La Commission Nationale de l’Informatique et des Libertés (CNIL) et la Loi Informatique et Libertés fêtaient leurs 45 ans le 6 janvier dernier !
Nous sommes en 1974 lorsque la presse française révèle un projet gouvernemental qui fera l’effet d’une bombe : chaque français se verrait attribuer un numéro d’identification unique qui serait interconnecté à tous les fichiers que l’administration française détient sur lui (sécurité sociale ; déclaration de revenus ; casier judiciaire…).
Ce projet, connu sous le nom de SAFARI, révéla alors une prise de conscience collective liée aux dangers de l’informatique et inscrite dans le contexte d‘une évolution technologique fondamentale : le passage du fichier papier au fichier informatisé !
Le concept de protection des données est né d’une double préoccupation liée d’une part, aux potentiels dangers de l’informatique pour les libertés publiques, et d’autre part, à la nécessité de définir des règles déontologiques permettant de maîtriser l’utilisation de l’informatique.
Ainsi, l’émergence en France, de la loi n°78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, plus connue sous le nom de loi informatique et libertés (LIL), s’entend comme une réponse apportée au scandale de l’époque lié à l’affaire Safari et place ainsi la France, au côté de l’Allemagne et de la Suède, comme l’un des pays précurseurs en matière de protection des données personnelles. La LIL créée alors la première autorité administrative indépendante française : la Commission Nationale de l’Informatique et des Libertés (CNIL).
C’est dans ce contexte que fut adoptée, le 14 octobre 1995, la directive européenne 95/46/CE sur la protection des données personnelles : acte juridique européen qui donnait aux États membres destinataires des objectifs à atteindre dans un délai fixé.
À la différence d’un règlement d’applicabilité directe, la directive nécessitait de la part des États membres une transposition dans leur droit national (chose faite en France par une loi du 6 août 2004). S’inspirant alors largement de la loi française de 1978, cette directive avait pour ambition de prendre connaissance des différences de niveau de protection offerte dans chaque pays membre, de manière à harmoniser la protection des données et de faciliter la circulation des données au sein de l’Europe.
Mais les différences entre les lois nationales de chacun des pays membres étant trop importantes, l’harmonisation tant attendue par la directive européenne de 1995 fut un échec…
Le RGPD est par conséquent adopté par le Parlement européen beaucoup plus tard, le 14 avril 2016 et n’entrera en application qu’à partir du 25 mai 2018. D’applicabilité directe, le RGPD s’impose alors aux États membres de l’Union européenne (UE), désormais soumis aux mêmes règles en matière de protection des données.