En bref :

1973 : le projet SAFARI
1974 : réaction des citoyens français
1978 : Loi informatique et libertés, et création de la CNIL
2004 : Loi relative à la protection des personnes physiques à l’égard des traitements de données à caractère personnel
2016 : Loi pour une République numérique (Loi Lemaire)
2016 : le fichier TES
2018 : le RGPD

1973 : le projet SAFARI

La première prise de conscience majeure en France de l’importance de protéger les données date de 1974, avec le projet “SAFARI” (Système Automatisé pour les Fichiers Administratifs et le Répertoire des Individus, créé par l’INSEE en 1973), avec cette crainte que le système de fichage serve d’abord et avant tout à la surveillance des citoyens (l’idée du gouvernement était de pouvoir identifier chaque citoyen grâce à l’interconnexion de tous les fichiers de l’administration).

• Article du monde de l’époque “La Chasse aux français".
• Drôle de safari à la chasse aux données.
• Safari et la (nouvelle) chasse aux Français

Source INA

1978 : la Loi informatique et liberté et la CNIL

Devant les résistances des citoyens, le gouvernement décide alors de créer une commission chargée de veiller à la protection des données des citoyens dans le cadre de la nouvelle loi de 1978 relative à l’informatique, aux fichiers et aux libertés (dite “Loi informatique et libertés”). La CNIL a alors pour mission d’accompagner les évolutions informatiques, en veillant à ce que cela reste un progrès pour les citoyens, sans atteinte à leur liberté ni à leur vie privée.

2004 : données à caractère personnel

Loi relative à la protection des personnes physiques à l’égard des traitements de données à caractère personnel.

Si la Loi n° 78-17 du 6 janvier 1978 parlait d’”informations nominatives”, la Loi n° 2004-801 du 6 août 2004 parle dorénavant de “données à caractère personnel”. Cette distinction ne change pas l’esprit de la loi, qui vise à protéger les citoyens. Cette nouvelle terminologie élargit justement le champ de cette protection, en adoptant une vision plus vaste de ce qu’est un traitement d’informations, qui ne sont pas nécessairement nominatives, et qui ne sont pas nécessairement directement “personnelles” non plus. C’est la notion de “données à caractère personnel” (DCP) :

« Constitue une donnée à caractère personnel toute information relative à une personne physique identifiée ou qui peut être identifiée, directement ou indirectement, par référence à un numéro d’identification ou à un ou plusieurs éléments qui lui sont propres. Pour déterminer si une personne est identifiable, il convient de considérer l’ensemble des moyens en vue de permettre son identification dont dispose ou auxquels peut avoir accès le responsable du traitement ou toute autre personne. » (art. 2).

Concrètement, une donnée à caractère personnel peut être un nom, un prénom, une date de naissance, mais aussi un pseudonyme, un numéro de sécurité sociale, une plaque d’immatriculation de véhicule, un numéro de téléphone, une adresse IP, une photographie, un avatar, etc.

Plus d’informations sur Jurispedia :

2016 : Loi pour une république numérique

Cette notion de protection des données des citoyens est réaffirmée dans la LOI n° 2016-1321 du 7 octobre 2016 pour une République numérique, dite “Loi Lemaire”, en introduisant de nouveaux droits, et en anticipant partiellement sur le RGPD.

L’affirmation du principe de la maîtrise par l’individu de ses données :

• Le droit à l’oubli pour les mineurs
• La possibilité d’organiser le sort de ses données personnelles après la mort
• La possibilité d’exercer ses droits par voie électronique

(cf sur le site de la CNIL)

2016, c’est également la mise en place du fichier TES (Titres Electroniques Sécurisés).

2018 : le Réglement Général pour la Protection des Données

Le RGPD est la nouvelle réglementation européenne en matière de protection des données, et fait suite à la loi informatique et libertés, qui reste pleinement en vigueur.

Le Réglement Général pour la Protection des Données (RGPD, ou “GDPR” en anglais “General Data Protection Regulation”) est le résultat d’un long travail effectué par le G29 (groupe de travail européen sur la protection des données). Il a été adopté par le Parlement européen le 14 avril 2016, et entre en service le 25 mai 2018.

A partir du 25 mai 2018, les établissements scolaires ne feront plus aucune démarche déclarative auprès de la CNIL. Tout traitement de données au sein de l’établissement devra être inscrit sur un registre interne, et maintenu à jour. Il s’agit donc d’un changement culturel majeur : on passe de la vérification de conformité a priori, au principe d’accountability, avec une vérification a posteriori.

Plus d’informations ici : http://www.afcdp.net/Avant-de-plonger-dans-la-CNIL3

Cf aussi la FAQ RGPD ici pour plus d’informations.

Glossaire

• CIL : Correspondant Informatique et Liberté
• CNIL : Commission Nationale de l’Informatique et des Libertés
• DASEN : Directeur académique des services de l’Éducation nationale
• DCP : Donnée(s) à Caractère Personnel
• DPD : Délégué.e à la Protection des Données (ou DPO en anglais)
• DPO : Data Protection Officer (ou DPD en français)
• G29 : Groupe de travail Article 29 sur la protection des données ( CNIL européennes)
• IEN : Inspecteur de l’Education Nationale
• INA : Institut National de l’audiovisuel
• INSE : Institut national de la statistique et des études économiques
• RGPD : Réglement Général pour la Protection des Données
• SAFARI : Système Automatisé pour les Fichiers Administratifs et le Répertoire des Individus
• TES (fichier) : Fichier des titres électroniques sécurisés

Pour aller plus loin

• Brève histoire de la protection des données, sur Numerama.