Les données à caractère personnel et les contraintes d'utilisation - Maxicours

Les données à caractère personnel et les contraintes d'utilisation

Objectifs
  • Identifier les contraintes liées à la collecte des données à caractère personnel.
  • Caractériser les contraintes liées au traitement des données à caractère personnel.
Points clés
  • La loi soumet les responsables de la collecte et du traitement des données à caractère personnel à un certain nombre d’obligations.
  • Avec le développement du web, des objets connectés et des réseaux sociaux, il y a un risque de fuite de données à caractère personnel. Le RGPD (Règlement Général sur la Protection des Données), entré en vigueur le 25 mai 2018, renforce la protection des personnes et des libertés individuelles dans la communauté européenne.
Pour bien comprendre
  • Donnée à caractère personnel
1. Les contraintes et droits au niveau de la collecte et du traitement des données à caractère personnel
a. Les obligations à respecter durant la collecte et le traitement

Certaines informations dites « sensibles » ne doivent pas figurer dans un fichier : croyance religieuse, appartenance politique, origine ethnique, etc., sauf exception prévue par la loi ou autorisation de la CNIL.

La loi soumet les responsables de la collecte et du traitement d’informations à un certain nombre d’obligations.

  • L’autorisation de la CNIL : les traitements informatiques de données personnelles qui présentent des risques particuliers d’atteinte aux droits et aux libertés doivent, avant leur mise en œuvre, être soumis à autorisation.
    Exemple
    Si un système de vidéosurveillance est installé dans un lieu ouvert au public, une demande d’autorisation préalable auprès de la CNIL, ainsi qu’auprès du préfet du département, sont nécessaires.
  • Le principe de finalité : les données à caractère personnel ne peuvent être recueillies et traitées que pour un usage déterminé et légitime, correspondant aux missions de l’établissement responsable du traitement. Tout détournement de finalité est passible de sanctions pénales.
    Exemple
    Si un système de vidéosurveillance est installé dans un hypermarché pour empêcher le vol des clients, celui-ci ne pourra être utilisé contre les agissements d’un salarié qui aurait commis un vol dans le magasin.
  • Le principe de proportionnalité : seules doivent être enregistrées les informations pertinentes et nécessaires pour leur finalité.
    Exemple
    Lors d'un processus de recrutement, un certain nombre de données telles que l’appartenance politique ou l’origine ethnique ne peuvent pas être collectées.
  • Le principe de pertinence des données : les données personnelles doivent être adéquates, pertinentes et non excessives au regard des objectifs poursuivis.
  • Le principe de durée limitée de conservation des données : les informations ne peuvent être conservées de façon indéfinie dans des fichiers informatiques. Une durée de conservation doit être établie en fonction de la finalité de chaque fichier.
    Exemple
    Les données recueillies lors de la navigation sur un site web à travers l’utilisation de cookies peuvent être conservées durant treize mois maximum.
  • Le principe de sécurité et de confidentialité : le responsable du traitement des données personnelles est astreint à une obligation de sécurité. Il doit faire prendre toutes les mesures nécessaires en termes de sécurité physique (sécurité des locaux) et logique (sécurité des systèmes d’information) pour garantir la confidentialité des données et éviter leur divulgation.
  • Le principe de transparence : le responsable du traitement doit avertir les personnes dont les données sont recueillies dès leur collecte et en cas de transmission à des tiers.
  • Le principe du respect du droit des personnes : lorsque des données sont recueillies, les personnes doivent également être informées de la finalité du traitement, du caractère obligatoire ou facultatif du recueil, des destinataires des données et des modalités d’exercice des droits qui leurs sont ouverts au titre de la loi « Informatique et libertés ».
b. Les droits des personnes

Toute personne a le droit de savoir si elle est répertoriée dans un fichier (droit de regard).

Toute personne a le droit d’interroger le responsable de la gestion de fichiers d’une organisation afin de savoir si elle détient des informations à son sujet et d’obtenir communication des informations détenues (droit d’accès).

Toute personne peut faire actualiser ou supprimer des informations la concernant (droit de rectification).

Toute personne a le droit de s’opposer à apparaitre sur un fichier à l’exception de certains fichiers du secteur public (droit d’opposition).

