Prawo n o 78-176 stycznia 1978odnosząca się do komputerów, plików i wolności , lepiej znana pod nazwą Ustawa o ochronie danych , to francuskie prawo, które reguluje wolność przetwarzania danych osobowych , czyli wolność przetwarzania danych osobowych ludzi. Ponieważ wolność ta jest nierozerwalnie związana z działalnością informatyczną, ustawa ta reguluje zatem potencjalnie antyspołeczne konsekwencje działalności informatycznej.
Chociaż podpisana w 1978 r. , historia ustawy o ochronie danych jest starsza o około dziesięć lat.
W 1970 r. poseł Michel Poniatowski zaproponował Zgromadzeniu Narodowemu utworzenie komisji nadzorczej i sądu komputerowego, propozycja ta, podjęta później przez innych, została odrzucona.
W tym samym roku INSEE , korzystając z przejścia od informatyki z kart dziurkowanych do taśm magnetycznych, zdecydowało się na scentralizowanie katalogu identyfikacyjnego, który do tej pory był rozprowadzany między biurami regionalnymi. Takie podejście umożliwia reakcję na przewidywalne masowe wykorzystywanie francuskiego numeru identyfikacyjnego („numer ubezpieczenia społecznego” lub „NIR”) przez administrację ( edukację narodową , podatki , Ministerstwo Spraw Wewnętrznych itp.) w celu weryfikacji tożsamość ludzi. W perspektywie mniej lub bardziej długoterminowej planowane jest dodanie do pliku informacji administracyjnych, takich jak adres . Ponadto masowe wykorzystanie NIR w różnych aktach administracyjnych umożliwiłoby ich wzajemne połączenie w celu ułatwienia badań statystycznych populacji francuskiej.
W 1971 roku, zautomatyzowany system do akt administracyjnych i katalog jednostek projektu (SAFARI) urodził.
21 marca 1974, podczas gdy Jacques Chirac był ministrem spraw wewnętrznych od niecałego miesiąca (właśnie „zamienił” swoje stanowisko w rolnictwie na stanowisko Raymonda Marcellina ), musi stawić czoła oburzeniu po opublikowaniu felietonu Philippe'a Bouchera w gazeta Le Monde zatytułowana „SAFARI czyli polowanie na Francuzów”. Projekt Safari jest rzeczywiście postrzegany jako poważna przeszkoda dla wolności.
Ale 2 kwietnia 1974, Georges Pompidou , prezydent Republiki , który według oficjalnych raportów cierpi na zwykłą grypę, umiera na chorobę Waldenströma (postać raka). Valéry Giscard d'Estaing został wówczas wybrany na prezydenta republiki, dzięki poparciu Jacquesa Chiraca, a zwłaszcza popularności tego ostatniego na obszarach wiejskich, nabytej podczas jego przejścia do rolnictwa. Został mianowany premierem i wezwał MSW do pana Poniatowskiego, który w obliczu krytyki podjął jego pomysł i powołał Komisję ds. Informatyki i Wolności oraz powołał projekt, który pomimo jego rezygnacji w 1977 r. do ustawy "Informatique et Libertés" of6 stycznia 1978oraz utworzenie CNIL (Krajowej Komisji ds. Informatyki i Swobód). Ten przedwczesny rozwój umieścił tym samym Francję w czołówce europejskich trio obok Hesji ( Niemcy , 1971) i Szwecji (1973) i uczyniła z niej inicjatora prawodawstwa europejskiego wdrożonego w dziesięciu krajach wspólnoty w 1981 r., inspirując Radę Europy. Konwencja o ochronie danych (1981) oraz Wytyczne dotyczące rozporządzenia w sprawie zautomatyzowanych zbiorów danych osobowych (1990).
Francja będzie ostatnim transpozycji do 2004 europejską dyrektywę z 1995 roku, który znacząco zmienił prawo, w tym zastąpienie terminu „dane osobowe” przez „dane osobowe”, podając definicję w artykule 2 tego ostatniego w celu uniknięcia wątpliwe interpretacje tego pojęcia i objąć jak najwięcej sytuacji. Ponadto ustawa o ochronie danych zbliżyła się do nowych technologii informatycznych, precyzując, że nie przewiduje tymczasowych kopii plików oraz określając dokładne warunki legalności przetwarzania danych osobowych. Możemy również zauważyć zniknięcie rozróżnienia wynagrodzeń między sektorem publicznym a prywatnym, oba podlegają teraz tej samej procedurze, którą niektórzy uważają za zbyt pobłażliwą. Obecnie większość przegrupowań w ramach projektu SAFARI została przeprowadzona jedno po drugim w lepiej określonych sytuacjach.
