Den lov n o 78-176. januar 1978relatert til datamaskiner, filer og friheter , bedre kjent under navnet databeskyttelsesloven , er en fransk lov som regulerer friheten til å behandle personopplysninger , det vil si friheten til å arkivere mennesker. Siden denne friheten ikke kan skilles fra IT-aktivitet, regulerer denne loven derfor de potensielt antisosiale konsekvensene av IT-aktivitet.
Selv om det ble undertegnet i 1978 , er databeskyttelseslovens historie omtrent ti år eldre.
I 1970 foreslo nestleder Michel Poniatowski til nasjonalforsamlingen å opprette en tilsynsutvalg og en datadomstol. Dette forslaget, som ble tatt opp senere av andre, ble avvist.
Samme år bestemte INSEE seg for å skifte fra databehandling fra stansede kort til magnetbånd, og bestemte seg for å sentralisere identifikasjonskatalogen, som til da hadde blitt distribuert blant sine regionale kontorer. Denne tilnærmingen gjør det mulig å svare på den forutsigbare massifiseringen av bruken av det franske identitetsnummeret ("personnummer" eller "NIR") av administrasjonene ( National Education , skatter , innenriksdepartementet, etc.) for å verifisere identiteten til mennesker. Det er planlagt på mer eller mindre lang sikt å legge til administrativ informasjon som adresse i filen . I tillegg vil den massive bruken av NIR i de forskjellige administrative filene gjøre det mulig å koble dem sammen for å lette statistiske studier av den franske befolkningen.
I 1971 ble prosjektet Automated System for Administrative Files and Directory of Individuals (SAFARI) født.
De 21. mars 1974, mens Jacques Chirac har vært innenriksminister i mindre enn en måned (han hadde nettopp "utvekslet" sitt innlegg i landbruket med Raymond Marcellins ), må han møte et skrik etter publiseringen av en kolonne av Philippe Boucher i avisen Le Monde med tittelen "SAFARI eller jakten på franskmennene". Safari-prosjektet blir faktisk sett på som et alvorlig hinder for frihet.
Men 2. april 1974, Georges Pompidou , republikkens president , som den offisielle rapporten sa at han led av en enkel influensa, dør av sykdommen hans i Waldenström (kreftform). Valéry Giscard d'Estaing ble da valgt til republikkens president, takket være støtten fra Jacques Chirac og spesielt populariteten til sistnevnte i landlige områder, oppnådd under overgangen til jordbruk. Han ble utnevnt til statsminister og oppfordret innenriksdepartementet til Mr. Poniatowski, som møtte kritikk, tok opp sin idé og opprettet Kommisjonen for informatikk og friheter og satte opp prosjektet, som til tross for hans avgang i 1977 , vil lede til loven "Informatique et Libertés" av6. januar 1978og opprettelsen av CNIL (National Commission for Informatics and Liberties). Denne brådheten plasserte dermed Frankrike i den øverste europeiske trioen ved siden av Land Hessen ( Tyskland , 1971) og Sverige (1973) og gjorde det til initiativtaker til europeisk lovgivning implementert i de ti landene i samfunnet i 1981, og inspirerte Europarådets data Protection Convention (1981) og Retningslinjene for regulering av automatiserte personopplysninger (1990).
Det Frankrike vil være den siste til å innarbeide en 2004 Europeisk direktiv fra 1995, som svært forandret loven, herunder å erstatte begrepet "personlig informasjon" av "personlige data", noe som gir en definisjon i artikkel 2 i det siste for å unngå tvilsomme tolkninger av denne forestillingen og å omfatte så mange situasjoner som mulig. I tillegg har personvernloven nærmet seg ny informasjonsteknologi ved å spesifisere at den ikke lovgiver for midlertidige kopier av filer og ved å definere de eksakte vilkårene for lovligheten av behandlingen av personopplysninger. Vi kan også merke oss at skillet mellom lønn mellom offentlig sektor og privat sektor forsvinner. De to er nå underlagt samme prosedyre, som noen anser for slapp. I dag har de fleste omgrupperingene av SAFARI-prosjektet blitt utført, den ene etter den andre, i bedre definerte situasjoner.
