom de la personne (ex Monsieur Dupont) ou toute information
non associée au nom mais qui permet de l’identifier (ex : le propriétaire
du véhicule 3336 AJC 92) ou toute information qui permet d’identifier
une personne ex : une empreinte digitale). Ces données avec le développement
des technologies de l’information et de la communication sont agrégées,
mises en relation et convoitées puisqu’elles acquièrent
une valeur marchande. Leur traitement peut prendre alors différentes
formes, dès lors qu’il est automatisé. Ainsi, bien sûr
on citera l’informatique mais aussi le télécommutateur,
la vidéo surveillance, l’usage des badges...
En
matière d’investigations, les domaines d’intervention de
la CNIL et des juridictions sont donc vastes. Les affaires suivantes illustrent
ce souci de veiller au respect des dispositions quel que soit le domaine et
les technologies utilisées.
- Courant
2002 et 2003, la société Alliance Bureautique Service commercialise
deux logiciels de capture d’adresses e-mails conçus pour faciliter
le travail des prospecteurs e-mails. Cette Société, rebaptisée
E-Nov Développement, avait été dénoncée
au parquet grâce à la campagne menée par la CNIL qui
invitait les internautes à déposer dans une boîte aux
lettres électronique conçue à cet effet les e-mails
qu’ils considéraient comme du courrier commercial non sollicité.
Malgré cette campagne anti-spam l’ex-société
ABS a été relaxée. Cependant les vifs débats
engagés sur le « spamming » (envoi massif, et parfois
répété, de courriers électroniques non sollicités,
à des personnes avec lesquelles l’expéditeur n’a
jamais eu de contact et dont il a capté l’adresse électronique
de façon irrégulière) ont poussé l’Europe
à rédiger la directive du 12 juillet 2002 relative à
la vie privée et au consentement préalable en matière
de prospection par courrier électronique, transposée par la
suite en droit français. - Le
2 octobre 2001, le célèbre arrêt NIKON énonce
qu’en matière d’utilisation de l’Internet par les
salariés, le salarié a le droit, « même au temps
et au lieu de travail, au respect de l’intimité de sa vie privée
» et donc au respect de ses correspondances. Dès lors, l’employeur
ne peut en prendre connaissance sans violation des libertés même
si les messages ont été émis par le salarié
et reçus sur son matériel informatique mis à disposition
pour son travail et ceci même si l’employeur avait interdit
une utilisation non professionnelle de l’ordinateur. Le 4 juillet
2003, la cour d’appel de Bordeaux a précisé la notion
de message personnel. Elle a décidé que les messages envoyés
et reçus par un salarié sur une adresse électronique
générique de l’entreprise dans le cadre de son travail,
consultables sur son seul poste, ont le caractère de messages personnels
et sont donc soumis au secret des correspondances. Dès lors, l’employeur
ne peut en prendre connaissance, quant bien même il aurait interdit
l’utilisation personnelle de l’ordinateur. -
Le 14 juin 2004 la CNIL met en garde les utilisateurs du logiciel «
Deadtheyreadlt » car cet outil permet aux expéditeurs d’e-mails
de savoir si le destinataire a lu ou pas à son insu le message, quand
et où. Il y a donc collecte d’informations nominatives sur
le destinataire ou sur sa configuration informatique à son insu.
- Fin
2005, la carte Orange de la RATP sera remplacée par la carte NAVIGO
qui permettra de voyager dans le réseau Francilien. La CNIL a déjà
dénoncé cette politique de généralisation des
Pass NAVIGO car grâce à la technologie RFID intégrée
sur ce type de carte, on peut tracer tous les déplacements de ses
propriétaires. Pour préserver l’anonymat, l’option
est facturée 5 euros. N’ayant aucun pouvoir de contrôle,
la CNIL ne peut empêcher ce système, elle se contente d’avertir.
C’est
donc plus de 3000 plaintes et réclamations qui sont déposées
chaque année à la CNIL. En moyenne seulement, une douzaine de
contrôles est effectuée par an. La multiplication des fichiers
et leur traitement, ainsi que les directives européennes implique une
adaptation des mesures juridiques et la refonte des missions de la CNIL.