Jednak bardzo ważne jest, aby zauważyć, że ustawodawcy, którym ambicją było jedynie uznanie nowych praw obywateli w odniesieniu do dużych scentralizowanych systemów informatycznych, w które administracja zaczynała się wyposażać, nie mogli – co sobie wyobrażać rozwoju Internetu, a mimo to udało się stworzyć „prawo pomnikowe”, filar ustawodawstwa elektronicznego.
Ustawa ta została następnie zmieniona dekretem w sprawie14 października 1991 : reorganizuje to akta informacji ogólnych , zezwalając na „gromadzenie, przechowywanie i przetwarzanie w aktach ogólnych służb informacyjnych informacji imiennych dotyczących osób dorosłych, które wykazują […] szczególne cechy fizyczne, cele i niezmienne [jak również] polityczne, działalność filozoficzną, religijną lub związkową” ( art. 2 ). Informacje mogą być gromadzone, jeśli „ dotyczą osób fizycznych lub prawnych, które ubiegały się o, wykonywały lub sprawują mandat polityczny, związkowy lub gospodarczy lub które odgrywają znaczącą rolę polityczną, gospodarczą, społeczną lub religijną, pod warunkiem, że informacje te są niezbędne zapewnienie rządowi lub jego przedstawicielom środków oceny sytuacji politycznej, gospodarczej lub społecznej oraz przewidywania jej rozwoju” ( art. 3 ); ale w tym przypadku nie mogą być przekazane policji ani żandarmerii ( art. 5 ). Dekret przewiduje również przegląd legalności informacji przechowywanych co pięć lat pod egidą Krajowej Komisji ds. Informatyki i Wolności (CNIL) (art. 6).
Ustawa z 1978 r. jest dalej zmieniana przez ustawę z dnia 6 sierpnia 2004 r.w celu transpozycji do prawa francuskiego przepisów dyrektywy 95/46/WE o ochronie danych osobowych . Zmieniona ustawa z 1978 r. została uzupełniona dekretem wykonawczym nr 2005-1309 z dnia20 października 2005. Transpozycja ta w istotny sposób modyfikuje tekst z 1978 r., rozszerzając zakres danych kwalifikowanych jako osobowe (art. 2), upraszczając ich reżimy prawne i zwiększając kary w art. 226-16 do 226-24 Kodeksu karnego. Ponadto wzmocnione zostają uprawnienia dochodzeniowe, dochodzeniowe i nakładające sankcje CNIL.
Podzielony na trzynaście części, z których tylko trzy pierwsze ( zasady i definicje , warunki legalności przetwarzania danych osobowych , Krajowa Komisja Informatyki i Wolności ) bezpośrednio dotyczą jednostek, LIL wpisany z art 1, prawodawstwo dotyczące przetwarzania danych w ciągu w ramach praw człowieka , na pewno w celu upamiętnienia celów , do jakich akta mogły być wykorzystywane za Vichy .
"Artykuł 1:
Technologia informacyjna musi służyć każdemu obywatelowi. Jego rozwój musi odbywać się w ramach współpracy międzynarodowej. Nie może naruszać ludzkiej tożsamości, praw człowieka, prywatności ani wolności indywidualnych lub publicznych. "
Od drugiego artykułu określa swoje ramy, adresując do jak największej liczby osób.
„Artykuł 2:
[…] Dane osobowe to wszelkie informacje dotyczące zidentyfikowanej osoby fizycznej lub informacje, które można zidentyfikować bezpośrednio lub pośrednio przez odniesienie do numeru identyfikacyjnego lub jednego lub większej liczby określonych elementów. W celu ustalenia, czy dana osoba jest możliwa do zidentyfikowania, konieczne jest rozważenie wszystkich środków umożliwiających jej identyfikację, które są dostępne lub do których administrator lub inna osoba może mieć dostęp .
