Vers de nouvelles dispositions juridiques dans la protection de la vie privée des individus...

, par Viviane Mechali

Le développement des risques d’utilisation abusive des données sur Internet, redonne à la CNIL, véritable institution, un souffle nouveau. Le législateur renforce le dispositif le précise et impose toute une série de missions supplémentaires....

Dans les années 70, le développement de l’informatique, multiplie les risques d’atteinte aux libertés et droits des individus et le projet SAFARI, d’interconnexion des fichiers nominatifs de l’administration interpelle. Le premier ministre de l’époque, Monsieur Messmer, décide alors de créer une commission dont le rôle est de proposer des mesures pour garantir et protéger les libertés et les droits des individus dans les domaines privés et publics. La CNIL sera le résultat de cette prospection et verra le jour par la loi du 6 janvier 1978.
Les atteintes aux libertés et aux droits des individus se sont considérablement développées. Les données personnelles à titre professionnel ou privé font l’objet de traitement automatisé. La collecte, l’échange, le stockage sont des processus parmi d’autres dont l’information, comme matière première, peut porter atteinte ou pas à l’individu. C’est en envisageant ces différents traitements de l’information et parce que l’utilisation de l’informatique est à la portée de tous que les mesures ont évolué et été adaptées. Cependant quelles sont ces mesures juridiques et comment sont-elles mises en œuvre ?
Deux périodes peuvent être distinguées :

  • du 6 janvier 1978 - la loi informatique et libertés jusqu’à 2004
  • depuis le 21juin 2004 : la loi LCEN ou loi de confiance dans l’économie numérique, et la redéfinition des nouvelles missions de la CNIL.

1/ Du 6 janvier 1978 ou la loi informatique et libertés jusqu’à 2004

«  L’Informatique doit être au service de chaque citoyen. Son développement doit s’opérer dans le cadre de la coopération internationale. Elle ne doit porter atteinte ni à l’identité humaine, ni aux droits de l’homme, ni à la vie privée, ni aux libertés individuelles ou publiques. » Article 1er de la loi du 06/01/1978.

La CNIL, autorité administrative indépendante veille au respect des dispositions de la loi et informe les personnes concernées de leurs droits et de leurs obligations. Grâce à l’article 26, chaque citoyen a le droit de s’opposer à tout traitement des données nominatives le concernant. De son coté la CNIL veillera, selon l’article 25 que « la collecte de données opérées par tout moyen frauduleux, déloyal ou illicite soit interdite ». C’est donc le caractère « données personnelles  » et le « traitement automatisé » de ces données qui guident les travaux de la CNIL.
Les données personnelles sont définies comme toute information associée au nom de la personne (ex Monsieur Dupont) ou toute information non associée au nom mais qui permet de l’identifier (ex : le propriétaire du véhicule 3336 AJC 92) ou toute information qui permet d’identifier une personne ex : une empreinte digitale). Ces données avec le développement des technologies de l’information et de la communication sont agrégées, mises en relation et convoitées puisqu’elles acquièrent une valeur marchande. Leur traitement peut prendre alors différentes formes, dès lors qu’il est automatisé. Ainsi, bien sûr on citera l’informatique mais aussi le télécommutateur, la vidéo surveillance, l’usage des badges...

En matière d’investigations, les domaines d’intervention de la CNIL et des juridictions sont donc vastes. Les affaires suivantes illustrent ce souci de veiller au respect des dispositions quel que soit le domaine et les technologies utilisées.

  • Courant 2002 et 2003, la société Alliance Bureautique Service commercialise deux logiciels de capture d’adresses e-mails conçus pour faciliter le travail des prospecteurs e-mails. Cette Société, rebaptisée E-Nov Développement, avait été dénoncée au parquet grâce à la campagne menée par la CNIL qui invitait les internautes à déposer dans une boîte aux lettres électronique conçue à cet effet les e-mails qu’ils considéraient comme du courrier commercial non sollicité. Malgré cette campagne anti-spam l’ex-société ABS a été relaxée. Cependant les vifs débats engagés sur le « spamming » (envoi massif, et parfois répété, de courriers électroniques non sollicités, à des personnes avec lesquelles l’expéditeur n’a jamais eu de contact et dont il a capté l’adresse électronique de façon irrégulière) ont poussé l’Europe à rédiger la directive du 12 juillet 2002 relative à la vie privée et au consentement préalable en matière de prospection par courrier électronique, transposée par la suite en droit français.
  • Le 2 octobre 2001, le célèbre arrêt NIKON énonce qu’en matière d’utilisation de l’Internet par les salariés, le salarié a le droit, « même au temps et au lieu de travail, au respect de l’intimité de sa vie privée  » et donc au respect de ses correspondances. Dès lors, l’employeur ne peut en prendre connaissance sans violation des libertés même si les messages ont été émis par le salarié et reçus sur son matériel informatique mis à disposition pour son travail et ceci même si l’employeur avait interdit une utilisation non professionnelle de l’ordinateur. Le 4 juillet 2003, la cour d’appel de Bordeaux a précisé la notion de message personnel. Elle a décidé que les messages envoyés et reçus par un salarié sur une adresse électronique générique de l’entreprise dans le cadre de son travail, consultables sur son seul poste, ont le caractère de messages personnels et sont donc soumis au secret des correspondances. Dès lors, l’employeur ne peut en prendre connaissance, quant bien même il aurait interdit l’utilisation personnelle de l’ordinateur.
  • Le 14 juin 2004 la CNIL met en garde les utilisateurs du logiciel «  Deadtheyreadlt » car cet outil permet aux expéditeurs d’e-mails de savoir si le destinataire a lu ou pas à son insu le message, quand et où. Il y a donc collecte d’informations nominatives sur le destinataire ou sur sa configuration informatique à son insu.
  • Fin 2005, la carte Orange de la RATP sera remplacée par la carte NAVIGO qui permettra de voyager dans le réseau Francilien. La CNIL a déjà dénoncé cette politique de généralisation des Pass NAVIGO car grâce à la technologie RFID intégrée sur ce type de carte, on peut tracer tous les déplacements de ses propriétaires. Pour préserver l’anonymat, l’option est facturée 5 euros. N’ayant aucun pouvoir de contrôle, la CNIL ne peut empêcher ce système, elle se contente d’avertir.

