Plan de cours détaillé sur la nouvelle loi « Informatique et Libertés » du 6 août 2004

Félix Paoletti membre du CREIS et enseignant à Paris 6 propose de ne pas suivre les chapitres de la nouvelle loi pour la présenter aux étudiants, mais de suivre la progression suivante :

I. Principe et définitions (Article 1 à 5)

Art 1 identique à 78

Art 2 définitions (données à caractère personnel, traitement de données à caractère personnel, fichiers de données à caractère personnel)

Art 3 responsable d’un traitement de données (notion nouvelle)

Destinataire d’un traitement de données

II. La CNIL (art 11à 21 plus article 44)

Définition, composition, missions (11 à 21)

III. Formalités préalables (art 22 à 31)

La Loi de 78 soulignait 3 cas, à présent il y en a 5.

Plus de distinction entre un fichier du domaine public et un fichier privé

Conseil : ne pas prendre ce chapitre article par article mais décrire les 5 cas :

1) Traitements pour lesquels la CNIL ne donne qu’un avis (art 26 et 27)

Sont concernés les traitements touchant la sûreté de l’Etat, la défense , la sécurité publique, le RNIPP, les données biométriques, un recensement de la population.
Les autorisations sont fixées par arrêté du ou des ministres compétents ou par décret en conseil d’Etat. L’avis de la CNIL est publié au JO en même temps. Mais ce n’est qu’un avis (le qualificatif de conforme de la loi de 78 a été supprimé)

2) Traitements soumis à autorisation à la CNIL (art 25)

Equivalent à la demande d’avis de la loi de 78, mais avec en plus le secteur privé. Il y a 8 cas listés dans l’article 25

La CNIL doit se prononcer dans un délai de 2 mois.

3) Traitements soumis à une déclaration ordinaire (art 23)

Le cas le plus général, équivalent à la loi de 78 (pour les fichiers du secteur privé), mais avec en plus le secteur public (sauf les traitements relevant de 1 et 2)

Peut être envoyé par courrier électronique

La CNIL envoie un récépissé

Pas de contrôle à priori de ces déclarations

4) Traitements soumis à une déclaration simplifiée (art 24)

Concernent les catégories les plus courantes de traitements de données à caractère personnel pour lesquels il existe une norme simplifiée (actuellement il y a 45 normes).

5) Traitement pour lesquels la CNIL n’aura aucune connaissance

- dispensés par la CNIL (par ex la paye, voir norme simplifiée 36 et 28)

- annuaires pour le public (art 22-2), par ex la liste électorale

- les associations ou tout autre organisme à but non lucratif et à caractère religieux, philosophique, politique ou syndical (art 22-2-2°)

- pour lesquels il existe un correspondant à la protection des données personnelles (art 22-3)

IV. Conditions de licéité des traitements de données à caractère personnel (art 6 à 10)

Nouveau : notion de finalité, dans la loi de 78 cette notion apparaissait dans le code pénal seulement (art 8-2°) et d’intérêt légitime (art 7-5°)

L’article 9 (infractions, condamnations et mesures de sûreté)correspond à l’art 30 de la loi de 78

L’article 10 correspond aux articles 2 et 3 de la loi de 78

V. Obligations incombant aux responsables de traitements (art 32 à 37) et droits des personnes (art 38 à 43)

Droit d’information préalable

Droit d’opposition (art 38)

Droit d’accès (art 39, 41)

Droit de rectification (art 40 )

VI. Sanctions prononcées par la CNIL (art 45)

Avertissement, dénonciation au parquet et sanction pécuniaire (nouveau)

VII. Dispositions pénales (art 50 à 52)

Code pénal art 226-16 à 226-24

VIII. Traitements de données à caractère personnel aux fins de journalisme et d’expression littéraire et artistique (art 67)

IX . Traitements de données à caractère personnel aux fins de recherche dans le domaine de la santé (art 53 à 61)

IX. Transferts de données à caractère personnel vers des états n’appartenant pas à CE (art. 68)

Possible que si cet état assure un niveau de protection suffisant (qui en juge ?).

Il faut noter le grand nombre d'exceptions dans la nouvelle loi, ce qui en rend la présentation difficile.

Sur le site de la Cnil, 2 versions :
Une version annotée (explicitation des très nombreux renvois entre articles) est disponible sur le site de la CNIL.. La loi 78-17 consolidée et annotée Afin de rendre plus lisible le texte de la loi, chaque référence dans un article à un autre article de la loi est explicitée (pour les enseignants)

Une version consolidée (pour les étudiants)