30 ans de protection des données

Article publié sur le webzine Le Cogiteur le 27 janvier 2008.

La loi "informatique et libertés" fête ses trente ans, quatre ans après une refonte qui l'a actualisée.

Le 6 janvier 1978 restera dans les annales comme le jour où la Loi a protégé, pour la première fois, les données personnelles. A cette époque, la France est très en avance sur la question. La protection de ces données personnelles est confiée à une nouveauté juridique destinée à proliférer (une autorité administrative indépendante), la CNIL (Commission Nationale Informatique et Libertés). 30 ans après, la CNIL souffre toujours de moyens insuffisants pour remplir toutes ses missions.

Tout commence par un scandale


Le 21 mars 1974, le journal Le Monde, le quotidien de référence français, publia un article qui changea l'histoire de l'informatique en France. Cet article était intitulé « Safari ou la chasse aux Français ». Safari (Système Automatisé pour les Fichiers Administratifs et le Répertoire des Individus), n'était qu'une centralisation des fichiers INSEE auparavant régionaux mais les usages possibles du système inquiétaient. Le scandale est énorme et, déjà, on constate à ce moment que seuls les fichiers d'Etat semblent constituer un véritable danger. Il est vrai que, à l'époque, un ordinateur coûte cher et traiter de grandes quantités d'informations pratiquement impossible pour un acteur privé, en dehors d'entreprises au dessus de tous soupçons comme les banques...
Dès le début des années 1970, Michel Poniatowski avait émis l'idée d'une sorte de tribunal de l'informatique. Lorsqu'éclate le scandale Safari, il est ministre de l'intérieur et se retrouve logiquement avec la mission de porter la nouvelle loi dont la nécessité fait l'objet d'un consensus. Malgré les fortunes diverses de la carrière politique des uns et des autres, cette loi deviendra la loi du 6 janvier 1978. Du « tribunal » envisagé en 1970, on était passé à la CNIL (Commission Nationale de l'Informatique et des Libertés), au rôle plus pédagogique et de contrôle que de sanction.
Cette première "loi informatique et libertés", dont l'objet est de protéger les fichiers nominatifs ou pseudo-nominatifs, distingue nettement d'une part les fichiers publics -très surveillés- et les fichiers privés -simplement soumis à déclaration. Big Brother est plus redouté, à cette époque de Guerre Froide, que le spameur ou l'assureur indiscret.
De plus, l'autorité administrative indépendante est un outil pour le moins innovant, à la légitimité douteuse dans l'ordre constitutionnel, qui incite donc à la méfiance et qui n'a d'ailleurs pas épuisé tous les doutes à son sujet. La CNIL, première du genre, est donc davantage un centre bureaucratique enregistrant des milliers de déclarations de fichiers nominatifs plutôt qu'un véritable organisme de contrôle doté de pouvoirs autonomes. En particulier, les irrégularités constatées par la CNIL sont donc à cette époque uniquement l'objet de dénonciations au Parquet, qui classe sans suite la plupart des affaires.

La réforme de 2004


Mais l'informatique a grandement évolué au fil des années, notamment en se popularisant, et dès la fin des années 1990, une réforme de la loi de 1978 semble indispensable. Une directive européenne est promulguée. L'avance juridique française devient un retard. Finalement, c'est en 2004 que la réforme tant attendue aura lieu. Avec, au menu, beaucoup de changements. A commencer par le vocabulaire : d'une règlementation des fichiers nominatifs, on passe à la protection des données personnelles.
La multiplication des fichiers chez des acteurs les plus divers (à commencer par les particuliers, qui possèdent de plus en plus un carnet d'adresses électronique) est prise en compte par la nouvelle loi. La CNIL obtient donc le pouvoir de s'auto-désengorger et d'accorder des dispenses de déclarations pour des fichiers sans importance, dont le carnet d'adresses privé est l'exemple type.
Point essentiel : le privé et le public ne sont plus distingués en tant que tels, sauf sur les missions régaliennes de l'Etat (fichiers de justice en particulier). Il est enfin admis que Big Brother peut ne pas être un dictateur mais un directeur marketing ou un actuaire.
Par contre, la nature des fichiers est à l'origine d'une distinction fondamentale. Si le fichier est sensible (notamment s'il comporte des données biométriques ou judiciaires), il devra faire l'objet d'une autorisation préalable. Dans les autres cas, une simple déclaration suffira.
La CNIL obtient le droit de simplifier son travail : autorisations uniques pour traitements devant être autorisés mais tous similaires et dispenses de déclarations se multiplient, permettant à la CNIL de se libérer de tâches bureaucratiques peu pertinentes pour la défense des droits des citoyens pour se consacrer aux véritables problèmes. Notons cependant que ces autorisations uniques ou ces dispenses de déclarations sont précises : tout écart par rapport à la norme édictée par la CNIL supprime le bénéfice de la simplification et fait rebasculer le traitement de données personnelles considéré dans le cas général. L'exemple typique est le fichier des membres d'une association qui doit (notamment) être uniquement entre les mains des responsables élus et se voir purger de tous les non-recotisants (en application du fameux "droit à l'oubli") pour pouvoir bénéficier d'une dispense de déclaration.
Dans la même idée, la CNIL peut se voir relayée dans les organisations (entreprises, administrations, associations) par des correspondants à la protection des données personnelles (connus sous le nom impropre de "correspondants informatique et libertés"). Ces CPDP sont chargés de surveiller l'application de la loi sous le contrôle de la CNIL, ce qui allège d'autant le travail de l'autorité administrative.
Enfin, chose essentielle, la CNIL obtient en 2004 le pouvoir d'infliger des sanctions administratives par elle même en cas de manquements à la loi.