La Loi n° 1.165 sur les informations nominatives

05.2014

Le sensible développement des nouvelles technologies depuis une vingtaine d’années a contraint les législateurs du monde entier à se doter de législations spécifiques concernant les informations nominatives en vue de protéger le droit à la vie privée.

A l’origine, dans les années 1970, les préoccupations relatives à la protection des informations nominatives émergent suite au développement de l’informatique au sein des administrations. C’est en vue de protéger le droit à la vie privée des populations face aux potentielles dérives administratives qu’apparaissent les premiers textes relatifs à la protection des informations nominatives et la création des premières autorités de contrôle.

Puis l’informatique se répand dans nos sociétés et devient un instrument de la vie courante. Il devient nécessaire de renforcer la protection des informations nominatives pour pallier les nouvelles problématiques nées de l’importance des flux d’informations générés par nos nouveaux modes de communication.

La loi n° 1.165 du 23 décembre 1993, modifiée par la loi n° 1.353 du 4 décembre 2008 intervient à ce titre en Principauté et crée la Commission de Contrôle des Informations Nominatives (CCIN) chargée de veiller au respect des droits et libertés fondamentaux en matière d’informations nominatives. Dans un second temps, au niveau européen, entre en vigueur à Monaco le 1er avril 2009, la Convention pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel (STE N° 108).

Cette publication présentant la loi n° 1.165 et les exigences de la Commission de contrôle des informations nominatives, met en évidence un champ d’application très large de la loi et des formalités très contraignantes pesant sur les entreprises et les sociétés.

L’importance de ce champ d’application et de ces formalités peut conduire à s’interroger sur l’adéquation de ces mesures avec le but poursuivi, ce qui fera l’objet d’une prochaine publication.

 

I. Le champ d’application de la loi

La loi n° 1.165 sur les informations nominatives faisant naître des droits et des obligations importants, il est nécessaire de délimiter son champ d’application et à cette fin, de clarifier certains termes. Malgré cette clarification, la délimitation du champ d’application reste peu aisée.

1. Les définitions légales 

a. Les informations nominatives

Selon l’alinéa 2 de l’article 1er de la loi n° 1.165 relative à la protection des informations nominatives :

« L’information nominative, sous quelque forme que ce soit, est celle qui permet d’identifier une personne physique déterminée ou déterminable. Est réputée déterminable une personne qui peut être identifiée, directement ou indirectement, notamment par référence à un numéro d’identification ou à un ou plusieurs éléments spécifiques, propres à son identité physique, physiologique, psychique, économique, culturelle ou sociale.»

En d’autres termes, qu’il s’agisse d’une information nominative stricto sensu, comportant les noms et prénoms d’une personne, ou qu’il s’agisse d’une information telle un numéro de matricule faisant référence à cette personne, ou bien encore de son visage enregistré par un système de vidéosurveillance, dès lors que l’information permet d’identifier cette personne, directement ou pas, il s’agit d’une information nominative au sens de la loi. La définition légale de l’information nominative est donc très large.

La définition donnée par les textes français varie légèrement dans la mesure où le terme « données à caractère personnel » est préféré à celui « d’informations nominatives », et que le terme « déterminable » est remplacé par « identifiable ».  S’agissant de la première différence, le terme « données personnelles » est peut-être plus approprié que celui « d’informations nominatives » qui laisse à penser que seules les informations contenant un nom sont concernées. S’agissant de la seconde différence, il faut noter que le terme est synonyme et que les deux soulèvent la même difficulté d’appréciation. Pour pallier cette difficulté, la loi française précise que, pour savoir si une personne est identifiable, il convient de considérer l’ensemble des moyens susceptibles d’être mis en œuvre afin de déterminer l’identité de la personne concernée [1]. En revanche, la loi n° 1.165 reste silencieuse et ne précise pas dans quelles mesures une personne est considérée comme étant déterminable.

b. Le traitement des informations nominatives

S’agissant du traitement de ces informations, selon l’alinéa 3 de l’article 1er de la loi n° 1.165 :

