Chapitre 1 - Principes et définitions
Chapitre 2 - La Commission Nationale de l'Informatique et des Libertés
Chapitre 3 - Formalités préalables à la mise en oeuvre des traitements automatisés
Chapitre 4 - Collecte, enregistrement, conservation des informations nominatives
Chapitre 5 - Exercice du droit d'accès
Chapitre 5 bis - Recherche dans le domaine de la santé
Chapitre 6 - Dispositions Pénales
Chapitre 7 - Dispositions Diverses
Le Président de la République promulgue la loi dont la teneur suit :
Aucune décision administrative ou privée impliquant une appréciation sur un comportement humain ne peut avoir pour seul fondement un traitement automatise d'informations donnant une définition du profil ou de la personnalité de l'intéressé.
LA COMMISSION NATIONALE DE L'INFORMATIQUE ET DES LIBERTÉS
Toutefois, les frais entraînés par l'accomplissement de certaines des formalités visées aux articles 15, 16, 17 et 24 de la présente loi peuvent donner lieu a la perception des redevances.
Elle est composée de dix sept membres nommes pour cinq ans ou pour la durée de leur mandat:
- deux députés et deux sénateurs élus, respectivement par l'Assemblée nationale et par le Sénat;
- deux membres du Conseil économique et social élus par cette assemblée;
- deux membres ou anciens membres membres du Conseil d'Etat dont l'un d'un grade au moins égal a celui de conseiller, élus par l'assemblée générale du Conseil d'Etat;
- deux membres ou anciens membres de la Cour de cassation, dont l'un d'un grade au moins égal a celui de conseiller, élus pas l'assemblée générale de la Cour de cassation;
- deux membres ou anciens membres de la Cour des comptes, dont l'un d'un grade au moins égal a celui de conseiller maître, élus par l'assemblée générale de la Cour des comptes;
- deux personnes qualifiées pour leur connaissance des applications de l'informatique, nommées par décret sur proposition respectivement du président de l'Assemblée nationale et du président du Sénat;
- trois personnalités désignées en raison de leur autorité et de leur compétence en conseil des ministres.
La commission élit en son sein, pour cinq ans, un président et deux vice-présidents.
La commission établit son règlement intérieur.
En cas de partage des voix, celle du président est prépondérante.
Si, en cours de mandat, le président ou un membre de la commission cesse d'exercer ses fonctions, le mandat de son successeur est limite a la période restant a courir.
La qualité de membre de la commission est incompatible:
- avec celle de membre du Gouvernement;
- avec l'exercice de fonctions ou la détention de participation dans les entreprises concourant a la fabrication de matériel utilise en informatique ou en télécommunication ou a la fourniture de services en informatique ou en télécommunication.
La commission apprécie dans chaque cas les incompatibilités qu'elle peut opposer a ses membres.
Sauf démission, il ne peut être mis fin aux fonctions de membre qu'en cas d'empèchement constate par la commission dans les conditions qu'elle définit.
La commission peut charger le président ou le vice-président délégué d'exercer ses attributions en ce qui concerne l'application des articles 16,17 et 21 (4, 5 et 6).
Les agents de la commission nationale sont nommes par le président ou le vice-président délégué.
Les informaticiens appelés, soit a donner les renseignements a la commission, soit a témoigner devant elle, sont déliés en tant que de besoin de leur obligation de discrétion.
Si l'avis de la commission est défavorable, il ne peut être passé outre que par un décret pris sur avis conforme du Conseil d'Etat ou, s'agissant d'une collectivité territoriale, en vertu d'une décision de son organe délibérant approuvée par décret pris sur avis conforme du Conseil d'Etat.
Si, au terme d'un délai de deux mois renouvelable une seule fois sur décision du président, l'avis de la commission n'est pas notifié, il est réputé favorable.
Cette déclaration comporte l'engagement que le traitement satisfait aux exigences de la loi.
Des qu'il a reçu le récépissé délivré sans délai par la commission, le demandeur peut mettre en oeuvre le traitement. Il n'est exonéré d'aucune de ses responsabilités.
Pour les traitements répondant a ces normes, seule une déclaration simplifiée de conformité a l'une de ces normes est déposée auprès de la commission. Sauf décision particulière de celle-ci, le récépissé de déclaration est délivré sans délai. Des réception de ce récépissé, le demandeur peut mettre en oeuvre le traitement. Il n'est exonéré d'aucune de ses responsabilités.