Det er imidlertid veldig viktig å merke seg at lovgiverne, som kun hadde ambisjon om å anerkjenne nye rettigheter til innbyggerne med hensyn til de store sentraliserte informasjonssystemene, som administrasjonene begynte å utstyre seg med, ikke kunne være - hva de kunne forestille seg utviklingen av Internett og har likevel lykkes med å skape en "monumentlov", en søyle i elektronisk lovgivning.
Denne loven ble senere endret ved dekret om14. oktober 1991 : dette omorganiserer generelle informasjonsfiler ved å autorisere "innsamling, bevaring og behandling i filene til generelle informasjonstjenester av nominativ informasjon om voksne som viser [...] de spesifikke fysiske tegnene, målene og uforanderlige [samt] politiske, filosofiske, religiøse eller fagforeningsaktiviteter ” ( artikkel 2 ). Informasjon kan samles inn hvis den “vedrører fysiske eller juridiske personer som har søkt, utøvd eller utøver et politisk, fagforeningsmessig eller økonomisk mandat eller som spiller en betydelig politisk, økonomisk, sosial eller religiøs rolle, forutsatt at denne informasjonen er nødvendig å gi regjeringen eller dens representanter midler til å vurdere den politiske, økonomiske eller sosiale situasjonen og forutse utviklingen av den ” ( artikkel 3 ); men i dette tilfellet kan de ikke kommuniseres til politiet eller gendarmeriet ( artikkel 5 ). Dekretet gir også en gjennomgang av legitimiteten til informasjon som holdes hvert femte år, under ledelse av National Commission for Informatics and Liberties (CNIL) (art. 6).
1978-loven er ytterligere endret av loven fra 6. august 2004for å overføre bestemmelsene i direktiv 95/46 / EF om beskyttelse av personopplysninger i fransk lov . Den endrede loven fra 1978 suppleres med dens dekret nr. 2005-1309 datert20. oktober 2005. Denne transponeringen endrer vesentlig 1978-teksten ved å utvide datafeltet som er kvalifisert som personlig (artikkel 2), forenkle deres juridiske regimer og øke straffene i straffeloven artikkel 226-16 til 226-24. I tillegg styrkes CNILs etterforsknings-, etterforsknings- og sanksjonsmakt.
Delt inn i tretten deler, hvorav bare de tre første ( Prinsipper og definisjoner , Betingelser lovligheten av behandling av personopplysninger , The National Commission for informatikk og friheter ) direkte angår enkeltpersoner, den LIL innskrevet fra artikkel 1 i lov om databehandling innenfor rammene av menneskerettighetene , absolutt til minne om formålene som filene kunne brukes til under Vichy .
"Artikkel 1:
Informasjonsteknologi må stå til tjeneste for alle borgere. Dens utvikling må skje innenfor rammen av internasjonalt samarbeid. Det må ikke krenke menneskelig identitet, menneskerettigheter, personvern eller individuelle eller offentlige friheter. "
Fra den andre artikkelen definerer den rammene, og adresserer så mange mennesker som mulig.
"Artikkel 2:
[…] Personopplysninger er all informasjon som gjelder en identifisert fysisk person eller som kan identifiseres, direkte eller indirekte, ved henvisning til et identifikasjonsnummer eller til ett eller flere spesifikke elementer. For å avgjøre om en person er identifiserbar, er det nødvendig å vurdere alle virkemidlene med sikte på å muliggjøre identifikasjon av dem som er tilgjengelige eller som den kontrollerende eller andre personer kan ha tilgang til .