« Le traitement d’informations nominatives est toute opération ou ensemble d’opérations portant sur de telles informations, quel que soit le procédé utilisé. Celles-ci portent sur la collecte, l’enregistrement, l’organisation, la modification, la conservation, l’extraction, la consultation ou la destruction d’informations, ainsi que sur l’exploitation, l’interconnexion ou le rapprochement, la communication d’informations par transmission, diffusion ou toute autre forme de mise à disposition. »

En d’autres termes, dès lors qu’une information nominative est manipulée ou utilisée, il y a traitement au sens de la loi. La définition légale du traitement est donc extrêmement large. Sont toutefois exclus du champ d’application de la loi « les traitements automatisés et fichiers non informatisés d’informations nominatives mis en œuvre par une personne physique dans le cadre exclusif de ses activités personnelles ou domestiques » en application de l’article 24-2 de la loi [2].

A la lecture de ces définitions très étendues, il apparaît que la loi vise toute utilisation de données dès lors que ces données, quelles qu’elles soient, permettent d’identifier directement ou indirectement un individu.

2. L’absence de définition légale du terme « automatisé »

a. L’ambigüité du terme 

L’article 6 de la loi n° 1.165 [3] prévoit que « les traitements automatisés d’informations nominatives (…) font l’objet d’une déclaration auprès du président de la commission de contrôle des informations nominatives » sans toutefois définir le terme « automatisé ».

Dans la mesure où ces traitements doivent faire l’objet de formalités particulières, il est essentiel de déterminer lesquels sont concernés. A ce sujet, il convient de préciser que c’est l’existence d’un procédé de traitement des données qui doit être déclarée et non pas les données elles-mêmes.  Ainsi, lors de la déclaration d’un traitement ayant pour finalité la gestion des fichiers clients, il ne s’agit pas de divulguer l’identité des clients mais simplement de déclarer que cette catégorie de personnes est concernée par un traitement automatisé.

Compte tenu des importantes obligations s’appliquant à ces traitements, il est primordial de comprendre la portée du terme « automatisé ». La commission de contrôle des informations nominatives estime qu’un traitement est considéré comme automatisé dès que l’information est traitée par des moyens techniques ou technologiques (ordinateur, badgeuse, vidéosurveillance, etc…) [4]. Dans cette approche, le terme « automatisé » serait alors synonyme d’informatisé, c’est à dire traité par des procédés informatiques, autrement dit, par des machines [5]. La CCIN semble opter pour une interprétation littérale du terme « automatisé » c’est à dire qu’un traitement serait considéré comme automatisé dès lors qu’il fait l’objet d’une automatisation c’est à dire « d’une suppression totale ou partielle de l’intervention humaine dans l’exécution de tâches diverses » [6].

Une telle interprétation ne semble pas pouvoir être retenue pour deux raisons. Tout d’abord, parce que cette approche oblige à déclarer toute utilisation d’information nominative dès lors qu’un ordinateur ou un appareil électronique est impliqué. Ainsi, la simple saisie manuelle d’une information nominative dans un fichier informatique oblige à déclarer cette opération comme étant un traitement. Une telle obligation apparaît comme disproportionnée eu égard aux objectifs de la loi et semble difficile à mettre en œuvre compte tenu de l’utilisation répandue de l’informatique de nos jours [7]. A ce sujet, le pays voisin a clairement indiqué qu’il ne fallait pas confondre « automatisé » avec « informatisé ». C’est ce qu’il ressort d’une jurisprudence du 16 mars 2004, dans laquelle la Cour de cassation a estimé que « l’utilisation d’un appareillage informatique ne suffit pas à elle seule, à caractériser un traitement automatisé ». Dans une autre décision du 13 janvier 2009, elle a estimé que le fait d’accéder manuellement à des données personnelles sur Internet ne constituait pas un traitement automatisé. Ensuite, parce que cela implique que le traitement manuel d’informations nominatives sur un support papier ne constitue pas un traitement automatisé. Or, il semble pourtant qu’une opération de « fichage » même manuelle, dès lors qu’elle est systématique, nécessite d’être protégée par les dispositions spécifiques de la loi relative aux traitements automatisés.

