Peut-on concilier la vocation des archives avec la protection des données?

4 e journée des archivistes luxembourgeois Cercle Cité Peut-on concilier la vocation des archives avec la protection des données? Gérard Lommel (Président)

Sources légales Loi modifiée du 2 août 2002 (loi-cadre) Directive européenne 95/46/CE (24/10/1995) Convention européenne des droits de l homme et des libertés fondamentales (Rome, 4/11/1950) Article 8: Droit au respect de la vie privée et familiale Convention 108 du CoE (Strasbourg, 28/01/1981) Charte des droits fondamentaux de l Union Européenne (7/12/2000) Article 7: Respect de la vie privée et familiale Article 8: Protection des données à caractère personnel 2

Convention de sauvegarde des droits de l homme et des libertés fondamentales (Rome, 1950) Article 8 Droit au respect de la vie privée et familiale 1. «Toute personne a droit au respect de sa vie privée et familiale, de son domicile et de sa correspondance. 2. Il ne peut y avoir ingérence d'une autorité publique dans l'exercice de ce droit que pour autant que cette ingérence est prévue par la loi et qu'elle constitue une mesure qui, dans une société démocratique, est nécessaire à la sécurité nationale, à la sûreté publique, au bien-être économique du pays, à la défense de l'ordre et à la prévention des infractions pénales, à la protection de la santé ou de la morale, ou à la protection des droits et libertés d'autrui.» 3

Charte des droits fondamentaux de l Union Européenne (2000/2009) Traité de Lisbonne Article 7 - Respect de la vie privée et familiale «Toute personne a droit au respect de sa vie privée et familiale, de son domicile et de ses communications.» Article 8 - Protection des données à caractère personnel 1. «Toute personne a droit à la protection des données à caractère personnel la concernant. 2. Ces données doivent être traitées loyalement, à des fins déterminées et sur la base du consentement de la personne concernée ou en vertu d'un autre fondement légitime prévu par la loi. Toute personne a le droit d'accéder aux données collectées la concernant et d'en obtenir la rectification. 3. Le respect de ces règles est soumis au contrôle d'une autorité indépendante.» 4

Notions et principes de base Donnée à caractère personnel art. 2 (e) «Toute information de quelque nature qu elle soit et indépendamment de son support, y compris le son et l image, concernant une personne identifiée ou identifiable (personne concernée)»; Il ne doit pas forcément s agir d une donnée relative à la vie privée, mais aussi par exemple des données relatives à la vie professionnelle de quelqu un. Considérant (26):... que, pour déterminer si une personne est identifiable, il convient de considérer l ensemble des moyens susceptibles d être raisonnablement mis en œuvre, soit par le responsable du traitement, soit par une autre personne, pour identifier ladite personne; que les principes de la protection ne s appliquent pas aux données rendues anonymes» 5

Notions et principes de base Critères de légitimité du traitement art. 5 «(1) Le traitement de données ne peut être effectué que (...): (a) s il ( ) est nécessaire au respect d une obligation légale à laquelle le responsable du traitement est soumis, ou (b) s il ( ) est nécessaire à l exécution d une mission d intérêt public ou relevant de l exercice de l autorité publique, dont est investi le responsable du traitement ou le ou les tiers auxquels les données sont communiquées, ou (c) s il ( ) est nécessaire à l exécution d un contrat auquel la personne concernée est partie ou à l exécution de mesures précontractuelles prises à la demande de celle-ci, ou (d) s il ( ) est nécessaire à la réalisation de l intérêt légitime poursuivi par le responsable du traitement ou par le ou les tiers auxquels les données sont communiquées, à condition que ne prévalent pas l intérêt ou les droits et libertés fondamentaux de la personne concernée, qui appellent une protection au titre de l article 1er, ou (e) s il ( ) est nécessaire à la sauvegarde de l intérêt vital de la personne concernée, ou (f) si la personne concernée a donné son consentement.» 6

