Beruflich Dokumente
Kultur Dokumente
A] La directive européenne
I] Dispositions générales
1) Objectifs de la directive
2) Quelques définitions
3) Champ d’application
B] Transposition de la France
II]Cas Note2be.com
1) Critique de la CNIL
2) Critique du parlement européen
3) Critique du Contrôleur Européen de la Protection des Données
Conclusion
Source
2
INTRODUCTION
Dans une première partie, nous expliquerons les avancées dans ce domaine dans le
premier pilier de l’Union Européenne en analysant la directive européenne 95/46/CE en
commençant par ses motivations et le contexte dans laquelle elle a été adoptée, puis en
analysant son contenu et les conséquences.
Dans une seconde partie, nous verrons de quelle façon la France a transposée cette
directive européenne près de 10 années après l’adoption de la directive 95/46/CE. Il sera
question de l’organe de contrôle créer par la France, la CNIL, et d’un cas relativement
médiatique sur le sujet du respect de la vie privée et du droit de rectification sur les donnés à
caractère personnel conservées par le site Internet Not2be.com.
Enfin, dans une dernière partie, nous parlerons du projet de décision cadre de la
commission relative à la protection des données à caractère personnel traitées dans le cadre de
la coopération policière et judiciaire en matière pénale, et nous analyserons les critiques qui
lui sont faites avant de conclure notre analyse sur un avis plus personnel.
3
A] La directive européenne 95/46/CE
I] Dispositions générales
1) Objectifs de la directive
On trouve cette notion dans l’article 1er : « Les États membres assurent […] la
protection des libertés et droits fondamentaux des personnes physiques, notamment de leur
vie privée, à l'égard du traitement des données à caractère personnel. (et ils ) ne peuvent
restreindre ni interdire la libre circulation des données à caractère personnel entre États
membres »
Pour ce faire, la directive fixe des limites strictes à la collecte et à l'utilisation des
données à caractère personnel, et demande la création, dans chaque État membre, d'un
organisme national indépendant chargé de la protection de ces données. Elle est en quelque
sorte une mesure compensatoire à la libre circulation des données au même titre que le SIS
pour la suppression des frontières.
2) Quelques définitions
Afin de bien préciser les données et personnes concernées, la directive contient les
définitions des termes qui lui sont spécifiques. Pour bien comprendre son champ d’application
et les principes qu’elles véhiculent, voici les principales définitions issues de l’article 2 de la
directive :
4
- «consentement de la personne concernée»: toute manifestation de
volonté, libre, spécifique et informée par laquelle la personne
concernée accepte que des données à caractère personnel la
concernant fassent l'objet d'un traitement
3) Champ d’application
La directive s'applique aux données traitées par des moyens automatisés (base de
données informatique de clients, par exemple) ainsi qu'aux données contenues ou
appelées à figurer dans un fichier non automatisé (fichiers papiers traditionnels).
La directive ne s'applique pas au traitement de données:
5
3) Les catégories de traitements
Le traitement des données à caractère personnel doit être interdit si elles révèlent
l'origine raciale ou ethnique, les opinions publiques, les convictions religieuses ou
philosophiques, l'appartenance syndicale, ainsi que le traitement des données relatives à la
santé et à la vie sexuelle. Cette disposition est assortie de réserves concernant, par exemple, le
cas où le traitement est nécessaire à la défense des intérêts vitaux de la personne concernée ou
aux fins de la médecine préventive et des diagnostics médicaux.
Toute personne concernée par le traitement de données la concernant doit avoir le droit
d'obtenir du responsable du traitement:
7) Le droit d’opposition
La personne concernée doit avoir le droit de s'opposer, pour des raisons légitimes, à ce
que des données la concernant fassent l'objet d'un traitement. Elle doit également pouvoir
s'opposer, sur demande et gratuitement, au traitement des données envisagé à des fins de
prospection. Elle doit enfin être informée avant que des données ne soient communiquées à
des tiers à des fins de prospection et doit se voir offrir le droit de s'opposer à cette
communication.
