Le traitement de données à caractère personnel est spécifiquement encadré par la loi du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, modifiée par une loi du 6 août 2004, laquelle a transposé en droit français la directive du 24 octobre 1995 et en partie une directive européenne du 12 juillet 2002.

Aux termes de l’article 2 de la loi de 1978 modifiée en 2004, “Constitue une donnée à caractère personnel toute information relative à une personne physique identifiée ou qui peut être identifiée, directement ou indirectement, par référence à un numéro d'identification ou à un ou plusieurs éléments qui lui sont propres. Pour déterminer si une personne est identifiable, il convient de considérer l'ensemble des moyens en vue de permettre son identification dont dispose ou auxquels peut avoir accès le responsable du traitement ou toute autre personne”. Constituent par exemple des données à caractère personnel un numéro de téléphone, un numéro d'INSEE, une date de naissance, ou une adresse électronique.

La notion de “traitement” selon la loi est extrêmement large, puisqu’elle qualifie “toute opération ou tout ensemble d'opérations portant sur de telles données, quel que soit le procédé utilisé, et notamment la collecte, l'enregistrement, l'organisation, la conservation, l'adaptation ou la modification, l'extraction, la consultation, l'utilisation, la communication par transmission, diffusion ou toute autre forme de mise à disposition, le rapprochement ou l'interconnexion, ainsi que le verrouillage, l'effacement ou la destruction” (article 2). Constitue ainsi un traitement automatisé de données à caractère personnel toute transcription informatique de ces données, et notamment leur mise en ligne ou la mise en oeuvre de codes d’authentification, de badges électroniques permettant de contrôler les déplacements du personnel.

Tous les traitements de données à caractère personnel, mis en œuvre par le secteur privé ou le secteur public, sont soumis aux dispositions de la loi de 1978. Lorsqu'ils sont automatisés, ils doivent en principe faire l'objet d'une formalité préalable auprès de la CNIL. Les fichiers mécanographiques ne sont concernés par cette formalité que dans des cas exceptionnels.

• Les traitements automatisés doivent en principe être déclarés à la CNIL (art. 22).
• Certains traitements peuvent en revanche être déclarés de manière “simplifiée” lorsqu’ils répondent à des catégories courantes de traitements de données, “dont la mise en oeuvre n'est pas susceptible de porter atteinte à la vie privée ou aux libertés”, sous réserve de correspondre à l’une des “normes simplifiées” établies et publiées par la CNIL (art. 24).
• Alternativement, un “correspondant à la protection des données” peut être désigné par les entreprises et les collectivités locales. Ce dernier est “chargé de tenir un registre des traitements mis en œuvre” et “d'assurer, d'une manière indépendante, l'application des dispositions” de la loi du 6 janvier 1978. La désignation de ce correspondant dispense de procéder aux déclarations préalables de traitement, sauf pour certains traitements spécifiques. Il ne dispense pas du respect de la loi ou des nécessaires demandes d'autorisation auprès de la CNIL (voir le décret d'application n° 2005-1309 du 20 octobre 2005, sur le site de la CNIL).
• Lorsque le traitement porte sur certaines données ou a certaines finalités, il doit faire l’objet d’une autorisation préalable de la Commission (art. 25). Il en est ainsi des traitements de données à caractère personnel relatives aux “infractions, condamnations ou mesures de sûreté” (art. 9 et 25), dans les cas où ils sont autorisés à l'égard de personnes autres que les auxiliaires de justice. Doivent aussi être autorisés certains traitements dont les données “font apparaître, directement ou indirectement, les origines raciales ou ethniques, les opinions politiques, philosophiques ou religieuses ou l'appartenance syndicale des personnes, ou qui sont relatives à la santé ou à la vie sexuelle de celles-ci” (art. 8). Le traitement de telles données “sensibles” n’est en outre autorisé que dans des cas limitatifs. Doivent encore être autorisés en principe, notamment, les traitements de données portant sur les données génétiques ou le numéro d'inscription des personnes au répertoire national d'identification des personnes physiques, ou qui ont pour finalité une interconnexion de fichiers relevant de personnes différentes et dont les finalités principales ne sont pas les mêmes (art. 25).