- la personne qui présente la demande et celle qui a pouvoir de décider la création du traitement ou, si elle réside a l'étranger, son représentant en France;
- les caractéristiques, la finalité et, s'il y a lieu, la dénomination du traitement;
- le service auprès duquel s'exerce le droit d'accès défini au chapitre V ci-dessous ainsi que les mesures prises pour faciliter l'exercice de ce droit;
- les catégories de personnes qui, a raison de leurs fonctions ou pour les besoins du service, ont directement accès aux informations enregistrées;
- les informations nominatives traitées, leur origine et la durée de leur conservation ainsi que leurs destinataires ou catégories de destinataires habilites a recevoir communication de ces informations;
- les rapprochements, interconnexions ou toute autre forme de mise en relation de ces informations ainsi que leur cession a des tiers;
- les dispositions prises pour assurer la sécurité des traitements et des informations et la garantie des secrets protégés par la loi;
- si le traitement est destine a l'expédition d'informations nominatives entre le territoire français et l'étranger, sous quelque forme que ce soit, y compris lorsqu'il est l'objet d'opérations partiellement effectuées sur le territoire français a partir d'opérations antérieurement réalisées hors de France.
Toute modification aux mentions énumérées ci-dessus, ou toute suppression de traitement, est portée a la connaissance de la commission.
Peuvent ne pas comporter certaines des mentions énumérées ci-dessus les demandes d'avis relatives aux traitements automatises d'informations nominatives intéressant la sûreté de l'Etat, la défense et la sécurité publique.
- la dénomination et la finalité du traitement;
- le service auprès duquel s'exerce le droit d'accès définit au chapitre V ci-dessous;
- les catégories d'informations nominatives enregistrées ainsi que les destinataires ou catégories de destinataires habilites a recevoir communication de ces informations.
Des décrets en Conseil d'Etat peuvent disposer que les actes réglementaires relatifs a certains traitements intéressant la sûreté de l'Etat, la défense et la sécurité publique ne seront pas publies.
1) Prend des décisions individuelles ou réglementaires dans les cas prévus par la présente loi;
2) Peut, par décision particulière, charger un ou plusieurs de ses membres ou de ses agents, assistes, le cas échéant, d'experts, de procéder, a l'égard de tout traitement, a des vérifications sur place et de se faire communiquer tous renseignements et documents utiles a sa mission;
3) Édicte, le cas échéant, des règlements types en vue d'assurer la sécurité des systèmes; en cas de circonstances exceptionnelles, elle peut prescrire des mesures de sécurité pouvant aller jusqu'a la destruction des supports d'informations;
4) Adresse aux intéressés des avertissements et dénonce au parquet les infractions dont elle a connaissance, conformément a l'article 40 du code de procédure pénale;
5) Veille a ce que les modalités de mise en oeuvre du droit d'accès et de rectification indiquées dans les actes et déclarations prévus aux articles 15 et 16 n'entravent pas le libre exercice de ce droit;
6) Reçoit les réclamations, pétitions et plaintes;
7) Se tient informée des activités industrielles et de services qui concourent a la mise en oeuvre de l'informatique.
Les ministres, autorités publiques, dirigeants d'entreprises publiques ou privées, responsable de groupements divers et plus généralement les détenteurs ou utilisateurs de fichiers nominatifs ne peuvent s'opposer a l'action de la commission ou de ses membres pour quelque motif que ce soit et doivent au contraire prendre toutes mesures utiles afin de faciliter sa tache.
- la loi ou l'acte réglementaire décidant de sa création ou la date de sa déclaration;
- sa dénomination et sa finalité;
- le service auprès duquel est exerce le droit d'accès prévu au chapitre V ci-dessous;
- les catégories d'informations nominatives enregistrées ainsi que les destinataires ou catégories de destinataires habilites a recevoir communication de ces informations.
Sont tenus a la disposition du public, dans les conditions fixées par décret, les décisions, avis ou recommandations de la commission dont la connaissance est utile a l'application ou a l'interprétation de la présente loi.
Ce rapport décrira notamment les procédures et méthodes de travail suivies par la commission et soutiendra en annexe toutes informations sur l'organisation de la commission et ses services, propres a faciliter les relations du public avec celle-ci.
Ce droit ne s'applique pas aux traitements limitativement désignés dans l'acte réglementaire prévu a l'article 15.
- du caractère obligatoire ou facultatif des réponses;
- des conséquences a leur égard d'un défaut de réponse;
- des personnes physiques ou morales destinataires des informations;
- de l'existence d'un droit d'accès et de rectification.
Lorsque de telles informations ont recueillies par voie de questionnaires, ceux-ci doivent porter mention de ces prescriptions.
