Communiqué commun de DELIS, de la LDH et d’IRIS

Paris, le 16 juillet 2004

Un vote conforme du Sénat en deuxième lecture a permis sans surprise l’adoption définitive le 15 juillet 2004 du projet de loi relatif à la protection des personnes physiques à l’égard des traitements de données à caractère personnel. Ce projet est une refonte de la loi « Informatique et libertés » du 6 janvier 1978, par transposition de la Directive européenne de 1995.

Les quelques quarante associations et syndicats membres de l’intercollectif DELIS (Droits et libertés face à l’informatisation de la société), dont la LDH (Ligue des droits de l’Homme) et IRIS (Imaginons un réseau Internet solidaire), s’étaient mobilisés dès connaissance de l’avant-projet de loi en septembre 2000 pour alerter l’opinion, la CNIL, la CNCDH, le gouvernement et la représentation nationale sur les dangers d’un abaissement très sérieux de la protection des citoyens face à la collecte, aux traitements et à l’utilisation de leurs données personnelles.

Ces dangers n’ont fait qu’augmenter à mesure de l’évolution du texte du projet de loi, au fil des lectures successives par les deux assemblées parlementaires : première lecture à l’Assemblée nationale le 30 janvier 2002 (rapporteur : Gérard Gouzes, alors vice-président de la CNIL), première lecture au Sénat le 1er avril 2003 (rapporteur : Alex Türk, alors vice-président de la CNIL), deuxième lecture à l’Assemblée le 29 avril 2004 (rapporteur : Francis Delattre, membre de la CNIL), deuxième lecture au Sénat le 15 juillet 2004 (rapporteur : Alex Türk, élu entre-temps président de la CNIL).

À chaque étape, l’intercollectif DELIS a soumis à la CNIL, aux rapporteurs et aux parlementaires de tous les groupes politiques ses critiques précises sur le texte et ses propositions argumentées d’amendements. DELIS déplore qu’à partir de la première lecture au Sénat, ses représentants n’ont jamais reçu de réponse, tant de la part des rapporteurs que de celle de la CNIL, et que seuls les parlementaires de l’opposition ont bien voulu les recevoir et défendre des propositions de modification allant dans le sens d’une meilleure garantie pour les libertés individuelles et le droit à la vie privée.

Bien des aspects du texte adopté constituent une régression de la protection des citoyens jusqu’alors assurée par la loi « Informatique et libertés » de 1978, et tous ne sont pas la conséquence de la transposition de la Directive européenne de 1995. DELIS souligne en particulier : l’absence d’inclusion dans la liste des données sensibles des données génétiques et biométriques ; la diminution du contrôle préalable de la CNIL des fichiers de souveraineté ; la dispense de déclaration de fichiers par les entreprises ayant nommé un « correspondant aux données » sans que ce dernier bénéficie du statut protecteur nécessaire à son indépendance vis-à-vis de son employeur ; l’instauration d’un droit de constitution d’un véritable casier judiciaire privé, par les personnes morales victimes d’infraction, en vue de lutter contre et même de prévenir ces infractions, limitant de fait l’exercice des droits d’accès et de rectification des personnes ainsi fichées ; lorsque les personnes morales visées sont les sociétés de gestion de droits d’auteur, explicitement mentionnées dans le texte adopté, ce droit à la création de ce qu’on ne peut considérer que comme des fichiers de suspects ne souffre plus aucune limite.

Le Conseil constitutionnel devrait être logiquement saisi par l’opposition parlementaire à la suite de son vote contre ce texte. Si la décision du Conseil ne permet pas de revenir au niveau de protection dont les citoyens bénéficiaient avant l’adoption de cette loi, l’intercollectif DELIS, la LDH et IRIS se réservent la possibilité d’une plainte auprès de la Commission européenne, en vue d’un recours contre la France porté par la Commission devant la Cour de justice des Communautés européennes, pour infraction à la législation communautaire.

Pour plus de détails, voir le dossier de DELIS
avec l’ensemble des documents produits, ou IRIS.

Une mise au point d’Alex Türk, président de la CNIL, en date du 20 juillet, ne fait que confirmer les inquiétudes exprimées dans le communiqué précédent :

"La nouvelle loi informatique et libertés, qui vient d’être adoptée définitivement le 15 juillet dernier, va permettre à la CNIL de renforcer son contrôle sur les fichiers en disposant pour cela de moyens d’intervention accrus : ainsi les fichiers sensibles du secteur privé devront désormais être autorisés par la CNIL qui pourra en outre, en cas de non respect de la loi, prononcer des sanctions notamment d’ordre pécuniaire, interrompre et faire cesser un traitement.

Contrairement à ce qui a pu être indiqué, cette refonte de la loi « informatique et libertés » ne constitue, en aucune façon, une « régression dans la protection des données »."

Commentaire

Les pouvoirs de la CNIL devraient être considérablement amoindris

par Stéphane Foucart - LE MONDE - 14 juillet 2004

La grande lenteur du travail parlementaire a contribué à détourner l’attention, et la réforme risque de passer inaperçue. Le projet de refonte de la loi sur l’informatique et les libertés de 1978 - examiné une première fois par le Parlement en juillet 2001 -, qui doit être examiné au Sénat jeudi 15 juillet, suscite pourtant de très vives inquiétudes.

