Genèse de la loi de 1978 [2]
À la fin des années soixante, en Europe comme aux Etats-Unis et au Canada, de nombreux travaux relatifs au développement de l’informatique dans l’administration viennent souligner les risques que la technique informatique semble faire peser sur les libertés publiques. Ces réflexions et discussions émanent pour la plupart de l’appareil gouvernemental ou de la Haute administration des Etats eux-mêmes et les premiers textes législatifs apparaissent rapidement.
En octobre 1970, le Land de Hesse adopte la première loi relative au « traitement automatisé des informations nominatives » qui jettera les fondements de la loi fédérale de novembre 1976. Entre-temps, en mai 1973, le parlement suédois adoptera lui aussi une loi sur le traitement automatisé des informations nominatives. De leur côté, en janvier 1974, les Etats-Unis se dotent d’un Privacy Act dont l’application est limitée aux fichiers détenus par les administrations fédérales et qui est destiné à protéger la vie privée des individus contre l’utilisation abusive d’enregistrements détenus par ces administrations en permettant à chacun d’accéder aux enregistrements qui le concernent.
Si l’on ne peut négliger ce contexte ni les multiples contributions écrites, notamment de la part de la science administrative, il semble néanmoins qu’en France, le fait générateur de la loi de 1978 réside dans la révélation au public non seulement de plusieurs projets concomitants, dont celui bien connu sous le nom de SAFARI, mais aussi, et même surtout, des conditions particulièrement obscures dans lesquelles ces projets sont élaborés, conditions qui tranchent précisément avec le thème alors fédérateur de la transparence administrative et du respect, par les Etats, de la vie privée de leurs citoyens.
En 1970, l’INSEE décide, semble-t-il de son propre chef, d’informatiser le répertoire d’identification et le numéro national d’identification de tous les Français. Ce répertoire, et le numéro qu’il contient, avaient été créés par le « Service de la démographie » au printemps 1941, à partir des relevés des registres des actes de naissance généralement effectués par les greffiers des tribunaux de première instance (instructions du 18 mars et du 11 avril 1941). Le but de cette informatisation était de parvenir à un identifiant unique pour les fichiers de toutes les administrations publiques et les caisses de la Sécurité sociale.
Dans le même temps, le ministère de l’Intérieur s’apprêtait à mettre en œuvre un ordinateur très puissant destiné à la centralisation des bases de données que possédaient les services de police (dont les renseignements généraux, la direction de la sécurité du territoire, la police judiciaire).
Or, le paradoxe que révélait l’article de Philippe Boucher (« Safari ou la chasse aux Français », paru dans Le Monde le 21 mars 1974) était que le Premier Ministre avait écarté toute proposition de débat public sur les projets d’informatisation du gouvernement et ce, contrairement aux recommandations du Conseil d’Etat (rapport non publié de 1971) ou du ministère de la Justice mais contrairement aussi aux gouvernements des pays voisins.
L’émotion suscitée fut suffisamment vive pour le que Premier Ministre interdise aux services de procéder sans son autorisation à de nouvelles interconnexions et demande au Garde des Sceaux, par décret en date du 8 novembre 1974, de constituer une commission chargée de « proposer au Gouvernement, dans un délai de six mois, des mesures tendant à garantir que le développement de l’informatique dans les secteurs public, semi-public et privé se réalisera dans le respect de la vie privée, des libertés individuelles et des libertés publiques ». Présidée par le vice-président Chenot, cette commission remettait le 27 juin 1975 un rapport rédigé par M. le Conseiller Bernard Tricot, Rapporteur général et M. le Professeur Pierre Catala. La publication de ce rapport par la Documentation française a contribué à éclairer les termes du débat.
C’est sur le fondement de ces travaux que fut élaboré un projet de loi déposé le 9 août 1976, dont le Parlement eut à débattre dès le 4 octobre 1977 et qui aboutit à la loi du 6 janvier 1978 que nous connaissons.
