17/12/2015
The GDPR is finally coming: we're happy to offer an improved version of the text! (...détails...)
28/04/2014

La décision Conseil d'Etat "Foncia Groupe" du 12 mars 2014 consacre un important revirement d'analyse des relations "Informatique et Libertés" au sein d'un Groupe: la holding ou le siège, assurant la responsabilité réelle, in concreto, du traitement, n'est plus considéré comme sous-traitant, mais bien comme responsable légal du traitement pour l'ensemble de ses filiales.

(...détails...)
21/03/2014
Vous pouvez désormais louer RETIL, sans acquérir de licence ni l'installer sur vos serveurs.
(...détails...)
27/01/2014
Voici les supports de la présentation de ce 27 janvier 2014 à la toujours intéressante Université de l'AFCDP. Merci de votre attention durant cet atelier !
19/04/2013
La délibération CNIL 2013-075 du 28 mars 2013 labellise notre formation "Correspondant Informatique et Libertés".
(...détails...)

Toutes les news

Loi Informatique et Libertés

La loi 78-17 du 6 janvier 1978, "relative à l'informatique, aux fichiers et aux libertés", ou plus couramment "Loi Informatique et Libertés", a été et demeure le texte fondateur de la protection des données personnelles en France.

La loi a été initiée en réaction aux craintes suscitées par l'informatique alors naissante - et en particulier face au projet "SAFARI", qui en 1974 prévoyait d'intégrer fichiers de police, cadastre, fichiers des impôts et du ministère du travail. Un article du Monde du 21 mars 1974, "SAFARI ou la chasse aux Français", déclencha de violentes réactions envers le gouvernement - le sujet demeura après le décès du Président Pompidou.

Malgré le développement inégalé de l'informatique, cette loi est demeurée inchangée jusqu'en 2004 - le Parlement a alors transposé la Directive Européenne 95/46/CE de 1995, changeant la loi historique. On parle dès lors de "loi de 1978 modifiée".

La loi organise la protection des citoyens face aux fichiers, autour d'un principe et d'une idée-force; elle définit des critères de conformité et un organe de contrôle, la Commission nationale de l'informatique et des libertés: la CNIL, partie la plus visible du domaine.

L'article Premier: une déclaration universelle de principe

« L'informatique doit être au service de chaque citoyen. Son développement doit s'opérer dans le cadre de la coopération internationale. Elle ne doit porter atteinte ni à l'identité humaine, ni aux droits de l'homme, ni à la vie privée, ni aux libertés individuelles ou publiques. »

Cet article contient l'ensemble des principes définis par la loi; tout le reste en découle. Il a une portée réelle: la CNIL s'y réfère parfois lors de ses décisions, lorsque les autres critères, plus techniques, ne suffisent pas à affirmer sa position.

Il est assez régulièrement question d'inscrire cet article au Préambule de la Constitution.

La transparence, idée maîtresse

Le législateur définit la transparence comme la solution démocratique au problème du contrôle du risque: s'ils sont informés des fichiers contenant leurs données, les citoyens pourront éviter toute atteinte à leurs libertés; à l'opposé, tout fichier caché constitue une menace.

Cette idée de transparence fonde de nombreuses obligations: les projets de loi portant sur la mise en oeuvre de fichiers, préparés par le gouvernement, sont soumis à un avis de la CNIL; les collectivités locales doivent délibérer de leurs projets de mise en oeuvre de fichiers publics et attendre un avis de la CNIL avant mise en oeuvre; les entreprises et ces mêmes collectivités doivent déclarer tous leurs fichiers à la CNIL, qui en avise les citoyens sur simple demande, leurs permettant ainsi d'exercer ce contrôle démocratique. La réforme de 2004 a permis aux responsables de fichiers de remplacer ces "déclarations CNIL" au moyen d'un "Correspondant Informatique et Libertés", chargé de tenir un Registre de ces "traitements" - et de le transmettre à toute personne en faisant la demande.

Il en résulte également les fameuses "mentions légales", théoriquement présentes sur tout formulaire papier ou internet: "en application de la loi informatique et libertés, vous disposez d'un droit d'accès, de rectification et d'opposition...": la loi prévoit que le citoyen, le client, le salarié, auquel la CNIL a indiqué l'existence d'un fichier, puisse accéder au contenu pertinent de ce fichier, afin de vérifier qu'il ne contient que des informations proportionnées et exactes. Les données personnelles sont et demeurent la propriété des personnes concernées; il est donc normal qu'elles puissent contrôler l'utilisation qui en est faite.

