La loi Informatique et Libertés
La prise de conscience des enjeux autour du traitement de données personnelles
La loi n°78-17 du relative à l’informatique, aux fichiers et aux libertés, appelée « loi Informatique et Libertés », ou encore « loi I&L », fût adoptée le 6 janvier 1978 et est toujours en vigueur aujourd’hui, quoi qu’ayant subi plusieurs modifications profondes.
Cette loi, fruit d’un débat tout au long de la décennie, notamment autour du projet « SAFARI » d’interconnexion de fichiers nominatifs de l’administration, est l’une des premières d’Europe à réglementer le traitement de données personnelles. Elle pré-date de trois ans la convention pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel du Conseil de l’Europe. Elle a pour but de protéger les droits des individus en encadrant les possibilités de traitements de données à caractère personnelles, notamment en créant une Commission Nationale de l’Informatique et des Libertés (CNIL).
La loi de 2004 et l’introduction du CIL
La loi du 6 août 2004, transcrivant en droit français la directive européenne 95/46 de 1995, vient mettre à jour le texte, tout en étant un premier pas vers l’harmonisation communautaire. En particulier, on peut noter qu’elle crée les correspondant à la protection des données à caractère personnel (dit « CIL », pour « Correspondant Informatique & Libertés ») . Ceux-ci sont chargés d’assurer, d’une manière indépendante, le respect des obligations de cette loi. Les entreprises ayant désigné un CIL auprès de la CNIL sont dispensés de certaines formalités.
Le RGPD et la LIL 3
Dans la décennie suivante, le règlement général sur la protection des données (RGPD), fruit de plus de quatre ans de négociations et adopté en 2016, harmonise grandement les textes nationaux en ré-établissant les grands principes de la protection des données personnelles, tout en laissant une marge de manœuvre aux États membres sur une cinquantaine de points. Le droit européen étant une norme supérieure au droit français, elle rend caduque une grande majorité de la loi I&L.
Le 20 juin 2018, le Parlement adopte la loi n° 2018-493 relative à la protection des données personnelles. Le législateur a fait le choix de conserver la loi Informatique & Libertés, mais celle-ci est profondément modifiée, expurgée de tous les éléments se trouvant déjà dans le RGPD. Parmi les éléments important y figurant, on peut citer :
- l’âge du consentement est fixé à 15 ans,
- la possibilité pour les agents de la CNIL de procéder à des contrôles en ligne sous une identité d’emprunt,
- la possibilité pour la CNIL d’être « consultée par le Président de l’Assemblée nationale, par le Président du Sénat ou par les commissions compétentes de l’Assemblée nationale et du Sénat ainsi qu’à la demande d’un président de groupe parlementaire sur toute proposition de loi relative à la protection des données à caractère personnel » ,
- la possibilité pour les individus de se faire représenter par des associations et organisations déjà habilités à représenter plusieurs individus dans des actions de groupe, dans leurs plaintes auprès de la CNIL,
- l’obligation pour le responsable de traitement, dans le cas des décisions administratives individuelles incluant un traitement algorithmique, de s’assurer de la « maîtrise du traitement algorithmique et de ses évolutions afin de pouvoir expliquer, en détail et sous une forme intelligible, à la personne concernée la manière dont le traitement a été mis en œuvre à son égard ».
Enfin, l’article 20 autorise par ordonnance le gouvernement à ré-écrire la loi « Informatique & Libertés » afin « d’apporter les corrections formelles et les adaptations nécessaires à la simplification et à la cohérence ainsi qu’à la simplicité de la mise en œuvre par les personnes concernées ». Il dispose d’un délai de six mois après l’adoption de la loi pour le faire.
La Loi Informatique et Libertés révisée en 2018 (« LIL4 »)
Après la révision de 2004 et celle de 2017, la Loi Informatique et Libertés a été entièrement ré-écrite par l’ordonannce du 12 décembre 2018 destinée à prendre en compte le RGPD et à simplifier l’architecture globale du texte. Elle intègre en outre les élements induits par la Directive « Police-Justice » adoptée en même temps que le RGPD.
Comme pour le premier volume consacré au RGPD, l’AFCDP a souhaité publier une version annotée de cette nouvelle version de la Loi Informatique et Libertés , qui comporte en particulier des liens entre le nouveau texte et sa version précédente, des liens entre la LIL4 et le RGPD, les décrets d’application, et des renvois vers les lignes directrices du CEPD.
Ce document constitue le troisième volume du « Référentiel légal et documentaire » publié par l’AFCDP.
Cette collection est composée des documents suivants :
- Tome 1 : RGPD annoté et commenté, avec index
(Commander la version brochée)
- Tome 2 : Recueil des principales lignes directrices du G29 et du CEPD
- Tome 3 : La Loi Informatique et Libertés et la législation française (texte de la LIL4 et des décrets, annoté, commenté et indexé)
(Commander la version brochée)
- Tome 4 : Autres textes réglementaires européens - Déclaration des droits numériques - DMA - DSA - DGA - DA - AIA
(Commander la version brochée)