Éditorial

La loi n° 2004-801 du 6 août 2004 relative à la protection des personnes physiques à l’égard des traitements de données à caractère personnel rénove en profondeur la loi « informatique et libertés » de 1978.

Les mutations technologiques, la révolution numérique, l’obligation de transposer la directive européenne 95/46/CE du 24 octobre 1995 imposaient en effet de revisiter substantiellement le texte d’origine.

Le Conseil constitutionnel ayant validé à un article près le texte voté par les deux assemblées, la nouvelle loi publiée au JO du 7 août est désormais en vigueur.

Le législateur a mis un terme au critère organique, jugé à juste titre dépassé, qui, selon l’origine publique ou privée des fichiers, commandait des régimes juridiques différents. Par ailleurs, il a substitué la notion plus large de « données à caractère personnel » à celle d’informations nominatives. Il a également modifié les missions de la CNIL en la dotant de nouvelles prérogatives notamment en matière d’investigation et de sanctions.

Sans attendre les commentaires et indications que la CNIL mettra très prochainement en ligne et qui sont indispensables à une compréhension fine des mécanismes applicables aux différents traitements concernés, deux remarques s’imposent.

1 – La procédure applicable, simple déclaration ou autorisation préalable, dépend de la nature du traitement et de sa finalité.

Le régime de droit commun est celui d’une simple déclaration à la CNIL. Cependant, compte tenu des risques d’atteinte à la vie privée ou aux libertés que représentent certains traitements, la loi prévoit également un régime plus contraignant d’autorisation préalable. Il s’agit par exemple des traitements automatisés portant sur des données génétiques, ou encore de ceux comportant des appréciations sur les difficultés sociales de personnes physiques. Tombent également dans cette catégorie, les traitements mis en œuvre pour assurer la sûreté et la défense de l’Etat.

2 – Le domaine « des traitements de données à caractère personnel ayant pour fin la recherche dans le domaine de la santé » est traité dans le chapitre IX de la loi de 1978 modifiée 2004. Le texte d’origine a fait l’objet d’aménagements essentiellement d’ordre technique.

Des dispositions spécifiques règlent le sort des fichiers en vigueur et de ceux pour lesquels une instruction est en cours.

Les premiers, si leurs caractéristiques ne sont pas modifiées, devront être mis en conformité avec les nouvelles règles de fond dans un délai de trois ans. Pour les traitements en cours d’instruction, les nouvelles dispositions sont en revanche immédiatement applicables.

Le régime juridique applicable au CNRS ne découle donc plus de sa qualité d’établissement public, mais de la nature des données et de la finalité du traitement qu’il envisage de mettre en œuvre. Selon les cas, les traitements relèveront d’une simple déclaration ou devront obtenir une autorisation de la CNIL.

Le secrétaire général,

Jacques BERNARD