Enhver operasjon eller operasjonssett knyttet til slike data, uansett hvilken prosess som er brukt, og særlig innsamling, registrering, organisering, lagring, tilpasning eller lagring, utgjør behandling av personopplysninger. Modifisering, utvinning, konsultasjon, bruk, kommunikasjon ved overføring, distribusjon eller annen form for tilrettelegging, forsoning eller samtrafikk, samt blokkering, sletting eller ødeleggelse.
En personopplysningsfil utgjør ethvert strukturert og stabilt sett med personopplysninger som er tilgjengelig i henhold til bestemte kriterier. "
Personen som er berørt av behandlingen av personopplysninger, er den som opplysningene som behandles er knyttet til.
Deretter spesifiserer den:
"Artikkel 6:
Behandling kan bare forholde seg til personopplysninger som oppfyller følgende betingelser:
"Artikkel 7:
Behandlingen av personopplysninger må ha fått samtykke fra den registrerte eller oppfylle ett av følgende betingelser:
"Artikkel 8:
I. - Det er forbudt å samle inn eller behandle personopplysninger som direkte eller indirekte avslører rase eller etnisk opprinnelse, politiske, filosofiske eller religiøse meninger eller fagforeningsmedlemskap til personer, eller som er relatert til deres helse eller sexliv.
II. - I den grad formålet med behandlingen krever det for visse kategorier av data, er ikke underlagt forbudet fastsatt i I:
4 ° Behandling av personopplysninger offentliggjort av den registrerte; "
Flere prosedyrer er planlagt for å erklære en behandling til CNIL:
Til slutt i artikkel 9 og 10 spesifiserer den at bare domstoler, offentlige myndigheter, ledere av en offentlig tjeneste eller hjelpestøtte til loven kan implementere databehandling knyttet til lovbrudd, domfellelse og sikkerhetstiltak, og at ingen rettsavgjørelser eller med juridiske konsekvenser ikke kan baseres. på behandling av personopplysninger, og dermed beskytte enkeltpersoner mot enhver ugjerning.
Kunst. 26 bestemmer videre at behandlingen av personopplysninger som gjelder " statens sikkerhet , forsvar eller offentlig sikkerhet", eller som har som formål "forebygging, etterforskning, observasjon eller rettsforfølgelse av straffbare handlinger eller gjennomføring av straffedom eller sikkerhetstiltak", må godkjennes ved dekret utstedt etter en begrunnet uttalelse fra CNIL, også publisert i EUT . Informasjonen som overføres til CNIL kan imidlertid være mindre enn den som gjelder andre filer, siden lov 23. januar 2006 om terrorisme (art. 13).
Når de inneholder sensitive data (særlig tilfellet med generell informasjonsfil , STIC , EDVIGE og CRISTINA ), må de godkjennes av et dekret fra statsrådet tatt etter en begrunnet og publisert uttalelse fra CNIL.
Tillatelsen til denne databehandlingen kan imidlertid være unntatt fra offentliggjøring i den offisielle tidningen (i tilfelle CRISTINA ) ved dekret i statsrådet. Inntil nå har denne prosedyren bare blitt brukt for filer som gjelder etterretning , og ikke for juridiske politi-filer (forebygging, forskning, observasjon eller rettsforfølgelse av straffbare handlinger osv.).
Den opprinnelige teksten fra 1978 gir, i tilfelle manglende overholdelse av loven , i tillegg til en advarsel fra CNIL, bare straffesanksjoner , uttalt av en domstol. Disse kriminelle sanksjonene har utviklet seg til følgende:
Lovendringene i loven i 2004 legger til administrative sanksjoner , uttalt av CNIL, og som kan bestrides for statsrådet . Disse sanksjonene utviklet seg, særlig på grunn av loven om20. juni 2018, for å bli følgende:
Databeskyttelsesloven konsentrerer rettighetene til enkeltpersoner i fire punkter:
Det er viktig å merke seg at for å kunne utøve disse rettighetene, må de anmodede enhetene:
I henhold til 2011-indeksen til den franske korrespondentforeningen for beskyttelse av personopplysninger, svarte mindre enn 18% av organisasjonene som ble bedt om i samsvar med loven.