Au début des années 80, la multiplication des lois comparables en Europe – la Norvège adopte une loi sur les registres de données personnelles en 1978 – suscitera quelques réactions au plan international, certains Etats craignant en effet que les législations sur la protection des données n’entravent la libre circulation de ces dernières et les échanges commerciaux dont elles font l’objet. Des discussions s’engagent au sein de l’OCDE qui arrête des Lignes Directrices, en date du 23 septembre 1980. Dénuées de toute force obligatoire, ces Lignes reprenaient les principes essentiels des législations nationales, mais leur objectif était justement d’éviter que la protection des données personnelles ne crée des obstacles injustifiés à la libre circulation de l’information entre les pays membres et au développement des relations économiques et sociales entre ces pays. La Convention 108 du Conseil de l’Europe, signée à Strasbourg le 28 janvier 1981 s’inscrit, elle aussi, dans ce processus comme en témoigne le dernier alinéa de son Préambule qui évoque « la nécessité de concilier les valeurs fondamentales du respect de la vie privée et de la libre circulation de l’information entre les peuples. »
Il y avait donc, dès l’origine, deux points de vue, certes compatibles mais correspondant néanmoins à deux sensibilités différentes. Tandis que les droits français, allemand ou suédois d’un côté, faisaient de la protection de l’individu face aux dangers de l’informatique une fin en soi, le droit international et européen faisait de cette protection la contrepartie du principe de libre circulation de l’information.
Contenu
Champ d’application
Le champ d’application de la loi du 6 janvier est déterminé par les définitions qu’elle-même donne de certains concepts fondamentaux dont celui de traitement automatisé d’informations nominatives (article 5). Sont donc concernées en premier lieu les données nominatives qui ont fait l’objet d’un traitement automatisé. Ces données sont soumises à toutes les dispositions de la loi.
À côté de celles-ci, il convient de distinguer les données nominatives qui ont fait l’objet d’un traitement non automatisé au sein d’un fichier se rapportant à l’exploitation de fichiers ou bases de données. En effet, le projet de loi ne prévoyait pas d’inclure les fichiers manuels qui doivent leur intégration à un amendement parlementaire. Quoi qu’il en soit, l’article 45 étend le champ d’application de la loi à ces fichiers mais de façon limitée : seules leur sont applicables certaines dispositions de la loi.
Enfin, le champ d’application des dispositions applicables aux fichiers manuels ou mécanographiques est susceptible d’être modifié, selon la procédure prévue à l’alinéa 4 de l’article 45, par décret en Conseil d’Etat sur proposition de la CNIL. Mais cette disposition n’a jamais été appliquée à ce jour.
Les principes
Les règles énoncées par la loi du 6 janvier reposent sur certains principes essentiels :
- le principe de la protection de la vie privée semble justifier l’idée que tout traitement automatisé doit conserver un caractère supplétif ou fonctionnel. C’est ce principe que nous semble contenir l’article premier, lequel dispose que l’informatique doit être au être au service de chaque citoyen, ainsi que l’article 2 qui prévoit qu’un traitement automatisé donnant une définition du profil ou de la personnalité de l’individu ne peut justifier à lui seul une décision de justice, administrative ou privée. C’est enfin probablement ce principe qui caractérise le plus la différence de point de vue entre la loi française et les dispositions de l’OCDE et du Conseil de l’Europe ;
- le principe de transparence fonde l’essentiel des droits que consacre la loi en matière d’accès, d’opposition, de communication ou de rectification ;
- le principe du droit à l’oubli et au secret ou à la confidentialité, enfin, justifie que tout traitement soit limité dans le temps et que les données qu’il contient et gère soient protégées et régulièrement mises à jour.
Si la loi ne fait pas expressément mention du principe de finalité, elle en fait une application partielle en imposant que soit indiquée la finalité du traitement dans les déclarations (article 19) et en sanctionnant pénalement le détournement de finalité (article 226-21 du nouveau code pénal).
Les règles et les droits
La loi établit une première distinction, que l’on peut qualifier d’organique, entre les traitements du secteur public et ceux du secteur privé : les premiers doivent faire l’objet d’une autorisation préalable de la CNIL (article 15), les seconds doivent simplement lui être déclarés (article 16). C’est cette summa divisio que remet en cause la directive européenne d’octobre 1995.
Mais la loi établit une seconde distinction, matérielle cette fois, entre les données. Certains traitements qui ne comportent manifestement pas d’atteinte à la vie privée ou aux libertés, parce qu’ils relèvent de pratiques courantes, peuvent faire l’objet d’une simple déclaration de conformité aux normes simplifiées de la CNIL (article 17). En revanche, à l’opposé, les traitements portant sur des données qui, directement ou indirectement, font apparaître les origines raciales ou les opinions politiques, philosophiques ou religieuses ou les appartenances syndicales ou les mœurs des personnes sont interdits (article 31).
