Les TIC et la protection des données à caractère personnel

La loi du 6 août 2004 modifiant la loi relative à l’informatique, aux fichiers et aux libertés du 6 janvier 1978 et transposant la directive européenne de 1995 dispose que : « l’informatique ne doit porter atteinte ni à l’identité humaine, ni aux droits de l’homme, ni à la vie privée, ni aux libertés individuelles ou publiques« .

Elle met en place une protection spécifique des données à caractères personnel, c’est-à-dire toute information relative à une personne physique identifiée ou qui peut être identifiée par référence à un numéro d’identification ou à un ou plusieurs éléments qui lui sont propres.

Certaines informations, dites sensibles, ne doivent pas figurer dans un fichier (par exemple les croyances religieuses, les appartenances politiques, les origines ethniques, les préférences sexuelles etc.)

La loi soumet les responsables de la collecte et du traitement d’informations à un certain nombre d’obligations :

• L’obligation d’information préalable des personnes concernées dont on doit obtenir le consentement express.
• L’obligation d’assurer la sécurité et la confidentialité des données collectées et traitées, c’est-à-dire que tout responsable de traitement informatique de données personnelles doit adopter des mesures de sécurité des systèmes d’information.
• La collecte et le traitement de données doivent avoir une finalité précise, c’est-à-dire que l’objectif du fichier doit être précis et les informations exploitées dans les fichiers doivent être cohérentes par rapport à son objectif.
• L’obligation d’assurer une déclaration préalable à la CNIL (Commission Nationale de l’Informatique et des Libertés) pour les traitements informatiques de données personnelles qui présentent des risques particuliers d’atteinte aux droits et aux libertés.

Seules les personnes autorisées peuvent accéder aux données personnelles contenues dans un fichier. Il s’agit des destinataires explicitement désignés pour en obtenir régulièrement communication et des tiers autorisés pour les recevoir de façon ponctuelle (police, services, fiscaux…). En cas de non-respect ces obligations, le contrevenant peut être sanctionné. Les peines peuvent aller de l’amende jusqu’à la peine de prison.

Les droits des personnes sont :

• Le droit à l’information ou droit de regard: toute personne a le droit de savoir si elle est fichée et dans quel fichier elle est recensée.
• Le droit d’accès : toute personne a le droit d’interroger le responsable de la gestion des fichiers d’une organisation afin de savoir si elle détient des informations à son sujet et obtenir communication des informations détenues.
• Le droit de rectification : l’exercice du droit de rectification permet à la personne concernée de contrôler l’exactitude des données et au besoin de les faire modifier, compléter ou supprimer. Il comprend le droit à l’oubli ou droit à l’effacement voté au Parlement européen, c’est-à-dire la faculté d’obtenir la suppression des données laissées sur Internet si une demande en ce sens est formulée.
• Le droit d’opposition : toute personne a le droit de s’opposer à apparaître dans un fichier si elle peut justifier d’un motif légitime. Toutefois, ce droit d’opposition ne peut être utilisé pour de nombreux fichiers du secteur public, par exemple : les fichiers des services fiscaux, de la sécurité sociale …

Au niveau national

La CNIL est une autorité administrative indépendante qui fonctionne avec une dotation de budget de l’état. Elle a pour mission essentielle de protéger la vie privée et les libertés et veille à l’application de la loi dans ce domaine.

Ses missions sont :

• Informer et conseiller les personnes sur leurs droits, c’est-à-dire qu’elle reçoit les réclamations et les plaintes relatives à la mise en œuvre du traitement des données personnelles. Elle contribue à l’élaboration des règles dans son domaine en répondant par des avis, des délibérations et des recommandations aux questions soulevées.
• Réguler et recenser les fichiers de données personnelles : elle autorise la création de certains fichiers et contribue à la formation de CIL (Correspondant Informatique et Liberté) dans les entreprises.

Ses pouvoirs sont principalement des pouvoirs de contrôle et de sanction : elle peut opérer des vérifications et des enquêtes, elle peut également se rendre dans des lieux pour effectuer des contrôles. Elle peut adresser des avertissements et prononcer des injonctions pécuniaires. La CNIL n’est pas un juge : en cas de préjudice subi, la victime doit saisir un juge pour obtenir des dommages et intérêts au titre de la responsabilité civile.

Au niveau européen et international

Depuis 1995, une directive fixe des limites strictes à la collecte et à l’utilisation des données à caractère personnel et demande la création dans chaque état membre d’un organisme national indépendant chargé de la protection des données.

Tous les états ont, à ce jour, transposé la directive et le transfert de données est libre entre les états. Pour les pays n’appartenant pas à l’Union Européenne, le principe retenu est l’interdiction du transfert des données à caractère personnel si le pays destinataire n’assure pas un niveau de protection suffisant.

Cependant, Internet est un réseau mondial, et c’est à ce niveau qu’il est nécessaire d’élaborer des règles assurant la libre circulation des données personnelles tout en garantissant le respect de la vie privée et les droits de l’Homme. Les objectifs des Conférences internationales sont de réfléchir à des principes communs en matière de protection de la vie privée et de créer une convention internationale applicable par l’ensemble des pays signataires.