La refonte de la loi "informatique et libertés" de 1978 accorde davantage de pouvoirs de contrôle a posteriori pour la Cnil. Elle prévoit de nouvelles dispositions sur les cookies et la videosurveillance mais rejette le principe de l'opt-in.
L'Assemblée nationale a adoptée mercredi 30 janvier en première lecture un projet de loi modifiant, l'antique mais pionnière, loi de 1978 sur le traitement des données à caractère personnel, qui a été à l'origine de la Cnil (Commission nationale de l'informatique et des libertés). Ce travail parlementaire arrive avec trois ans de retard, puisque ce projet de loi doit transposer en droit français une directive européenne de 1995 qui aurait dû l'être en 1998... Paradoxe: les députés s'en sont saisi alors qu'elle n'a aucune chance d'être promulguée avant la fin de la législature, qui se termine le 22 février, élections obligent.

La première mesure d'importance de ce texte est de soustraire formellement au visa de la Cnil la constitution de fichiers administratifs dits de "souveraineté", c'est-à-dire les traitements nominatifs «intéressant la sûreté de l'État, la défense, la sécurité publique ou la répression pénale, ainsi que les fichiers utilisant le numéro [de sécurité sociale, Ndlr] ou portant sur la quasi-totalité de la population» (lire notre article à ce sujet).

Sanctions administratives, pécunières et pénales

La Commission disposera toutefois de plus de pouvoirs a posteriori, pour les fichiers commerciaux et autres fichiers publics "sensibles" (santé, opinions, religions, origines ethniques, etc.). «En général, cette réforme apporte deux principaux changements», explique Thierry Jarlet, responsable de la communication de la Cnil. «Notre contrôle a priori est simplifié, par des procédures de déclaration moins lourdes, mais en revanche notre mission a posteriori va être plus importante, grâce aux nouveaux moyens de sanction dont nous disposerons. Cela donne plus d'intérêt à notre mission, c'est évident, mais impossible maintenant d'estimer si cela va nécessiter plus de temps et de travail...»

La Cnil va disposer d'abord d'un pouvoir de sanction administrative, pouvant mener à la destruction pure et simple d'un fichier illégal. Sanction pécunière ensuite: la Cnil sera désormais capable d'infliger des amendes aux contrevenants. Fixé au départ à 150000 euros, le plafond a été porté à 1,5 million d'euros, s'alignant sur les statuts du Conseil de la concurrence. Enfin, des sanctions pénales: aujourd'hui, la Cnil dispose d'un pouvoir d'enquête mais ses constatations ne peuvent donner lieu qu'à un avertissement ou à une dénonciation au Parquet. En application de ses nouvelles attributions, la Cnil pourra accéder à tout local professionnel pour mener des vérifications et recourir, au besoin, à une autorisation judiciaire en cas d'opposition du propriétaire des lieux, avec ensuite mise en demeure du responsable pouvant conduire à des amendes.

Une vingtaine de plaintes en 24 ans

Espérons que ces pratiques soient réalisables en termes de volonté politique comme de fonctionnement interne. En 24 ans d'existence, la Cnil n'a en effet transmis qu'une vingtaine de plaintes au Parquet. Ses moyens humains sont limités (74 employés en tout à ce jour, 77 prévus à la fin 2002, dont une cinquantaine seulement de juristes et d'agents enquêteurs) et son budget de fonctionnement est passé de 4,9 millions d'euros (32 millions de francs) en 2000 à 5,8 millions en 2001, pour atteindre 7,2 millions cette année (40 millions de francs).

Outre la réforme de la Cnil, l'Assemblée nationale a adopté d'autres dispositions:

Opt-in/opt-out: actuellement, la loi permet à quiconque d'être retiré d'un fichier sur simple demande (opt-out). Le député Patrice Martin-Lalande a déposé un amendement pour imposer le principe de l'opt-in (accord préalable obligatoire pour être dans un fichier), qui a été rejeté en première lecture.

Principe fondateur: un amendement a été adopté pour affirmer plus clairement le principe selon lequel, «aucune décision ne peut être prise sur le seul fondement d'un traitement automatisé de données destiné à définir le profil de l'intéressé ou à évaluer certains aspects de sa personnalité».

Information des personnes fichées: en plus des mentions légales actuelles (identité du responsable, finalité du traitement, mention des droits d'accès et de rectification), une personne fichée devra être informée des destinataires ou de la catégorie des destinataires de ces données, mais non de leur identité comme le prévoyait le projet de loi.

Cookie et spyware: un amendement a été adopté pour tenir compte de la directive européenne en cours de rédaction; «stocker ou obtenir un accès à des informations situées dans l'équipement terminal d'un abonné» doit se faire après son accord; les simples cookies visant à faciliter l'accès d'un internaute à un service de son choix ne sont pas concernés; mais tout spyware indésiré pourra valoir à son auteur ou responsable jusqu'à 5 ans de prison et 300000 euros d'amende.

Vidéosurveillance: depuis une loi de 1995, la Cnil n'est plus compétente pour autoriser ou non les systèmes de vidéosurveillance de certains lieux publics ou ouverts au public (comme un centre commercial). La compétence de la Cnil est engagée pour tout espace privé et tout espace public ou privé seulement si le dispositif permet d'enregistrer les images pour constituer des «fichiers structurés» (recherche et reconnaissance faciale, par exemple). Par ailleurs, le gouvernement remettra chaque année à la Cnil un rapport sur l'application de cette loi de 1995. Aujourd'hui, les autorisations passent par une commission départementale sous l'autorité du préfet, sans aucune obligation de recensement et d'information pour les citoyens.