Le développement des activités numériques favorise la collecte et le traitement de données personnelles. Les TIC démultiplient les risques d’atteinte aux libertés individuelles.

Les données à caractère personnel

1. Le cadre juridique européen et national

Des directives de 1995, 1997 et 2002 assurent un niveau élevé de protection de la vie privée au sein de l’Union européenne, en harmonisant les législations sur la protection des données.

En France, la loi « informatique et Libertés » de 1978, modifiée en 2004 pour protéger les personnes physiques à l’égard des traitements de données à caractère personnel, précise : « Constitue une donnée à caractère personnel toute information relative à une personne physique identifiée ou qui peut être identifiée, directement ou indirectement, par référence à un numéro d’identification ou à un ou plusieurs éléments qui lui sont propres. » Les données à caractère personnel permettent donc d’identifier directement ou indirectement des personnes.

Exemple : numéro de téléphone, adresse de messagerie électronique.

2. La collecte et le traitement des données

Un traitement de données consiste en la collecte, l’enregistrement, l’utilisation, la transmission, la communication et la conservation d’informations personnelles. Toute exploitation de fichiers ou bases de données, notamment les recoupements de fichiers, constitue un traitement de données.

Tout traitement automatisé d’informations personnelles doit faire l’objet d’une déclaration auprès de la CNIL préalablement à sa mise en œuvre, sous peine de sanctions.

Les règles de protection des droits de la personne

1. Le droit à une information préalable et claire

Tout individu dont les données sont collectées doit être informé de l’identité du responsable du fichier, de sa finalité, des destinataires des données ainsi que de ses droits d’opposition, d’accès et de rectification. Cette information doit lui être fournie clairement, quel que soit le support utilisé (exemple : questionnaire d’enquête écrit).

Ainsi, l’expéditeur d’un e-mailing doit à tout moment laisser la possibilité au destinataire de se désinscrire, de s’opposer à toute transmission des informations à des tiers (exemple : partenaires commerciaux) et de consulter et modifier les données personnelles le concernant.

2. Le respect du droit d’opposition

Les personnes doivent être en mesure de s’opposer à l’utilisation commerciale de leurs données, par la revente de fichiers, avant la validation d’une commande ou la signature d’un contrat. En pratique, la CNIL estime qu’une case à cocher doit désormais figurer sur tout support de collecte écrit. Lorsqu’une personne exerce son droit d’opposition, l’organisation doit en informer toutes les sociétés auxquelles elle avait déjà transmis des données concernant cette personne.

3. La possibilité d’exercer ses droits sur place ou à distance

Les droits d’opposition, d’accès aux données et de rectification peuvent s’exercer, après justification d’identité, sur place ou à distance.

Exemple : le client d’une banque peut exercer ses droits dans une agence bancaire ou par courrier postal.

L’intéressé doit obtenir une réponse dans un délai maximal de 2 mois. En cas de refus, la décision doit être motivée et indiquer les voies et délais de recours.

4. Les obligations du responsable de fichiers

Le responsable d’un traitement de donnés personnelles a de nombreuses obligations légales, comme la notification de l’existence de traitements à la CNIL avant leur mise en œuvre, la communication préalable à la personne auprès de laquelle sont recueillies des données à caractère personnel d’un certain nombre d’informations.

Il doit également préserver la confidentialité des données personnelles recueillies et ne les conserver que le temps nécessaire.

Les organes de contrôle

1. La Commission nationale de l’informatique et des libertés

La CNIL, autorité administrative indépendante, a pour mission de protéger la vie privée et les libertés individuelles ou publiques. Elle veille au respect de la loi « Informatique et Libertés » avec missions principales de recenser les fichiers et de surveiller la sécurité des systèmes d’information en s’assurant que toutes les précautions sont prises pour empêcher la déformation et la communication à des personnes non autorisées.

La CNIL établit des normes simplifiées afin que les traitements les plus courants et les moins dangereux pour les libertés fassent l’objet de formalités allégées.

Exemple : déclaration préalable à un traitement sous forme de déclaration en ligne plutôt que de demande écrite d’avis.

2. Le correspondant Informatique et Libertés

Institué en 2004, il est désigné par le responsable du traitement des données au sein d’une organisation. Il a un rôle de conseil et de suivi de la légalité de la gestion des données à caractère personnel. Il joue également un rôle pédagogique auprès des membres de l’organisation et un rôle d’interface avec la CNIL. Une organisation dotée d’un CIL n’est pas obligée de faire une déclaration préalable des traitements ordinaires et courants.

Articles complémentaires :

  1. L’évolution de la relation de travail par le droit négocié
  2. Le régime juridique du salarié
  3. Les politiques économiques
  4. La coopération internationale : une offre de biens publics mondiaux