b. Une clarification nécessaire

Au regard de ces considérations, l’interprétation littérale du terme « automatisé » retenue par la CCIN est critiquable. Le terme « automatisé » revêt une ambigüité particulière et il est difficile de déterminer ce qu’il vise. Le législateur aurait peut-être dû lui préférer le terme « automatique » qui semble mieux répondre à la ratio legis, dans la mesure où un traitement manuel peut être automatique et un traitement informatique peut ne pas être automatique. En ce sens, le premier texte français instaurant la protection des informations nominatives dénommait comme « traitement automatisé d’informations nominatives (…) tout ensemble d’opérations réalisées par des moyens automatiques »[8]. A défaut d’une telle définition dans la loi n° 1.165, il semble plus approprié de considérer comme traitement automatisé un traitement automatique plutôt qu’un traitement informatisé.

L’article 24-1 dispose que les sections III et IV du chapitre I de la loi n° 1.165 (qui concernent uniquement les traitements automatisés) ne s’appliquent pas « aux informations nominatives contenues ou appelées à figurer dans un fichier non automatisé ou mécanographique [9], à savoir dans un ensemble structuré d’informations nominatives accessibles selon des critères déterminés ». Cet article apporte une précision qui permet de comprendre ce que n’est pas un traitement automatisé sans pour autant clarifier davantage ce qu’il est.

L’absence de définition précise de la notion « d’automatisé » rend donc difficile la distinction entre un traitement automatisé et un traitement « simple ». Or cette distinction est nécessaire car de la qualification du traitement dépend le régime applicable.

 

II. Conditions de mise en œuvre des traitements

Si tous les traitements doivent respecter des conditions de fond, seuls les traitements automatisés doivent répondre à des conditions de forme.

1. Conditions de fond

Selon l’article premier de la loi n° 1.165 sur les informations nominatives, « les traitements automatisés et non automatisés ne doivent pas porter atteinte aux libertés et droits fondamentaux consacrés par le titre III de la Constitution ». Ils doivent poursuivre un but déterminé et doivent être justifiés. Certaines finalités sont réservées et le traitement de certaines données particulièrement sensibles est très encadré voire interdit selon les cas.

a. La finalité et la justification des traitements

L’article 10-1 de la loi n° 1.165 prévoit que les informations nominatives doivent être collectées et traitées loyalement et licitement, pour une finalité déterminée et ne pas être traitées ultérieurement de manière incompatible avec cette finalité.

Dans le cas où le traitement est automatisé il faut informer la CCIN de cette finalité. Dans certains cas, il peut y avoir plusieurs finalités pour un même traitement. Cela implique de faire, dans le cas de traitements soumis à déclaration, autant de déclarations que de finalités, même s’il n’y a qu’un seul et unique traitement. C’est le cas, en pratique, si un logiciel traitant des données a plusieurs fonctions, il peut par exemple permettre la gestion des dossiers clients, mais aussi la gestion des dossiers fournisseurs, etc… Il convient donc de distinguer tous les objectifs poursuivis par le traitement afin de les déclarer à la CCIN de manière séparée.

Les informations collectées doivent être exactes, adéquates, pertinentes et non excessives au regard de cette finalité. Leur forme nominative, c’est à dire qui permet l’identification des personnes concernées, ne doit pas excéder la durée nécessaire à la réalisation de la finalité pour laquelle elles sont collectées. Cela signifie qu’au terme de cette durée, la forme nominative de l’information doit être supprimée. L’information en tant que telle peut être conservée mais ce qui permet de la rattacher à une personne déterminée ou déterminable doit être supprimé.

Enfin, l’article 10-2 de la loi n° 1.165 prévoit que le traitement d’informations nominatives doit être justifié soit par le consentement des personnes concernées, soit par le respect d’une obligation légale à laquelle est soumis le responsable de traitement (en matière de blanchiment par exemple), soit par l’exécution d’un contrat avec la personne concernée, soit par un intérêt légitime.

