• Home  / 
  • DELIBERATION 97-010

DELIBERATION 97-010

By Thiébaut Devergranne / 5 years ago

La Commission Nationale de l'Informatique et des Libertés,

Vu la convention du 28 janvier 1981 du Conseil de l'Europe pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel ;

Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l'informatique, aux fichiers et aux libertés ;

Vu le décret n° 78-774 du 17 juillet modifié pris pour l'application de la loi du 6 janvier 1978 précitée ;

Vu le Code de procédure pénale ;

Vu la loi n° 91-646 du 10 juillet 1991 relative au secret des correspondances émises par la voie des télécommunications ;

Vu la loi n° 96-659 du 26 juillet 1996 de réglementation de télécommunications ;

Vu le projet de décret d'application de l'article L. 35-4 du Code des postes et télécommunications ;

Considérant que la loi n° 96-659 du 26 juillet 1996 de réglementation des télécommunications a confié à un organisme juridiquement distinct des entreprises offrant des biens et des services de télécommunications le soin d'établir et de tenir à jour la liste nécessaire à l'édition d'un annuaire universel regroupant, sous forme d'un document papier ou électronique, les coordonnées de l'ensemble des abonnés à un réseau téléphonique ;

Considérant que l'article L. 35-4, introduit par cette loi dans le code des postes et télécommunications, renvoie à un décret en Conseil d'Etat, pris après avis de la Commission supérieure du service des Postes et Télécommunications, le soin de préciser "les missions confiées à cet organisme et les garanties à mettre en oeuvre pour assurer la confidentialité des données, notamment au regard des intérêts commerciaux des opérateurs, et la protection de la vie privée" ;

Considérant que le ministre délégué à la Poste, aux Télécommunications et à l'Espace a saisi la CNIL, le 17 décembre 1996, de ce projet de décret qui apporte des précisions tant sur le modalités de tenue et de mise à jour de la liste universelle que sur les dispositions relatives aux droits des abonnés ;

Considérant que ce projet prévoit que l'organisme, dont le mode de désignation est fixé par l'article R. 20-44-1 nouveau, sera chargé d'établir et de tenir à jour la liste de tous les abonnés connectés aux réseaux ou services téléphoniques, dénommée "liste universelle", qui contient les informations nominatives suivantes : nom, prénom, adresse et numéro de téléphone ainsi que la mention de la profession pour les abonnés qui le souhaitent ;

Considérant que ces informations seront transmises, chacun pour ce qui le concerne, par chaque opérateur qui les aura préalablement recueillies auprès de ses propres abonnés ;

Considérant que les opérateurs devront également communiquer à l'organisme les informations relatives aux abonnés inscrits en liste rouge ou en liste orange selon les modalités précisées par l'article R. 20-44-3 nouveau ;

Considérant que l'article R. 20-44-6 nouveau précise que la production et le contenu des bases de données qui seront transmises à l'organisme relèvent de la responsabilité des opérateurs ou de leurs distributeurs, sous réserve de la responsabilité propre de l'organisme dans la conduite des tâches qu'il accomplit, cet organisme étant tenu, par les dispositions de l'article R. 20-44-8, de prendre les mesures nécessaires pour préserver la sécurité physique et logique des données qu'il détient ;

S'agissant des droits reconnus aux abonnés

Considérant que l'article R. 10-1 nouveau prévoit le droit pour tout abonné de s'opposer à la divulgation des informations nominatives le concernant (liste rouge), de s'opposer à l'utilisation de ces informations dans les opérations commerciales (liste orange) et de s'opposer à ce que figure dans l'annuaire son adresse complète ainsi que son prénom ou toute information susceptible de révéler son sexe dans la mesure où l'exercice de ce droit ne génèrerait pas de risque d'homonymie ;

Considérant que le droit à ce que ne figure pas dans un annuaire l'adresse complète de l'abonné constitue une garantie efficace pour préserver la vie privée de même que le droit de ne pas faire figurer son prénom ou toute information susceptible de révéler son sexe ; qu'il y a lieu toutefois sur ce dernier point de relever que la plupart des prénoms révèle en France l'identité sexuelle ;

Considérant qu'il y aurait lieu que le décret précise si l'absence de risque d'homonymie doit être appréciée par l'opérateur auprès duquel la personne concernée est abonnée - auquel cas le risque ne pourra être décelé qu'au regard d'une liste partielle des abonnés - ou par l'organisme auquel est confiée la tenue de la liste universelle ; que l'article R. 20-44-7 nouveau devra retenir au deuxième tiret du 1°, la même rédaction que celle qui figurera à l'article R. 10-1 nouveau ;

Considérant que l'article R. 20-44-5 nouveau précise les conditions de diffusion par l'organisme de la liste universelle et des listes qui en seront extraites ; que la diffusion de ces listes fera l'objet de licences d'utilisations délivrées par l'organisme aux différentes catégories d'utilisateurs, les conditions générales de ces licences, devant être publiées après avis du ministre chargé des Télécommunications ;

