Les données à caractère personnel et les contraintes d'utilisation

Certaines informations dites « sensibles » ne doivent pas figurer dans un fichier : croyance religieuse, appartenance politique, origine ethnique, etc., sauf exception prévue par la loi ou autorisation de la CNIL.

La loi soumet les responsables de la collecte et du traitement d’informations à un certain nombre d’obligations.

• L’autorisation de la CNIL : les traitements informatiques de données personnelles qui présentent des risques particuliers d’atteinte aux droits et aux libertés doivent, avant leur mise en œuvre, être soumis à autorisation.
  
  Exemple
  Si un système de vidéosurveillance est installé dans un lieu ouvert au public, une demande d’autorisation préalable auprès de la CNIL, ainsi qu’auprès du préfet du département, sont nécessaires.
• Le principe de finalité : les données à caractère personnel ne peuvent être recueillies et traitées que pour un usage déterminé et légitime, correspondant aux missions de l’établissement responsable du traitement. Tout détournement de finalité est passible de sanctions pénales.
  
  Exemple
  Si un système de vidéosurveillance est installé dans un hypermarché pour empêcher le vol des clients, celui-ci ne pourra être utilisé contre les agissements d’un salarié qui aurait commis un vol dans le magasin.
• Le principe de proportionnalité : seules doivent être enregistrées les informations pertinentes et nécessaires pour leur finalité.
  
  Exemple
  Lors d'un processus de recrutement, un certain nombre de données telles que l’appartenance politique ou l’origine ethnique ne peuvent pas être collectées.
• Le principe de pertinence des données : les données personnelles doivent être adéquates, pertinentes et non excessives au regard des objectifs poursuivis.
• Le principe de durée limitée de conservation des données : les informations ne peuvent être conservées de façon indéfinie dans des fichiers informatiques. Une durée de conservation doit être établie en fonction de la finalité de chaque fichier.
  
  Exemple
  Les données recueillies lors de la navigation sur un site web à travers l’utilisation de cookies peuvent être conservées durant treize mois maximum.
• Le principe de sécurité et de confidentialité : le responsable du traitement des données personnelles est astreint à une obligation de sécurité. Il doit faire prendre toutes les mesures nécessaires en termes de sécurité physique (sécurité des locaux) et logique (sécurité des systèmes d’information) pour garantir la confidentialité des données et éviter leur divulgation.
• Le principe de transparence : le responsable du traitement doit avertir les personnes dont les données sont recueillies dès leur collecte et en cas de transmission à des tiers.
• Le principe du respect du droit des personnes : lorsque des données sont recueillies, les personnes doivent également être informées de la finalité du traitement, du caractère obligatoire ou facultatif du recueil, des destinataires des données et des modalités d’exercice des droits qui leurs sont ouverts au titre de la loi « Informatique et libertés ».

Toute personne a le droit de savoir si elle est répertoriée dans un fichier (droit de regard).

Toute personne a le droit d’interroger le responsable de la gestion de fichiers d’une organisation afin de savoir si elle détient des informations à son sujet et d’obtenir communication des informations détenues (droit d’accès).

Toute personne peut faire actualiser ou supprimer des informations la concernant (droit de rectification).

Toute personne a le droit de s’opposer à apparaitre sur un fichier à l’exception de certains fichiers du secteur public (droit d’opposition).

De plus, la justice européenne reconnait le droit à l’oubli. Une personne a ainsi la possibilité de faire effacer certaines données personnelles présentes sur le web si elle le souhaite (une image sur les réseaux sociaux par exemple).

La Commission nationale de l’informatique et des libertés (CNIL), en tant qu’autorité administrative indépendante, vérifie que la loi est respectée :

• en informant et en contrôlant les applications informatiques ;
• en prononçant des sanctions envers les organisations contrevenantes.

Deux textes européens œuvrent pour la mise en place d’une législation commune dans le cadre de l’Union européenne :

• le règlement (CE) n° 45/2001 a pour objet de faciliter la libre circulation des informations dans un cadre garantissant les droits des personnes et leur aspiration légitime au respect de la vie privée ;
• la directive 2002/58 concerne le traitement des données personnelles et la protection de la vie privée dans le secteur des communications électroniques.

Le dirigeant d’une organisation verra ainsi sa responsabilité engagée s’il ne met pas en œuvre les mesures adéquates pour préserver la sécurité des données à caractère personnel contenues dans son système informatique.

L’article 34 de la loi « Informatique et libertés » précise en effet que « le responsable des traitements est tenu de prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu’elles soient déformées, endommagées ou que des tiers y aient accès ».

C’est un règlement européen qui complète les lois françaises en vigueur. Lorsque des manquements au RGPD ou à la loi « Informatique et libertés » sont constatés, la CNIL peut prononcer des sanctions pénales et/ou pécuniaires envers les organisations contrevenantes.

Cette nouvelle obligation nécessite que les organismes mettent en place des procédures permettant de détecter puis de remonter les incidents de sécurité.