Veiller à la protection de la vie privée et des données à caractère personnel Michel Futtersack, Faculté de Droit, Université Paris Descartes
Les données personnelles (ou nominatives) sont les informations qui permettent d identifier directement ou indirectement une personne physique : état civil, numéro de carte de paiement, plaque d immatriculation, photo, données médicales et biométriques. Certaines de ces données permettent d identifier de façon unique une personne : numéro de sécurité sociale, analyse de l ADN, empreinte digitale. Elles ont particulièrement sensibles, car elles donnent le moyen de croiser les informations issues de différentes bases de données. Il faut donc les fournir avec une extrême prudence. La loi interdit de collecter ou de conserver certaines données sensibles : origines raciales, opinions politiques, philosophiques ou religieuses, appartenances syndicales ou mœurs des personnes. La loi reconnaît à chaque citoyen des droits spécifiques pour préserver sa vie privée et sa liberté dans le monde numérique La loi définit également des devoirs et des obligations pour les personnes ou les organisations qui collectent et conservent des données personnelles.
La vie privée s oppose à la vie collective ou publique. Elle limite le pouvoir du politique par la création d un espace pour l individu. La sphère du privé contient : la vie personnelle (secret professionnel, secret médical, image, correspondance et communications, opinions politiques, convictions religieuses et philosophiques) la vie familiale, conjugale ou sentimentale le domicile Les atteintes à la vie privée sont sanctionnées par le code pénal. Par exemple : Article 226-1 : Est puni d'un an d'emprisonnement et de 45 000 euros d'amende le fait, au moyen d'un procédé quelconque, volontairement de porter atteinte à l'intimité de la vie privée d'autrui : 1 En captant, enregistrant ou transmettant, sans le consentement de leur auteur, des paroles prononcées à titre privé ou confidentiel 2 En fixant, enregistrant ou transmettant, sans le consentement de celle-ci, l'image d'une personne se trouvant dans un lieu privé. Lorsque les actes mentionnés au présent article ont été accomplis au vu et au su des intéressés sans qu'ils s'y soient opposés, alors qu'ils étaient en mesure de le faire, le consentement de ceux-ci est présumé. Article 226-2 : Est puni des mêmes peines le fait de conserver, porter ou laisser porter à la connaissance du public ou d'un tiers ou d'utiliser de quelque manière que ce soit tout enregistrement ou document obtenu à l'aide de l'un des actes prévus par l'article 226-1. Lorsque le délit prévu par l'alinéa précédent est commis par la voie de la presse écrite ou audiovisuelle, les dispositions particulières des lois qui régissent ces matières sont applicables en ce qui concerne la détermination des personnes responsables.
La Loi 78-17 du 6 janvier 1978 définit son principe dans son article 1 er : "L informatique doit être au service de chaque citoyen. Son développement doit s opérer dans le cadre de la coopération internationale. Elle de doit porter atteinte ni à l identité humaine, ni aux droits de l homme, ni à la vie privée, ni aux libertés individuelles ou publiques." Cette loi définit entre autres le rôle et la mission de la Commission Nationale Informatique et Libertés (la CNIL) Ce texte fondateur été complété par d autres lois, dont celle du 6 août 2004 dite Nouvelle Loi Informatique et Libertés, qui transpose une directive européenne d octobre 1995. La notion de "données nominatives" est remplacée par celle de "données à caractère personnel ". Les droits et protections reconnus aux personnes physiques sont renforcés, et les responsables des traitements numériques ont des obligations plus contraignantes. Le pouvoir de la CNIL est augmenté.
Créée par la loi Informatique et Libertés de 1978, c est une autorité administrative indépendante. Elle est composée de 17 commissaires : 4 parlementaires : (2 députés et 2 sénateurs) 2 membres du Conseil économique, social et environnemental 6 représentants des hautes juridictions (2 conseillers d État, 2 conseillers à la cour de Cassation, 2 conseillers à la cour des Comptes) 1 personnalité désignée par le Président de l Assemblée Nationale 1 personnalité désignée par le Président du Sénat 3 personnalités désignées par décret pris par le Président de la République ou le Premier Ministre La CNIL élit son Président parmi ses membres Le Président recrute librement ses collaborateurs, qui sont des agents contractuels de l État Le budget de la CNIL relève du budget de l État
Toute personne qui met en œuvre un fichier ou un traitement contenant des données personnelles doit informer les personnes fichées. Au moment de la collecte des données, le questionnaire doit mentionner : l identité du responsable du fichier l objectif de la collecte d informations le caractère obligatoire ou facultatif des réponses fournies les droits reconnus à la personne Les exceptions au droit à l information concernent : les fichiers de police et de gendarmerie les fichiers relatifs à des condamnations pénales les fichiers dont les données sont rapidement rendues anonymes ou ne sont pas recueillies directement auprès de la personne
Toute personne justifiant de son identité a le droit d interroger le responsable d un fichier ou d un traitement pour savoir s il détient des informations sur elle, et le cas échéant d en obtenir communication. La personne peut s informer : des finalités du traitement du type de données enregistrées de l origine et des destinataires des données des éventuels transferts de ces informations vers des pays n appartenant pas à l Union Européenne Un juge des référés peut être saisi en cas de risque de dissimulation ou de disparition des données. Le droit d accès ne s exerce pas lorsque les données sont conservées sous une forme ne présentant aucun risque d atteinte à la vie privée et pendant une durée n excédant pas celle nécessaire à l établissement de statistiques ou à la recherche scientifique ou historique.