Każdą operację lub zestaw operacji odnoszących się do takich danych, niezależnie od zastosowanego procesu, aw szczególności gromadzenie, porządkowanie, przechowywanie, adaptacja lub przechowywania, stanowią przetwarzanie danych osobowych. Modyfikacji, ekstrakcja, konsultowanie, wykorzystywanie, komunikacja przez transmisję, dystrybucji lub jakiejkolwiek innej formy świadczenia, uzgadniania lub wzajemnego łączenia, a także blokowania, usuwania lub niszczenia.
Zbiór danych osobowych to każdy uporządkowany i stabilny zbiór danych osobowych dostępnych według określonych kryteriów. "
Osobą, której dotyczy przetwarzanie danych osobowych jest ta, której dotyczą dane będące przedmiotem przetwarzania.
Następnie określa:
„Artykuł 6:
Przetwarzanie może dotyczyć wyłącznie danych osobowych, które spełniają następujące warunki:
„Artykuł 7:
Przetwarzanie danych osobowych musi uzyskać zgodę osoby, której dane dotyczą lub spełniać jeden z następujących warunków:
„Artykuł 8:
I. - Zabrania się zbierania lub przetwarzania danych osobowych ujawniających bezpośrednio lub pośrednio pochodzenie rasowe lub etniczne, poglądy polityczne, filozoficzne lub religijne lub przynależność do związków zawodowych osób, a także dotyczących ich zdrowia lub życia seksualnego.
II. - O ile cel przetwarzania tego wymaga dla niektórych kategorii danych, nie podlegają zakazowi przewidzianemu w I:
4 ° Przetwarzanie danych osobowych upublicznionych przez osobę, której dane dotyczą; "
Planowanych jest kilka procedur w celu zgłoszenia leczenia do CNIL:
Wreszcie w art. 9 i 10 określono, że tylko sądy, organy publiczne, osoby zarządzające służbą publiczną lub organy pomocnicze prawa mogą wdrażać przetwarzanie danych dotyczących przestępstw, wyroków skazujących i środków bezpieczeństwa oraz że nie można oprzeć żadnego orzeczenia sądu ani pociągającego za sobą skutków prawnych w sprawie przetwarzania danych osobowych, chroniąc w ten sposób osoby fizyczne przed wszelkimi nadużyciami.
Sztuka. 26 stanowi ponadto, że przetwarzanie danych osobowych, które dotyczy „ bezpieczeństwa państwa , obronności lub bezpieczeństwa publicznego”, lub które ma na celu „zapobieganie przestępstwom, prowadzenie dochodzeń w ich sprawie, obserwowanie ich lub ich ściganie lub wykonywanie wyroków skazujących lub środków bezpieczeństwa”, muszą być zatwierdzone na mocy dekretu wydanego po uzasadnionej opinii CNIL, również opublikowanej w Dzienniku Urzędowym . Informacje przekazywane do CNIL mogą być jednak mniejsze niż dotyczące innych akt, począwszy od ustawy z dnia 23 stycznia 2006 r. o terroryzmie (art. 13).
Jeżeli zawierają dane wrażliwe (zwłaszcza w przypadku pliku informacji ogólnych , STIC , EDVIGE i CRISTINA ), muszą być zatwierdzone na mocy dekretu Rady Stanu wydanego po uzasadnionej i opublikowanej opinii CNIL.
Jednak zezwolenie na takie przetwarzanie danych może zostać wyłączone z publikacji w Dzienniku Urzędowym (w przypadku CRISTINA ) na mocy dekretu Rady Stanu. Do tej pory procedura ta była stosowana wyłącznie w przypadku akt dotyczących wywiadu , a nie akt prawno-policyjnych (zapobieganie, badania, obserwacja lub ściganie przestępstw itp.).
Pierwotny tekst z 1978 r. przewiduje, w przypadku niezgodności z prawem , oprócz ostrzeżenia CNIL, tylko sankcje karne orzeczone przez sąd. Te sankcje karne ewoluowały w następujące:
Zmiany wprowadzone do ustawy w 2004 r. dodają sankcje administracyjne , ogłoszone przez CNIL i które mogą być zakwestionowane przed Radą Stanu . Sankcje te następnie ewoluowały, w szczególności ze względu na prawo20 czerwca 2018 r., aby stać się:
Ustawa o ochronie danych koncentruje prawa osób fizycznych w czterech punktach:
Należy zauważyć, że w celu skorzystania z tych praw podmioty zamówione muszą:
Zgodnie z indeksem Francuskiego Stowarzyszenia Korespondentów ds. Ochrony Danych Osobowych z 2011 r., mniej niż 18% organizacji, do których zwrócono się z prośbą, odpowiedziało zgodnie z prawem.
