Contenu

INFORMATIQUE ET LIBERTES : les données personnelles

 

Aux termes de l’article 1er de la loi du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, « L’informatique doit être au service de chaque citoyen. Elle ne doit pas porter atteinte, ni à l’identité humaine, ni aux droits de l’homme, ni à la vie privée, ni aux libertés individuelles ou publiques ».

 

Qu’est ce qu’un fichier comportant des données personnelles ?
Une donnée personnelle se définit comme étant une information permettant d’identifier ou de reconnaître une personne, directement ou indirectement par référence à un numéro d’identification ou à un ou plusieurs éléments qui lui sont propres (nom, prénom, date de naissance,…).

Une donnée est sensible lorsque l’information concerne l’origine raciale ou ethnique de la personne, ses opinions politiques, philosophiques ou religieuses, son appartenance syndicale, sa santé ou sa vie sexuelle.

Le principe est l’interdiction de l’enregistrement et a fortiori du traitement de ces données car il peut conduire à des pratiques discriminatoires. Des dérogations sont prévues dans certains cas (ex : constatation, exercice ou défense d’un droit en justice, données rendues publiques par la personne, consentement exprès de la personne, sauvegarde de la vie humaine, traitement justifié par l’intérêt public et autorisés par la commission nationale de l’informatique et des libertés (CNIL) ou par arrêté ou décret…).

Le rôle de la commission nationale de l’informatique et des libertés (CNIL) :
Autorité administrative indépendante, elle exerce un rôle essentiel, de conseil et de contrôle.

Des évolutions majeures ont été introduites à la loi de 1978 par celle du 6 août 2004 notamment

  • en soumettant les fichiers de l’administration au même régime que ceux du secteur privé. Désormais, c’est la finalité du traitement et la nature des données collectées qui déterminent le régime applicable (déclaration, autorisation) et non plus le statut de créateur du fichier ; le contrôle sur les fichiers de l’administration a donc été resserré, celle-ci étant tenue à un juste équilibre entre l’utilisation de l’outil et le respect des libertés des administrés ;
  • en renforçant le pouvoir de la CNIL : les contrôles sont exercés a posteriori, sur pièce et sur place, au lieu des contrôles a priori avec la possibilité d’infliger des sanctions ;

Cette loi a également amélioré les droits des individus sur les données les concernant. Ainsi, le responsable d’un traitement est soumis au respect d’obligations strictes :

  • assurer la sécurité et la protection des données personnelles et respecter la confidentialité quant aux informations traitées ;
  • ajouter les mentions légales et informer les personnes dont les données sont traitées, de leurs droits ;
  • respecter une série de principes imposés par la loi afin de garantir les droits de la personne (transparence et loyauté, finalité, proportionnalité, intégrité et exactitude, droit à l’oubli).

De la sorte, la personne, informée de l’étendue du traitement opéré, a notamment la possibilité, sauf exception, d’exercer son droit d’accès, de faire opposition, de faire rectifier les données traitées, le cas échéant.

Les obligations, les formalités à respecter ; une intervention graduée de la CNIL :  

  • Les fichiers exonérés de déclaration : Préalablement à la mise en œuvre d’un traitement de données à caractère personnel, y compris pour les fichiers manuels ou les expérimentations, l’organisme, le service doit se conformer au respect de formalités (déclaration, demande d’autorisation selon le cas), à moins qu’il en soit exonéré (ex : association, organisme à but non lucratif…).
  • Les fichiers soumis à déclaration : Cependant, les traitements qui ne sont pas susceptibles de porter atteinte à la vie privée et aux libertés sont dispensés de déclaration, la CNIL édictant des dispenses (ex : paie des personnels du secteur public, fichiers de fournisseurs…).

Pour ces fichiers, la CNIL adopte des décisions, appelées normes simplifiées qui encadrent leur exploitation, l’exploitant s’engageant à s’y conformer. Il en est, par exemple ainsi pour les traitements relatifs à la gestion des personnels, à la gestion de la population dans les communes, à des statistiques.

Un grand nombre de traitements relève de ce régime en particulier dans le secteur privé.

Les fichiers non exonérés doivent faire l’objet d’une déclaration normale. Ils ne peuvent être mis en œuvre qu’après délivrance d’un récépissé par la CNIL et ne nécessitent pas, de sa part, l’expression d’un avis.

les fichiers soumis à autorisation :
- par arrêté
Les traitements mis en œuvre par l’État et qui intéressent la sûreté, la défense ou la sécurité publique ou qui ont pour objet la prévention, la recherche, la constatation ou la poursuite des infractions pénales ou l’exécution de condamnations pénales ou de mesures de sûreté sont autorisés par arrêté ministériel ou interministériel après avis motivé et publié de la CNIL.

-  par décret
Les éléments comme le numéro de sécurité sociale, les données biométriques, les données sensibles ne peuvent faire l’objet d’un traitement qu’après autorisation par décret en Conseil d’État après avis motivé et publié de la CNIL. Il en est de même lorsqu’il s’agit de mettre à la disposition des usagers un ou plusieurs télé services de l’administration électronique.

- par décision de la CNIL
Enfin, la procédure d’autorisation expresse de la CNIL concerne des traitements automatisés pour lesquels les responsables doivent se conformer en tous points aux exigences de la commission. L’interconnexion de fichiers relevant d’une ou plusieurs personnes morales gérant un service public et dont les finalités correspondent à des intérêts publics différents, l’interconnexion de fichiers relevant d’autres personnes et dont les finalités principales sont différentes relèvent de cette procédure.

  • Les sanctions sont de deux ordres :

administratives :
La CNIL, qui dispose d’un pouvoir de contrôle dans tous locaux professionnels auxquels ses membres et agents ont accès, peut prononcer un avertissement, une mise en demeure, des sanctions pécuniaires, voire une interruption de l’exploitation du traitement.

En cas d’atteinte grave et immédiate aux droits et libertés, le président de la commission peut demander, par la voie du référé, à la juridiction compétente d’ordonner, le cas échéant, sous astreintes, toutes mesures de sécurité nécessaires à la sauvegarde de ces droits et libertés.

judiciaires :
La CNIL peut dénoncer au procureur de la République les infractions dont elle a connaissance. La peine encourue par les auteurs d’infractions à la loi informatique et libertés est de 5 ans d’emprisonnement et 300 000€ d’amende. 

Pour plus de précisions, consulter notamment le site de la Commission nationale de l’informatique et des libertés : http://www.cnil.fr/