La loi sur les données (en suédois : Datalagen) est la première loi nationale sur la protection des données, promulguée en Suède le 11 mai 1973[1],[2],[3] .Elle est entrée en vigueur le 1er juillet 1974 [4] et a exigé des licences de l'Autorité suédoise de protection des données pour les systèmes d'information traitant des données personnelles[5].
Histoire
Les technologies de l'information et de la communication (TIC) étaient très développées en Suède en raison de circonstances multiples et l'utilisation des ordinateurs dans l'administration publique a été introduite relativement tôt. En outre, les concepts de transparence, d'accès public et d'ouverture étaient traditionnellement largement présents dans la société suédoise[6],[7]. L'inquiétude publique généralisée a été soulevée en 1969 en raison du recensement public de l'année.
En 1969, la Commission royale sur la publicité et le secret a été créée pour enquêter sur les problèmes liés à l'utilisation croissante des ordinateurs pour stocker et traiter des données personnelles[4]. Ils ont fourni l'analyse initiale, les recommandations et les ébauches qui ont abordé ces problèmes. En juillet 1972, ils ont publié leur rapport Data och integritet (Informatique et confidentialité)[3].
Le Data Inspection Board (DIB), proposé dans le rapport, a été créé en juillet 1973[3].
En avril 1973, le Riksdag vota sans contestation le Data Act, également proposé dans le rapport, qui ne modifia que légèrement le projet de la commission[3]. Il entra ensuite en vigueur en juillet 1973. Un amendement connexe à la loi sur la liberté de la presse a été adopté en février 1974, à peu près au même moment que la loi sur l'information sur le crédit et les lois sur le recouvrement des dettes qui réglementaient les informations de crédit informatisées.
Problèmes et succession
Comme les exigences de la loi en matière d'enregistrement des données et de flux de données transfrontières étaient considérées comme lourdes et déroutantes par les organisations privées et publiques et que le DIB a été rapidement dépassé par l'ampleur des enregistrements, la loi a été modifiée en 1982, ce qui a rendu le secteur privé et le gouvernement plus autonomes dans conditions d'inscription[8].
Après plusieurs autres modifications en 1989, une Commission sur la protection des données a été créée pour procéder à une révision totale de la loi. La commission a soumis son rapport final en 1993, recommandant une nouvelle loi sur la protection des données basée en grande partie sur la deuxième proposition alors en cours de la Commission européenne pour une directive communautaire. En 1995, la Suède a rejoint l'Union européenne qui avait adopté la directive sur la protection des données la même année et un nouveau comité a été chargé de faire des recommandations sur la mise en œuvre de la directive et une nouvelle révision totale de la loi sur les données. En 1997, il a présenté un rapport sur la mise en œuvre contenant une proposition de nouvelle loi sur les données personnelles[2].
La loi a ensuite été remplacée le 24 octobre 1998 par la loi sur les données personnelles (en suédois : Personuppgiftslagen ) qui a mis en œuvre la directive européenne de 1995[9],[10],[11],[12]. La loi de 1973 s'est principalement concentrée sur les systèmes de traitement informatique automatisé contenant des informations assignables de personnes vivantes[4],[3] et non sur le traitement des données en général et a été considérée comme obsolète à bien des égards pendant de nombreuses années[13],[14],[15].
La loi
La loi exigeait une autorisation préalable de la DIB pour chaque registre informatisé de données personnelles. Lorsqu'un permis a été délivré, le Conseil a émis des conditions sur mesure pour ce registre. Il ne contenait pas beaucoup de dispositions sur le moment et la manière dont les données devaient être traitées, ni sur les principes généraux de protection des données[2].
Les personnes concernées par le contenu des données se sont vu garantir la liberté d'accès à leurs dossiers. L'exportation de données sur les citoyens suédois à l'extérieur du pays nécessitait également une licence qui n'a pas été accordée lorsqu'il a été découvert que cela avait été fait pour échapper aux exigences réglementaires de la loi[8],[7]. En 1979, le gouvernement suédois a publié un rapport qui a également soulevé des inquiétudes sur les données critiques exportées vers d'autres pays devenant potentiellement la cible d'organisations terroristes.
Elle oblige également les personnes responsables à verser des indemnités lorsque des personnes subissent des dommages en raison d'informations incorrectes les concernant[3].
La loi criminalisait également l'intrusion de données, mais ne visait qu'à pénaliser les personnes qui s'introduisaient physiquement dans les bureaux pour modifier des données et n'envisageait pas à l'époque le piratage informatique[16].
Lois antérieures sur la protection des données
En octobre 1970, une loi sur la protection des données est entrée en vigueur dans le Land ouest-allemand de Hesse, le Hessisches Datenschutzgesetz[17],[18],[5],[19],[6].
↑ abcde et f(en) Colin J. Bennett, Regulating Privacy: Data Protection and Public Policy in Europe and the United States, Cornell University Press, (ISBN0801480108, lire en ligne), 63
↑ ab et cEkkehard Mochmann et Paul J. Müller, Data Protection and Social Science Research: Perspectives from Ten Countries, Ardent Media, (ISBN9783593326047, lire en ligne)
↑ a et b(en) Gloria González Fuster, The Emergence of Personal Data Protection as a Fundamental Right of the EU, Springer Science & Business, (ISBN9783319050232, lire en ligne)
↑(en) United Nations, United Nations Publications et United Nations General Assembly, Report of the International Law Commission, United Nations Publications, (ISBN9789218102676, lire en ligne)
↑(en) Gloria González Fuster, The Emergence of Personal Data Protection as a Fundamental Right of the EU, Springer Science & Business, (ISBN9783319050232, lire en ligne)