Ces dispositions ne s'appliquent pas a la collecte des informations nécessaires a la constatation des infractions.
Jusqu'a la mise en oeuvre du fichier des conducteurs prévu par la loi no 70-539 du 24 juin 1970, les entreprises d'assurances sont autorisées, sous le contrôle de la commission, a traiter elle-mêmes les informations mentionnées a l'article 5 de ladite loi et concernant les personnes visées au dernier alinéa dudit article.
Toutefois, les églises ou les groupements a caractère religieux, philosophique, politique ou syndical peuvent tenir registre de leurs membres ou de leurs correspondants sous forme automatisée. Aucun contrôle ne peut être exerce, de ce chef, a leur encontre.
Pour des motifs d'intérêt public, il peut aussi être fait exception a l'interdiction ci-dessus sur proposition ou avis conforme de la commission par décret en Conseil d'Etat.
Ancien texte: L'accès du fichier électoral est ouvert dans les conditions identiques aux candidats et aux partis politiques sous le contrôle des commissions de propagande électorale.
Une copie est délivrée au titulaire du droit d'accès qui en fait la demande contre perception d'une redevance forfaitaire variable selon la catégorie de traitement dont le montant est fixe par décision de la commission et homologue par arrêté du ministre de l'économie et des finances.
Toutefois, la commission saisie contradictoirement par le responsable du fichier peut lui accorder :
- des délais de réponse;
- l'autorisation de ne pas tenir compte de certaines demandes manifestement abusives par leur nombre, leur caractère répétitif ou systématique.
Lorsqu'il y a lieu de craindre la dissimulation ou la disparition des informations mentionnées au premier alinéa du présent article, et même avant l'exercice d'un recours juridictionnel. Il peut être demande au juge compétent que soient ordonnées toutes mesures de nature a éviter cette dissimulation ou cette disparition.
Lorsque l'intéressé en fait la demande, le service ou organisme concerne doit délivrer sans frais copie de l'enregistrement modifie.
En cas de contestation, la charge de la preuve incombe au service auprès duquel est exercée le droit d'accès sauf lorsqu'il est établi que les informations contestées ont été communiquées par la personne concernée ou avec son accord.
Lorsque le titulaire du droit d'accès obtient une modification de l'enregistrement, la redevance versée en application de l'article 35 est remboursée.
Il est notifié au requérant qu'il a été procédé aux vérifications.
Les traitements de données ayant pour fin le suivi thérapeutique ou médical individuel des patients ne sont pas soumis aux dispositions du présent chapitre. Il en va de même des traitements permettant d'effectuer des études à partir des données ainsi recueillies si ces études sont réalisées par les personnels assurant ce suiviet destinées à leur usage exclusif.
Le comité consultatif dispose d'un mois pour transmettre son avis au demandeur. A défaut, l'avis est réputé favorable. En cas d'urgence, ce délai peut être ramené à quinze jours.
Le président du comité consultatif peut mettre en oeuvre une procédure simplifiée.
La mise en oeuvre du traitement de données est ensuite soumise à l'autorisation de la Commission nationale de l'Informatique et des libertés, qui dispose, à compter de sa saisine par le demandeur, d'un délai de deux mois, renouvelable une seule fois, pour se prononcer. A defaut de decision dans ce delai, le traitement des données est autorisé.
Lorsque ces données permettent l'identification des personnes, elles doivent être codées avant leur tranmission. Toutefois, il peut être dérogé à cette obligation lorsque le traitement de données est associé à des études de pharmaco-vigilance ou à des protocoles de recherche réalisés dans le cadre d'études coopératives nationales ou internationales; il peut également y être dérogé si une particularité de la recherche l'exige. La demande d'autorisation comporte la justification technique et scientifique de la dérogation et, sauf autorisation motivée de la Commission nationale de l'Informatique et des libertés donnée après avis du comité consultatif pour le traitement de l'information en matière de recherche dans le domaine de la santé, les données transmises ne peuvent être conservées sous une forme nominative au-delà de la durée nécessaire à la recherche.
La présentation des résultats du traitement de données ne peut en aucun cas permettre l'identification directe ou indirecte des personnes concernées.
Les données sont reçues par le responsable de la recherche désigné à cet effet par la personne physique ou morale autorisée à mettre en oeuvre le traitement. Ce responsable veille à la sécurité des informations et de leur traitement, ainsi qu'au respect de ceui-ci.