Bien que l’expression ne figure pas dans la loi, cette dernière consacre certains droits au profit des « personnes fichées ». Il n’en reste pas moins que la liste de ces droits varie selon les auteurs. Semble toutefois hors de doute l’existence d’un droit d’accès, de communication et de rectification, respectivement prévus par les articles 34, 35 et 36. Le premier ne requiert aucune motivation spécifique – sinon celle d’être une personne physique et non morale, compte tenu de l’article 4 de la loi – et consiste littéralement en un droit à l’interrogation des services chargés de mettre en œuvre des traitements. Le deuxième semble découler du premier : l’accès n’a de sens qu’à la condition de pouvoir obtenir communication des informations en question. Enfin, le dernier achève la construction : les informations doivent pouvoir être rectifiées. Certains auteurs ont considéré que la loi consacrait un droit à l’effacement des données, conséquence d’un droit à l’oubli. Ce serait pourtant omettre que l’alinéa 1 de l’article 36 prévoit une gradation dans l’échelle des mesures valant rectification, échelle à l’extrémité de laquelle figure, précisément, l’effacement de données dont la collecte et le traitement sont interdits.
À ces droits, l’on peut en ajouter d’autres : d’une part, le droit d’opposition qui figure à l’article 26 lequel, doit-on préciser, n’impose pas en retour que le consentement de la personne dont on collecte les données personnelles soit préalablement recueilli ; et d’autre part, la garantie de la qualité des données collectées (article 29).
L’autorité de protection
La popularité de la loi de 1978 tient certes à l’attachement des citoyens aux droits qu’elle protège mais également au fait qu’elle fut la première à consacrer la notion d’autorité administrative indépendante.
Placée au centre du dispositif législatif, la CNIL est composée de dix-sept membres nommés pour cinq ans ou pour la durée de leur mandat. On sait que sa composition donna lieu à un âpre débat au Parlement et que le projet, qui ne prévoyait la présence d’aucun parlementaire, fut modifié sur ce point.
La CNIL compte deux députés et deux sénateurs, deux membres du Conseil économique et social, deux membres du Conseil d’Etat, deux membres de la Cour de Cassation, deux membres e la Cour des comptes, deux personnes qualifiées pour leur connaissance des applications de l’informatique et trois personnalités désignées en raison de leur autorité et de leur compétence. La CNIL dispose également de services administratifs. Enfin, siège auprès d’elle un commissaire du gouvernement dont la présence n’entame en rien l’indépendance de la Commission : chargé de tenir informé le Premier ministre, il a pour seul pouvoir de provoquer une seconde délibération dans les dix jours d’une délibération (article 9).
Outre ses pouvoirs d’autorisation des traitements publics, sa mission d’enregistrement des traitements privés, de contrôle a posteriori et son pouvoir d’édicter des normes simplifiées, la CNIL est, de par la loi, investie d’un rôle d’information du public grâce à la publication de son Rapport annuel et d’un rôle consultatif non négligeable auprès des personnes qui souhaitent créer un traitement automatisé d’informations nominatives.
Dans toutes ces fonctions, la CNIL a toujours su, de l’avis général, faire la preuve de son indépendance.
Les mesures d’application
Décrets et arrêtés
L’application de la loi du 6 janvier a donné lieu à l’édiction de nombreux textes réglementaires.
Décret no 78-774 du 17 juillet 1978 pris pour l’application des chapitres I à IV et VII.
Décret no 79-1160 du 28 décembre 1979 fixant les conditions d’application aux traitements d’informations nominatives intéressant la sûreté de l’Etat, la défense et la sécurité publique de la loi du 6 janvier 1978.
Décret no 81-1142 du 23 décembre 1981 instituant des contraventions de police en cas de violation de certaines dispositions de la loi du 6 janvier 1978.
Décret no 85-525 du 16 juin 1982 relatif à la redevance prévue à l’article 35 al. 2 de la loi du 6 janvier.
Arrêté du 23 septembre 1980 relatif à l’homologation d’une décision de la CNIL fixant le montant de la redevance perçue à l’occasion de la délivrance de copies d’informations nominatives faisant l’objet de traitements automatisés.
Décret no 82-103 du 22 janvier 1982 relatif au RNIPP.
Décret no 85-420 du 3 avril 1985 relatif à l’utilisation du RNIPP par des organismes de sécurité sociale et de prévoyance.
Décret no 91-1404 du 27 décembre 1991 autorisant l’utilisation du RNIPP par les employeurs dans les traitements automatisés de la paie et de la gestion du personnel.
30 décrets pris en application de l’article 18 (utilisation du RNIPP).
Règlements intérieurs
La CNIL a arrêté son règlement intérieur par délibération no 87-25 en date du 10 février 1987 lequel a été modifié à deux reprises : délibérations no 92-087 du 22 septembre 1992 et no 93-048 du 8 juin 1993).
Normes simplifiées
Conformément à l’article 17, la CNIL est investie d’un pouvoir réglementaire limité l’autorisant à établir des normes simplifiées. C’est là l’une une autre originalité de la loi de 1978 dont l’origine est parlementaire. On la doit très exactement à l’amendement n° 69 de M. Raymond Forni, que la Commission avait d’ailleurs repris à son compte (amendement n° 113) (JO, AN, Séance du 5 octobre 1977, p. 5850) : « Il s’agit, expliquait M. Forni, de fixer certaines normes pour les catégories de fichiers les plus courantes, ce qui ne devrait soulever aucune opposition. » Effectivement, l’amendement fut adopté sans discussion. Le Sénat n’y revint pas. À l’époque, nul ne songea à soulever le problème de la conformité à la Constitution de ce pouvoir réglementaire accordé à la CNIL.
La première norme simplifiée élaborée par la CNIL, en date du 22 janvier 1980, concernait les traitements automatisés d’informations nominatives relatifs à la liquidation et au paiement des rémunérations des personnels de l’Etat.
Elle fut suivie de 39 autres normes. Une seule fut annulée par le Conseil d’Etat.
Safari ou la chasse aux Français
par Philippe Boucher, Le Monde du 21 mars 1974
Rue Jules Breton, à Paris-13e, dans les locaux du ministre de l’intérieur, un ordinateur Iris-80 avec bi-processeur est en cours de mise en marche. A travers la France, les différents services de police détiennent, selon la confidence faite par un très haut magistrat, 100 millions de fiches, réparties dans 400 fichiers. Ainsi se trouvent posées - et, à terme, théoriquement résolues - les données d’un problème comprenant, d’une part, l’énormité des renseignements collectés ; de l’autre, la méthode à définir pour faire de cet ensemble une source unique, à tous égards, de renseignements.
L’histoire du très puissant appareil qu’est l’Iris-80 est exemplaire du secret qui entoure l’épanouissement de l’informatique dans les administrations, quelles que puissent être les informations qui filtrent ici et là.
Puissant, cet Iris-80, une comparaison le démontre sans contestation. L’appareil employé pour engranger les données de l’opération Safari, qui concerne l’identification individuelle de l’ensemble des 52 millions de Français, a une contenance de 2 milliards d’octets. Celle de l’ordinateur du ministère de l’intérieur est de 3,2 milliards d’octets.
C’est dire que la mise en route d’Iris-80 - dont la location coûte 1 million de francs chaque mois - a été précédée d’études, de tests, pour en éprouver les possibilités. D’autant qu’à lui seul il doit remplacer les trois GE 400 et le 10070 de la C.I.I. qu’employait jusqu’alors la place Bauveau.
De vastes ambitions
C’est sur ce dernier ordinateur qu’ont eu lieu les essais. Pour 20% de sa capacité, il a été consacré à la gestion du personnel communal de la Ville de Paris. Mais, pour le reste (80%), il a servi à tester les programmes devant être fournis à l’Iris-80, afin de rendre cohérentes entre elles les données contenues dans les 400 fichiers que possèdent les services de police : renseignements généraux, direction de la surveillance du territoire, police judiciaire, etc.
A titre d’anecdote, on peut rappeler que ce 10070 de la C.I.I., à l’origine, budgétairement, n’était pas du tout prévu pour la tâche qu’il a finalement assurée, mais pour “traiter” les données administratives du Fichier national des constructeurs (F.N.C.). Il s’agit donc apparemment d’un détournement manifeste de crédits d’études, ce qui n’était sans doute pas le voeu du Parlement qui les vota.
Il n’y a pas que cela. Le ministère de l’intérieur a d’encore plus vastes ambitions. Détenteurs, déjà, du fichier national du remembrement, les services de M. Jacques Chirac font de grands efforts pour, affirme-t-on, s’en adjoindre d’autres : le cadastre, le fichier de la direction nationale des impôts et, plus grave peut-être, celui du ministère du travail. De telles visées comportent un danger qui saute aux yeux, et que M. Adophe Touffait, procureur général de la Cour de cassation, avait parfaitement défini le 9 avril 1973 devant l’Académie des Sciences morales et politiques, en disant : « La dynamique du système qui tend à la centralisation des fichiers risque de porter gravement atteinte aux libertés, et même à l’équilibre des pouvoirs politiques. »
Philippe Boucher
Mars 1974, Jacques Chirac passe du ministère de l’Agriculture à celui de l’Intérieur, dans le gouvernement de Pierre Messmer.
RSS 2.0