Les lois "Informatique et Liberté" en France, en Europe et dans le monde

I - LA GENESE

"L'informatique doit être au service de chaque citoyen. Son développement doit s'opérer dans le cadre de la coopération internationale. Elle ne doit porter atteinte ni à l'identité humaine, ni aux droits de l'homme, ni à la vie privée, ni aux libertés individuelles ou publiques".
(Article 1er de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés)

A la fin des années soixante, des chercheurs ont mis en avant les risques liés aux libertés publiques du fait du développement de l'informatique, notamment dans les administrations publiques.
En se dotant, en 1978, d'une législation spécifique en matière d'informatique et de liberté ainsi que d'une autorité indépendante de contrôle, la France figure dans le "trio de tête" après le Land de Hesse (Allemagne) en 1970 et la Suède en 1976.
Le but de cette législation était de reconnaître des droits nouveaux au profit des citoyens à l'égard des grands systèmes centralisés d'informations dont les administrations commençaient à se doter.

"Dans quelques années le citoyen sera totalement incapable de contrôler l'utilisation pratique et généralisée des renseignements fournis par le matériel informatique" (M. Poniatowski, proposition de loi tendant à la création d'un Comité de surveillance et d'un Tribunal de l'informatique enregistrée à la Présidence de l'Assemblée Nationale le 30 octobre 1970. Annexe au procès-verbal de la séance du 25 novembre 1970. N° 1454 Assemblée Nationale première session ordinaire de 1970-1971).

"Il est également évident que la faculté de mémoire de ces mêmes ordinateurs et la rapidité d'exploitation des renseignements qu'ils enregistrent en font de redoutables "enquêteurs" dont nous ne pouvons savoir pour quels motifs ils seront utilisés" (H. Cavaillet, proposition de loi tendant à créer un Directoire et un Tribunal de l'informatique. Annexe au procès-verbal de la séance du 2 avril 1974. N° 144 sénat seconde session ordinaire de 1973-1974).

En janvier 1974, les Etats-Unis adoptèrent un Privacy Act limité aux fichiers détenus par les administrations fédérales et prévoyant un droit d'accès pour les citoyens.
C'est aussi en 1974 qu'en France se révéla une réelle prise de conscience avec la révélation au public, du projet d'élaboration d'un "Système Automatisé pour les Fichiers Administratifs et le Répertoire des Individus" - S.A.F.A.R.I. (article du journal "Le Monde" du 21 mars 1974 intitulé : "S.A.F.A.R.I. ou la chasse aux français").
Ce système prévoyait l'institution d'un identifiant unique (n° sécurité sociale) pour interconnecter les fichiers publics (dont les renseignements généraux, la direction de la sécurité du territoire et la police judiciaire).
Devant l'indignation que provoqua ce projet, le Premier ministre le retira et créa une commission présidée par M. Chenot qui fut chargée de proposer des mesures tendant à concilier le développement de l'informatique dans les secteurs public, semi-public et privé et le respect de la vie privée, des libertés individuelles et des libertés publiques. Son rapport, rédigé par MM. Bernard Tricot et le professeur Pierre Catala, remis en juin 1975, inspira la fameuse loi du 6 janvier 1978 "Informatique, fichiers et libertés".

Au début des années 80, la multiplication de lois comparables en Europe suscita la crainte de certains états que les législations sur la protection des données n'entravent la libre circulation et les échanges commerciaux dont elles font l'objet.
C'est ainsi que le 23 septembre 1980, l'OCDE adopta "les lignes directrices régissant la vie privée et le flux transfrontalières des données à caractère personnel".

Le 28 janvier 1981, le Conseil de l'Europe adopta la convention internationale n° 108 soumise à ratification des états, consacrant les principes "informatique et liberté" inspirés par la loi française.
Entrée en vigueur le 1er octobre 1985, cette convention évoquait en préambule "la nécessité de concilier les valeurs fondamentales du respect de la vie privée et de la libre circulation de l'information entre les peuples".

En 1990, l'ONU adoptait à son tour des "lignes directrices pour la réglementation des fichiers de données personnelles automatisée" (Résolution n° 45/95 du 14 décembre 1990) établissant les garanties minimales s'appliquant aux fichiers publics et privés devant figurer dans les législations nationales.
Le premier instrument international à recommander la mise en place d'une autorité de contrôle était né bien qu'il était dépourvu de valeur juridique obligatoire.

Enfin l'article XIV de l'accord du 15 avril 1994 établissant l'Organisation Mondiale du Commerce dispose que "sous réserve que ces mesures ne soient pas appliquées de façon à constituer soit un moyen de discrimination arbitraire ou injustifiable entre les pays où des conditions similaires existent, soit une restriction déguisée au commerce des services, (le présent accord) n'empêche pas l'adoption ou l'application de mesures nécessaires pour assurer le respect des lois et règlements qui ne sont pas incompatibles avec les dispositions du présent accord, y compris celles qui se rapportent à la protection de la vie privée des personnes pour ce qui est du traitement et de la discrimination des données personnelles, ainsi qu'à la protection du caractère confidentiel des dossiers et comptes personnels".