C’est donc plus de 3000 plaintes et réclamations qui sont déposées chaque année à la CNIL. En moyenne seulement, une douzaine de contrôles est effectuée par an. La multiplication des fichiers et leur traitement, ainsi que les directives européennes implique une adaptation des mesures juridiques et la refonte des missions de la CNIL.

2/ depuis le 21 juin 2004, la loi LCEN ou loi de confiance dans l’économie numérique, et la redéfinition des nouvelles missions de la CNIL.

Avec la loi de confiance dans l’économie numérique, le législateur français transpose la directive européenne du 24 octobre 1995 sur la protection des personnes physiques à l’égard des traitements et de la circulation des données personnelles. Il fait une refonte de la loi du 6 janvier 1978. Cette nouvelle loi prévoit une large simplification des formalités déclaratives, un accroissement conséquent des pouvoirs importants de la CNIL, enfin un renforcement des droits des personnes sur leurs données.

Plusieurs points sont évoqués :

  • La communication au public par voie électronique est définie comme un sous-ensemble de la communication audiovisuelle et soumise aux dispositions définies dans la loi.
  • La responsabilité des fournisseurs d’hébergement est définie par une obligation de surveillance des contenus Internet et par une lutte active sur les thèmes : crimes contre l’humanité, incitation à la haine raciale et pornographie enfantine. Toute organisation est touchée par cette disposition dans la mesure ou la notion de « communication au public » est très largement entendue.
  • Le commerce électronique est défini comme l’activité économique par laquelle une entreprise ou un commerçant propose ou assure à distance et par voie électronique la fourniture de biens et de services.
  • La publicité par voie électronique : la loi interdit le principe de la « prospection directe » au moyen d’un automate d’appel, d’un télécopieur ou de courrier électronique et surtout le caractère publicitaire du message peu importe que l’e-mail de prospection ait été envoyé individuellement ou par un outil permettant des envois en masse sur une liste, alors que le destinataire n’a pas donné son accord préalable. Sur ce dernier point, la formalisation de l’accord, bien que nécessaire, n’est pas définie ; Cependant en cas de conflit, l’entreprise doit fournir la preuve matérialisée (papier ou électronique) de l’accord préalable à la réception de tout envoi électronique de publicité.

La nouvelle CNIL : ses missions
Dans une tribune du 29 février 2004, Alex TüRK, président de la CNIL, la caractérisait dans les termes suivants : « La CNIL n’est ni un petit parlement, ni une juridiction, ni un cabinet de consultants. Mais elle emprunte quelque chose à chacun de ces modèles puisqu’elle édicte des règles, prononce des sanctions et délivre des conseils ».
Avec cette nouvelle loi, la CNIL confirme sa volonté de « simplifier la vie » des responsables de fichiers en les dispensant de certaines déclarations. Par exemple, il n’est plus obligatoire de déclarer les fichiers de paie, les traitements relatifs aux déclarations sociales obligatoires ou la gestion informatisée des registres obligatoires, que ce soit dans le domaine privé ou public. En fait, une cybersurveillance entre les employés et les employeurs déjà existante se cherche toujours. La CNIL, dans ce domaine invite les acteurs privés et publics à négocier afin de trouver des solutions optimales en matière d’information des systèmes de contrôle (utilisation de badges pour gérer les entrées et les sorties, utilisation de l’intranet par les organisations syndicales, écoute et enregistrement des appels téléphoniques, utilisation des commutateurs, des informations collectées lors d’un recrutement)

Prochainement, avec l’arrivée de la carte d’identité électronique ou le programme INES (identité nationale électronique sécurisée), programme qui permet de fusionner, de simplifier, de sécuriser les demandes de passeport et de carte d’identité et donc de faciliter le développement de l’administration électronique, la CNIL relèvera un autre grand défi technologique et juridique en matière de protection des données à caractère personnel.

3 Pour aller plus loin

4 Pour une utilisation pédagogique

- Les droits extrapatrimoniaux

Pour télécharger cet article au format pdf, cliquer sur le lien ci-dessous :

Pour télécharger l’article

Partager

Imprimer cette page (impression du contenu de la page)