Notions et principes de base Transparence et loyauté: Le responsable du traitement doit s assurer que les données qu il traite le sont loyalement et licitement Principe de finalité art. 4 (1) (a) Il faut que les données sont «collectées pour des finalités déterminées, explicites et légitimes, et ne sont pas traitées ultérieurement de manière incompatible avec ces finalités». Finalité doit être fixée à l avance Pas possible d utiliser les données pour une finalité différente Mais: Art. 4 (2): «Un traitement ultérieur de données à des fins historiques, statistiques ou scientifiques n est pas réputé incompatible avec les finalités déterminées pour lesquelles les données ont été collectées.» 7

Minimisation des données; conservation et utilisation limitées à la finalité initiale Qualité des données: adéquates, pertinentes et limitées au minimum nécessaire au regard des finalités Proportionnalité du traitement Durée de conservation limitée art. 4 (1) (d) «conservées sous une forme permettant l identification des personnes concernées pendant une durée n excédant pas celle nécessaire à la réalisation des finalités pour lesquelles elles sont collectées et traitées sans préjudice du paragraphe (2) ci-après.» 8

Droits de la personne concernée Droit à l information art. 26 Le responsable du traitement doit rendre les personnes concernées attentives au traitement de leurs données et leur fournir certaines informations, en particulier: l identité du responsable du traitement la ou les finalités du traitement auquel les données sont destinées, Le cas échéant, destinataires auxquelles elles seront communiquées Exceptions: : nécessités de l exercice de l autorité publique, droit pénal, sécurité publique, Et «lorsque, en particulier pour un traitement ayant une finalité statistique, historique ou scientifique, l information de la personne concernée se révèle impossible ou implique des efforts disproportionnés ou si l enregistrement ou la communication des données est prévu par la loi» (art. 27 (3)) 9

Droits de la personne concernée Droit d accès, de rectification et d effacement art. 28 (4) «Selon le cas, le responsable du traitement procédera à la rectification, l effacement ou le verrouillage des données dont le traitement n est pas conforme à la présente loi.» C est l épine dorsale du droit à l oubli numérique prévu par l article 17 du futur règlement européen Droit d opposition art. 30 (1) (a) toute personne a le droit «de s opposer à tout moment pour des raisons prépondérantes et légitimes tenant à sa situation particulière, à ce que des données la concernant fassent l objet d un traitement, sauf en cas de dispositions légales prévoyant expressément le traitement. En cas d opposition justifiée, le traitement mis en œuvre par le responsable du traitement ne peut pas porter sur ces données;» 10

Le droit à l oubli Cour de justice de l UE: Google vs APD espagnole une personne veut que Google n affiche plus les liens vers des anciens articles de journal dans lequel apparaissent des annonces relative à une vente forcée Sur base du droit à l effacement et du droit d opposition, une personne pourra-t-elle exiger qu un moteur de recherche mette fin à l indexation des informations la concernant si cette personne «considère que ces informations sont susceptibles de lui porter préjudice ou lorsqu'elle désire que ces informations soient oubliées ( )»? Art. 17 du projet de règlement européen consolide: Le droit à l oubli n est pas absolu, les mesures que la personne concernée pourra imposer sont limitées (il ne s agit que d une forme de droit à l effacement adaptée à I internet) Objectif: empêcher d éventuelles conséquences négatives pour les personnes concernées, voire pour leurs descendants 11

Quelle est la situation légale actuelle? La loi règle l archivage et l accès aux données dans certains domaines: Actes d état civil Actes notariés Autres domaines: Exemples: conservation sous forme nominative ou agrégée? Documents des administrations relatives à la vie économique (autorisations, subsides, allocations,..) Données de sécurité sociale Champ d application de la protection des données : Retsreint au traitements automatisés et aux fichiers structurés 12

Traitement ultérieur à des fins historiques Seulement possible si données sont conservées, évaluées Ex: archives du SREL et services secrets anciens pays communistes 1. La légalité de la conservation des données SREL: ces fiches ne devraient pour la plupart pas exister ou être détruites! Peut-on accepter que ces données continuent à être conservées? 2. L accès aux données par les chercheurs Possibilité que chercheur tombe sur dossier de quelqu un qu il connaît personnellement Danger que personnes concernées deviennent victimes une seconde fois? 3. La publication des données Loi dossiers Stasi: «Personen der Zeitgeschichte, Inhaber politischer Funktionen oder Amtsträger» Voir aussi le sort des dossiers de la justice Ex: Procès d «épuration» au lendemain de la guerre 40-45 13