Artykuł 3 ustawy wskazuje, że każdy ma prawo wiedzieć, czy znajduje się w aktach, a jeśli tak, w których aktach, jest to prawo do informacji, prawo podstawowe, które jest podstawą wszystkich pozostałych.
Prawo do sprzeciwu upoważnia każdą osobę do wniesienia sprzeciwu, z uzasadnionego powodu, aby pojawił się w aktach. Ponadto może sprzeciwić się bez uzasadnienia, aby dotyczące jej dane były wykorzystywane do celów poszukiwawczych, w szczególności handlowych.
W ten sposób Federacja Firm Sprzedaży na Odległość stworzyła akta Robinsona , znane jako stop-publicity , pozwalające każdemu, kto nie chce być poszukiwany, na usunięcie z akt firm należących do stowarzyszenia. France Telecom udostępnia również publicznie opcję zwaną pomarańczową listą , bezpłatnie dla osób, które nie chcą, aby ich numery telefonów były reklamowane, ale nadal chcą pojawiać się w książce telefonicznej.
Jeśli chodzi o akta sektora publicznego (służby podatkowe, policja, wymiar sprawiedliwości, akta pasażerów linii lotniczych ...), to w większości przypadków to prawo nie dotyczy. Należy jednak zauważyć, że po zajęciu przez dwie osoby Rady Stanu, ta ostatnia przywrócona,19 lipca 2010Prawo do sprzeciwu rodzicielskiego do plików Ministerstwa Edukacji , zatytułowany Podstawowe studentom 1 st stopień i szanować wszystkie dzieci w wieku szkolnym od trzech lat. Rada Stanu uznała zatem, że dekret ministra narusza art. 38 ustawy, dotyczący prawa do sprzeciwu osób fizycznych.
Prawo dostępu jest uzupełnieniem prawa do informacji, ponieważ umożliwia przeglądanie danych osobowych poprzez udowodnienie ich tożsamości. Daje to możliwość weryfikacji dokładności danych i uzyskania kopii po kosztach nieprzekraczających kosztów reprodukcji. Prawo to jest jednak ograniczone: jeżeli administrator uzna, że żądanie jest nadużycie lub dane są przechowywane w formie nie stanowiącej zagrożenia, wówczas odmawia się ich wglądu, jeżeli dotyczy danych związanych z bezpieczeństwem państwa, obronnością lub bezpieczeństwem publicznym ( policji, żandarmerii), członek CNIL jest wyznaczony do badania tych danych i, w razie potrzeby, ich modyfikacji, o ile modyfikacja ta nie ma na celu naruszenia bezpieczeństwa narodowego. Poprzedni środek ma również wpływ na przetwarzanie prowadzone przez organy administracji publicznej, osoby, którym powierzono misję służby publicznej i organy podatkowe.
Prawo do sprostowania, które jest niezbędnym uzupełnieniem prawa dostępu, umożliwia każdej osobie poprawianie, uzupełnianie, aktualizowanie, blokowanie lub usuwanie błędnych danych, które jej dotyczą. Prawo to stosuje się głównie w formie pisemnego pisma do organu przechowującego wspomniane informacje, administrator musi następnie uzasadnić, że dokonał żądanych poprawek i przesłać bezpłatnie, na wniosek osoby zainteresowanej, kopię zmienionego nagrania.
Artykuł 40 :
„Każda osoba fizyczna potwierdzająca swoją tożsamość może żądać od administratora sprostowania, uzupełnienia, aktualizacji, zablokowania lub usunięcia dotyczących jej danych osobowych, które są niedokładne, niekompletne, niejednoznaczne, w zależności od przypadku, wygasły lub których gromadzenie, wykorzystanie, ujawnienie lub przechowywanie jest zabronione. "
Prawo 6 sierpnia 2004, który transponuje przepisy dyrektywy 95/46/WE do prawa francuskiego , wprowadza liczne zmiany w ustawie o ochronie danych. Został on uzupełniony dekretami wydanymi dnia20 października 2005 i 25 marca 2007 r..