Les personnes appelées à mettre en oeuvre le traitement de données ainsi que celles qui ont accès aux données sur lesquels il porte sont astreintes au secret professionnel sous les peines prévues à l'article 226-13 du Code Pénal.
Dans le cas où la recherche nécessite le recueil de prélèvements biologiques identifiants, le consentement éclairé et exprès des personnes concernées doit être obtenu préalablement à la mise en oeuvre du traitement de données.
Les informations concernant les personnes décédées, y compris celles qui figurent sur les certificats des causes de décès, peuvent faire l'objet d'un traitement de données, sauf si l'intéressé a, de son vivant, exprimé son refus par écrit.
1) De la nature des informations transmises;
2) De la finalité du traitement de données;
3) Des personnes physiques ou morales destinataires des données;
4) Du droit d'accès et de rectification institué au chapitre V;
5) Du droit d'opposition institué aux premier et troisième alinéas de l'article 40-4, dans le cas prévu au deuxième alinéa de cet article, de l'obligation de recueillir leur consentement.
Toutefois, ces informations peuvent ne pas être délivrées si pour des raisons légitimes que le médecin traitant apprécie en conscience, le malade est laissé dans l'ignorance d'un diagnostic ou d'un pronostic grave.
Dans le cas où les données ont été initialement recueillies pour un autre objet que le traitement, il peut être dérogé à l'obligation d'information individuelle lorsque celle-ci se heurte à la difficulté de retrouver les personnes concernées. Les dérogations à l'obligation d'informer les personnes de l'utilisation de données les concernant à des fins de recherche sont mentionnées dans le dossier de demande d'autorisation transmis à la Commission nationale de l'Informatique et des libertés, qui statue sur ce point.
Il en est de même en cas de refus de se soumettre au contrôle prévu par le (2) de l'article 21.
(Ancien texte: Sera puni d'un emprisonnement de six mois a trois ans et d'une amende de 2.000 a 200.000 Francs, ou de l'une de ces deux peines seulement, quiconque aura procédé ou fait procéder a des traitements automatises d'informations nominatives, sans qu'aient été publies les actes réglementaires prévus a l'article 15 ou faites les déclarations prévues a l'article 16 ci-dessus. En outre, le tribunal pourra ordonner l'insertion du jugement intégralement ou par extraits, dans un ou plusieurs journaux, et son affichage dans les conditions qu'il déterminera, aux frais du condamne.)
(Ancien texte: Sera puni d'un emprisonnement d'un an a cinq ans et d'une amende de 20.000 Francs a 2.000.000 de Francs, ou de l'une de ces deux peines seulement, quiconque aura enregistre ou fait enregistrer, conserve ou fait conserver des informations nominatives en violation des dispositions des articles 25, 26 et 28 a 31. En outre, le tribunal pourra ordonner l'insertion du jugement, intégralement ou par extraits, dans un ou plusieurs journaux, et son affichage dans les conditions qu'il déterminera, aux frais du condamne.)
1) Soit en s'opposant à l'exercice de vérifications sur place;
2) Soit en refusant de communiquer à ses membres, à ses agents ou aux magistrats mis à sa disposition les renseignements et documents utiles à la mission qui leur est confiée par la commission ou en dissimulant lesdits documents ou renseignements, ou encore en les faisant disparaître;
3) Soit en communiquant des informations qui ne sont pas conformes au contenu des enregistrements au moment où la demande a été formulée ou qui ne le présentent pas sous une forme directement intelligible.
(Ancien texte: Sera puni d'un emprisonnement de deux a six mois et d'une amende de 2.000 a 20.000 Francs, ou de l'une de ces deux peines seulement, quiconque ayant recueilli, a l'occasion, de leur enregistrement, de leur classement, de leur transmission ou de toute autre forme de traitement, des informations nominatives dont la divulgation aurait pour effet de porter atteinte a la réputation ou a la considération de la personne ou a l'intimité de la vie privée, aura, sans l'autorisation de l'intéressé, sciemment porte ces informations a la connaissance d'une personne qui n'a pas qualité pour les recevoir en vertu des dispositions de la présente loi ou d'autres dispositions législatives. Sera puni d'une amende de 2.000 a 20.000 Francs quiconque aura, par imprudence ou négligence, divulgue ou laisse divulguer des informations de la nature de celles mentionnées a l'alinéa précédent.)
