Les données personnelles : une utilisation très encadrée
Qu’il s’agisse de fichiers clients ou de badgeuse automatique, la mise en place de tous système ainsi que la constitution de tous fichier, informatisé ou non, utilisant des données personnelles doit se faire dans le strict respect de la loi « Informatique et Libertés » de 1978.
Par donnée personnelle, il faut entendre toute donnée permettant
directement ou indirectement d’identifier une personne physique : nom
et prénom, photos, numéro de sécurité sociale, numéro de carte bancaire,
adresse postale, adresse électronique voire même adresse IP ! Depuis sa
modernisation en 2004 pour tenir compte de l’harmonisation européenne,
la loi « Informatique et Libertés » a renforcé les droits de la personne
auprès desquelles les données sont collectées, ainsi que les pouvoirs
de la CNIL en cas de non respect. Dans un contexte de marchandisation
croissante des données personnelles et sachant que celles-ci sont de
plus en plus au cœur de processus complexe d’échanges de données, il est
fondamental pour tout exploitant de ces données d’être en conformité
avec la législation applicable.
1/ Les formalités préalable auprès de la CNIL
Tout traitement de donnée personnelle doit être déclaré à la CNIL (Commission Nationale Informatique et Libertés) avant
toute mise en œuvre (article 22 de la loi). Cette obligation s’applique
aussi bien aux entreprises qu’aux administrations, peu importe que le
traitement soit informatisé ou non. L’article 2 de la loi définit le
traitement de donnée personnelle comme « toute opération ou tout
ensemble d’opérations portant sur de telles données, quel que soit le
procédé utilisé, et notamment la collecte, l’enregistrement,
l’organisation, la conservation, l’adaptation ou la modification,
l’extraction, la consultation, l’utilisation, la communication par
transmission, diffusion ou toute autre forme de mise à disposition, le
rapprochement ou l’interconnexion, ainsi que le verrouillage,
l’effacement ou la destruction ».
Cette définition large embrasse des types d’opération variés sur
les données personnelles : fichiers de prospects, fichiers de
recrutements, fichiers logs, datamining, profilages, listes noires…
La déclaration indique, entre autre, le nom du responsable du
traitement, le destinataire du traitement, la finalité du traitement,
les données collectées, les transferts internationaux de données
envisagés…
Pour les traitements présentant peu de risques pour la vie privée
des personnes, la CNIL a mis en place des normes simplifiés pour
lesquels un simple engagement de conformité suffit (ex : fichiers de
gestion de paie).
Certains traitements peuvent être dispensés de déclaration :
comptabilité générale, traitements mis en œuvre par des associations à
but non lucratif et à caractère religieux, philosophique, politique ou
syndical, traitements portant sur la sureté de l’Etat et la sécurité
publique… C’est également le cas pour les entreprises ou administrations
qui auront désigné un Correspondant à la protection des données personnelles :
il s’agit d’une personne qui tient une liste des traitements effectués
immédiatement accessible à toute personne en faisant la demande (article
22)
Pour les traitements posant des risques sérieux pour la vie privée et les libertés individuelles, seule une autorisation de la CNIL
peut permettre leur mise en œuvre (article 25) : données génétiques,
biométrie, fichiers d’infractions, interconnexion de fichiers, certaines
listes noires…
Enfin, si les formalités CNIL sont une obligation, elles ne
garantissent pas la légalité du traitement qui pourra toujours être
contesté en cas de litige.
2/ Les droits des personnes
Toute collecte des données doit être loyale et licite :
la personne doit être dûment informée des moyens utilisés pour
collecter ses données et de la finalité de celle-ci. Cette finalité doit
être déterminée, explicite et légitime, les données ne devant
pas ultérieurement être traitée de manière incompatible avec celle-ci
(article 6). C’est ainsi qu’en principe, tout traitement de données
personnelles est subordonné au consentement de la personne concerné
(article 7). Dès lors, toute collecte à l’insu de la personne est
frauduleuse et déloyale : c’est le cas notamment des spywares et autre
troyens.
La personne concernée dispose également d’un droit d’accès aux données traitées le concernant (article 39). Lorsque les données collectées sont inexactes ou périmées, elle peut réclamer la modification voire la suppression
des dites données (article 40). L’exercice de ces droits est gratuit et
le responsable du traitement est tenu d’y répondre, sauf demandes
manifestement abusives.
La personne bénéficie enfin d’un droit d’opposition pour
motifs légitimes au traitement de ses données (article 41). Ce refus se
manifeste souvent par la possibilité de cocher une case sur un
questionnaire papier ou de cliquer sur une icône dans le cas d’un
questionnaire en ligne (« opt-out »).
Dans un souci de transparence, le responsable d’un traitement est
tenu d’informer la personne sur ses droits au moment de la collecte, par
le biais de mentions obligatoires sur le questionnaire.
3/ Les sanctions
Le non respect des dispositions protectrices des données
personnelles est puni par des sanctions pénales (articles 226-16 et
suivant du Code Pénal).
Ainsi, le défaut de formalités préalable, y compris par négligence,
est puni de 5 ans d’emprisonnement et de 300 000 € d’amende. La même
peine s’applique en cas de collecte frauduleuse, déloyale et illicite.
Il en est de même en cas de détournement de finalité, de transferts
internationaux non autorisés des données, ou encore de manquements au
droit d’opposition de la personne concernée. En pratique, les tribunaux
n’hésitent pas à sanctionner toute atteinte à la loi « Informatique et
Libertés ».
Par ailleurs, la CNIL dispose désormais d’un pouvoir de sanction :
en plus des avertissements et injonctions de cesser le traitement, la
CNIL peut également prononcer des sanctions pécuniaires proportionnées à
la gravité des manquements commis et aux avantages retirés de ce
manquement. Celles ci peuvent aller jusqu’à 300 000 € d’amende ou
correspondre à 5% du chiffre d’affaire d’une entreprise dans la limite
de 300 000 €. Usant de ce pouvoir, la CNIL a récemment condamné le
Crédit Lyonnais à 45 000 € d’amende, la société Tyco Healthcare à 30 000
€ d’amende, enfin le Crédit Agricole à 20 000 € d’amende (source : www.cnil.fr )
Aucun commentaire:
Enregistrer un commentaire