Nowa ustawa częściowo harmonizuje zasady zgłaszania akt między sektorem prywatnym i publicznym . Ogólny system dla sektora publicznego nie polega już na żądaniu zezwolenia od CNIL, ale na prostym oświadczeniu tych akt, jak miało to już miejsce w przypadku sektora prywatnego. Wnioskodawca musi następnie poczekać na otrzymanie CNIL przed faktycznym wykorzystaniem akt. Modyfikacja ta wprowadza możliwość nałożenia sankcji karnych w przypadku nieprzestrzegania obowiązków w zakresie informatyki i wolności obywatelskich (art. 226 -16 i n. kk).
To uproszczenie prawa nie jest bezproblemowe, gdyż Rada Stanu w ostatnim czasie częściowo anulowała nakaz utworzenia w Ministerstwie Edukacji Narodowej kartoteki „Bazowi uczniowie I st. ”, uzasadniając to tym, że służby resortu rozpoczęły korzystać z pliku, nie czekając na otrzymanie deklaracji do CNIL. Z tego samego powodu Rada Stanu całkowicie unieważniła dekret o stosowaniu krajowej bazy legitymacji studenckich, która nadaje numer każdemu zapisanemu dziecku od 3 roku życia. Te dwa przykłady były w stanie ożywić debatę, zgodnie z którą zwykła deklaracja skierowana do CNIL, w przeciwieństwie do wniosku o zezwolenie, nie pozwala już tej ostatniej chronić obywateli, gdy akta szkolne dotyczą całej populacji, a w szczególności populacji „dzieci, są umieszczane w sposób nieprawidłowy przez państwo.
Prawo przewiduje również przypadki, w których akta mogą korzystać ze zgłoszenia uproszczonego, a nawet są z niego zwolnione.
Jednak rozróżnienie między osobą publiczną a prywatną nie zanikło całkowicie. Prawo6 sierpnia 2004w rzeczywistości przewiduje nową procedurę występowania o opinię nałożoną na organy sektora publicznego w celu utworzenia niektórych zbiorów zawierających dane wrażliwe . Procedura autoryzacji pozostaje dla firm prywatnych i obejmuje nowe kategorie danych. Pliki, które muszą być przedmiotem wniosku o autoryzację to m.in. te, które posługują się numerem PESEL (nadanym przez INSEE ).
Prawo przewiduje możliwość powołania przez podmiot prywatny lub publiczny „korespondenta ds. ochrony danych osobowych”, potocznie zwanego „inspektorem ochrony danych” (CIL). Korespondent ten odpowiada za zapewnienie stosowania przepisów prawa w organizacji. Formalności związane z deklaracjami CNIL są wówczas znacznie uproszczone, z wyjątkiem najbardziej wrażliwych operacji przetwarzania, takich jak automatyczne przetwarzanie danych biometrycznych lub tych związanych z bezpieczeństwem państwa. Ogólnie doradza firmie we wszystkich kwestiach związanych z poszanowaniem danych osobowych.
Powołana przez firmę, czy to spośród jej pracowników, czy z zewnątrz, musi działać niezależnie od niej. Może skontaktować się z CNIL.
Stanowisko to istnieje już w różnych formach w innych krajach, takich jak Niemcy ( Datenschutzbeauftragter , utworzony w latach 70.), Holandia ( functionaris gegevensbescherming ) i Szwecja ( personuppgiftsombud ).
Od 2007 roku duże szkoły The wyższy Instytut Elektroniki Paryża , pociągi w obrębie stopnia specjalistycznej magisterskiej z korespondentami w informatyce i wolności .
Stowarzyszenie zrzesza CIL, Francuskie Stowarzyszenie Korespondentów Ochrony Danych Osobowych .
23 marca 2010, ustawa została uchwalona w pierwszym czytaniu w Senacie. Proponuje w swoim artykule 3 , aby wprowadzić obowiązek przetwarzania danych i wolności korespondenta „gdy organ publiczny lub podmiot prywatny ucieka się do przetwarzania danych osobowych, które podlegają systemowi zezwoleń w zastosowaniu art. 25, 26 lub 27 lub do którego ponad sto osób ma bezpośredni dostęp lub odpowiada za jego realizację” . Prezes CNIL kilkakrotnie wypowiadał się za tą formułą.