La CCIN veille à ce que les traitements d’informations nominatives respectent toutes ces conditions.

b. Les traitements réservés ou interdits

L’article 11 de la loi n° 1.165prévoit que les traitements automatisés ou non, qui concernent la sécurité publique, les infractions, les condamnations et mesures de sûreté ne peuvent être mis en œuvre que par les autorités judiciaires ou administratives dans le cadre des missions qui leur sont légalement conférées. A titre exceptionnel, et sous certaines conditions, l’article 11-1 de la loi n° 1.165 prévoit que des traitements portant sur des soupçons d’activités illicites, des infractions, des mesures de sûreté, ou comportant des données biométriques ou mis en œuvre à des fins de surveillance peuvent être exploités par des responsables de traitement autres que les autorités administratives et judiciaires.

L’article 12 de la loi n° 1.165 interdit expressément de mettre en œuvre des traitements, automatisés ou non, faisant apparaître des opinions ou des appartenances politiques, raciales ou ethniques, religieuses, philosophiques, syndicales, ou relatives à la santé, à la vie sexuelle, ou aux mœurs, sauf consentement écrit et exprès des personnes concernées ou lorsqu’un motif d’intérêt public le justifie ou si le traitement concerne un groupement à caractère politique, religieux, syndical.

2. Conditions de forme

Avant toute mise en œuvre d’un traitement automatisé, il convient d’accomplir certaines formalités auprès de la CCIN et d’informer de leurs droits les personnes concernées par ces traitements.

a. Les formalités à accomplir auprès de la CCIN

Selon l’article 6 alinéa 1 de la loi n° 1.165, le principe est que toute personne mettant en œuvre un traitement d’informations nominatives doit faire une déclaration qui comporte un engagement que le traitement satisfait aux exigences de la loi. Il convient de renseigner précisément dans cette déclaration la finalité du traitement et ce qui le justifie ainsi qu’une description précise des données collectées (noms, prénoms, numéro de téléphone, adresse, statut, etc…) et la durée de conservation de ces données ainsi que d’autres renseignements afin que la CCIN puisse évaluer si les conditions de traitement sont conformes à la loi.

L’alinéa 2 de l’article 6 de la loi n° 1.165 dispose que certains traitements ne comportant pas d’atteinte aux libertés et droits fondamentaux peuvent faire l’objet d’une déclaration simplifiée. La liste de ces traitements est fixée par arrêté ministériel. Par exemple, les traitements relatifs à la gestion de paie du personnel [10] ou bien encore ceux relatifs à la gestion des fichiers de fournisseurs [11], ne sont pas soumis aux lourdes contraintes de la déclaration. Il ne sera pas nécessaire, pour ces traitements, de spécifier toutes les informations requises. L’accomplissement de cette formalité est donc facilité pour des traitements courants. Il est également possible qu’un arrêté ministériel prévoie des cas de dispense de déclaration. A ce jour, aucun arrêté ministériel ne semble avoir été pris en ce sens.

A titre exceptionnel, les traitements peuvent être soumis à un autre régime que le régime déclaratif. En effet, les personnes morales de droit public, les autorités publiques et les organismes privés investis d’une mission d’intérêt général ou concessionnaire de service public sont soumis à un régime différent. L’article 7 de la loi n° 1.165 prévoit qu’ils décident de mettre en œuvre un traitement après un avis motivé rendu par la CCIN.  Si l’avis rendu par la CCIN est défavorable ils peuvent toutefois y être autorisés par arrêté motivé du Ministère d’Etat ou du directeur des services judiciaires. Le même régime s’applique également lorsque le traitement automatisé a pour finalité la recherche dans le domaine de la santé [12] en application de l’article 7-1 de la loi n° 1.165.

Enfin, lorsque le traitement est mis en œuvre à des fins de surveillance (par exemple : surveillance des emails des salariés, des clients par vidéosurveillance, ou surveillance relative à l’origine des fonds ou de mouvements bancaires suspicieux etc…) un régime d’autorisation s’applique. La CCIN devra préalablement autoriser le traitement avant qu’il ne soit mis en œuvre, conformément aux dispositions de l’article 11-1 de la loi n° 1.165.

b. Les droits des personnes concernées

La loi impose également d’informer de leurs droits, les personnes concernées par des traitements automatisés.