6
8) La confidentialité et la sécurité des traitements
9) La notification
Toute personne doit disposer d'un recours juridictionnel en cas de violation des
droits qui lui sont garantis par les dispositions nationales applicables au traitement en
question. En outre, les personnes ayant subi un dommage du fait d'un traitement illicite
de leurs données personnelles ont le droit d'obtenir réparation du préjudice subi.
Les transferts de données à caractère personnel d'un État membre vers un pays
tiers ayant un niveau de protection adéquat sont autorisés. En revanche, ils ne peuvent
pas être effectués vers un pays tiers ne disposant pas d'un tel niveau de protection, sauf
dérogations limitativement énumérées.
La directive vise à favoriser l'élaboration de codes de conduite nationaux et
communautaires destinés à contribuer à la bonne application des dispositions nationales
et communautaires.
Il est aussi intéressant de noter que cette directive aurait du être transposée dans
chaque Etat membre à compter du 24 octobre 1998, or à cette date, seuls l’Italie (1991), le
Portugal (1998) et Le Royaume-Uni (1998) avaient transposés cette directive. Cela démontre
que la directive demande à chaque Etat membre une telle refonte de leur législation sur les
données personnelles que sa transposition n’est pas aisée, comme ce fut le cas en Allemagne
où rien que les négociations de l’avant projet de loi a pris plus d’une année (du fait des
problèmes antérieurs de l’harmonisation entre chaque Land).
D’après l’article 28, chaque État membre doit prévoir qu'une ou plusieurs autorités
publiques indépendantes sont chargées de surveiller l'application, sur son territoire, des
dispositions adoptées par les États membres en application de la présente directive. Pour la
France, c’est la CNIL (Commission Nationale de l'Informatique et des Libertés) qui possède
7
la qualification d'autorité administrative indépendante. Elle a été instituée par la loi n° 78-17
du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés et ses compétences se
sont développées suite à la transposition (tardive) de la France par la loi du 6 août 2004 de la
directive de 1995.
• poursuivra son travail avec les États membres et, le cas échéant, lancera des
procédures officielles d'infraction;
• préparera une communication interprétative pour certaines dispositions de la directive;
• poursuivra la mise en œuvre du programme de travail;
• présentera, en cas d'évolution technologique majeure dans un domaine spécifique, une
législation sectorielle au niveau de l'UE;
• poursuivra sa coopération avec ses partenaires extérieurs, en particulier les États-Unis.
8
B] Transposition de la France
Toutefois, autre symbole fort, son article premier – fondement essentiel des principes
informatique et libertés- reste inchangé : « L’informatique doit être au service de chaque
citoyen. Son développement doit d’opérer dans le cadre de la coopération internationale. Elle
ne doit porter atteinte ni à l’identité humaine, ni aux droits de l’homme, ni à la vie privée, ni
aux libertés individuelles ou publiques ». La nouvelle loi « informatique et libertés » c’est tout
d’abord une large simplification des formalités déclaratives, le contrôle préalable de la CNIL
étant désormais limité aux seuls traitements présentant des risques particuliers d’atteinte aux
droits et libertés ; c’est ensuite un accroissement conséquent des pouvoirs d’intervention de la
CNIL, c’est enfin un renforcement des droits des personnes sur leurs données.
Il ne fut pas oublier que la loi du 6 août 2004 transpose la directive européenne du 24
octobre 1995 relative à l'informatique, aux fichiers et aux libertés. De ce fait, elle reprend
quasiment point pour point la structure et les notions de base de la directive, comme le champ
d’application et surtout les définitions de termes utilisés par exemple.
La loi du 6 août 2004 vise à harmoniser les régimes mis en place antérieurement fondés
sur une distinction entre les traitements mis en œuvre par le secteur public et ceux mis en
œuvre par le secteur privé.