Des critères de conformité

Le principe de transparence impose que le traitement soit être porté à la connaissance des personnes lors de la collecte des données ; l'objectif du traitement, sa finalité, doit ainsi être défini, écrit et communiqué; cette finalité ne peut évoluer que sous certaines conditions.

Chaque loi traitant des libertés publiques doit ménager l'exercice des autres libertés : la loi Informatique et Libertés prévoit donc un régime spécifique pour les données traitées par les partis politiques, les syndicats, les églises, les associations : les libertés politiques, syndicales, religieuses, d'association ne doivent être restreintes. Par ailleurs, tout usage des données relatives à l'exercice de ces libertés est très strictement encadré.

La loi définit des critères de fond: le traitement doit être licite, son objet ne doit pas être illégal; le responsable du traitement doit avoir un intérêt légitime à le mettre en oeuvre - le traitement doit être en lien avec son objet social, il faut une "bonne raison" de traiter ces données ; les outils mis en oeuvre doivent respecter les personnes, être proportionnés aux enjeux du traitement, les données doivent être "adéquates, pertinentes et non excessives".

Certaines informations sont plus intimes que d'autres - les préférences sexuelles d'une personne doivent être plus protégées que son parfum de glace préféré: la loi interdit de traiter les "informations sensibles" relatives aux opinions politiques, philosophiques, religieuses, l'appartenance syndicale des personnes, à leur santé, à leur vie sexuelle,  à leurs éléments biométriques, sous réserve d'une Autorisation accordée par la loi ou par la CNIL - dans ce cas sur la base d'un solide dossier. De même, les informations relatives aux infractions et aux mesures de sûreté sont réservées à l'Etat et aux auxiliaires de justice.

Du fait de l'origine de la loi, l'utilisation du numéro "d'identification au répertoire" (national des personnes physiques), dit NIR ou plus souvent "Numéro de sécurité sociale", est également interdit par principe, sous réserve d'autorisation. Cette historique particulier conduit également à traiter de "sensibles" les procédés d'interconnexion de données issues de traitements servant des finalités distinctes.

La loi Informatique et Libertés définit également des critères de conformité plus concrets: les données doivent être "exactes, complètes et mise à jour"; elles ne doivent être traitées que pendant une durée compatible avec la finalité du traitement; le responsable de traitement doit assurer la sécurité des données qui lui sont confiées, et veiller à "empêcher qu’elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès"; enfin, ces données n'étant qu'imparfaitement protégées en dehors de l'espace économique européen, les transferts internationaux de données sont également soumis à des règles spécifiques (critère de territorialité).

Dans la démarche de conformité, la transparence est également le dernier de ces critères: un fichier n'est légal et ne peut produire d'effets juridiques que lorsqu'il est notifié à la CNIL; cette notification sera actualisée. La notification peut prendre la forme d'une Déclaration, voire d'une Autorisation pour les traitements portant sur des données sensibles; la CNIL peut également définir des dispenses de déclaration (ainsi pour la tenue d'une comptabilité générale), ainsi que des normes simplifiées pour certaines catégories de traitements (on parle alors de déclaration simplifiée, d'autorisation unique et d'engagement de conformité).

Le secteur public, collectivités et administrations, est en outre soumis à des procédures d'avis et de règlement unique.

Depuis 2005, le Correspondant Informatique et Libertés (CIL) est une alternative à ces formalités de déclaration : lorsqu'il est désigné, la plupart des déclaration à la CNIL sont remplacées par une inscription au Registre des traitements dont il a la charge.

Bien plus qu'un simple scribe, le Correspondant Informatique et Libertés est chargé de veiller à la conformité des traitements : il veille donc à leur conformité aux critères établis par la loi, tels que présentés ci-dessus.

La CNIL, organe de contrôle et de régulation

La Commission nationale de l'informatique et des libertés est créée par l'article 11 de la loi: ses attributions, son organisation, ses moyens sont définis par la loi et ses textes d'application.

Il est donc préférable de parler de "conformité à la loi Informatique et Libertés" que de "conformité à la CNIL"...

  • 3F
  • Alptis
  • ADREA
  • ATEN
  • Bosch
  • British Telecom
  • CE Ile de France
  • CCI Morbihan
  • CG Calvados, Seine-Maritime...
  • c-m-a
  • CNCC
  • Collège de France
  • Conseils Régionaux
  • Eiffage
  • EADS
  • ESSEC
  • Groupe Casino
  • Galeries Lafayette
  • ividence
  • Mutuelle.fr
  • Paris Habitat
  • Universités
  • UDAF 42
  • URSSAF 83
  • Vinci Energies
Membre de l'AFCDP
Membre de l'IAPP
Membre fondateur de Privacy Europe