On distingue dès lors deux points de vue, certes compatibles, mais correspondant néanmoins à deux sensibilités différentes. Tandis que les droits allemands, français ou suédois font de la protection de l'individu face aux dangers de l'informatique une fin en soi, les droits international et européen font de cette protection la contrepartie du principe de libre circulation de l'information.

Le 24 octobre 1995, l'Union Européenne adopta la directive n° 95/46/CE relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données (JO n° L. 281 du 23 novembre 1995 - pages 0031 à 0050).
Cette directive tendait à assurer un niveau de protection harmonisé entre états membres. A ce jour, 15 états membres disposent d'une loi "informatique et liberté" ainsi que d'une autorité de contrôle indépendante.
Régulièrement, ces autorités indépendantes se réunissent à Bruxelles aux fins d'harmonisation de leurs pratiques ou recommandations au sein d'une instance qui se prononce par des avis destinés à la Commission Européenne et qui rend public un rapport annuel d'activité.
Cette instance qui ne représente par les gouvernements des Etats membres mais leur autorité de contrôle est appelée "le groupe de l'article 29", par référence à l'article de la directive européenne qui l'institue.

De nombreux pays européens non-membres de l'Union ont adopté des lois et des garanties similaires à celles reconnues par les Etats membres (Islande, Suisse, Monaco). Les pays d'Europe centrale et orientale ont en outre souhaité manifester leur adhésion aux principes démocratiques et aux droits de l'Homme, à la fin des années 1990, en reconnaissant tout particulièrement un droit d'accès aux archives des polices politiques qui avaient marqué les années noires. C'est autour du droit d'accès aux fichiers publics que ces législations ont vu le jour.
La Hongrie, la Lettonie, la Lituanie, la Pologne, la République Tchèque se sont ainsi dotées non seulement d'une loi générale mais aussi d'une autorité indépendante de contrôle des fichiers.

Au-delà de l'Europe, des Etats aussi différents que l'Australie, le Canada, Hong-Kong, la Nouvelle Zélande, l'Argentine sont également dotés d'une loi et d'une autorité indépendante de contrôle. D'autres Etats ont fait le choix d'adopter une législation de garanties, quelquefois limitée au seul secteur public, sans instituer une autorité indépendante de contrôle ; il revient alors aux juridictions judiciaires de sanctionner la méconnaissance des droits reconnus. Tel est le cas pour la Corée du Sud, le Japon, le Paraguay, la Russie, la Slovaquie, Taiwan, la Thaïlande ainsi que les Etats-Unis pour les seules informations détenues par les administrations fédérales.

II - LA TRANSPOSITION DE LA DIRECTIVE EUROPEENNE N° 95/46/CE DU 24 OCTOBRE 1995 ET LA MODIFICATION DE LA LOI N° 78-17 DU 6 JANVIER 1978

A) GENERALITES

La Directive n° 95/46/CE du Parlement Européen et du Conseil relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données est entrée en vigueur le 25 octobre 1998.
Elle à pour objectif d'établir un cadre réglementaire visant à trouver une stabilité entre un niveau élevé de protection de la vie privée des personnes dans tous les Etats membres et la libre circulation des données à caractère personnel au sein de l'Union Européenne.

En ce qui concerne la mise en oeuvre de la directive, la première série de pays qui l'appliquèrent furent la Grèce et l'Italie avec une transposition de la directive dans son intégralité. Dans une deuxième série nous trouvons l'Espagne, le Portugal, la Finlande, la Suède et le Royaume-Uni avec des mesures de transpositions partielles de la directive et la mise en place par ces pays de mesures complémentaires. Dans les autres pays des études et des mesures de transposition de la directive devant les Parlements nationaux ont été prises. Néanmoins, le 11 janvier 2000, la Commission Européenne a décidé d'engager une action en justice contre la France, le Luxembourg, les Pays-Bas, l'Allemagne et l'Irlande pour non-notification des mesures de transposition nationales de la directive sur la protection des données. Cette mesure représente la troisième étape formelle de la procédure d'infraction prévue par l'article 226 du traité de la Communauté Européenne (1).

(1) Art 226 CE : "Si la Commission estime qu'un Etat membre a manqué à une des obligations qui lui incombent en vertu du présent traité, elle émet un avis motivé à ce sujet, après avoir mis cet Etat en mesure de présenter ses observations. Si l'Etat en cause ne se conforme pas à cet avis dans un délai déterminé par la Commission, celle-ci peut saisir la Cour de Justice".

En ce qui concerne l'application de la directive, le commissaire européen du marché unique, M. Mario MONTI, a indiqué qu'en dépit du fait que les procédures d'application n'avaient pas encore été finalisées dans certains Etats membres, la directive serait applicable à partir du 25 octobre 1998. Il a également déclaré : "L'entrée en vigueur de cette directive constitue une bonne nouvelle pour les citoyens, qui bénéficieront de garde-fous pour toutes les données détenus sur eux, et pour les opérateurs économiques, qui profiteront de la libre circulation des informations et du renforcement de la confiance des consommateurs".