Dilemme à résoudre Les archives sont la mémoire d une société Traces indispensables pour la connaissance humaine: nécessaires pour l étude, la compréhension ultérieure et parfois le rétablissement de la vérité historique, voire la justice individuelle Or à la différence de la mémoire humaine qui s estompe avec le temps, il faut établir des règles pour éviter des abus et des effets excessifs ou pervers La préservation, l évaluation, le classement, l indexation, l analyse est votre métier. Des précautions vos obligations! C est au législateur d établir un cadre équilibré: Quarantaines (périodes d accès limité aux personnes concernées) Droits pour les personnes concernées Devoirs pour les chercheurs, responsabilité en cas de dissémination 14

Conclusion Protection des données = droit fondamental, mais pas absolu Mise en balance avec d autres libertés, droits individuels et intérêts La liberté d expression Le droit d accès des citoyens aux informations des administrations Exigence de spécification de «garanties appropriées» Art.6 e) Directive 95/46/CE Art. 83 a) projet de règlement (Présidence du Conseil) s applique de manière spécifique aux archives «appropriate measures to safeguard the rights and freedoms of the data subject» Accès aux données, utilisations limitées, pas de préjudice Art. 83 a): «specifications on the conditions for access to the data» ensure that the data ( ) are not processed for any other purposes or used for measures/decisions affecting any particular individual» Rôle du législateur: assurer intérêts et vocation des archives publiques ainsi qu une protection pour les personnes concernées (garanties appropriées) 15

Article 83a: Processing of personal data for archiving purposes in the public interest 1. Where personal data are processed for archiving purposes carried out by public authorities or private bodies in the public interest pursuant to Union or Member State law, Member State law may, subject to appropriate measures to safeguard the rights and freedoms of the data subject, provide for derogations from: a) Article 14a(1) and (2) where and insofar as the provision of such information proves impossible or would involve a disproportionate effort or if recording or obtaining or disclosure is expressly laid down by Union law or Member State law; b) Article 16 insofar as rectification may be exercised exclusively by the provision of a supplementary statement; c) Articles 17 (erasure), 17a (object to processing) and 18 (data portability) insofar as such derogation is necessary for the fulfilment for the archiving purposes. 16

Article 83a: Processing of personal data for archiving purposes in the public interest 2. ( ) processing of personal data for archiving purposes ( ) carried out in the public interest ( ) shall not be considered incompatible with the purpose for which the data are initially collected and may be processed for those purposes for ( ) longer ( ) than necessary for the initial purpose subject to appropriate safeguards for the rights and freedoms of the data subject, in particular to ensure that the data ( ) are not processed for any other purposes or used in support of measures or decisions affecting any particular individual, and subject to specifications on the conditions for access to the data. 3. ( ) the controller shall take appropriate measures to ensure that personal data ( ) may be made accessible to recipients only for important reasons of public interest or for safeguarding the rights and freedoms of the data subject or overriding rights and freedoms of others ( ) 17

Article 83d: Processing for historical purposes 1. ( ) provided that the controller implements appropriate safeguards for the rights and freedoms of data subjects, in particular ( ) that the data are not processed for any other purposes or used in support of measures or decisions affecting any particular individual and by pseudonymisation of personal data. 2. Where personal data are processed for historical purposes, Member State law may, subject to appropriate measures to safeguard the rights and freedoms of the data subject, provide for derogations from: a) Article 14a(1) and (2) where and insofar as the provision of such information proves impossible or would involve a disproportionate effort or if recording or obtaining or disclosure is expressly laid down by Union law or Member State law; b) Article 16 insofar as rectification may be exercised exclusively by the provision of a supplementary statement; c) Articles 17, 17a, and 18 insofar as such derogation is necessary for the fulfilment for the historical purposes. 18

4 e journée des archivistes luxembourgeois Cercle Cité Peut-on concilier la vocation des archives avec la protection des données? Questions?

Commission nationale pour la protection des données 1, avenue du Rock n Roll L-4361 Esch-sur-Alzette (Belval) 261060-1 www.cnpd.lu info@cnpd.lu