Considérant que les conditions de diffusion seront différentes selon l'usage des données projeté afin d'assurer la protection des droits des abonnés ; qu'il est ainsi fait une distinction entre la diffusion d'informations aux fins d'édition d'annuaires ou de fournitures de services de renseignements, cas dans lequel l'organisme mettra à la disposition du demandeur la "liste universelle" ou des extraits de celle-ci, expurgée des seules données concernant les personnes inscrites en liste rouge, et la diffusion d'informations aux fins de toute autre utilisation, notamment commerciale, auquel cas l'organisme mettra à la disposition de toute personne qui lui en fera la demande des listes préalablement expurgées des données concernant les personnes inscrites en liste rouge et des données concernant les personnes inscrites en liste orange ;

Considérant que ce texte prévoit que cette mise à disposition sera faite moyennant une juste rémunération reflétant les coûts et tenant compte de l'usage projeté des informations ;

Considérant que ce même texte précise que la liste Safran qui regroupe, en application de la loi n° 89-1008 du 31 décembre 1989, les personnes ne souhaitant pas faire l'objet d'un démarchage publicitaire par voie de télex ou de télécopie, sera mise à disposition par l'organisme à un prix reflétant alors les coûts de gestion, l'usage projeté des informations n'étant pas pris en compte dans le coût de diffusion ;

Considérant que le sixième alinéa de l'article R. 10-1 nouveau interdit l'usage par quiconque dans des opérations commerciales des données identifiantes extraites des fichiers d'abonnés et relatives aux abonnés inscrits en liste orange, la contravention à ces dispositions étant punie pour chaque information mise en circulation de l'amende prévue pour les contraventions de troisième classe ;

Considérant qu'il y a lieu de souligner que les nouvelles techniques de l'information et le développement des architectures en réseaux internationaux permettent désormais de constituer non seulement des annuaires sur support papier ou sur un support électronique accessible depuis le seul territoire national mais aussi des annuaires sur un support électronique nomade - tel est le cas des annuaires sur CD-ROM - ou sur un réseau international ouvert ; que ces circonstances doivent amener à s'interroger sur la portée des garanties ainsi offertes par le projet de décret, surtout lorsque les données figurant dans un annuaire qui comportera notamment celles relatives aux personnes s'étant opposées à toute utilisation commerciale des informations les concernant, pourront être accessibles depuis le territoire d'un Etat n'assurant pas aux données personnelles une protection équivalente à celle garantie par la loi française ;

Considérant que le souci d'une exacte information des personnes sur les risques particuliers que la diffusion d'informations les concernant génère lorsque ces données sont aisément téléchargeables, notamment via Internet, depuis le territoire d'un Etat n'assurant pas aux données de protection particulière, devrait conduire à prévoir dans ce cas un dispositif particulier ;

Considérant en effet, qu'il convient, d'une part, de relever que l'article 12 de la convention du 28 janvier 1981 du Conseil de l'Europe subordonne les flux transfrontières de données à caractère personnel à l'assurance que la réglementation de l'Etat de destination des données apporte une protection équivalente à celle offerte par cette convention ; que la directive récemment adoptée par le Conseil du Parlement européen sur la protection des données personnelles et la libre circulation des données prévoit que les flux tranfrontières de données ne peuvent, en principe, avoir lieu qu'en direction d'un Etat assurant un niveau de protection adéquat ;

Considérant, d'autre part, qu'il convient de rappeler que la CNIL recommande, de manière générale, que lorsque des données nominatives sont diffusées sur Internet, les personnes concernées soient clairement informées des risques inhérents à la nature de ce réseau et de leur droit de s'opposer à une telle diffusion ;

Considérant dès lors qu'il paraît nécessaire que l'article R. 10-1 nouveau soit complété, dans son premier alinéa, par une disposition ainsi rédigée :

"- à ce que ne soit pas mentionnées les données nominatives la concernant dans un annuaire distribué ou diffusé sur un support électronique accessible depuis le territoire d'un Etat n'assurant pas aux données personnelles une protection équivalente à celle garantie par la loi française",

et que l'exercice de ce droit soit gratuit.

S'agissant de l'accès par des autorités habilitées à la "liste universelle"

Considérant que l'article R. 20-44-9 nouveau prévoit que l'organisme satisfait aux demandes d'informations de certaines autorités habilitées par le biais d'une possibilité permanente de consultation électronique de la "liste universelle" dont les modalités sont déterminées par une convention entre l'organisme et les services de l'Etat concerné ;

Considérant, en premier lieu, que l'article R. 20-44-9 nouveau ne vise pas la totalité des autorités actuellement habilitées à bénéficier de l'accès aux informations concernées (ainsi, parmi d'autres, le service des impôts en application de l'article L. 83 du livre des procédures fiscales, la Commission des opérations de bourse en application des articles 5A et 5B de l'ordonnance n° 67-833 du 28 septembre 1967 ou encore la Banque de France et la Commission bancaire en application de l'article 57 de la loi n° 84-46 du 28 janvier 1984) ; qu'il n'apparaît pas nécessaire de citer les autorités en cause dès lors que la simple mention des "autorités habilitées" suffit, sur le fondement des textes ayant institué leur habilitation, à la compréhension du texte de l'article ;