25 stycznia 2012The Komisja Europejska opublikowała projekt rozporządzenie europejskie mające na celu zastąpienie dyrektywy 95/46 / WE (aw konsekwencji do zasadniczej modyfikacji ustawy o ochronie danych osobowych). Projekt zakłada powołanie inspektora ochrony danych (ewolucja funkcji korespondenta ds. IT i wolności). To wyznaczenie byłoby obowiązkowe w przypadku władz i organów publicznych oraz obowiązkowe w przedsiębiorstwach zatrudniających 250 lub więcej osób oraz obowiązkowe w przedsiębiorstwach zatrudniających mniej niż 250 osób, ale których „ podstawowa działalność administratora lub podprzetwarzanie polega na operacjach przetwarzania, które: ze względu na swój charakter, zakres i/lub cele wymagają regularnego i systematycznego monitorowania zainteresowanych osób ”.
CNIL może teraz sprawdzać siedzibę firmy w godzinach od 6:00 do 21:00.
6 stycznia 1978, Parlament nie tylko ustanowiony ustawą o ochronie danych, ale także organ nadzorczy umożliwiający jego właściwego zastosowania: Narodowej Komisji Przetwarzania Danych i Wolności (CNIL), pierwszy korpus być kwalifikowana jako niezależny organ administracyjny .
ICPO (Międzynarodowa Organizacja Policji Kryminalnej), powszechnie znana jako Interpol to organizacja kolaboracji czcionek międzynarodowych przestępców, urodzona w 1923 roku pod przywództwem księcia Alberta I st z Monako . Umieszczony pod przywództwem Austrii , która posiadała ogromne archiwa z Cesarstwa Austro-Węgierskiego , doświadczył mrocznego okresu podczas II wojny światowej , stając się bazą dla żydowskiego ludobójstwa , pod nazistowskim dowództwem . Przetrwawszy dzięki uporowi belgijskiego funkcjonariusza policji, w 1955 r . przyjął statut, podstawę swoich zasad. Założona w Lyonie od 1989 roku słynna organizacja, która dziś liczy 182 członków aktywnie uczestniczących w walce z poważną przestępczością, a w szczególności z terroryzmem, wyróżniła się w 1982 roku odmawiając udziału w aresztowaniu Klausa Barbie , byłego zbrodniarza nazistowskiego, szefa Rodan-Alpy Gestapo, oprawca z Jean Moulin , wziął schronienie w Boliwii i został wydalony po upadku General Banzer (militaryzmu dyktatora od 1971 do 1978 , a następnie prezes od 1997 do 2001 roku ), aby być sądzony w Lyonie .
Pod koniec lat 70. Interpol zdecydował się skomputeryzować swoją bazę danych, która nadal była przetwarzana ręcznie. Ta komputeryzacja była źródłem konfliktu między organizacją z siedzibą w Saint-Cloud a Republiką Francuską, która utrzymywała, że jej ustawa o ochronie danych ma zastosowanie do danych zawartych w siedzibie organizacji, do której miała prawo dostępu. Interpol uznał, że zastosowanie tego prawa było niemożliwe z dwóch powodów: informacje, które posiada, są własnością państw członkowskich, są jedynie depozytariuszem, fakt poddania ich systemowi legislacyjnemu nadaje im dodatkowy charakter. mogłoby to zagrozić międzynarodowej współpracy policyjnej, ponieważ niektóre kraje wolą zrezygnować z przekazywania informacji, do których państwo francuskie miałoby swobodny dostęp.
Po kilku latach konfliktu obie strony doszły do porozumienia, podpisując nową umowę w sprawie siedziby3 listopada 1983oraz wymianę listów w 1984 roku . Pierwszy tekst określa nie tylko ogólne ramy organizacji (nieuchwytna własność, immunitet dyplomatyczny jej wysokich urzędników, bardzo mało podatków...), ale także nienaruszalność akt i archiwów Interpolu; drugi opowiada się za ustanowieniem organu kontroli wewnętrznej akt, a nie organu krajowego. W związku z tym Francja zrezygnowała ze stosowania swojego prawa do akt Organizacji, dzięki gwarancjom, jakie udzieliła organizacja w celu zapewnienia współpracy międzynarodowej.