(Ancien texte: Sera puni d'un emprisonnement d'un an a cinq ans et d'une amende de 20.000 a 2.000.000 de Francs quiconque, étant détenteur d'informations nominatives a l'occasion de leur enregistrement, de leur classement, de leur transmission ou de toute autre forme de traitement, les aura détournées de leur finalité telle qu'elle est définie dans l'acte réglementaire prévu a l'article 15 ci-dessus, ou dans les déclarations déclarations faites en application des articles 16 et 17 ou par une disposition législative.)
Le premier alinéa de l'article 26 est applicable aux mêmes fichiers, a l'exception des fichiers publics désignés par un acte réglementaire.
Toute personne justifiant de son identité a le droit d'interroger les services ou organismes qui détiennent des fichiers mentionnes au premier alinéa du présent article en vue de savoir si ces fichiers contiennent des informations nominatives le concernant. Le titulaire du droit d'accès a le droit d'obtenir communication de ces informations; il peut exiger qu'il soit fait application des trois premiers alinéas de l'article 36 de la présente loi relatifs au droit de rectification. Les dispositions des articles 37, 38, 39 et 40 sont également applicables. Un décret en Conseil d'Etat fixe les conditions d'exercice du droit d'accès et de rectification; ce décret peut prévoir la perception de redevances pour la délivrance de copies des informations communiquées.
Le Gouvernement, sur proposition de la commission nationale de l'informatique et des libertés, peut décider, par décret en Conseil d'Etat, que les autres dispositions de la présente loi peuvent, en totalité ou en partie, s'appliquer a un fichier ou a des catégories de fichiers non automatises ou mécanographiques qui présentent, soit par eux-mêmes, soit par la combinaison de leur emploi avec celui d'un fichier informatise, des dangers quant a la protection des libertés.
Ces décrets détermineront les délais dans lesquels les dispositions de la présente loi entreront en vigueur. Ces délais ne pourront excéder deux ans a compter de la promulgation de ladite loi.
La commission peut toutefois, par décision spéciale, faire application des dispositions de l'article 15 et fixer le délai au terme duquel l'acte réglementant le traitement doit être pris.
A l'expiration d'un délai de deux ans a compter de la promulgation de la présente loi, tous les traitements régis par l'article 15 devront répondre aux prescriptions de cet article.
La présente loi sera exécutée comme loi de l'Etat.
Fait a Paris, le 06 Janvier 1978.
Par le Président de la République:
VALÉRY GISCARD D'ESTAING
Le Premier ministre,
RAYMOND BARRE
Le garde des sceaux, ministre de la justice,
ALAIN PEYREFITTE
Le ministre de l'intérieur,
CHRISTIAN BONNET
Le ministre de la défense,
YVON BOURGES
Le ministre délégué a l'économie et aux finances,
ROBERT BOULIN
Le ministre de l'équipement et de l'aménagement du territoire,
FERNAND ICART
Le ministre de l'éducation,
RENÉ HABY
Le ministre de l'industrie et du commerce et de l'artisanat,
RENÉ MONORY
Le ministre du travail,
CHRISTIAN BEULLAC
Le ministre de la santé et de la sécurité sociale,
SIMONE VEIL
Projet de loi (no 2516) et proposition de loi (no 1004 et 3092);
Rapport de M. Foyer, au nom de la commission des lois (no 3125);
Discussion des 4 et 5 octobre 1977;
Adoption le 5 octobre 1977.
Sénat:
Projet de loi adopte par l'Assemblée nationale no 5 (1977-1978);
Rapport de M.THYRAUD, au nom de la commission des lois, no 72 (1977-1978);
Discussion et adoption le 17 novembre 1977.
Assemblée nationale:
Projet de loi, modifie par le Sénat (no 3225)
Rapport de M. FOYER, au nom de la commission des lois (no 3352)
Discussion et adoption le 16 décembre 1977.
Sénat:
Projet de loi, modifie car l'Assemblée nationale no 195 (1977-1978);
Rapport de M.THYRAUD, au nom de la commission des lois, no 199 (1977-1978);
Discussion et adoption le 19 décembre 1977.
Assemblée nationale:
Rapport de M. Foyer, au nom de la commission mixte paritaire (no 3432);
Discussion et adoption le 21 décembre 1977.
Sénat:
Rapport de M.Thyraud, au nom de la commission mixte paritaire (no 232) (1977-1978);
Discussion et rejet le 21 décembre 1977.
Assemblée nationale:
Projet de loi, modifie par le Sénat (no 3384);
Discussion et adoption le 21 décembre 1977.
Sénat:
Projet de loi, adopte par l'Assemblée nationale no 240 (1977-1978);
Discussion et adoption le 21 décembre 1977.
Rapport d'activités de la CNIL - 1994