2/
depuis le 21 juin 2004, la loi LCEN ou loi de confiance dans l’économie
numérique, et la redéfinition des nouvelles missions de la CNIL.
Avec
la loi de confiance dans l’économie numérique, le législateur
français transpose la directive européenne du 24 octobre 1995
sur la protection des personnes physiques à l’égard des
traitements et de la circulation des données personnelles. Il fait une
refonte de la loi du 6 janvier 1978. Cette nouvelle loi prévoit une large
simplification des formalités déclaratives, un accroissement conséquent
des pouvoirs importants de la CNIL, enfin un renforcement des droits des personnes
sur leurs données.
Plusieurs
points sont évoqués :
- La
communication au public par voie électronique est définie
comme un sous-ensemble de la communication audiovisuelle et soumise aux
dispositions définies dans la loi. - La
responsabilité des fournisseurs d’hébergement
est définie par une obligation de surveillance des contenus Internet
et par une lutte active sur les thèmes : crimes contre l’humanité,
incitation à la haine raciale et pornographie enfantine. Toute organisation
est touchée par cette disposition dans la mesure ou la notion de
« communication au public » est très largement entendue. - Le
commerce électronique est défini comme l’activité
économique par laquelle une entreprise ou un commerçant propose
ou assure à distance et par voie électronique la fourniture
de biens et de services. - La
publicité par voie électronique : la loi interdit
le principe de la « prospection directe » au moyen d’un
automate d’appel, d’un télécopieur ou de courrier
électronique et surtout le caractère publicitaire du message
peu importe que l’e-mail de prospection ait été envoyé
individuellement ou par un outil permettant des envois en masse sur une
liste, alors que le destinataire n’a pas donné son accord préalable.
Sur ce dernier point, la formalisation de l’accord, bien que nécessaire,
n’est pas définie ; Cependant en cas de conflit, l’entreprise
doit fournir la preuve matérialisée (papier ou électronique)
de l’accord préalable à la réception de tout
envoi électronique de publicité.
La
nouvelle CNIL : ses missions
Dans une tribune du 29 février 2004, Alex TüRK, président
de la CNIL, la caractérisait dans les termes suivants : « La CNIL
n’est ni un petit parlement, ni une juridiction, ni un cabinet de consultants.
Mais elle emprunte quelque chose à chacun de ces modèles puisqu’elle
édicte des règles, prononce des sanctions et délivre des
conseils ».
Avec cette nouvelle loi, la CNIL confirme sa volonté de « simplifier
la vie » des responsables de fichiers en les dispensant de certaines déclarations.
Par exemple, il n’est plus obligatoire de déclarer les fichiers
de paie, les traitements relatifs aux déclarations sociales obligatoires
ou la gestion informatisée des registres obligatoires, que ce soit dans
le domaine privé ou public. En fait, une cybersurveillance entre les
employés et les employeurs déjà existante se cherche toujours.
La CNIL, dans ce domaine invite les acteurs privés et publics à
négocier afin de trouver des solutions optimales en matière d’information
des systèmes de contrôle (utilisation de badges pour gérer
les entrées et les sorties, utilisation de l’intranet par les organisations
syndicales, écoute et enregistrement des appels téléphoniques,
utilisation des commutateurs, des informations collectées lors d’un
recrutement)
Prochainement,
avec l’arrivée de la carte d’identité électronique
ou le programme INES (identité nationale électronique
sécurisée), programme qui permet de fusionner, de simplifier,
de sécuriser les demandes de passeport et de carte d’identité
et donc de faciliter le développement de l’administration électronique,
la CNIL relèvera un autre grand défi technologique et juridique
en matière de protection des données à caractère
personnel.
3
Pour aller plus loin
4
Pour une utilisation pédagogique
-
Les droits extrapatrimoniaux
Pour télécharger cet article au format pdf, cliquer sur le lien ci-dessous :