Lovens artikkel 3 indikerer at alle har rett til å vite om de er registrert, og i så fall i hvilke filer, er det retten til informasjon, en grunnleggende rettighet som er grunnlaget for alt annet.
Opposisjonsretten gir enhver person fullmakt til å motsette seg av en legitim grunn at den vises i en fil. I tillegg kan den motsette seg, uten begrunnelse, at dataene om den brukes til prospekteringsformål, særlig kommersiell.
Dermed opprettet Federation of Distance Selling Companies Robinson-filen , kjent som stop-publicity , slik at alle som ikke ønsker å bli utsatt, kan fjernes fra filene til selskaper som tilhører foreningen. France Telecom gir også publikum et alternativ kalt den oransje listen , gratis, for personer som ikke ønsker å se telefonnumrene sine markedsført, men som likevel ønsker å vises i telefonkatalogen.
Når det gjelder arkivene i det offentlige (skattetjenester, politi, rettferdighet, flypassasjer ...), er de ikke, for de fleste av dem, opptatt av denne retten. Imidlertid bør det bemerkes at etter beslagleggelsen av to personer i statsrådet, sistnevnte restaurerte,19. juli 2010Retten til foreldre opposisjon til fil Kunnskapsdepartementet , med tittelen Grunnleggende studenter en st grad og respektere alle skolebarn fra tre år. Statsrådet bestemte altså at ministerens dekret brøt med lovens artikkel 38 om fysiske personers motstandsrett.
Retten til innsyn er komplementær til retten til informasjon, siden den tillater konsultasjon av personopplysninger ved å bevise deres identitet. Dette gir muligheten for å verifisere nøyaktigheten til dataene og få en kopi til en pris som ikke overstiger den reproduksjonen. Denne retten er imidlertid begrenset: Hvis den behandlingsansvarlige anser at forespørselen er krenkende, eller hvis opplysningene oppbevares i en form som ikke utgjør noen risiko, avslås deres konsultasjon, hvis det gjelder data relatert til sikkerhetsstat, forsvar eller offentlig sikkerhet ( politi, gendarmeri), er et medlem av CNIL utnevnt til å undersøke disse dataene og, hvis nødvendig, endre dem, hvis denne endringen ikke er ment å være til skade for nasjonal sikkerhet. Behandlingen utført av offentlige myndigheter, personer som er betrodd et offentlig tjenestemisjon og skattemyndigheter er også berørt av forrige tiltak.
Rett til rettelse, et viktig supplement til retten til innsyn, gjør det mulig for enhver person å rette, fullføre, oppdatere, blokkere eller få slettet feilaktige data om dem. Denne retten brukes hovedsakelig ved skriftlig brev til organet som har nevnte opplysninger, og den behandlingsansvarlige må da begrunne at han har foretatt de forespurte rettelsene, og sende en kopi av den modifiserte opptaket gratis på anmodning fra vedkommende.
Artikkel 40 :
"Enhver fysisk person som beviser sin identitet kan kreve at den behandlingsansvarlige korrigerer, fullfører, oppdaterer, blokkerer eller sletter personlige opplysninger om ham, som er unøyaktige, ufullstendige, tvetydige, alt etter omstendighetene, utløpt, eller hvis innsamling, bruk, avsløring eller oppbevaring er forbudt. "
Loven om 6. august 2004, som overfører bestemmelsene i direktiv 95/46 / EF til fransk lov , gjør flere endringer i personvernloven. Det ble supplert med dekret utstedt den20. oktober 2005 og 25. mars 2007.
