M. Alain Fouché attire l'attention de Mme la ministre de l'intérieur, de l'outre-mer et des collectivités territoriales sur l'opportunité de modifier la loi informatique et libertés (n° 78-17 du 6 janvier 1978) pour assurer une meilleure protection des données sensibles en garantissant le caractère scientifique des recherches et en harmonisant les procédures de contrôle des fichiers de recherche. En effet, l'article 8 de la loi informatique et libertés interdit le traitement des données sensibles sauf exceptions prévues par la loi. Ainsi, de tels traitements de données ne sont possibles, sous certaines conditions, qu'avec l'autorisation de la commission nationale de l'informatique et des libertés ouqu'avec le consentement exprès des personnes. Mais on ne peut considérer que le consentement de la personne constitue réellement une garantie pour elle, en particulier lorsqu'il s'agit d'enquêtes réalisées dans les entreprises, dans la mesure où la relation de travail par principe « hiérarchisée » est de nature à « biaiser » le consentement. Or il existe déjà pour les fichiers de recherche médicale un régime d'autorisation spéciale qui consiste à soumettre ces fichiers à avis d'un comité scientifique puis à autorisation de la Commission nationale de l'informatique et des libertés, les personnes concernées disposant d'un droit de s'opposer au traitement de leurs données. Par conséquent il la remercie de bien vouloir lui indiquer s'il lui paraîtrait envisageable de s'inspirer de cette procédure pour l'élargir aux traitements des données sensibles ayant pour fin la recherche et les statistiques.
La garde des sceaux, ministre de la justice, est interrogée par l'honorable parlementaire sur la question de savoir s'il ne serait pas opportun de modifier la loi « Informatique et libertés » du 6 janvier 1978 afin d'assurer une meilleure protection des données sensibles figurant dans les traitements ayant pour fin la recherche et les statistiques. Ainsi que l'a très justement rappelé l'honorable parlementaire, le I de l'article 8 de la loi du 6 janvier 1978 modifiée interdit « de collecter ou de traiter des données à caractère personnel qui font apparaître, directement ou indirectement, les origines raciales ou ethniques, les opinions politiques, philosophiques ou religieuses ou l'appartenance syndicale des personnes, ou qui sont relatives à la santé ou à la vie sexuelle de celles-ci ». Si l'on exclut la question des traitements statistiques réalisés notamment par l'INSEE qui doivent faire l'objet d'une autorisation de la cNIL sur le fondement des dispositions de l'article 25 de la loi du 6 janvier 1978 modifiée, il est possible de déroger à l'interdiction de collecte et de traitement des données sensibles s'agissant des traitements ayant pour fin la recherche ou les statistiques si « la personne concernée a donné son consentement exprès » ou si les données collectées « sont appelées à faire l'objet à bref délai d'un procédé d'anonymisation ». Dans le premier cas qui est prévu au 1° du II de l'article 8 de la loi précitée, l'intéressé doit être mis en mesure d'émettre explicitement et de manière éclairée son accord à la collecte de données le concernant. Le Conseil d'Etat a précisé la notion du consentement en jugeant que « l'information de la personne ne peut valoir accord exprès de celle-ci » (CE, Sect.,5 juin 1987, M. Kaberseli, req. n° 59674). Par ailleurs, le consentement de l'intéressé ne dispense pas le responsable de traitement d'accomplir les formalités préalables nécessaires devant la CNIL. Il est ajouté que l'article 226-19 du code pénal punit de cinq ans d'emprisonnement et de 300 000 euros d'amende le fait de mettre ou de conserver en mémoire informatisée, sans le consentement exprès de l'intéressé, des données sensibles. Dans le second cas, celui de l'anonymisation prévue au III de l'article 8 de la loi du 6 janvier 1978, la CNIL opère un double contrôle. D'une part, l'autorité administrative indépendante doit certifier que le procédé d'anonymisation utilisé par le responsable de traitement est conforme aux dispositions de la loi du 6 janvier 1978. D'autre part, le responsable de traitement qui souhaite procéder à la collecte et au traitement de données sensibles recueillies dans le cadre d'une enquête devra obtenir l'autorisation préalable de la CNIL dans les conditions prévues par les dispositions de l'article 25 de la même loi. Ainsi, la loi « Informatique et libertés », qui transpose et applique les principes posés tant par la directive 95/46/CE du 24 octobre 1995 que par la convention du Conseil de l'Europe pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel du 28 janvier 1981, offre aujourd'hui des garanties suffisantes qui ne justifient ni l'opportunité ni la nécessité de modifier la loi du 6 janvier 1978 dans le sens préconisé par l'honorable parlementaire.
Aucun commentaire n'a encore été formulé sur cette question.