La loi de 1978 prévoit encore plusieurs obligations à la charge du responsable du traitement de données à caractère personnel, sauf exceptions particulières, et notamment une obligation d’information de la personne dont les données sont collectées (art. 32), une obligation de recueillir le consentement de cette dernière (art. 7), et une obligation de confidentialité (art. 34).
Les données doivent encore être “collectées pour des finalités déterminées, explicites et légitimes” et ne doivent pas être “traitées ultérieurement de manière incompatible avec ces finalités”. Elles doivent être « adéquates, pertinentes et non excessives au regard des finalités pour lesquelles elles sont collectées et de leurs traitements ultérieurs” et “exactes, complètes et, si nécessaire, mises à jour ; les mesures appropriées doivent être prises pour que les données inexactes ou incomplètes au regard des finalités pour lesquelles elles sont collectées ou traitées soient effacées ou rectifiées”. Ces données ne peuvent enfin être “conservées sous une forme permettant l'identification des personnes concernées” que “pendant une durée qui n'excède pas la durée nécessaire aux finalités pour lesquelles elles sont collectées et traitées” (art. 6).

La personne protégée dispose encore d’un droit d’opposition (art. 38), d’accès et de communication des données qui la concerne, ainsi que d’un droit d’exiger la rectification ou la suppression des données erronées, périmées ou dont le traitement n’est pas conforme à la loi (art. 39 et 40). La CNIL dispose elle-même d’un droit de visite des lieux du traitement et de sanctions à l’égard du responsable du traitement (art. 44 et suivants).

La loi de 1978 prévoit toutefois de nombreuses exceptions à ce régime protecteur. Ces limites bénéficient aux traitements “mis en oeuvre pour l'exercice d'activités exclusivement personnelles” (art. 2), mis en oeuvre par les associations ou organismes “à but non lucratif et à caractère religieux, philosophique, politique ou syndical” (art. 8), ainsi qu’aux traitements mis en œuvre aux seules fins d’expression littéraire et artistique ou d’exercice, à titre professionnel, de l'activité de journaliste (art. 67). Ces derniers doivent toutefois, pour bénéficier de l’exception, désigner un “correspondant à la protection des données”. Les exceptions les plus importantes concernent toutefois de nombreux traitements mis en œuvre pour le compte de l’Etat ou une autre personne morale de droit public ou de droit privé gérant un service public (art. 26 et 27), lesquels sont mis en œuvre sur autorisation d’un acte réglementaire, pris après avis “motivé et publié de la Commission nationale de l'informatique et des libertés”, mais non obligatoirement conforme.

La loi 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés et sa loi modificatrice 2004-801 du 6 août 2004 peuvent être trouvées sur le site www.legifrance.gouv.fr. La loi modifiée est également accessible depuis le site de la CNIL.

Le Décret n° 2005-1309 du 20 octobre 2005 (accessible depuis le site de la CNIL), prévoit les mesures générales d'application de la loi du 6 janvier 1978 modifiée.

La Directive 2002/58/CE du 12 juillet 2002 concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques (directive vie privée et communications électroniques) s'applique plus spécifiquement au traitement des données à caractère personnel dans le secteur des télécommunications, sans se substituer à la Directive du 24 octobre 1995. Elle abroge une directive 97/66/CE du 15 décembre 1997, qui avait le même objet mais était moins adaptée aux évolutions des marchés et des technologies des services de communications électroniques.

La Directive communautaire 95/46/CE du 24 octobre 1995 est “relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel”. Elle a pour objectif d'établir “une protection équivalente de haut niveau dans tous les Etats membres de la Communauté afin d'éliminer les obstacles aux échanges des données nécessaires au fonctionnement du marché intérieur”.

La Commission Nationale de l'Informatique et des Libertés est une autorité administrative indépendante qui a pour mission d’informer les personnes concernées par la loi du 6 janvier 1978 sur leurs droits et leurs devoirs et de contrôler le respect de leurs obligations par les responsables de traitements de données à caractère personnel. Elle a par ailleurs une mission de veille technologique, d’assistance à l’égard d’autres autorités et de proposition d’adaptation de la loi à la protection des libertés (art. 11 de la loi de 1978).

Dossier de la CNIL sur la nouvelle loi Informatique et Libertés.

Liste des délibérations sur le site de la CNIL

Les Fiches Travail, informatique et libertés de la CNIL, dont un rapport La cybersurveillance sur les lieux de travail (mars 2004).

Délibérations importantes (accessibles sur le site de Légifrance):

• Délibération n° 01-057 du 29 novembre 2001 portant recommandation sur la diffusion de données personnelles sur internet par les banques de données de jurisprudence
• Délibération n° 97-012 du 18 février 1997 portant recommandation relative aux bases de données comportementales sur les habitudes de consommation des ménages constituées à des fins de marketing direct
• Délibération n° 97-060 du 8 juillet 1997 portant recommandation relative aux annuaires en matière de télécommunications

• Déclaration type pour des listes de diffusion (CRU)
• Idem (CNRS)
• Déclaration type pour un annuaire électronique
• Une page IN2P3 sur la problématique annuaire.