L’article 14 de la loi n° 1.165 dispose que « les personnes auprès de qui des informations nominatives sont recueillies doivent être averties » entre autres, de l’identité du responsable du traitement, de l’identité des destinataires, et de leurs droits d’opposition, d’accès et de rectification relativement aux informations les concernant. L’article 15 précise que toute personne est en droit de se renseigner sur le traitement des informations la concernant et l’article 13 prévoit qu’elle dispose d’un droit d’opposition, d’accès et de modification relativement à ces informations. En ce sens, la déclaration, demande d’avis ou d’autorisation doit contenir les modalités d’information préalable de la personne concernée par un traitement et les mesures mises en place pour lui permettre d’exercer ses droits. Selon l’article 16 de la loi, « la personne intéressée peut exiger que soient rectifiées, complétées, clarifiées, mises à jour ou supprimées les informations la concernant lorsqu’elles se sont révélées inexactes, incomplètes, équivoques ou périmées ou si leur collecte, leur enregistrement, leur communication ou leur conservation est prohibé ».

Enfin, l’article 17 de la loi n° 1.165 traite de la sécurité et de la confidentialité des traitements et exige « un niveau de sécurité adéquat au regard des risques présentés par le traitement et de la nature des données à protéger ». Des moyens techniques doivent être mis en œuvre pour protéger les informations nominatives traitées contre, entre autres, la destruction accidentelle, la perte accidentelle, l’altération et la diffusion ou l’accès non autorisés. A ce titre, il convient de décrire précisément le fonctionnement et l’exploitation du traitement afin de permettre à la CCIN de vérifier que le niveau de sécurité est adéquat.

Ces nombreuses formalités peuvent s’avérer contraignantes mais elles sont nécessaires afin de garantir une utilisation des informations nominatives conforme au droit à la vie privée. Compte tenu de l’importance de cette loi et de son large champ d’application, il est regrettable que la notion de traitement automatisé n’ait pas été mieux définie par le législateur.

[1] Anne Debet, Informatique et libertés : faut-il aujourd’hui réviser la directive 95/46/CE relative à la protection des données personnelles ? D. 2011. 1034. Cette précision du texte français demeure toutefois insuffisante puisque l’adjectif « raisonnablement » figurant dans la directive n’a pas été repris par le législateur français.
[2] Ce même article exclut également du champ d’application de la loi « les traitements mis en œuvre dans le cadre de l’article 15 de la Constitution » ainsi que « les traitements mis en œuvre par l’autorité judiciaire pour les besoins des procédures diligentées devant les diverses juridictions ainsi que les procédures d’entraide judiciaire internationale».
[3] D’autres articles font également référence à cette notion de traitements automatisés, notamment les articles 7 , 7-1, et 11.
[4] Voir le site de la CCIN : http://www.ccin.mc/questions-frequentes
[5] Selon le dictionnaire Larousse, l’informatique est la science du traitement automatique et rationnel de l’information et l’ensemble des applications de cette science mettant en œuvre des matériels et des logiciels.
[6] Fabrice Mattatia, Traitement des donnes personnelles, guide juridique, p. 34. L’auteur rappelle qu’en France, « une utilisation manuelle des ordinateurs n’entre pas dans la catégorie des traitements automatisés, ce qui est heureux ».
[8] La mécanographie, selon le dictionnaire Larousse est définie comme une « méthode de dépouillement, de tri ou d’établissement de documents administratifs, comptables ou commerciaux, fondée sur l’utilisation de machines traitant mécaniquement des cartes perforées. »
[11] Sauf que contrairement à la procédure prévue par l’article 7 si l’avis rendu par la CCIN est défavorable le traitement peut uniquement être autorisé par arrêté motivé du Ministère d’Etat et non par arrêté du directeur des services judiciaires. Les dispositions prévues par l’article 7-1 ne s’appliquent pas dans le cadre des recherches biomédicales telles que définies dans la loi n° 1.265 du 23 décembre 2002.
 
Abonnez-vous à notre newsletter