Den nye loven harmoniserer delvis reglene for erklæring av filer mellom privat og offentlig sektor . Det generelle regimet for offentlig sektor er ikke lenger å be om autorisasjon fra CNIL, men å gjøre en enkel erklæring om disse filene, slik det allerede var tilfelle for privat sektor. Søkeren må da vente på CNIL-kvitteringen før den faktiske bruken av filen. Denne modifikasjonen introduserer muligheten for straffesanksjoner i tilfelle tilsidesettelse av IT- og sivilrettslige forpliktelser (artikkel 226 -16 og følgende i straffeloven).
Denne forenklingen av loven er ikke uten sine problemer, har statsråd nylig delvis kansellert bestillingen opprette filen "Base elever en st grad" av Ministry of National Education, med den begrunnelse at tjenestene til departementet hadde begynt å bruk filen uten å vente på mottakelsen av erklæringen til CNIL. Av samme grunn har statsrådet fullstendig annullert dekretet om anvendelse av den nasjonale databasen over studentidentifikatorer, som tildeler et nummer til hvert barn som er registrert fra 3 år. Disse to eksemplene var i stand til å gjenopplive debatten der den enkle erklæringen til CNIL, i motsetning til en anmodning om autorisasjon, ikke lenger tillater sistnevnte å beskytte innbyggerne når skolefiler som gjelder en hel befolkning, og mer spesielt en befolkning av "barn, blir plassert på en uregelmessig måte av staten.
Loven foreskriver også tilfeller der filer kan ha nytte av en forenklet erklæring, eller til og med er unntatt fra erklæring.
Skillet mellom en offentlig person og en privatperson har imidlertid ikke helt forsvunnet. Loven om6. august 2004gir faktisk en ny prosedyre for å be om en uttalelse pålagt offentlige organer for oppretting av visse filer som inneholder sensitive data . Autorisasjonsprosedyren forblir for private selskaper og utvides til nye kategorier av data. Filene som må være gjenstand for en autorisasjonsforespørsel er blant annet de som bruker personnummer (tildelt av INSEE ).
Loven gir muligheten for et privat eller offentlig organ å utnevne en "korrespondent for beskyttelse av personopplysninger", ofte kalt "databeskyttelsesansvarlig" (CIL). Denne korrespondenten er ansvarlig for å sikre anvendelsen av lovens bestemmelser i organisasjonen. Formalitetene til CNIL-erklæringen forenkles så sterkt, bortsett fra de mest følsomme behandlingsoperasjonene, slik som automatisk behandling av biometriske data eller de som gjelder statlig sikkerhet. Generelt rådgiver han selskapet om alle spørsmål knyttet til respekten for personopplysninger.
Utnevnt av selskapet, enten blant sine ansatte eller utenfra, må det handle uavhengig av det. Han kan kontakte CNIL.
Denne posisjonen eksisterer allerede, i forskjellige former, i andre land som Tyskland ( Datenschutzbeauftragter , opprettet på 1970-tallet), Nederland ( functionaris gegevensbescherming ) og Sverige ( personuppgiftsombud ).
Siden 2007 en stor skole , jo høyere Institutt for elektronikk i Paris , tog innenfor en spesialisert mastergrad de korrespondenter i databehandling og friheter .
En forening samler CIL, den franske korrespondentforeningen for beskyttelse av personopplysninger .
De 23. mars 2010, ble det vedtatt et lovforslag ved førstebehandlingen i Senatet. I sin artikkel 3 foreslås det å gjøre databehandlingen og friheter obligatorisk korrespondent “når en offentlig myndighet eller et privat organ griper til behandling av personopplysninger som faller inn under autorisasjonssystemet ved anvendelse av artikkel 25, 26 eller 27 eller som mer enn hundre mennesker har direkte tilgang til eller er ansvarlige for gjennomføringen av den . Presidenten for CNIL har uttalt seg ved flere anledninger for denne formelen.
