Le droit dans la Fonction Publique

La loi ''Informatique et libertés'' modifiée est entrée en vigueur

La loi n° 2004-801 du 6 août 2004 modifiant la loi « informatique et libertés » du 6 janvier 1978 a été publiée au JO du 7 août 2004. Cette loi relative à la protection des personnes physiques à l'égard des traitements de données à caractère personnel est immédiatement applicable, sauf pour les dispositions nécessitant des précisions par décret comme celles sur les correspondants à la protection des données. Les entreprises n'ont donc pas la possibilité, à ce jour, de désigner des correspondants et de notifier cette désignation à la Commission nationale de l'informatique et des libertés (Cnil).

Les traitements de données à caractère personnel devront désormais uniquement faire l'objet d'une déclaration préalable auprès de la Cnil (art. 23 de la loi), seuls demeurant soumis à autorisation préalable les traitements susceptibles de comporter des risques particuliers au regard des droits et libertés dont les traitements automatisés incluant des données biométriques nécessaires au contrôle de l'identité des personnes (art. 25 à 27). Les traitements non susceptibles de porter atteinte aux droits et libertés des personnes pourront donner lieu à une déclaration simplifiée, voire être exonérés de toute formalité.

Déclaration des traitements

En ce qui concerne les formalités de déclaration des traitements à la Cnil, deux situations peuvent se présenter :

  • Les traitements devant être mis en conformité avec les nouvelles règles de fond dans un délai de trois ans. Sont concernés les traitements mis en œuvre régulièrement avant la publication de la loi modificative, sauf en cas de modification de leurs caractéristiques :
    • pour le secteur privé, un traitement déclaré à la Cnil et dont la déclaration a fait l'objet de la délivrance d'un récépissé avant la publication de la loi;
    • our le secteur public, un traitement ayant fait l'objet d'un acte réglementaire pris après un avis favorable de la Cnil, acquis avant la date de publication de la loi.
  • Les traitements auxquels les nouvelles règles de fond, définies aux articles 22 à 30 de la loi, sont applicables dès publication de cette dernière. Outre tous les traitements non déclarés, il s'agit des traitements déclarés à la Cnil, mais dont l'instruction n'est pas terminée :
    • les déclarations pour lesquelles la Cnil n'a pas délivré de récépissé avant la publication de la loi ;
    • les demandes d'avis enregistrées à la Cnil moins de deux mois avant la publication de la loi ou en cours d'instruction. La Cnil informera le responsable de traitement dans le cas où un traitement en cours d'instruction relèverait d'une nouvelle procédure (un traitement soumis anciennement à simple déclaration qui doit désormais être autorisé par la Cnil).

Sanctions pénales renforcées

Les sanctions pénales relatives aux atteintes aux droits de la personne résultant des fichiers ou des traitements informatiques sont prévues aux articles 226-16 à 226-24 du Code pénal modifié par la loi. Dorénavant, est puni de cinq ans d'emprisonnement et de 300.000 euros d'amende, contre trois ans d'emprisonnement et 45.000 euros d'amende auparavant, le fait, y compris par négligence, de procéder ou de faire procéder à des traitements automatisés d'informations nominatives sans qu'aient été respectées les formalités préalables à leur mise en oeuvre (C. pén., art. 226-16).