La loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, plus connue sous le nom de « Loi Informatique et libertés », est une loi française promulguée à la suite de l'affaire SAFARI. Elle réglemente entre autres la pratique du fichage, manuel ou informatique.
La loi Informatique et libertés de 1978 a notamment pour objectif de protéger les données à caractère personnel des personnes physiques. Suite à l'adoption du règlement européen sur la protection des données personnelles (RGPD) le 25 mai 2018, cette loi a été modifiée par la loi n° 2018-493 du 20 juin 2018 relative à la protection des données personnelles, pour mettre en conformité le droit français avec le droit européen. Elle a été réécrite par l’ordonnance n° 2018-1125 du 12 décembre 2018, applicable au 1er juin 2019. Le décret n° 2019-536 du 29 mai 2019, entré en vigueur le 1er juin 2019, parachève l'adaptation de la législation française avec le RGPD.
Qu'en est-il des risques encourus par ceux qui la violent ? On fait le point.
Loi Informatique et libertés : quid de la violation de la vie privée des personnes ?
Droit à la protection des données personnelles
L’informatique et les réseaux sociaux favorisent la libre circulation des informations. Dans ce contexte, la loi Informatique et libertés a pour but de veiller à ce que les préoccupations économiques et financières ne l’emportent pas sur la préservation des droits fondamentaux des personnes.
Depuis 1978, le droit à la protection des données à caractère personnel est devenu un droit indépendant et distinct du droit à la protection de la vie privée.
Tout manquement aux principes de la loi Informatique et libertés a donc pour conséquence directe la violation de la vie privée des personnes dont les données sont collectées.
Bon à savoir : cette protection des données personnelles existe également au niveau communautaire, c'est-à-dire dans tous les pays de l'Union européenne (UE). Les États membres de l'UE ont adopté le 24 octobre 1995 la directive 95/46/CE pour harmoniser la protection des personnes physiques à l’égard des traitements de données à caractère personnel et à la libre circulation de ces données. Depuis le 25 mai 2018, le RGPD vient renforcer la protection des données personnelles dans l'ensemble des États membres de l'UE.
À noter : depuis le 25 mai 2018, la désignation d'un délégué à la protection des données personnelles (DPO) est devenue obligatoire dans certains cas. Ce délégué a pour mission de veiller au respect de la législation européenne et de la loi Informatique et libertés, par l'organisme au sein duquel il travaille, afin d'éviter les sanctions de la CNIL. La désignation du délégué peut être effectuée via le téléservice mis en place par la CNIL.
Remarque : le RGPD impose une nouvelle obligation d'effectuer une analyse d'impact (AIPD) avant tout traitement à risque élevé pour les droits et libertés des personnes concernées.
Sanctions pour non-respect de la loi Informatique et libertés
Rôle de la CNIL
La Commission nationale de l’informatique et des libertés (CNIL), régie par la loi Informatique et libertés et ses décrets d’application, est une autorité administrative indépendante garante du respect de la loi Informatique et libertés. Tout manquement à la loi Informatique et libertés peut être condamné par la CNIL après constatation de ce manquement.
Bon à savoir : les sanctions de la CNIL vont de la simple mise demeure jusqu'aux sanctions financières (jusqu'à 300 000 € d'amende) et la publication dan la presse de ces sanctions aux frais du sanctionné.
À noter : dans le cadre des élections, les partis et candidats aux élections doivent respecter les règles en matière de protection des données personnelles lors de leur démarchage électoral (indication de l’identité et des coordonnées du responsable du traitement des données, finalités du traitement, destinataires des données, durée de conservation des données). Toute personne contactée par un candidat ou un parti politique peut signaler une conduite qu’elle jugerait non conforme sur la plateforme Signalement élections. La CNIL pourra alors prendre les mesures nécessaires auprès des acteurs concernés : contrôles, mesures correctrices, dénonciation au Parquet.
Action de groupe
La loi de modernisation de la Justice du XXIe siècle du 18 novembre 2016 a instauré la possibilité d'une action de groupe en matière de protection des données personnelles aux articles 37 et suivants (nouveaux) de la loi de 1978.
Bon à savoir : cette possibilité est confirmée par le RGPD.
Lorsque plusieurs personnes physiques placées dans une situation similaire subissent un dommage ayant pour cause commune un manquement aux dispositions de la loi du 6 janvier 1978 par un responsable de traitement de données à caractère personnel ou un sous-traitant, une action de groupe peut être exercée devant la juridiction civile ou la juridiction administrative compétente.
Cette action doit tendre à la cessation du manquement (et non à l'indemnisation des victimes). Elle est exercée par les associations de consommateurs agréées, les syndicats représentatifs et les associations ayant pour objet la protection de la vie privée et la protection des données personnelles, régulièrement déclarées depuis cinq ans.
Sanctions pénales
Les manquements à la loi Informatique et libertés sont également punissables pénalement. En effet, le Code pénal prévoit (aux articles 226-16 et suivants) des sanctions en cas de violation de la loi Informatique et libertés.
Ces sanctions vont jusqu'à 5 ans de prison et 300 000 € d'amende, notamment pour tout manquement concernant :
- La loyauté dans le traitement des données. La loyauté dans la collecte des données réside principalement dans le fait de :
- Traiter les données selon une finalité précise.
- Collecter les données de manière proportionnée au regard de la finalité choisie.
- Traiter des données exactes, complètes et à jour.
- Ne pas conserver les données au-delà de la durée nécessaire à leur exploitation pour la finalité choisie.
- La sécurité et à la confidentialité des données. Le responsable des traitements de données doit en effet s'assurer que les données sont sécurisées et que des tiers non autorisés n'y auront pas accès. Cette obligation s'étend en cas de sous-traitance de l’utilisation des données.
Bon à savoir : avant le 25 mai 2018, le responsable des traitements de données devait faire des déclarations ou demander des autorisations auprès de la CNIL, y compris pour les flux transfrontières de données.
À noter : est condamnable d'une amende de 1 500 € le manquement à l'effectivité du droit des personnes dont les données sont collectées. En effet, les personnes doivent être informées de l'existence du traitement de leur données et elles ont le droit d'y accéder, de les modifier ou de les supprimer. Elles ont aussi le droit de s'opposer à l'utilisation de ces données pour de la prospection commerciale.
Pour en savoir plus :
- Pour garantir que le développement de l’informatique respectera la vie privée, les libertés individuelles et les libertés publiques, la loi française a institué la CNIL. En consultant notre site, vous saurez tout sur : Composition et missions de la CNIL,
- Utilisez notre modèle de lettre de saisine de la CNIL pour signaler une violation de la loi informatique et libertés.
- Découvrez le pouvoir et les sanction de la CNIL sur notre page dédiée.