En effet, antérieurement, les traitements mis en œuvre par le secteur public
devaient systématiquement faire l'objet d'un avis préalable de la CNIL alors que les
traitements mis en œuvre par le secteur privé ne devaient faire l'objet que d'une
déclaration auprès de la CNIL.
9
Désormais, le principe est celui d'une déclaration préalable du traitement auprès de
la CNIL que le traitement soit mis en œuvre par le secteur privé ou par le secteur public.
Par exception, la loi prévoit des cas dans lesquels, le traitement devra faire l'objet
d'une déclaration simplifiée. Il en est ainsi pour les catégories les plus courantes de
traitements de données à caractère personnel dont la mise en œuvre n'est pas susceptible
de porter atteinte à la vie privée et aux libertés. Une liste des traitements pouvant
bénéficier d'une déclaration simplifiée sera établie au fur et à mesure par la CNIL.
Dans d'autres cas, la loi prévoit une procédure d'autorisation du traitement par la
CNIL (traitements portant sur des données parmi lesquelles figure le numéro
d'inscription des personnes au répertoire national d'identification des personnes
physiques, etc.), par arrêté du ministre compétent sur avis de la CNIL, par décret en
Conseil d'Etat (traitements de données à caractère personnel mis en œuvre pour le
compte de l'État portant sur des données biométriques nécessaires à l'authentification et
au contrôle de l'identité des personnes, etc.).
Le rôle du correspondant à la protection des données
Chaque organisme (secteur privé ou public) peut désigner une personne en tant que
correspondant à la protection des données afin de bénéficier d'une exemption de
formalités de déclaration.
Désigné par le responsable du traitement, le correspondant est chargé d'assurer au
sein de l'organisme, d'une manière indépendante, le respect des obligations prévues dans
la loi informatique et libertés modifiée.
A ce titre, il peut être choisi parmi les membres de l'organisme qu'il soit public ou
privé (salarié ou fonctionnaire) ou parmi des tiers. En tout état de cause, il doit pouvoir
assurer sa mission en toute indépendance. Ainsi, le correspondant ne peut faire l'objet
d'aucune sanction de l'employeur du fait de l'accomplissement de ses missions.
En cas de difficultés dans l'accomplissement de ses missions, il a la possibilité de
saisir la CNIL par tout moyen. Concrètement, lors de sa prise de fonction, le
correspondant est chargé d'établir un inventaire de la situation dans l'entreprise (audit de
la situation, mise en place de procédures de régulation, définition des points de contrôle
et organisation de la communication avec les autres services). Ensuite, tout au long de sa
mission, il doit tenir et mettre à jour une liste exhaustive des traitements de données à
caractère personnel existants au sein de l'entreprise.
La fonction de correspondant à la protection des données existe dans différents
pays membres de la communauté européenne tels que l'Allemagne, les Pays Bas ou
encore la Suède dans lesquels il bénéficie d'un rôle plus ou moins étendu selon le cas.
Les nouvelles prérogatives de la CNIL
La CNIL se voit désormais dotée de pouvoirs renforcés. Ainsi, la CNIL dispose
d'un pouvoir de perquisition qui lui permet d'accéder aux locaux ou installations de
l'organisme, servant à la mise en œuvre d'un traitement de données de 6 à 21 heures.
10
Dans ce cadre, les agents de la CNIL pourront demander communication de tous
les documents nécessaires à l'accomplissement de leur mission, quel que soit le support,
en prendre copie, recueillir, sur place ou sur convocation, tout renseignement ou
justification utile et enfin, accéder aux programmes informatiques, aux données et en
demander la transcription par tout traitement approprié.
Près de neuf ans après l'adoption de la directive sur la protection des données à
caractère personnel, la France a enfin modifié le régime juridique applicable au traitement des
données à caractère personnel. Il appartient désormais aux entreprises de prendre en compte
les nouvelles obligations qui s'imposent à elles.
