Pierre Mercklé (ENS-LSH), décembre 2003
[voir ou télécharger ce document au format pdf]
Attention : Les dispositions examinées ci-dessous ne concernent que le recueil et la conservation d’informations nominatives. Si l’enquête envisagée entre dans ce cas de figure, ces dispositions s’appliquent ; dans le cas contraire, si l’enquête ne recueille ni ne conserve aucune information nominative, ces dispositions ne s’appliquent pas, et l’enquête n’a pas à être déclarée ni soumise à l’avis de la CNIL.
On entend par "information nominative" toute information concernant une personne physique identifiée ou identifiable. Une personne est identifiée lorsque son identité apparaît dans un fichier. Une personne est identifiable lorsqu'un fichier comporte des informations permettant indirectement son identification (ex. : n° de matricule ou code, adresse IP, N° de téléphone, photographie...).
Tout traitement automatisé d'informations nominatives doit, avant sa mise en oeuvre, être déclaré ou soumis à l'avis de la CNIL.
Ces formalités préalables sont prévues par la loi du 6 janvier 1978 et ont pour objectifs :
- de responsabiliser les utilisateurs de données nominatives;
- de permettre à la CNIL de contrôler et d'influencer les choix effectués;
- d'assurer, grâce à la publicité à laquelle elles donnent lieu, la transparence nécessaire à l'exercice des droits des personnes concernées par les traitements.
NATURE DE CES FORMALITÉS:
un régime d'AVIS pour le secteur public : les traitements publics sont créés par un acte réglementaire après avis motivé de la CNIL ( art. 15 );
un régime de DÉCLARATION pour le secteur privé ( art. 16 );
un régime de déclaration simplifiée pour les traitements les plus courants, publics ou privés ( art. 17 );
Le non-accomplissement de ces formalités est sanctionné pénalement ( art. 226-16 du code pénal) : 3 ans d'emprisonnement et 45 000 € d'amende.
Le principe de finalité est l'une des bases de la loi et de la Convention du Conseil de l'Europe. Son respect constitue une des premières préoccupations de la CNIL. Un traitement d'informations nominatives est créé pour atteindre un certain objectif. Son contenu doit correspondre à cet objectif et ne pas servir à d'autres fins.
Le choix des données que l'on décide d'enregistrer, la durée de leur conservation et les catégories de personnes qui peuvent en avoir communication doivent être déterminés en fonction de la finalité du traitement.
Lors des formalités préalables auprès de la CNIL, le responsable d'un traitement doit indiquer clairement sa ou ses finalités.
L'utilisation d'un traitement nominatif à d'autres fins que celles qui ont été déclarées lors des formalités préalables constitue un détournement de finalité pénalement sanctionné ( art. 226-21 du code pénal) : 5 ans d'emprisonnement et 2 000 000 francs d'amende
Les personnes auprès desquelles sont recueillies des informations nominatives doivent être informées :
· du caractère obligatoire ou facultatif des réponses ;
· des conséquences à leur égard d'un défaut de réponse ;
· des personnes physiques ou morales destinataires des informations ;
· de l'existence d'un droit d'accès et de rectification.
Lorsque de telles informations sont recueillies par voie de questionnaires, ceux-ci doivent porter mention de ces prescriptions.
Origines raciales, opinions politiques, philosophiques ou religieuses, appartenances syndicales ou mœurs des personnes : la loi interdit l'enregistrement de ces informations aux potentialités discriminatoires évidentes ( art. 31 ).
La loi a prévu des exceptions à cette interdiction ( art. 31 et 33 ) :
* au bénéfice de la liberté d'expression ;
* pour des motifs d'intérêt public ;
* en cas de consentement exprès, c'est-à-dire écrit, des intéressés.
Article 226-19 du Code pénal :
Le fait, hors les cas prévus par la loi, de mettre ou de conserver en mémoire informatisée, sans l'accord exprès de l'intéressé, des données nominatives qui, directement ou indirectement, font apparaître les origines raciales ou les opinions politiques, philosophiques ou religieuses ou les appartenances syndicales ou les moeurs des personnes est puni de cinq ans d'emprisonnement et de 300 000 € d'amende. Est puni des mêmes peines le fait, hors les cas prévus par la loi, de mettre ou de conserver en mémoire informatisée des informations nominatives concernant des infractions, des condamnations ou des mesures de sûreté.
Numéro National d'Identification (NIR, ou encore n° INSEE, n° de Sécurité Sociale, n° d'inscription au Répertoire National d'Identification des Personnes Physiques) : la loi subordonne l'utilisation de ce numéro à une autorisation par décret en Conseil d'Etat pris après avis de la CNIL ( art. 18 ).
L'utilisation du NIR sans cette autorisation est sanctionnée pénalement ( art. 42 ) : 5 ans d'emprisonnement et 300 000 € d'amende. Cette stricte réglementation de l'utilisation du numéro INSEE traduit le rejet catégorique d'un identifiant unique qui pourrait faciliter les rapprochements et interconnexions de fichiers. C'est d'ailleurs à la suite de l'émotion qu'avait provoquée la révélation dans la presse d'un projet de généralisation de l'utilisation de ce numéro à toute l'administration - projet SAFARI , 1974- que le gouvernement de l'époque avait envisagé la création de la loi "Informatique et Libertés" et de la CNIL.
Infractions, condamnations, mesures de sûreté : La loi réserve aux seules autorités publiques agissant dans le cadre de leurs attributions légales et sous réserve d'un avis conforme de la CNIL, l'enregistrement de ces données ( art. 30 ).
Article 226-21 du Code pénal
Le fait, par toute personne détentrice d'informations nominatives à l'occasion de leur enregistrement, de leur classement, de leur transmission ou de toute autre forme de traitement, de détourner ces informations de leur finalité telle que définie par la disposition législative ou l'acte réglementaire autorisant le traitement automatise, (Loi n° 95-116 du 4 février 1995, art. 34) "ou par la décision de la Commission nationale de l'informatique et des libertés autorisant un traitement automatisé ayant pour fin la recherche dans le domaine de la santé," ou par les déclarations préalables à la mise en oeuvre de ce traitement, est puni de cinq ans d'emprisonnement et de 300 000 € d'amende.
Pour les traitements les plus courants, les normes simplifiées prévoient, selon la nature et la finalité des traitements, une durée de conservation plus ou moins longue.
Le code pénal sanctionne la conservation des données pour une durée supérieure à celle qui a été déclarée ( art. 226-20 ) : 3 ans d'emprisonnement et 45 000 € d'amende.
Article 226-20 du Code pénal :
(Modifié par la loi n° 2000-321 du 12 avril 2000, article 6)
I - Le fait de conserver des informations sous une forme nominative au-delà de la durée prévue par la demande d'avis ou la déclaration préalable à la mise en oeuvre du traitement informatisé est puni de trois ans d'emprisonnement et de 45 000 € d'amende, sauf si cette conservation est effectuée à des fins historiques, statistiques ou scientifiques dans les conditions prévues par la loi.
II -Le fait de traiter des informations nominatives conservées au-delà de la durée mentionnée au I à des fins autres qu'historiques, statistiques ou scientifiques est puni des mêmes peines, sauf si ce traitement a été autorisé dans les conditions prévues par la loi.