La France était tenue, depuis 1998, de remanier la loi pour se mettre en conformité avec la directive européenne du 24 octobre 1995 sur la protection des données personnelles. Le projet avait été déposé par le gouvernement Jospin, mais la majorité est aujourd’hui soupçonnée d’en profiter pour réduire une grande partie des pouvoirs de la Commission nationale de l’informatique et des libertés (CNIL). La Commission ne sera plus désormais en mesure de s’opposer à la création de fichiers de police, ce qui devrait permettre aux gouvernements de se dispenser de négociations jugées trop longues.

L’intercollectif Delis (Droits et libertés face à l’informatisation de la société), qui rassemble une quarantaine de syndicats professionnels et d’associations, dénonce ainsi un "abaissement très sérieux du niveau de protection des citoyens face aux traitements de leurs données personnelles".

La révision de la loi de 1978 modifie en effet profondément les missions et les prérogatives de la CNIL. La directive européenne de 1995 laissait cependant une importante marge de manœuvre : des restrictions aux droits fondamentaux sont effectivement autorisées "pour sauvegarder la sûreté de l’Etat, la défense, la sécurité publique" ; mais l’harmonisation des législations "ne doit pas conduire à affaiblir la protection" des libertés fondamentales.

Si la CNIL demeure l’instrument du contrôle indirect des citoyens sur leurs données personnelles fichées par les différentes administrations, elle perd une part importante de son pouvoir de contrôle sur les fichiers publics. La création de fichiers de sécurité (police, gendarmerie, renseignements généraux, etc.) ne sera plus suspendue à son aval. Elle rendra un avis consultatif, qui sera publié au Journal officiel, mais n’influera pas, in fine, sur la création de ces fichiers. "La loi de 1978 est un texte clair et fort, rédigé pour pouvoir s’affronter à la volonté de l’Etat, estime Alain Weber, chargé de la section informatique et libertés à la Ligue des droits de l’homme (LDH). Le projet de réforme n’inclut pas cet aspect fondamental."

"La droite et la gauche sont animées par la même crainte de voir des situations comme celle du STIC-Système de traitement des infractions constatées- se reproduire", explique un magistrat, spécialiste de la protection des données personnelles. Le STIC, le plus vaste fichier de police, pourtant utilisé depuis le milieu des années 1990, n’a pu être légalisé qu’en juillet 2001 en raison de l’opposition de la CNIL.

Les fichiers constitués par le secteur privé et les collectivités locales pourront, eux aussi, échapper au contrôle a priori de l’autorité indépendante. L’une des réserves formulées par les associations porte ainsi sur un amendement déposé par le sénateur Alex Türk (non inscrit, Nord), rapporteur du texte au Sénat, prévoyant la création du statut de "correspondant aux données" au sein des entreprises, des associations et des collectivités locales. Selon cet amendement, les organismes qui mettraient en place ces correspondants seront exonérés des traditionnelles procédures de déclaration de leurs fichiers. Christophe Pallez, secrétaire général de la CNIL, estime que ces correspondants devront veiller, au sein de la société qui les emploie, au respect de bonnes pratiques et participeront, en outre, à "la sensibilisation" des personnels aux problématiques liées aux fichiers.

ALLÉGEMENTS DE PROCÉDURE

En exemptant ces sociétés de déclarer leurs fichiers, les associations craignent que l’amendement Türk ne contribue à "vider la loi de sa substance", selon l’expression de Pierre Suesser, un des représentants de l’intercollectif Delis. Paradoxe : l’auteur de l’amendement, Alex Türk, n’est autre que... le président de la CNIL, depuis février.

Ces correspondants, note M. Suesser, "n’auront que peu d’influence puisqu’ils n’auront pas, à la manière des responsables syndicaux, le statut d’employés protégés". La création d’un tel statut, répond M. Pallez, "aurait dissuadé les entreprises de nommer de tels correspondants" et "aurait tué dans l’œuf la possibilité d’alléger et d’assouplir le système actuel, beaucoup trop lourd à gérer".

Ces allégements de procédure sont théoriquement compensés par l’attribution à la CNIL de nouveaux pouvoirs d’investigation et de sanctions. La Commission pourra ainsi infliger des amendes - jusqu’à 300 000 euros - en cas de manquement. Jusqu’alors, la CNIL pouvait simplement dénoncer au parquet des activités présumées délictueuses ou adresser des "avertissements" relativement indolores à des entreprises. "L’institution de nouveaux pouvoirs part d’un bon sentiment, mais la CNIL risque de se transformer en un organisme voué à gérer du contentieux, ce dont elle n’a ni la vocation ni les moyens", estime un ancien membre.

Autre sujet de crispations, la réforme ouvre aux personnes morales la possibilité de relever et de ficher des infractions qui leur sont préjudiciables. Les sociétés d’auteurs et les ayants droit pourront légalement constituer des fichiers d’internautes suspectés de télécharger gratuitement de la musique sur les réseaux d’échange en ligne. Une disposition "très dangereuse", selon Meryem Marzouki, présidente de l’association Iris, car "elle remet en cause le droit d’accès aux données fichées". Cette disposition, ajoute Mme Marzouki, "ne permettra aucun contrôle sur les informations collectées". Cette mesure s’apparente, selon les associations, à une autorisation de collecter des données personnelles sans le consentement des intéressés. En outre, ces bases d’infractions risquent, selon eux, d’aboutir à la création de casiers judiciaires privés.

Cependant, précise M. Pallez, "la création des fichiers d’infractions sera, dans le cas de la protection du droit d’auteur, encadrée par la CNIL". Des textes législatifs ultérieurs devront préciser les situations ne concernant pas les violations du droit d’auteur.