La loi CNIL

Il résulte de l’article 37 de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés que les dispositions de cette loi ne font pas obstacle à l’application, au bénéfice de tiers, de celles de la loi du 17 juillet 1978. Un tiers peut désormais accéder à des informations qui, seraient-elles « nominatives » au sens de la loi du 6 janvier 1978, ne sont pas couvertes par l’un des secrets prévus par la loi du 17 juillet 1978, notamment parce qu’elles ne concernent pas la vie privée ou qu’elles ne comportent aucun jugement de valeur sur une personne identifiée ou identifiable (avis n° 20013088 du 30 août 2001).

Constitue une donnée à caractère personnel au sens de la loi CNIL « toute information relative à une personne physique identifiée ou qui peut être identifiée, directement ou indirectement, par référence à un numéro d'identification ou à un ou plusieurs éléments qui lui sont propres (…) » (article 2 de la loi n° 78-17 du 6 janvier 1978).

Toutefois, la loi du 6 janvier 1978 s’applique exclusivement dans plusieurs hypothèses :

  • Lorsque la demande tend à la communication de la liste des traitements automatisés ayant fait l’objet d’une déclaration ou d’une autorisation, conformément aux dispositions de l’article 31 de la loi du 6 janvier 1978 (avis n° 20080522 du 24 janvier 2008).
  • Lorsque la demande se présente comme tendant à l’exercice, par la personne concernée, du droit d’accès à des données à caractère personnel incluses dans un fichier (article 39 de la loi), à la rectification de données à caractère personnel figurant dans un fichier (avis n° 20030261 du 23 janvier 2003 et n° 20073694 du 27 septembre 2007), ou encore à l’obtention de renseignements relatifs à un traitement automatisé.
  • Lorsque la demande porte sur des traitements intéressant la sûreté de l’État, la défense ou la sécurité publique au sens de l’article 41 de la loi du 6 janvier 1978, comme les fichiers de police (avis n° 20073757 du 27 septembre 2007), le système de traitement des infractions constatées – STIC (avis n° 20052226 du 9 juin 2005) ou encore le système d’information Schengen (avis n° 20001897 du 11 mai 2000), ainsi que les traitements « mis en œuvre par les administrations publiques et les personnes privées chargées d’une mission de service public qui ont pour mission de prévenir, rechercher ou constater des infractions, ou de contrôler ou recouvrer des impositions », au sens de l’article 42 de cette loi (avis n° 20071065 du 22 mars 2007 concernant le fichier FICOBA de la Direction générale des impôts).

Par ailleurs, l’application de la loi du 17 juillet 1978 ne saurait affranchir l’administration des obligations prévues par la loi du 6 janvier 1978 : ainsi, l’élaboration et la mise à disposition d’une liste nominative d’agents publics, document communicable à toute personne après occultation des mentions intéressant la vie privée, constituent un traitement de données à caractère personnel ; l’autorité administrative doit donc veiller à en déclarer l’existence à la CNIL et à respecter les prescriptions de l’article 6 de la loi du 6 janvier 1978 (avis n° 20090521 du 12 février 2009).