Il concerne : les fichiers intéressant la sûreté de l État, la défense et la sécurité publique (fichiers de police judiciaire, fichiers des services de l information générale, fichiers de renseignement de la direction générale de la sécurité extérieure, fichier Schengen) certains fichiers du ministère de la Justice (fichier des détenus dans les prisons) C est un magistrat de la CNIL qui peut exercer votre droit d accès et de rectification pour votre compte. Il peut demander à ce que les informations incomplètes, obsolètes ou non-conformes aux textes régissant le fonctionnement des fichiers en cause soient complétées, mises à jour ou supprimées. En pratique, vous devez adresser à la CNIL un simple courrier, indiquant votre adresse et votre numéro de téléphone, en y joignant une photocopie d un titre d identité. Vous devez préciser le fichier pour lequel vous demandez que des vérifications soient entreprises. Il est important de joindre tout document ou toute information susceptible de faciliter les investigations de la CNIL.
Toute personne a la possibilité de s opposer, pour des motifs légitimes, à figurer dans un fichier. Toute personne peut refuser, sans avoir à se justifier, que les données qui la concernent soient utilisées à des fins de prospection, en particulier commerciale. En pratique, le droit d opposition ne doit occasionner aucun frais et se fait valoir auprès du responsable du fichier : en refusant de répondre lors d une collecte non obligatoire de données en refusant de donner l accord écrit obligatoire pour le traitement des données sensibles telles que les opinions politiques ou les convictions religieuses (attention, ce refus s exprime souvent par une case à cocher pas toujours très visible à la fin du formulaire) en demandant la radiation des données contenues dans un fichier commercial en s opposant à la cession ou à la commercialisation de nos données personnelles (attention là encore, il faut trouver la case à cocher!) Le droit d opposition n existe pas pour de nombreux fichiers du secteur public comme, par exemple, ceux des services fiscaux, des services de police, des services de la justice, de la sécurité sociale.
Tout responsable de traitement informatique de données personnelles doit adopter les mesures de sécurité physique (sécurité des locaux), logiques (sécurité des systèmes d information) et adaptées à la nature des données et aux risques présentés par le traitement. Le non-respect de l obligation de sécurité est sanctionné de 5 ans d emprisonnement et de 300 000 d amende (article 226-17 du code pénal) La CNIL a publié en 2009 une série de conseils à l attention des directeurs de systèmes d information : adopter une politique de mot de passe rigoureuse concevoir une procédure de création et de suppression de compte utilisateur sécuriser les postes de travail (verrouillage automatique après un délai d inactivité) identifier précisément qui peut avoir accès à quels fichiers veiller à la confidentialité des données à l occasion de l intervention d un prestataire extérieur (celle-ci doit se dérouler en présence d un salarié du service informatique et être consignée dans un registre) sécuriser le réseau local (routeurs filtrants, pare-feux, sonde anti-intrusion) sécuriser l accès physique aux locaux (gardiennage, contrôle des habilitations) anticiper le risque de perte ou de divulgation des données (veiller à l effacement des données sur les mémoires externes en fin de vie ou en réparation) anticiper et formaliser une politique de sécurité sensibiliser les utilisateurs aux risques informatiques et aux lois Informatique et Libertés (rédiger et faire signer une charte informatique)
Le responsable d un fichier doit permettre aux personnes concernées par des informations qu il détient d exercer pleinement leurs droits. Pour cela, il doit leur communiquer : son identité, la finalité de son traitement, le caractère obligatoire ou facultatif des réponses, les destinataires des informations, l existence de droits, les transmissions envisagées. Le refus ou l entrave au bon exercice des droits des personnes est puni de 1500 par infraction constatée et 3000 en cas de récidive (article 131-13 du code pénal et décret n 2005-1309 du 20 octobre 2005) Seules les personnes autorisées peuvent accéder aux données personnelles contenues dans un fichier. Il s agit des destinataires explicitement désignés pour en obtenir régulièrement communication et des tiers autorisés ayant qualité pour les recevoir de façon ponctuelle et motivée (ex : police, fisc). La communication d informations à des personnes non autorisées est punie de 5 ans d emprisonnement et de 300 000 d amende. La divulgation d informations commise par imprudence ou négligence est punie de 3 ans d emprisonnement et de 100 000 d amende (article 226-22 du code pénal).
Les données personnelles ont une date de péremption. Le responsable d un fichier fixe une durée de conservation raisonnable en fonction de l objectif du fichier. Le code pénal sanctionne la conservation des données pour une durée supérieure à celle qui a été déclarée de 5 ans d emprisonnement et de 300 000 d amende (article 226-20 du code pénal). Un fichier doit avoir un objectif précis. Les informations exploitées dans un fichier doivent être cohérentes par rapport à son objectif. Les informations ne peuvent pas être réutilisées de manière incompatible avec la finalité pour laquelle elles ont été collectées. Tout détournement de finalité est passible de 5 ans d emprisonnement et de 300 000 d amende (article 226-21 du code pénal)
Les traitements informatiques de données personnelles qui présentent des risques particuliers d atteinte aux droits et aux libertés doivent, avant leur mise en œuvre, être soumis à l autorisation de la CNIL. Le non-accomplissement des formalités auprès de la CNIL est sanctionné de 5 ans d emprisonnement et 300 000 d amende (article 226-16 du code pénal) Beaucoup de fichiers ou de traitements contenant des données personnelles sont dispensés de formalités déclaratives auprès de la CNIL, le plus souvent parce qu ils ne portent pas atteinte à la vie privée ou aux libertés. En dehors des cas d exonération prévus, déclarer un fichier ou un traitement de données personnelles est une obligation légale. Comment savoir s il faut déclarer ou non? En se rendant sur le site de la CNIL (http://www.cnil.fr/vos-responsabilites/declarer-a-la-cnil/) qui propose un questionnaire permettant de le savoir.