B. UN NIVEAU DE PROTECTION DES PERSONNES REHAUSSÉ
1. Une crainte infondée d'une baisse du niveau de protection liée aux allègements de formalités préalables
Le projet de loi soumet les traitements automatisés, publics ou privés, à un simple régime de déclaration préalable auprès de la CNIL (article 22 de la loi du 6 janvier 1978 modifié par l'article 4).
Ce relâchement du contrôle auparavant exercé sur les fichiers publics a pu inquiéter.
Par ailleurs, les traitements dits de souveraineté ayant pour fins la sécurité, la sûreté publiques ou la défense nationale (article 26 modifié) seront désormais mis en oeuvre par décret, après simple avis de la CNIL. Pourront donc être mis en oeuvre malgré un avis défavorable de la CNIL les fichiers de police, de justice, les fichiers comportant le numéro de sécurité sociale ou nécessitant sa consultation, ainsi que les interconnexions de fichiers nécessaires à l'établissement ou au recouvrement de l'impôt, c'est-à-dire des fichiers concernant la totalité ou la quasi-totalité de la population française.
La contrepartie sera la publication de l'avis de la CNIL, sauf disposition contraire expresse.
En outre, le projet de loi prévoit des possibilités de déclaration simplifiée, voire d'exonération totale de déclaration (s'agissant notamment du traitement des données relatives aux membres et correspondants d'associations ou de partis politiques et les traitements ayant pour objet la tenue d'un registre public destiné à l'information du public, comme les listes électorales et le registre du commerce et des sociétés).
La question s'est posée de savoir si cette réorientation vers un régime de déclaration des traitements plutôt que vers un régime d'autorisation constituait pour la France un abaissement du niveau de protection.
En effet, la directive prévoit dans son considérant 10 que le rapprochement des législations nationales ne doit pas conduire à un affaiblissement de la protection qu'elles assurent, mais au contraire garantir un niveau élevé de protection dans la Communauté.
De même, le Conseil constitutionnel a souligné que les garanties des libertés, une fois affirmées, ne devaient pas connaître un abaissement ultérieur. C'est ce que l'on appelle l'« effet de cliquet » 11 ( * ) .
Cependant, force est de constater que si le champ des autorisations pour le secteur public se réduit, certaines catégories de traitements privés seront mieux appréhendées.
Le principal inconvénient réside en fait dans la multiplication par le projet de lois des procédures d'autorisation applicables, en l'absence de toute préconisation en ce sens de la directive. Il s'ensuit une réelle complexification du droit, puisque les traitements pourront désormais être autorisés par la CNIL, par le Conseil d'Etat après un simple avis motivé et publié de la CNIL, ou par simple arrêté ministériel.
La garantie des droits des personnes parait en fait renforcée par le projet de loi, tant d'un point de vue direct qu'indirect.
2. Une amélioration directe de la protection des droits des personnes
Actuellement, la protection des personnes repose principalement par l'exercice de leurs droits d'accès, d'opposition et de rectification, dont on a vu précédemment qu'ils étaient en pratique limités.
Le projet de loi prévoit donc des améliorations directes des droits des personnes concernées par des traitements de données à caractère personnel :
- en substituant à la notion d'informations nominatives la notion plus large de données à caractère personnel ;
- en incluant les données de santé dans les données dites sensibles dont le traitement est en principe interdit (article 8 modifié de la loi de 1978) ;
- en prévoyant une information obligatoire des intéressés en cas de collecte indirecte des données traitées (relative à l'identité du responsable, la finalité poursuivie par le traitement, le caractère facultatif ou obligatoire des réponses, ainsi que le destinataire des informations), à l'exception des traitements de souveraineté ;
- en supprimant l'exigence de justification d'une raison légitime pour exercer le droit d'opposition , ce droit devenant discrétionnaire (sous réserve des traitements répondant à une obligation légale) et pouvant être exercé sans frais s'agissant des données utilisées à des fins de prospection, notamment commerciale (article 38 modifié de la loi de 1978) ;
- en améliorant l'exercice du droit d'accès indirect (exercé par un membre de la CNIL pour le compte de la personne s'agissant des fichiers intéressant la sûreté de l'Etat, la défense et la sécurité publique), la CNIL pouvant désormais, avec l'accord du responsable, communiquer les données ou les résultats si cette communication ne met pas en cause la finalité poursuivie par ces traitements (article 41 modifié).
3. Une protection des personnes indirectement renforcée par l'extension des pouvoirs d'investigation de la CNIL
La limitation des formalités préalables doit permettre à la CNIL de se concentrer sur les traitements présentant des risques particuliers pour les libertés (article 25 modifié) et d'opérer un contrôle plus approfondi, notamment sur les traitements comportant des données relatives aux difficultés sociales ou biométriques des personnes.
Si la composition de la CNIL est peu modifiée par l'article 3 du projet de loi (le Conseil économique et social ne désignant plus qu'un commissaire au lieu de deux, le second étant remplacé par une personnalité qualifiée pour sa connaissance en informatique), son mode de fonctionnement est amené à évoluer pour plus d'efficacité . Ainsi, il est créé une formation restreinte , tandis que le bureau est officialisé.
Néanmoins, le projet de loi se distingue surtout par les pouvoirs d'investigation accrus dont il dote la CNIL, ainsi que les pouvoirs de sanction administrative qui lui sont désormais reconnus, dont le pouvoir de prononcer des sanctions pécuniaires .
Les membres de la CNIL et ses agents peuvent ainsi se rendre, entre 6 heures et 21 heures, dans tout local servant à la mise en oeuvre d'un traitement de données à caractère personnel, à l'exclusion des parties de celui-ci affectées au domicile privé, et se faire communiquer toute pièce utile à leur mission, le délit d'entrave à l'action de la CNIL étant puni d'un an d'emprisonnement et de 15.000 euros d'amende (article 8 du projet).
Le président de la CNIL se voit mieux associé aux procédures judiciaires, et peut saisir le président du tribunal d'instance en référé.
En outre, innovation majeure, la CNIL est habilitée à prononcer des sanctions administratives graduées. Elle pourra ainsi prononcer des avertissements, des mises en demeure ou des injonctions de cesser le traitement à l'égard du responsable contrevenant aux dispositions de la loi (article 7 du projet), et, à l'issue d'une procédure contradictoire, prononcer une sanction pécuniaire, dont le montant doit être proportionné à la gravité des manquements commis et aux avantages retirés, le plafond étant fixé à 150.000 euros pour un premier manquement et 300.000 euros en cas de récidive, dans la limite de 5 % du chiffre d'affaires.
Néanmoins, ces nouvelles mesures s'accompagnent d'un abaissement du quantum des sanctions pénales encourues par les responsables de traitements (article 14 du projet), qui passent de cinq ans d'emprisonnement et 300.000 euros d'amende à trois ans d'emprisonnement et 45.000 euros d'amende, conformément aux recommandations du rapport de M. Guy Braibant.
Par ailleurs, la CNIL est encouragée à développer sa mission de conseil des entreprises , notamment en portant une appréciation sur les règles déontologiques que pourront décider de lui soumettre les organismes professionnels intéressés, afin de prévenir tout manquement (article 11 modifié).
* 11 dont le Conseil constitutionnel a fait une première application dans sa décision du 20 janvier 1984 relative aux libertés universitaires et qui fut constamment réaffirmée par la suite (par exemple décision du Conseil constitutionnel 210 DC du 29 juillet 1986 relative au statut des entreprises de presse).