2) La CNIL
Le mandat de ses membres est de 5 ans ou, pour les parlementaires, d’une durée égale à
leur mandat électif. Pour conduire leurs missions, les membres de la CNIL s’appuient sur
différents services.
11
C’est une autorité indépendante :
12 des 17 membres sont élus par les assemblées ou les juridictions auxquelles ils
appartiennent.
La CNIL élit son Président parmi ses membres ; elle ne reçoit d’instruction d’aucune
autorité ; les ministres, autorités publiques, dirigeants d’entreprises, publiques ou privées, ne
peuvent s’opposer à l’action de la CNIL pour quelque motif que ce soit et doivent prendre
toutes mesures utiles afin de faciliter sa tâche.
Elle est chargée de veiller au respect de la loi "Informatique et Libertés" qui lui confie 5
missions principales :
• Informer
La CNIL veille à ce que les modalités de mise en oeuvre du droit d'accès aux
données contenues dans les traitements n'entravent pas le libre exercice de ce
droit. Elle exerce, pour le compte des citoyens qui le souhaitent, l'accès aux
fichiers intéressant la sûreté de l'État, la défense et la sécurité publique,
notamment ceux des Renseignements généraux.
12
disposition du public le "fichier des fichiers", c'est-à-dire la liste des
traitements déclarés et leurs principales caractéristiques.
• Contrôler
II]Cas Note2be.com
Ce cas fait référence à un site internet mis en ligne pour permettre aux élèves de
noter leurs professeurs. Il suffisait pour cela à l'internaute de s'inscrire, d'indiquer dans
quel établissement il était, de donner le nom du ou des professeurs qu'il souhaitait noter,
et devait fournir une appréciation chiffrée sur six critères (Intéressant, clair, disponible,
équitable, respecté et motivé), dont la combinaison aboutissait à une note sur 20, la
même échelle donc que la notation des devoirs des élèves.
Il y eu 15 enseignants et deux syndicats professionnels qui ont saisi le juge des
référés de Paris afin de lui demander d'ordonner la suppression de toute mention
nominative du site et la suppression du fichier informatique stockant ces données.
Il est à noter que trois de ces enseignants n'étant pas cités sur le site, leur
demande sera déclarée irrecevable, puisqu'on ne peut demander la suppression de ce qui
n'existe pas.
Les demandeurs invoquent une atteinte à leur vie privée sur le fondement de
l'article 9 du Code civil et le non respect de la loi Informatique et Liberté du 6 janvier
1978 sur les traitement automatiques de données nominatives.
La société Note2be.com a invoqué en défense le fait que son fichier a fait l'objet d'une
déclaration à la CNIL, qui donne lieu à une enquête de cette autorité. La CNIL n'a donc pas
refusé l'exploitation de ce fichier. Elle invoque la liberté d'expression des élèves, garantie par
l'article L.511-2 du Code de l'Education et plus largement par la liberté d'expression reconnue
à tout homme en France.
13
Les contrôles effectués par la CNIL les 13 et 18 février 2008 ont permis de
constater que le système de notation des enseignants de la société note2be.com poursuit une
activité commerciale reposant sur l’audience d’un site Internet qui ne lui confère pas la
légitimité nécessaire, au sens de la loi, pour procéder ou faire procéder à une notation
individuelle des enseignants susceptible de créer une confusion, dans l’esprit du public, avec
un régime de notation officiel. La CNIL a également relevé que cette note était attribuée de
façon subjective par des tiers dont on ne peut vérifier la qualité.
14
C] Application dans le troisième pilier
Motivation
Son objectif est de rapprocher les dispositions législatives et réglementaires des Etats
membres et d’établir, pour atteindre cet objectif, des règles communes et «cohérentes» en
matière de traitement et de protection des données à caractère personnel.
L’exposé des motifs souligne que «ce rapprochement des législations ne doit pas
conduire à affaiblir la protection des données qu’elles assurent, mais doit, au contraire, avoir
pour objectif de garantir un niveau élevé de protection dans l’Union.»