Considérant, en deuxième lieu, que sont visées, au titre des autorités habilitées bénéficiaires, moyennant une juste rémunération, de ce service, les autorités visées par l'article 22 de la loi du 10 juillet 1991 relative au secret des correspondances ainsi que les autorités agissant en application des articles 53 et 75 du code de procédure pénale ; qu'il résulte de la référence faite à l'article 75 du code de procédure pénale relatif à l'enquête préliminaire, que les officiers de police judiciaire et, sous le contrôle de ceux-ci les agents de police judiciaire, procédant, y compris d'office, par voie d'enquête préliminaire, pourraient accéder aux informations portées sur la "liste universelle" concernant des personnes inscrites en liste rouge ;

Considérant qu'à l'heure actuelle et conformément à une instruction de France Télécom n° 94.216 du 26 décembre 1994, le Procureur de la République ou son substitut ainsi que tout officier de police judiciaire agissant dans le cadre d'un enquête préliminaire ne peuvent avoir accès aux informations relatives aux personnes inscrites sur liste rouge ; qu'en effet, dans ce cadre juridique, et à la différence des missions de police judiciaire qui peuvent être accomplies dans le cadre de l'instruction préparatoire en application des dispositions des articles 81 et suivants du code de procédure pénale et, en application des dispositions des articles 53 et suivants, dans le cadre de l'enquête de flagrance, les officiers de police judiciaire ne peuvent procéder à des perquisitions, visites domiciliaires et saisies sans l'assentiment exprès de la personne chez laquelle ces opérations ont lieu ; que ces dispositions sont généralement interprétées comme ne permettant pas à ces personnels, dans ce cadre juridique, d'avoir accès à des informations juridiquement protégées ; que par suite, à défaut de dispositions législatives particulières, les officiers de police judiciaire, agissant par voie d'enquête préliminaire, ne sauraient se voir conférer la qualité de tiers autorisé, au sens de l'article 29 de la loi du 6 janvier 1978, à avoir accès aux informations figurant sur la liste rouge ; qu'en tout état de cause, il apparaît souhaitable de ne pas étendre dans des proportions qui deviendraient trop importantes, le champ des dérogations au caractère confidentiel de la liste rouge ;

Considérant, en troisième lieu, que les autorités habilitées en vertu de dispositions particulières à avoir accès à des informations issues d'un traitement automatisé placé sous la responsabilité d'un tiers ne sauraient, sauf à ce que la finalité du traitement le justifie, avoir un accès permanent et portant sur la totalité des informations nominatives enregistrées dans le fichier ; qu'en revanche la qualité de tiers autorisé, au sens de l'article 29 de la loi du 6 janvier 1978, permet à ces autorités habilitées d'avoir un accès ponctuel à des informations nominatives détenues par des tiers ; que tel est notamment le cas, en application de l'article 22 de la loi du 10 juillet 1991, des juridictions et autorités compétentes pour ordonner des interceptions des correspondances émises par la voie des télécommunications, ou encore du procureur de la République et des officiers de police judiciaire agissant en enquête de flagrance, ainsi que des juges d'instruction ; que la rédaction de l'article R. 20-44-9 nouveau doit être aménagé en conséquence ;

Considérant enfin que le texte proposé pour l'article R. 20-44-9 doit, dans l'intérêt même des personnes concernées, prévoir que l'organisme satisfait aux demandes d'informations des services d'urgences habilités par l'autorité publique formulées au titre de leurs missions de la sauvegarde de la vie humaine ;

EST D'AVIS :

1 - De compléter le premier alinéa de l'article R. 10-1 par la phrase suivante :

"- à ce que ne soient pas mentionnées les données nominatives la concernant dans un annuaire distribué ou diffusé sur un support électronique accessible depuis le territoire d'un Etat n'assurant pas aux données personnelles une protection équivalente à celle garantie par la loi française."

De supprimer le deuxième alinéa du même article et de compléter le troisième alinéa par la phrase suivante :

"L'exercice des autres droits est gratuit."

De procéder aux articles R. 20-44-5 et R. 20-44-7 aux coordinations subséquentes.

2 - De rédiger l'article R. 20-44-9 ainsi qu'il suit :

"Art. R. 20-44-9 (Sécurité) :

L'organisme satisfait aux demandes d'informations des autorités habilitées, et notamment aux demandes présentées, dans le cadre de l'exercice de leurs missions de sauvegarde de la vie humaine, par les services d'urgence habilités par l'autorité publique."

Louise CADOUX Vice-Président délégué

About the author

Thiébaut Devergranne

Thiébaut Devergranne est docteur en droit et consultant. Il travaille en droit des nouvelles technologies depuis plus de 10 ans, dont 6 passees au sein des services du Premier ministre. En savoir plus.

Click here to add a comment

Leave a comment: