PROPOSITION DE LOI
présenté le 6 novembre 2009
visant à mieux garantir le droit à la vie privée à l’heure du numérique
Pour que le citoyen puisse devenir acteur de sa propre protection, il ne suffit pas qu’il ait été sensibilisé,
dès son plus jeune âge, aux enjeux du numérique au regard du droit à la vie privée ; encore faut-il que la
loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, dite « informatique et
libertés », offre des garanties renforcées dans ce domaine.
C’est pourquoi les articles 2 à 12 de la présente proposition de loi modifient la loi « informatique et
libertés » afin de traduire les recommandations de portée législative contenues dans le rapport
d’information parlementaire, dans le respect de la directive du 24 octobre 1995 relative à la protection des
données.
L’article 2 clarifie le statut de l’adresse IP. En effet, alors que cette adresse constitue, pour le rapport
d’information, un moyen indiscutable d’identification, fût-elle indirecte, d’un internaute, au même titre
qu’une adresse postale ou un numéro de téléphone, certaines juridictions ont récemment contesté le
caractère de donnée personnelle de l’adresse IP. La clarification opérée par l’article 2 permet ainsi
d’apporter aux données de connexion des internautes la protection de la loi « informatique et libertés ».
L’article 3 rend obligatoires les correspondants « informatique et libertés » lorsqu’une autorité publique
ou un organisme privé recourt à un traitement de données à caractère personnel et que plus de cinquante
personnes y ont directement accès ou sont chargées de sa mise en oeuvre.
L’article 4 réserve au législateur la compétence exclusive pour créer une catégorie de fichiers
nationaux de police et définir ses principales caractéristiques.
L’article 5 modifie l’article 31 de la loi « informatique et libertés » afin que la liste des traitements de
données que la Commission nationale de l’informatique et des libertés (CNIL) met à la disposition du
public précise, pour chacun de ces traitements, la durée de conservation des données.
L’article 6 réécrit une grande partie de l’article 32 de la loi « informatique et libertés » portant sur les
obligations d’information du responsable du traitement. Il prévoit en premier lieu que le responsable du
traitement doit délivrer, avant tout traitement de données, une information spécifique, claire et accessible
qui devra désormais porter sur :
- la durée de conservation des données ;
- la possibilité pour la personne concernée d’exercer ses droits de suppression, d’accès et de rectification
par voie électronique, dès lors que le responsable du traitement dispose d’un site Internet.
En second lieu, l’article 6 crée une obligation pour le responsable du traitement disposant d’un site
Internet d’y créer une rubrique spécifique, claire, accessible et permanente reprenant les mentions
obligatoires prévues au I de l’article 32 complété comme indiqué précédemment.
L’article 7 précise l’obligation de sécurisation des données incombant au responsable du traitement et
crée une obligation de notification à la CNIL des failles de sécurité.
L’article 8 facilite l’exercice du droit d’opposition. Il substitue au terme « opposition », visiblement mal
compris, celui, plus explicite, de « suppression » et dispose que ce droit de suppression s’exerce « sans
frais ». En outre, il réécrit l’article 38 relatif au droit d’opposition pour bien distinguer le droit
d’opposition commerciale, qui s’exerce avant tout traitement ou, en cas de collecte indirecte, avant
toute communication des données, et le droit de suppression des données qui s’exerce, par définition,
après.
correspondantcnil@informatiqueetliberte.fr 2
L’article 9, outre des coordinations avec l’article 32 de la loi « informatique et libertés », précise
l’obligation pour le responsable du traitement interrogé au titre du droit d’accès d’indiquer l’origine de
la donnée. Cette indication permet en effet à la personne objet du traitement de remonter jusqu’au
responsable du traitement détenteur du fichier d’origine et d’exercer éventuellement auprès de lui ses
droits d’accès, de rectification ou d’opposition.
L’article 10 rend publiques les audiences de la formation restreinte de la CNIL afin de tirer les
conséquences d’une ordonnance du Conseil d’État du 19 février 2008 qui reconnaît son caractère
juridictionnel.
L’article 11 rend plus aisée la publicité des sanctions les plus graves prononcées par la CNIL, publicité
aujourd’hui conditionnée à la « mauvaise foi du responsable du traitement ». L’article supprime cette
condition.
L’article 12 renforce les pouvoirs de sanction de la CNIL. En effet, l’article 47 de la loi «informatique et
libertés » limite la sanction financière à 150 000 euros, ou 300 000 euros en cas de manquement réitéré
dans les cinq années, à condition de ne pas excéder 5 % du chiffre d’affaires hors taxes du dernier exercice
clos.
Ces montants seraient portés respectivement à 300 000 et 600 000 euros, ce dernier montant
correspondant au niveau maximum de sanction susceptible d’être prononcé par l’agence espagnole de
protection des données.
Les auteurs de la proposition de loi estiment que ce relèvement du plafond légal incitera la CNIL à faire
preuve d’une plus grande fermeté, à l’image de l’agence espagnole qui, sur la seule année 2008, a infligé
des sanctions d’un montant total de 22,6 millions d’euros alors que la formation restreinte de la CNIL,
depuis sa création en 2005, a, pour sa part, prononcé des sanctions dont le montant cumulé ne s’élève qu’à
520 400 euros.
L’article 13 renforce les possibilités d’actions juridictionnelles de la CNIL et des personnes en cas de
méconnaissance, par un responsable du traitement, des dispositions de la loi «informatique et libertés ».
Le texte complète ces dispositions afin que la CNIL puisse également présenter des observations devant
les juridictions d’office ou à la demande des parties et précise que les observations écrites ne pourront
être frappées d’irrecevabilité par les juridictions même quand la procédure est orale. Par ailleurs, sur le
modèle de ce qui existe désormais en droit de la consommation, il permet à toute personne s’estimant
lésée par la nonapplication de la loi « informatique et libertés» de faire valoir ses droits devant la
juridiction civile où il demeure.
L’article 14 prévoit l’entrée en vigueur de la loi six mois à compter de sa publication afin de laisser le
temps aux entreprises et administrations de s’adapter aux nouvelles dispositions.
correspondantcnil@informatiqueetliberte.fr 3
Au total, il convient de noter que plusieurs mesures de la présente proposition de loi permettent
de donner une plus grande effectivité au droit à l’oubli numérique, évoqué dans le rapport
d’information:
- l’information spécifique, claire et accessible donnée aux personnes, avant tout traitement,
mais également de manière permanente, sur le site Internet du responsable du traitement, de la
durée de conservation des données ;
- la possibilité de demander à la CNIL, pour les traitements déclarés auprès d’elle, la durée de
conservation des données ;
- l’exercice plus facile du droit d’opposition, renommé, pour plus de clarté, droit à la
suppression des données.
- la possibilité de saisir plus facilement et plus efficacement qu’aujourd’hui les juridictions
civiles en cas d’impossibilité pour les personnes d’exercer leur droit à la suppression des
données.
De même, deux mesures de la proposition garantissent une meilleure traçabilité des transferts
de données et permettent de lutter contre leur dissémination :
- l’information spécifique, claire et accessible donnée aux personnes, avant tout traitement mais
également de manière permanente, sur le site Internet du responsable du traitement, des
«destinataires ou catégories de destinataires des données » ;
- la possibilité de connaître, au titre du droit d’accès, l’origine de la donnée personnelle, alors que
n’est actuellement prévue que la communication des informations disponibles quant à cette
origine.
Aucun commentaire:
Enregistrer un commentaire