L'adoption de règles communes sur la protection des données, lorsque celles-ci sont
destinées à des usages sécuritaires, constitue une condition préalable de la mise en place du
principe de disponibilité.
Bâtie sur le modèle de la directive 95/46/CE, elle définit des règles communes de
licéité du traitement des données à caractère personnel, les principes relatifs à la qualité des
données, les conditions de transmission et de la mise à disposition de ces données à des
autorités et des personnes privées dans d’autres Etats membres, le traitement ultérieur par les
autorités qui ont reçu ces données, la transmission vers des pays tiers ou des instances
internationales. Elle fixe également des règles communes en matière de confidentialité et de
sécurité du traitement, de contrôle préalable, de notification, de responsabilité et de sanctions,
de droits de la personne concernée (droits d’information, d’accès, de rectification,
d’effacement ou de verrouillage), ainsi que les voies de recours qui lui sont offertes.
Champ d’application
15
d’information Schengen de deuxième génération (SIS II) ainsi qu’aux dispositions de l’article
23 de la Convention relative à l’entraide judiciaire européenne en matière pénale.
Le rôle des autorités de contrôle y est également précisé ainsi que l’instauration et la
composition d’un groupe européen de protection des données indépendant (sur le modèle du
groupe de l’article 29 existant).
1) Critique de la CNIL
Le Parlement européen va dans le même sens d’une exigence d’un haut niveau de
protection malgré le caractère spécifique des fichiers de police. Le rapport et les amendements
des libertés, présentés par Mme Martine Roure, députée française, ont été adoptés à
l’unanimité par la Commission des libertés en mai 2006.
16
Le rapport préconise :
• l’adoption d’un large champ d'application pour la décision-cadre afin que les règles
communes de protection des données s'appliquent à l'ensemble des données dans les
secteurs policier et judiciaire et ne se limitent pas aux échanges transfrontaliers entre
États membres ;
• un ensemble de mesures législatives qui répondent aux préoccupations exprimées par
la Conférence européenne à la protection des données ;
• la consultation automatique des autorités nationales de contrôle lors de l'élaboration de
mesures législatives concernant le traitement des données, sur les dispositions relatives
à la protection des droits et des libertés des personnes
• en matière d'accès aux données conservées par des parties privées, l’insertion d’un
nouvel article spécifiant que l'accès à ces données sera accordé au cas par cas, pour un
objet défini et sous le contrôle judiciaire des États membres ;
• le renforcement des conditions d’information et de surveillance pour des transmissions
de données, en cas d’absolue nécessité, vers des pays tiers n’assurant pas un niveau
adéquat de protection des données.
La position du CEPD est résumée sans ambiguïté et de façon plutôt lapidaire dans le
communiqué de presse rendu public le 30/04. On peut y lire : « le CEPD recommande
fermement au Conseil de ne pas adopter la proposition actuelle, sauf améliorations
17
significatives ». Plus avant, le CEPD exprime « de graves préoccupations envers la tendance
à aller vers le plus petit dénominateur commun ».
C’est pourquoi, le CEPD appelle le Conseil à revoir la proposition sur les points
suivants :
• Celle-ci doit obliger les états (et non pas les « inviter ») à inclure dans le régime de
protection les traitements de données "domestiques"c’est-à-dire internes, afin que les
citoyens ne soient pas uniquement protégés de manière adéquate lors des échanges
entre états membres.
• Les finalités pour lesquelles les données personnelles peuvent être traitées doivent être
limitées, dans le respect des principes de base de la Convention 108 qui dispose que
les données personnelles sont « enregistrées pour des finalités déterminées et légitimes
et ne sont pas utilisées de manière incompatible avec ces finalités » (article 5.b), les
seules dérogations permises devant être prévues par la loi et constituer « une mesure
nécessaire dans une société démocratique » ayant pour objet, par exemple, la
répression des infractions pénales (article 9). Selon la jurisprudence de la Cour
européen des droits de l’homme, ces dérogations ne sont de surcroît admises qui si
elles sont proportionnées au but, précises et prévisibles. Or, la rédaction de la
proposition de décision cadre est trop large et imprécise pour permettre le respect de
ces conditions, estime le CEPD.