B) UNE TRANSPOSITION LONGTEMPS ATTENDUE ET S'OPERANT DANS LE CADRE DE LA LOI DU 6 JANVIER 1978

L'article 189 du traité instituant la Communauté Européenne prévoit que "la directive lie tout Etat membre quant aux résultats à atteindre, tout en laissant aux instances nationales la compétence quant à la forme et aux moyens".
Un texte national de transposition est donc nécessaire.
L'article 32 de la directive indique que "les Etats membres mettent en vigueur les dispositions législatives, réglementaires et administratives nécessaires pour se conformer à la présente directive au plus tard à l'issue d'une période de trois ans à compter de son adoption", soit le 24 octobre 1998.

Force est de constater que plus de cinq ans après l'expiration de ce délai, sa transposition n'est toujours pas assurée, ce qui expose la France à des recours en manquement de la part de la Commission Européenne.
De plus, cette situation est source d'insécurité juridique, puisque des personnes physiques ou morales sont fondées à se prévaloir de l'effet direct des directives à l'encontre de l'Etat après l'expiration du délai de transposition.

Le cas de cette directive n'est pas isolé et ne constitue pas une exception puisque la France est en queue des pays européens (suivi de très près par l'Italie) avec des retards de transposition atteignant parfois deux ans.
Selon un rapport émanant de l'Assemblée Nationale, la France devait encore, au 30 juin 2003, effectuer la transposition de 84 directives européennes.
Le travail préparatoire à la transposition de la directive n° 95/46/CE avait pourtant débuté dès la fin de l'année 1995.
Un premier rapport demandé par le Gouvernement de M. JUPPE à deux membres du Conseil d'Etat, et remis le 17 octobre 1996, prévoyait des mesures favorables à l'interconnexion la plus large possible des fichiers administratifs et sociaux. Ayant fait l'objet de vives critiques sur Internet et dans certains journaux, le Gouvernement a suspendu le processus engagé, la dissolution de l'Assemblée Nationale en 1997 entraînant l'abandon du projet.
M. Lionel JOSPIN a ensuite confié le 25 août 1997 à Hourtin à M. Guy BRAIBANT, Président de section honoraire au Conseil d'Etat, une mission de réflexion et de propositions préalables à l'élaboration d'un avant-projet de loi de transposition.

Après la remise de ce rapport le 3 mars 1998 (2), il s'est encore écoulé près de quatre ans avant que l'Assemblée Nationale n'examine le texte en première lecture le 30 janvier 2002...

(2) Données personnelles et société de l'information, rapport au Premier ministre de M. Guy BRAIBANT, la documentation française, 2ème trimestre 1998.

C) LES DIFFERENTES MODIFICATIONS DE LA LOI N° 78-17 DU 6 JANVIER 1978

De nombreux textes modifient la loi de 1978. Il s'agit notamment des lois suivantes :
- n° 88-227 du 11 mars 1988 (JO du 12 mars 1988 - page 3290),
- n° 92-1336 du 16 décembre 1992 (JO n° 298 du 23 décembre 1992 - page 17568),
- n° 94-548 du 1er juillet 1994 (JO n° 152 du 2 juillet 1994 - page 9559),
- n° 99-641 du 27 juillet 1999, (JO n° 172 du 28 juillet 1999 page - 11229)
- n° 2000-321 du 12 avril 2000, (JO n° 88 du 13 avril 2000 page - 5646)
- n° 2002-303 du 4 mars 2002, ( JO n° 54 du 5 mars 2002 page - 4118)
- n° 2003-239 du 18 mars 2003 (JO n° 66 du 19 mars 2003 page - 4761)
- Et enfin de la nouvelle loi n° 2004-801 du 6 août 2004 (JO n° 182 du 7 août 2004 - p. 14063)

Pendant plus de deux ans (de janvier 2002 à juillet 2004), de nombreux travaux parlementaires furent élaborés pour aboutir à l'adoption de la nouvelle loi n°2004-801 du 6 août 2004 relative à la protection des personnes physiques à l'égard des traitements de données à caractère personnel et modifiant la loi n°78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés. Cette loi est entrée en vigueur le 8 août 2004.

Cette loi nouvelle permet la régularisation de deux actions : elle permet, d'une part, la transposition de la directive européenne n° 95/46 du 24 octobre 1995, relative à la protection des personnes physiques à l'égard du traitement de données à caractère personnel et à la libre circulation de ces données et, d'autre part, d'adapter la réglementation aux modifications technologiques survenues depuis la loi de 1978 en tenant compte notamment des nouveaux moyens de diffusion de la micro-informatique, à la multiplication des télétransmissions ainsi qu'au développement considérable d'Internet.

On notera à toutes fins utiles la décision n° 2004-499 DC du 29 juillet 2004 du Conseil Constitutionnel (JO du 29 juillet 2004).