Archivage légal électronique : définition d'un nouveau paradigme ?

Paragraphe 2 : La problématique du traitement des données personnelles

La loi du 6 aout 2004^46(*), modifiant la loi « Informatique et libertés » du 6 janvier 1978^47(*), définit la donnée à caractère personnel comme : « Toute information relative à une personne physique identifiée ou qui peut être identifiée, directement ou indirectement, par référence à un numéro d'identification ou à plusieurs éléments qui lui sont propres. Pour déterminer si une personne est identifiable, il convient de considérer l'ensemble des moyens en vue de permettre son identification dont dispose ou auquel peut avoir accès le responsable du traitement ou toute autre personne » (art. 2). Dans le même article, le traitement de données à caractère personnel désigne « toute opération ou tout ensemble d'opérations portant sur de telles données, quelque soit le procédé utilisé, et notamment la collecte, l'enregistrement, l'organisation, la conservation, l'adaptation ou la modification, l'extraction, la consultation, l'utilisation, la communication par transmission, diffusion ou tout autre forme de mise à disposition, le rapprochement ou l'interconnexion, ainsi que le verrouillage, l'effacement ou la destruction »^48(*). En clair, la conservation des archives de données personnelles constitue un traitement. Cela a pour conséquence l'application à l'archiviste des dispositions strictes de la loi « Informatique et libertés ». Celui-ci sera ainsi soumis à de multiples obligations (A). Pour sa part, la personne concernée^49(*) bénéficiera de droits importants (B).

A. Les obligations de l'archiviste

L'archivage des données personnelles, pour être licite, doit respecter certaines conditions de licéité (1). Ce sont ces conditions de licéité qui déterminent les obligations de l'archiviste. Le non respect de ces obligations sera diversement sanctionné (2).

1. Les conditions de licéité de la conservation

Certaines sont relatives à la phase de la collecte des données, d'autres à la phase de conservation elle-même.

D'abord, toutes les données personnelles ne peuvent être collectées. Certaines données dites « sensibles » sont en effet interdites de traitement. Ce sont celles relatives aux origines raciales, opinions politiques, philosophiques ou religieuses, appartenances syndicales, ou encore celles relatives à la santé ou la vie sexuelle (L. 6 janv. 1978 modifiée, art. 8). Même pour toutes les autres données, il existe une obligation de déclaration préalable auprès de la Commission nationale de l'informatique et des libertés (CNIL)^50(*). Les formalités de cette déclaration sont précisées par le décret du 20 octobre 2005^51(*) pris pour l'application de la loi de 1978 modifiée.

Ensuite, l'article 32 de la loi de 1978 modifiée prévoit que le responsable du traitement (ou son représentant) informe la personne concernée de son identité et de la finalité poursuivie entre autres. Cette obligation est valable, que les informations soient collectées directement auprès de la personne concernée ou qu'elles le soient auprès de tiers.

Enfin, dans le cadre de la conservation elle-même, l'archiviste est tenu de respecter un premier principe de finalité. En effet, la conservation des données doit être effectuée conformément à la finalité déclarée à la CNIL lors des formalités préalables. En dehors de celle-ci, aucun traitement ne pourra avoir lieu sur les mêmes données. La loi prévoit néanmoins que les données puissent être utilisées pour de nouveaux traitements, sous réserve que l'utilisation qui en est faite ne soit pas incompatible avec les finalités initiales (L. 1978 modifiée, art. 6). Une extension de finalité sera également possible avec l'accord exprès de la personne concernée, celui de la CNIL, ou encore lorsque l'intérêt public l'exige (L. 6 août 2004, art. 36, al. 3). Un second principe de sécurité s'appliquera : l'archiviste devra éviter que les données ne soient déformées, endommagées, ou communiquées à des tiers non autorisés (L. 1978 modifiée, art. 29).

Quelles sanctions l'archiviste encourt-il en cas de non respect de ces différentes prescriptions ?

* ⁴⁶ L. n° 2004-801 relative à la protection des personnes physiques à l'égard des traitements de données à caractère personnel et modifiant la L. n° 78-17 du 6 janv. 1978 relative à l'informatique, aux fichiers et aux libertés, JO 7 août, p. 14063.

* ⁴⁷ L. n° 78-17 du 6 janv. 1978 relative à l'informatique, aux fichiers et aux libertés ; JO 7 janv., p. 227.

* ⁴⁸ Les traitements de données à caractère personnel concernent autant les traitements automatisés (au moyen de toutes technologies informatiques ou mécanographiques), que ceux non automatisés, dits encore manuels. Ces traitements derniers concernent les données figurant sur des supports non électroniques de toute nature notamment les papiers ou les photographies argentiques. Seuls les premiers intéressent notre étude.

* ⁴⁹ La notion de « personne concernée », à laquelle nous ferons souvent référence dans notre étude, est définie par l'art. 2 de la L. du 6 janv. 1978 modifiée : « La personne concernée par un traitement de données à caractère personnel est celle à laquelle se rapportent les données qui font l'objet du traitement ».

* ⁵⁰ La CNIL a été créée par la loi « Informatique et libertés » de 1978. Elle est une autorité administrative indépendante sans personnalité morale et a pour missions d'informer, conseiller, et contrôler l'application de la loi. La nouvelle loi « Informatique et libertés » du 6 août 2004 permet à la CNIL de renforcer son contrôle sur les fichiers. Elle pourra ainsi, en cas de non respect de la loi, prononcer des sanctions notamment d'ordre pécuniaire. Elle peut également ordonner l'interruption ou la cessation d'un traitement (L. 6 août 2004, art. 34). La Commission a des pouvoirs de décision, de proposition, de formulation d'avis, de contrôle, de sanction, de même qu'une mission de réflexion.

Par application de ses nouveaux pouvoirs, la CNIL a par exemple prononcé à l'encontre du Crédit Lyonnais une amende de 45 000 euros, d'une part pour entrave à son action, d'autre part pour inscription abusive de clients dans le fichier central dit « retrait CB » géré par la Banque de France (CNIL, délib. n° 2006-174, 28 juin 2006, RLDI 2006/20, n° 618).

* ⁵¹ Décr. n° 2005-1309, 20 oct. 2005, JO 22 oct., p. 16769.