Données à caractère personnel et protection de la personne

 

Quels sont les droits de la personne ?

Les personnes bénéficient de droits et libertés qui sont protégés par le droit en toutes circonstances y compris lors de l'utilisation d'outils informatiques.

Les droits patrimoniaux concernent les biens que peut posséder une personne.

  • Droits réels : droits sur des choses. Ex : droit de propriété
  • Droits personnels : droits que peut avoir une personne sur une autre. Ex : droit de créance
  • Droits intellectuels : droits sur une production intellectuelle. Ex : les droits d'auteur, les  brevets  

Les droits extrapatrimoniaux : droits qui ne concernent pas les biens. Ils ne peuvent donc faire l'objet d'aucun commerce :

  • Droits à l'intégrité physique. Ex : le droit au refus des dons d'organes
  • Droits à l'intégrité morale. Ex : droit à l'honneur, à l'intimité de la vie privée, à l'image …
  • Droits de la famille. Ex : droit des parents à l'éducation

Ces droits sont reconnus par la Constitution et les textes communautaires. Ils sont fondamentaux, inaliénables et sont à la base de la démocratie.

Qu'est-ce qu'une donnée à caractère personnel ?

La loi "Informatique et libertés" précise les notions de donnée, traitement et fichier de données à caractère personnel.

  • Donnée : toute information relative à une personne physique identifiée ou qui peut être identifiée, directement ou indirectement, par référence à un numéro d'identification ou à un ou plusieurs éléments qui lui sont propres. Ex : nom, adresse IP, empreintes génétiques, données de connexion, signature électronique, code carte bancaire…
  • Traitement de données : constitue un traitement de données à caractère personnel toute opération de collecte, d'enregistrement, de conservation, de modification, d'extraction, de diffusion, d'effacement ou de destruction.
  • Fichier : constitue un fichier de données à caractère personnel tout ensemble structuré et stable de données à caractère personnel accessible selon des critères déterminés.

Quels sont les risques d'atteinte aux droits de la personne engendrés par les TIC ?

Les techniques d'information et de communication (TIC) ont multiplié les possibilités de collecte et de traitement des données, en particulier celles à caractère personnel. Les réseaux sociaux, les moteurs de recherche, la biométrie, la géolocalisation et la vidéosurveillance ont pour conséquence l'accroissement des risques d'atteinte aux libertés publiques et à la vie privée.

L'Union européenne s'est mobilisée pour faciliter la circulation des données entre États membres, tout en préservant la sauvegarde des droits fondamentaux des personnes. Pour cela, la directive de 1995 fixe des limites strictes à la collecte et à l'utilisation des données à caractère personnel.  

La loi du 6 août 2004 relative à l'informatique, aux fichiers et aux libertés a transposé la directive européenne de 1995. Elle stipule que «l'informatique ne doit porter atteinte ni à l'identité humaine, ni aux droits de l'homme, ni à la vie privée, ni aux libertés individuelles ou publiques». Elle renforce :

  • Les pouvoirs de la Cnil (Commission nationale de l'informatique et des libertés)
  • La protection des droits des personnes
  • Les obligations des responsables des traitements des données 

Quels sont les missions et les pouvoirs de la Cnil ?

Afin de garantir la protection des données à caractère personnel, la loi a institué la Commission nationale de l'informatique et des libertés (Cnil). La Cnil est une autorité administrative indépendante qui fonctionne avec une dotation du budget de l'État.

Elle a pour missions de protéger la vie privée et les libertés dans le monde numérique ; de veiller à l'application de la loi dans ce domaine ; de contribuer à l'élaboration des règles dans son domaine en répondant par des avis.

La Cnil peut opérer des vérifications et des enquêtes. Elle peut entendre des personnes ou se rendre dans des lieux pour effectuer des contrôles (pouvoir de contrôle).  Elle peut adresser des avertissements, faire des injonctions. Elle peut prononcer des sanctions pécuniaires et dénoncer des affaires à la justice (pouvoir de sanction).

Quels sont les droits d'une personne physique en cas d'utilisation de ses données personnelles dans un fichier ?

La loi offre aux personnes figurant sur un fichier de données à caractère personnel quatre droits essentiels :

  • Le droit d'accès : toute personne a le droit d'interroger le responsable d'un fichier pour savoir s'il détient des informations sur elle et le cas échéant d'en obtenir la communication. Pour certains fichiers sensibles, une personne peut obtenir un accès indirect par l'intermédiaire de la Cnil.
  • Le droit d'opposition : toute personne a la possibilité de s'opposer, pour des motifs légitimes, à figurer dans un fichier. Elle peut en effet refuser d'apparaître dans certains fichiers notamment commerciaux ou de voir communiquer des informations sur elle à des tiers.
  • Le droit de rectification et de radiation : l'exercice du droit d'accès permet à la personne concernée de contrôler l'exactitude des données et au besoin de les faire rectifier. Le responsable du traitement doit prouver qu'il a effectué les modifications demandées et envoyer une copie de l'enregistrement modifié.
  • Le droit à l'oubli : les données doivent être conservées pour une durée limitée.

Les personnes peuvent saisir la Cnil en cas de difficultés dans l'exercice de leurs droits.

Quelles sont les obligations des responsables du traitement des données à caractère personnel ?

La loi soumet les responsables de la collecte et du traitement d'informations à caractère personnel à cinq d'obligations principales :

  • L'autorisation de la Cnil : les traitements informatiques qui présentent des risques d'atteinte aux droits et aux libertés doivent, avant leur mise en œuvre être soumis à l'autorisation de la Cnil.
  • La sécurité et la confidentialité des données : tout responsable de fichier a l'obligation d'assurer la sécurité et la confidentialité des données contre la destruction, la diffusion ou l'accès non autorisé. Seules les personnes autorisées peuvent accéder aux données personnelles contenues dans un fichier. Certains « tiers autorisés» peuvent consulter les données de façon ponctuelle et motivée (ex. : la police, le fisc).
  • L'information des personnes : toute personne a le droit de savoir si elle est fichée et dans quels fichiers elle est recensée.
  • La finalité des traitements : un fichier doit avoir un objectif précis. Les informations exploitées dans un fichier doivent être cohérentes par rapport à son objectif. Les informations ne peuvent pas être utilisées de manière incompatible avec la finalité pour laquelle elles ont été collectées.
  • La conservation des informations : les données personnelles ont une date de péremption. Le responsable d'un fichier fixe une durée de conservation raisonnable en fonction de l'objectif du fichier.

Le non-respect de ces obligations peut engager la responsabilité civile et pénale du responsable du traitement ou de son employeur.