La loi « Informatique et libertés » du 6 janvier 1978 n’interdit pas la création de fichiers nominatifs. Elle tend simplement à en réglementer la constitution et l’exploitation afin de protéger la vie privée des personnes qui figurent dans ces fichiers.
A cet effet, elle a instauré des droits pour les personnes qui figurent dans des fichiers et des obligations de ceux qui les créent. La Commission Nationale de l’Informatique et des Libertés (CNIL), autorité de contrôle indépendante, veille au respect de ces règles.

1. Droits des personnes collectées

La loi du 6 janvier 1978 reconnaît essentiellement 7 droits aux personnes collectées :
 Le droit à l’information préalable
Les fichiers ne doivent pas être créés à l’insu des personnes dont on va collecter certaines informations. Le contrôle par l’individu des données qui le concernent suppose nécessairement sa connaissance des fichiers dans lesquels il est recensé. C’est ce droit qui va conditionner l’exercice de tous les autres droits qui sont conférés à l’individu par la loi « Informatique et libertés ». Ainsi, lors de la collecte de données nominatives, la personne doit être informée du caractère obligatoire ou facultatif des réponses, des conséquences d’un défaut de réponse, des destinataires des informations, ainsi que de l’existence d’un droit d’accès (art. 27 de la Loi).
 Le droit de curiosité
La loi permet à toute personne justifiant de son identité d’interroger les services ou organismes chargés de mettre en œuvre les traitements automatisés pour savoir si ces traitements portent sur des informations nominatives la concernant et, le cas échéant, en obtenir communication (art. 34).
 Le droit d’accès direct
Ce droit d’accès direct donne à toute personne la possibilité de connaître l’existence ou non de données la concernant dans un fichier automatisé ou manuel et, si elle le désire, d’en obtenir communication. Il permet à l’individu de contrôler l’exactitude des données stockées sur son compte.
 Le droit d’accès indirect Certaines données nominatives ne sont pas directement accessibles par les personnes concernées mais sont néanmoins soumises à un contrôle indirect. Ainsi, un individu ne pourra obtenir communication des informations à caractère médical le concernant que par l’intermédiaire de son médecin.
 Le droit de rectification
Il apparaît nécessaire, toujours dans un souci de protection de l’individu, de lui offrir la possibilité de faire corriger les erreurs qu’il a pu constater à l’occasion de la communication des informations le concernant. Ainsi, en cas d’inexactitude, la personne peut exiger que ces informations soient rectifiées, complétées, mises à jour ou effacées. Si le fichier a été transmis à un tiers, la rectification ou l’annulation d’une information nominative doit être notifiée à ce tiers.
Ce droit ne dispense toutefois pas les détenteurs de fichiers de les rectifier d’office dès lors qu’ils détectent une exactitude.
 Le droit d’opposition
Toute personne peut décider elle-même de l’utilisation des données la concernant et a donc la possibilité de s’opposer à figurer dans certains fichiers ou de refuser la communication des informations qui la concernent à des tiers. L’association spirituelle de l’église de Scientologie d’Ile de France vient d’être condamnée le 17 mai dernier par le tribunal correctionnel de Paris à une amende de 8.000 € pour violation des dispositions impératives de la loi « Informatique et libertés », et délit d’entrave. Cette association avait conservé des données concernant des anciens membres sur des fichiers informatiques, et, alors qu’ils s’y étaient opposés et malgré l’intervention de la CNIL, avait continué à leur envoyer des courriers.
L’exercice de ce droit suppose toutefois l’existence de raisons légitimes Il ne s’applique pas à de nombreux traitements du secteur public.
 Le droit à l’oubli
La loi limite dans le temps la conservation des données nominatives stockées dans la mémoire des ordinateurs afin d’éviter, comme le précise la CNIL « d’attacher aux personnes des étiquettes définitives ».