De plus, la justice européenne reconnait le droit à l’oubli. Une personne a ainsi la possibilité de faire effacer certaines données personnelles présentes sur le web si elle le souhaite (une image sur les réseaux sociaux par exemple).

2. Le contrôle des organisations pour respecter les contraintes d’utilisation des données à caractère personnel

Les administrations peuvent permettre au public de consulter en ligne une partie de leur base de données : il s’agit de l’« open data » ou base de données ouverte. Une vigilance particulière doit donc être portée aux données à caractère personnel.

a. Instance de protection et textes de loi

La Commission nationale de l’informatique et des libertés (CNIL), en tant qu’autorité administrative indépendante, vérifie que la loi est respectée :

  • en informant et en contrôlant les applications informatiques ;
  • en prononçant des sanctions envers les organisations contrevenantes.

Deux textes européens œuvrent pour la mise en place d’une législation commune dans le cadre de l’Union européenne :

  • le règlement (CE) n° 45/2001 a pour objet de faciliter la libre circulation des informations dans un cadre garantissant les droits des personnes et leur aspiration légitime au respect de la vie privée ;
  • la directive 2002/58 concerne le traitement des données personnelles et la protection de la vie privée dans le secteur des communications électroniques.
b. La loi « Informatique et libertés »
La loi « Informatique et libertés » du 6 janvier 1978, modifiée en 2004, précise les principes et les modalités du traitement informatique de données à caractère personnel dès lors qu’elles sont contenues dans un fichier informatique.

Le dirigeant d’une organisation verra ainsi sa responsabilité engagée s’il ne met pas en œuvre les mesures adéquates pour préserver la sécurité des données à caractère personnel contenues dans son système informatique.

L’article 34 de la loi « Informatique et libertés » précise en effet que « le responsable des traitements est tenu de prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu’elles soient déformées, endommagées ou que des tiers y aient accès ».

c. Le RGPD
Le RGPD (Règlement Général sur la Protection des Données) impose aux organisations qui collectent et traitent des données à caractère personnel au format numérique une obligation de transparence et de loyauté envers les personnes concernées.
Le RGPD oblige ainsi les organisations à signaler à la CNIL les violations de données à caractère personnel.

C’est un règlement européen qui complète les lois françaises en vigueur. Lorsque des manquements au RGPD ou à la loi « Informatique et libertés » sont constatés, la CNIL peut prononcer des sanctions pénales et/ou pécuniaires envers les organisations contrevenantes.

Cette nouvelle obligation nécessite que les organismes mettent en place des procédures permettant de détecter puis de remonter les incidents de sécurité.

Exemple
Depuis l’entrée en vigueur du RGPD fin mai 2018, le nombre de signalements de violations de données à caractère personnel auprès de la CNIL a explosé.

Ces violations concernent principalement des atteintes à la confidentialité des données et plus particulièrement dans le secteur de l’hébergement et de la restauration (prestataires de services qui fournissent à leurs clients des outils de réservation en ligne).

Vous avez déjà mis une note à ce cours.

Découvrez les autres cours offerts par Maxicours !

Découvrez Maxicours

Comment as-tu trouvé ce cours ?

Évalue ce cours !

 

quote blanc icon

Découvrez Maxicours

Exerce toi en t’abonnant

Fiches de cours les plus recherchées

Gestion et systèmes d'information

Les mégadonnées, les données ouvertes

Gestion et systèmes d'information

L'impact du numérique sur l'organisation

Gestion et systèmes d'information

Les tableaux de bord

Gestion et systèmes d'information

La prévention et la gestion des risques externes

Gestion et systèmes d'information

La prévention et la gestion des risques internes

Gestion et systèmes d'information

Les différents types d'organisations

Gestion et systèmes d'information

Les compétences

Découvrir le reste du programme

Des profs en ligne

  • 6j/7 de 17 h à 20 h
  • Par chat, audio, vidéo
  • Sur les matières principales

Des ressources riches

  • Fiches, vidéos de cours
  • Exercices & corrigés
  • Modules de révisions Bac et Brevet

Des outils ludiques

  • Coach virtuel
  • Quiz interactifs
  • Planning de révision

Des tableaux de bord

  • Suivi de la progression
  • Score d’assiduité
  • Un compte Parent