Les TIC et la protection des données à caractère personnel
Ces dernières années, on assiste à une véritable révolution dans le domaine des technologies de l’information et de la communication. Vos cours de droit de BTS MCO, de BTS CG ou de tout autre BTS en alternance de notre école entendent vous donner les changements indus par ces évolutions d’un point de vue légal.
En effet, les TIC ont multiplié les possibilités de collecte et de traitement des données, en particulier celles à caractère personnel. L’explosion des réseaux sociaux, les moyens de géolocalisation et de vidéosurveillance, le développement de la biométrie ont pour conséquence l’accroissement des risques d’atteintes aux libertés publiques et à la vie privée.
De plus, les données à caractère personnel font l’objet aujourd’hui d’une véritable convoitise de la part des entreprises. Elles sont pour elles des moyens de mettre en œuvre des actions ciblées de communication directe et ont une valeur marchande.
Il faut donc protéger les données à caractère personnel, et des organes de contrôle veillent à sanctionner les atteintes aux libertés publiques et à la vie privée.
La protection des données à caractère personnel
La loi du 6 août 2004 modifiant la loi relative à l’informatique, aux fichiers et aux libertés du 6 janvier 1978 et transposant la directive européenne de 1995 dispose que : « l’informatique ne doit porter atteinte ni à l’identité humaine, ni aux droits de l’homme, ni à la vie privée, ni aux libertés individuelles ou publiques« .
Elle met en place une protection spécifique des données à caractères personnel, c’est-à-dire toute information relative à une personne physique identifiée ou qui peut être identifiée par référence à un numéro d’identification ou à un ou plusieurs éléments qui lui sont propres.
Certaines informations, dites sensibles, ne doivent pas figurer dans un fichier (par exemple les croyances religieuses, les appartenances politiques, les origines ethniques, les préférences sexuelles etc.)
Les droits et les obligations
La loi soumet les responsables de la collecte et du traitement d’informations à un certain nombre d’obligations :
- L’obligation d’information préalable des personnes concernées dont on doit obtenir le consentement express.
- L’obligation d’assurer la sécurité et la confidentialité des données collectées et traitées, c’est-à-dire que tout responsable de traitement informatique de données personnelles doit adopter des mesures de sécurité des systèmes d’information.
- La collecte et le traitement de données doivent avoir une finalité précise, c’est-à-dire que l’objectif du fichier doit être précis et les informations exploitées dans les fichiers doivent être cohérentes par rapport à son objectif.
- L’obligation d’assurer une déclaration préalable à la CNIL (Commission Nationale de l’Informatique et des Libertés) pour les traitements informatiques de données personnelles qui présentent des risques particuliers d’atteinte aux droits et aux libertés.
Seules les personnes autorisées peuvent accéder aux données personnelles contenues dans un fichier. Il s’agit des destinataires explicitement désignés pour en obtenir régulièrement communication et des tiers autorisés pour les recevoir de façon ponctuelle (police, services, fiscaux…). En cas de non-respect ces obligations, le contrevenant peut être sanctionné. Les peines peuvent aller de l’amende jusqu’à la peine de prison.
Les droits des personnes sont :
- Le droit à l’information ou droit de regard: toute personne a le droit de savoir si elle est fichée et dans quel fichier elle est recensée.
- Le droit d’accès : toute personne a le droit d’interroger le responsable de la gestion des fichiers d’une organisation afin de savoir si elle détient des informations à son sujet et obtenir communication des informations détenues.
- Le droit de rectification : l’exercice du droit de rectification permet à la personne concernée de contrôler l’exactitude des données et au besoin de les faire modifier, compléter ou supprimer. Il comprend le droit à l’oubli ou droit à l’effacement voté au Parlement européen, c’est-à-dire la faculté d’obtenir la suppression des données laissées sur Internet si une demande en ce sens est formulée.
- Le droit d’opposition : toute personne a le droit de s’opposer à apparaître dans un fichier si elle peut justifier d’un motif légitime. Toutefois, ce droit d’opposition ne peut être utilisé pour de nombreux fichiers du secteur public, par exemple : les fichiers des services fiscaux, de la sécurité sociale …
Les organes de contrôle
Au niveau national
La CNIL est une autorité administrative indépendante qui fonctionne avec une dotation de budget de l’état. Elle a pour mission essentielle de protéger la vie privée et les libertés et veille à l’application de la loi dans ce domaine.
Ses missions sont :
- Informer et conseiller les personnes sur leurs droits, c’est-à-dire qu’elle reçoit les réclamations et les plaintes relatives à la mise en œuvre du traitement des données personnelles. Elle contribue à l’élaboration des règles dans son domaine en répondant par des avis, des délibérations et des recommandations aux questions soulevées.
- Réguler et recenser les fichiers de données personnelles : elle autorise la création de certains fichiers et contribue à la formation de CIL (Correspondant Informatique et Liberté) dans les entreprises.
Ses pouvoirs sont principalement des pouvoirs de contrôle et de sanction : elle peut opérer des vérifications et des enquêtes, elle peut également se rendre dans des lieux pour effectuer des contrôles. Elle peut adresser des avertissements et prononcer des injonctions pécuniaires. La CNIL n’est pas un juge : en cas de préjudice subi, la victime doit saisir un juge pour obtenir des dommages et intérêts au titre de la responsabilité civile.
Au niveau européen et international
Depuis 1995, une directive fixe des limites strictes à la collecte et à l’utilisation des données à caractère personnel et demande la création dans chaque état membre d’un organisme national indépendant chargé de la protection des données.
Tous les états ont, à ce jour, transposé la directive et le transfert de données est libre entre les états. Pour les pays n’appartenant pas à l’Union Européenne, le principe retenu est l’interdiction du transfert des données à caractère personnel si le pays destinataire n’assure pas un niveau de protection suffisant.
Cependant, Internet est un réseau mondial, et c’est à ce niveau qu’il est nécessaire d’élaborer des règles assurant la libre circulation des données personnelles tout en garantissant le respect de la vie privée et les droits de l’Homme. Les objectifs des Conférences internationales sont de réfléchir à des principes communs en matière de protection de la vie privée et de créer une convention internationale applicable par l’ensemble des pays signataires.