2. Obligations à la charge des responsables de fichiers nominatifs

 Les formalités préalables à la constitution d’un fichier nominatif
Tout traitement automatisé d’informations nominatives doit avant sa mise en œuvre, être déclaré ou soumis à l’avis de la CNIL. La notion d’informations nominatives a été étendue par la Directive du 24 octobre 1995 à « toutes informations concernant une personne physique identifiée ou identifiable ».
Cette formalité consiste en un avis pour le secteur public.
En revanche, il s’agit d’un régime de déclaration pour le secteur privé. Cette déclaration est préalable à la mise en œuvre du traitement et doit être complétée par la suite pour toutes modifications qui entraîneraient une inadéquation de la déclaration initiale (notamment la finalité du traitement).
Le traitement ne peut être mis en œuvre qu’après délivrance du récépissé, document qui n’exonère toutefois le demandeur d’aucune de ses responsabilités.
En effet, la CNIL n’exerce aucun contrôle à priori de l’adéquation de la déclaration avec le traitement envisagé, de sorte qu’il est nécessaire avant d’effectuer toute déclaration d’analyser dans le détail le contenu et les finalités du traitement.
• Quel type de déclaration effectuer ?
Deux types de déclaration peuvent être effectuées auprès de la CNIL :
– la déclaration ordinaire qui concerne les traitements d’informations à caractère nominatif,
– la déclaration simplifiée qui vise les catégories les plus fréquentes de traitements. La CNIL a publié des normes simplifiées pour les fichiers qui ne comportent « manifestement pas d’atteinte à la vie privée ».
Ainsi, existe-t-il une norme simplifiée n° 11 qui concerne les traitements automatisés d’informations nominatives relatives à la gestion des fichiers de clients actuels et potentiels et qui intéressent bon nombre d’entreprises.
Il faut noter que ces normes simplifiées fixent des conditions extrêmement strictes et que dès lors que l’on s’en échappe, si peu soit-il, une déclaration supplémentaire sous la forme ordinaire s’impose.
• Que déclarer ?
Le responsable d’un fichier devra déclarer ses intentions à la CNIL.
Les déclarations ordinaires obligent à remplir des annexes. Elles doivent dans leur libellé, être le plus génériques possible pour englober tous les traitements qui seront envisagés.
Elles doivent en tout état de cause répondre aux dispositions de l’article 19 qui liste de façon exhaustive les informations qui doivent y figurer.
La rubrique « finalité » doit être remplie avec une attention toute particulière : la CNIL précise que le principe de finalité constitue une de ses premières préoccupations. Ainsi, un traitement d’informations nominatives est créé pour atteindre un certain objectif. Son contenu doit correspondre à cet objectif et ne pas servir à d’autres fins.
La CNIL précise que le choix des données que l’on décide d’enregistrer, la durée de leur conservation, et les catégories de personnes qui peuvent en avoir communication doivent être déterminés en fonction de la finalité du traitement.
Lors des formalités préalables auprès de la CNIL, le responsable d’un traitement doit indiquer clairement sa ou ses finalités.
• Qui doit signer la déclaration ?
La personne qui a décidé de mettre en œuvre un traitement nominatif devra signer la déclaration. Le signataire sera considéré comme juridiquement responsable du contenu de la déclaration.
Lorsque le traitement informatique est confié à un tiers, comme dans le cas de sous-traitance, la personne qui a le pouvoir de décider de la création du traitement en reste responsable et devra déclarer le traitement à la CNIL.
 Les obligations à respecter lors de la collecte d’informations
La loi condamne la collecte déloyale, frauduleuse ou illicite d’informations nominatives. Le responsable du traitement doit en conséquence :
– recueillir l’accord exprès (c’est-à-dire écrit) des personnes avant de collecter des données relatives à leur race, opinions philosophiques ou religieuses, leur appartenance syndicale ou leurs mÅ“urs…,
– s’interdire d’enregistrer les condamnations pénales considérées comme des données sensibles : la loi réserve en effet aux seules autorités publiques agissant dans le cadre de leurs attributions légales et sous réserve d’un avis conforme de la CNIL l’enregistrement de ces données,
– s’interdire d’utiliser comme source d’information des fichiers constitués à d’autres fins et dont l’accès est limité (« principe de finalité).
 Les obligations liées à l’exploitation d’un fichier nominatif
• maintien de la même finalité
Nous l’avons vu, chaque traitement automatisé est créé initialement pour une certaine finalité qui sera vérifiée par la CNIL lors des formalités préalables.
Lors de l’exploitation du fichier, la même finalité devra être maintenue. En cas de modification ou d’extension de la finalité, le responsable du traitement devra alors procéder à une déclaration complémentaire auprès de la CNIL.
• obligation de sécurité
L’article 29 de la loi « Informatique et libertés » oblige toute personne chargée d’effectuer un traitement d’informations nominatives à prendre « toute précaution utile afin de préserver la sécurité des informations et notamment d’empêcher qu’elles ne soient déformées, endommagées ou communiquées à des tiers non autorisés ». Ces précautions pourront résulter de la mise en place d’un mot de passe permettant de limiter l’accès au fichier ou tout autre moyen de sécurisation. Notons qu’il s’agit pour le responsable du traitement comme pour l’utilisateur d’une obligation de moyen mais, qu’en cas de litige, il faudra apporter la preuve des mesures adéquates qui ont été prises.
• conservation des données
La durée de conservation des données n’est pas prévue par les textes, le principe étant que la conservation doit être en cohérence avec la finalité poursuivie. Pour les traitements les plus courants, les normes simplifiées prévoient selon la nature et la finalité des traitements, une durée de conservation plus ou moins longue.
• mises à jour des données
L’obligation de ne pas maintenir des informations déformées ou erronées oblige à fiabiliser l’information et à tout mettre en oeuvre pour en assurer sa mise à jour.
• communication d’informations
Seules sont destinataires des informations contenues dans un traitement automatisé les catégories de personnes désignées lors des formalités préalables auprès de la CNIL. Pour les traitements les plus courants, les normes simplifiées désignent les destinataires des informations en précisant parfois les données que chaque catégorie de personnes est habilitée à recevoir.
• Commercialisation d’informations
Les transactions commerciales d’informations nominatives doivent respecter la loi « Informatique et libertés » dans son intégralité.

***

Le non-respect de ces dispositions est sanctionné pénalement, les sanctions prévues pouvant aller jusqu’à 5 ans d’emprisonnement et une amende de 300.000 €.

***

Enfin, précisons que l’Assemblée nationale a adopté en première lecture le 30 janvier 2002, le « projet de loi relatif à la protection des personnes physiques à l’égard des traitements de données à caractère personnel » modifiant la loi du 6 janvier 1978. Cette réforme place ainsi la législation française en conformité avec la directive européenne « Données personnelles » du 24 octobre 1995. Ce texte, qui n’est pas encore promulgué étend les pouvoirs de contrôle a posteriori et de sanction de la CNIL. Ce projet prévoit ainsi que la CNIL pourra prononcer des sanctions pécuniaires ou enjoindre le responsable du traitement de l’interrompre voire de procéder à sa destruction. La plus grande vigilance lors de la création et de l’exploitation des fichiers nominatifs est donc plus que jamais recommandée.

Caroline PARMENTIER et Martine RICOUART-MAILLET Avocats