De 25. januar 2012, har EU-kommisjonen publisert et utkast til europeisk forskrift som tar sikte på å erstatte direktiv 95/46 / EF (og følgelig å endre databeskyttelsesloven fundamentalt). Dette prosjektet sørger for utnevnelse av en databeskyttelsesansvarlig (utvikling av funksjonen til korrespondenten for IT og friheter). Denne betegnelsen vil være obligatorisk i offentlige myndigheter og organer, og obligatorisk i selskaper som sysselsetter 250 personer eller mer, og obligatorisk i selskaper som sysselsetter mindre enn 250 personer, men hvis " den grunnleggende virksomheten til den behandlingsansvarlige eller underbehandlingen består av behandlingsoperasjoner som, i kraft av sin art, omfang og / eller formål, krever regelmessig og systematisk overvåking av de berørte personene. "
CNIL kan nå sjekke lokalene til et selskap mellom kl. 06.00 og 21.00.
De 6. januar 1978, Stortinget ikke bare etablert Data Protection Act men også tilsynsmyndigheten tillate sin rette søknad: den nasjonale kommisjonen for databehandling og Liberties (loven), til den første kroppen være kvalifisert som en uavhengig forvaltningsmyndighet .
ICPO (International Criminal Police Organization), vanligvis kjent som Interpol er en organisasjon for samarbeid av fonter internasjonal strafferett, født i 1923 under ledelse av Prince Albert I st av Monaco . Plassert under ledelse av Østerrike , som hadde de enorme arkivene fra det østerriksk-ungarske imperiet , opplevde det en mørk periode under andre verdenskrig , og ble en base for det jødiske folkemordet , under sin nazistiske kommando . Etter å ha overlevd takket være en belgisk politimanns fasthet, vedtok den i 1955 et charter, grunnlaget for dets prinsipper. Denne berømte organisasjonen, som ble etablert i Lyon siden 1989 , har i dag 182 medlemmer som aktivt deltar i kampen mot alvorlig kriminalitet og spesielt terrorisme, og markerte seg i 1982 ved å nekte å delta i arrestasjonen av Klaus Barbie. , Tidligere naziforbryter, sjef for Rhône-Alpes Gestapo, torturist av Jean Moulin , tok han tilflukt i Bolivia og ble utvist etter at general Banzer (militaristisk diktator fra 1971 til 1978 , deretter president fra 1997 til 2001 ) falt for å bli prøvd i Lyon .
På slutten av 1970-tallet bestemte Interpol seg for å datamaskinisere databasen, som fremdeles ble behandlet manuelt. Denne datamatiseringen var kilden til en konflikt mellom organisasjonen, basert i Saint-Cloud på den tiden, og Den franske republikk, som hevdet at dens databeskyttelseslov var gjeldende for dataene i organisasjonens lokaler, som den hadde rett til innsyn. Interpol mente at anvendelsen av denne loven var umulig av to grunner: informasjonen den innehar er medlemslandenes eiendom, den er kun depositaren, og faktumet om å underlegge den til et lovverk gir den en ekstra karakter. -Territorial, dessuten dette vil risikere å kompromittere internasjonalt politisamarbeid, noen land foretrekker å gi opp kommunikasjonsinformasjon som den franske staten ville ha fri tilgang til.
Etter flere år med konflikt kom de to partene til enighet ved å undertegne en ny hovedkvarteravtale om3. november 1983og brevveksling i 1984 . Den første teksten definerer ikke bare organisasjonens generelle rammeverk (unnvikende eiendom, diplomatisk immunitet for dens høye tjenestemenn, veldig lite skatteinnlevering ...), men også ukrenkeligheten av Interpol-filer og arkiver. den andre går inn for å opprette en internkontrollmyndighet for filer og ikke en nasjonal. Frankrike har derfor gitt opp å anvende loven på organisasjonens filer, takket være garantiene som sistnevnte har gitt, for å sikre internasjonalt samarbeid.