• Le niveau de protection des données dans les échanges avec les pays tiers doit faire
l’objet d'une norme commune européenne.
• La qualité des données doit être assurée conformément aux dispositions de l’article de
l’article 5 de la Convention 108 qui impose notamment qu’elles soient « obtenues et
traitées loyalement et licitement ». Une distinction doit être faite entre les données
factuelles et les autres données n’ayant pas ce caractère ( opinions ou témoignages, par
exemple), ce qui n’est pas le cas dans la proposition de décision cadre. De même, la
proposition ne permet pas de distinguer les catégories de personnes concernées par les
renseignements échangés (coupables, suspects, victimes, témoins, etc…) et n’offre pas
de garanties spécifiques sur les données relatives à des personnes qui ne sont pas
mises en cause.
• Les droits d’accès, de recours, etc…des citoyens doivent être améliorés
• Les échanges de données avec des autorités non-répressives et des entités privées
doivent être soumis à des conditions strictes et spécifiques.
Selon le CEPD, le parallèle doit être fait avec l’ouverture du marché intérieur qui s’est
accompagné de la définition d’une législation protectrice des données personnelles (3). De la
même façon dit le CEPD, “l’espace commun de liberté, de sécurité et de justice (ndlr :
troisième pilier de l’Union européenne) dans lequel l’ information va circuler librement entre
les autorités judiciaires […] exige un haut niveau de protection des données personnelles dans
tous les états membres » (4). Or, telle n’est pas l’orientation prise par les états.
18
Mais, en l’espèce, seuls ces derniers sont compétents pour décider sur une question qui
relève du troisième pilier de l’Union européenne , celui de la coopération
intergouvernementale et non du pilier communautaire dans lequel le Parlement européen est
co-législateur et peut amender voire refuser les textes votés par le Conseil. Et voilà comment
les libertés individuelles risquent fort de se trouver écornées par la grâce du Conseil et
comment l’Union européenne pourrait être amenée à assurer une protection des individus à
double vitesse : étendue dans le cadre de la Communauté européenne et du marché intérieur,
limitée dans celui du troisième pilier.
19
CONCLUSION
Mais la question que l’on peut se poser, c’est est-ce que les standards proposés par la
commission sont-ils suffisants pour assurer une protection efficace contre le détournement des
informations échangées dans le cadre d’une coopération policière entre deux Etats membres ?
En effet, dans notre monde actuel basé sur les nouvelles technologies, il paraît difficile de
garantir une protection efficace contre le piratage ou la perte de données à caractère
personnel, comme c’est régulièrement le cas en Grande-Bretagne par exemple avec les
fichiers « égarés » par la sécurité sociale britannique. C’est déjà compliqué dans un cadre
civil, alors dans un cadre pénal commun, les mesures compensatoires proposées en
contrepartie du principe de disponibilité me paraissent bien maigres pour garantir une
transparence sur l’échange sécurisé de données dans le cadre de la coopération policière
transfrontalière. A mon avis, il sera certainement plus facile dans certains pays que dans
d’autres de pouvoir consulter, transformer ou effacer des données qui ne seront alors plus
utilisables ou bien falsifiées et qui ne garantissent plus à tout à chacun de ne pas être poursuivi
pour des faits qui ne nous concernent pas du fait d’informations corroborantes issues d’un
pays que nous n’avons jamais visité.
20
Source
www.legifrance.gouv
www.caprioli-avocats.com
www.europa.eu
www.senat.fr
http://www.cnil.fr
http://www.vie-publique.fr
http://www.mascre-heguy.com
http://www.eurogersinfo.com
Cours de M Braum
Cours de M Genson
21