La loi informatique et libertés a vu le jour en réaction à un projet d'interconnexion, révélé en 1974 par le journal « Le Monde », désigné « projet Safari ». Le ministre de l'Intérieur de l'époque envisageait de mettre en place un système de centralisation des bases de données des services de police, parmi lesquels les renseignements généraux, la direction de la sécurité du territoire et la police judiciaire.
La révélation des recherches occultes de l'administration conduisit le Premier ministre à décider l'interdiction de toute nouvelle interconnexion sans autorisation et la mise en place, par décret du 8 novembre 1974, d'une commission chargée de « proposer au gouvernement dans les six mois des mesures tendant à garantir que le développement de l'informatique dans les secteurs publics, semi-publics et privés se réalisera dans le respect de la vie privée, des libertés individuelles et des libertés publiques ». C'est sur le fondement du rapport de cette commission qu'un projet de loi a été déposé aboutissant à l'adoption de la loi informatique et libertés.
Ce texte est donc particulièrement suspicieux à l'égard des interconnexions de données à caractère personnel. L'article 25 de la loi informatique et libertés prévoit que « sont mis en oeuvre après autorisation de la CNIL : 5e) les traitements automatisés ayant pour objet : [...] (ii) l'interconnexion de fichiers relevant d'autres personnes et dont les finalités principales sont différentes ».
Or la loi informatique et libertés ne comporte pas de définition de la notion d'interconnexion et il peut être délicat de déterminer si un rapprochement de données envisagé doit ou non donner lieu à une demande d'autorisation. La CNIL a identifié trois critères permettant de déterminer si l'on est en présence d'une interconnexion ou d'un simple rapprochement de fichiers.
En premier lieu, l'objet de l'interconnexion doit être la mise en relation de fichiers ou de traitement de données personnelles. Le fait de rapprocher des informations ou des données non personnelles ne constitue donc pas une interconnexion. En second lieu, cette mise en relation doit concerner au moins deux fichiers ou traitements distincts. L'ajout d'informations dans un fichier préexistant constitue un simple rapprochement.
Enfin, l'interconnexion doit consister en un processus automatisé ayant pou robjet de mettre en relation des informations issues des fichiers ou traitements. La comparaison visuelle d'informations de fichiers différents ne constitue pas une interconnexion.
par Anne-Laure Villedieu, avocat
Analyse juridique parue dans la revue Option Finance du 2 mai 2011 |