Vous êtes ici : Accueil > Actualités > Maître Antoine FITTANTE > LA PROTECTION DES DONNEES PERSONNELLES

LA PROTECTION DES DONNEES PERSONNELLES

Le 23 juin 2017
Les nouvelles technologies, le développement numérique et les réseaux sociaux placent une nouvelle fois au cœur de l’actualité l’épineuse question de la protection des données personnelles.


Mais qu’est-ce qu’une donnée personnelle ?
 
Pour résumer, toute donnée relative à une personne physique, qui peut être identifiée par quelqu’un, quel que soit le moyen utilisé au sens de l’article 2 de la Loi Informatique et Libertés, est une donnée personnelle.
 
Ainsi, il peut s’agir d’une donnée qui est directement identifiante, comme une donnée qui est indirectement identifiante : nom, prénom, date de naissance, adresse, adresse mail, numéro de sécurité sociale, photographie, plaque d’immatriculation, numéro de téléphone, RIB, IBAN, adresse IP, autant d’éléments qui, par conséquent, permettent d’identifier une personne.
 
Toute opération portant sur ces données à caractère personnel, quel qu’en soit le procédé, liée soit au fonctionnement, à la gestion d’un organisme, soit à son cœur de métier, est un traitement au sens de la Loi Informatique et Libertés et est soumise à ses dispositions et à ses principes essentiels.
 
Toute donnée ainsi traitée est soumise aux règles impérieuses de la Loi Informatique et Libertés du 06 janvier 1978 modifiée, relative aux fichiers et aux libertés.
 
Les cinq règles d’or de la protection des données sont les suivantes : finalité du traitement, pertinence des données, conservation limitée des données, obligation de sécurité et de confidentialité, et respect des droits des personnes.
 
Le principe de finalité exige que les données collectées le soit pour des finalités déterminées, explicites et légitimes, et ne soient pas traitées ultérieurement de manière incompatible avec ces finalités.
 
Ainsi, par exemple, il n’est pas nécessaire de récupérer un numéro de sécurité sociale lorsqu’il s’agit de faire de la prospection commerciale, ou d’utiliser un fichier d’inscription dans une école de sport à des fins de communication politique.
 
Le détournement de finalité est sanctionné pénalement par la loi dans l’article 226-21 du Code Pénal d’une peine d’amende et d’emprisonnement.
 
L’exigence de pertinence et de proportionnalité des données suppose que ne soient collectées que les données adéquates, pertinentes et non excessives au regard des finalités pour lesquelles elles sont collectées, et leur traitement ultérieur, et qu’elles soient exactes, complètes et mises à jour.
 
Ainsi, par exemple, recueillir une date de naissance n’est pas forcément nécessaire au regard de la finalité de certains traitements.
 
Ainsi, il faut se méfier des zones de commentaires apparaissant dans certains logiciels qui permettent par ce biais de recueillir des informations personnelles qui ne sont pas forcément adéquates et pertinentes au regard de la finalité poursuivie par la collecte des données.
 
Il va de soi que certaines données particulièrement sensibles font l’objet d’une protection toute particulière, notamment les données relatives aux origines raciales ou ethniques, les opinions politiques, philosophiques, religieuses, les appartenances syndicales, l’état de santé ou la vie sexuelle d’une personne.
 
Ces données sensibles ne peuvent être collectées ou traitées sans le respect des formalités très strictes prévues par la loi, sous peine de sanctions pénales lourdes.
 
Le principe est donc l’interdiction de  la collecte, sauf consentement express des personnes ou lorsqu’il est question d’assurer la gestion d’un service de santé, de l’intérêt public, de sauvegarder les vies humaines.
 
Il va de soi que les données relatives aux infractions, aux condamnations, aux mesures de sûreté, font elles-mêmes l’objet d’une protection particulière dans la Loi Informatique et Libertés puisqu’elles sont traitées uniquement par les juridictions, les autorités publiques et les auxiliaires de justice dans le cadre de leurs attributions légales.
 
Les données traitées pour une finalité précise, adéquate, non excessive et pertinente, ne peuvent être conservées que pendant une durée limitée qui est déterminée en fonction de la finalité de chaque traitement, et qui donc va varier selon les objectifs poursuivis.
 
Ainsi, par exemple, pour une vidéo-surveillance, les données sont conservées un mois.
 
Les données collectées dans le cadre du contrôle des horaires du personnel sont conservées pendant cinq ans.
 
A l’issue, les données doivent être détruites ou anonymisées dans le respect des obligations d’archivage.
 
L’obligation de sécurité exige du responsable de traitement que celui-ci prenne toute précaution utile au regard de la nature des données et des risques présentés par le traitement pour préserver la sécurité des données, et empêcher qu’elles soient déformées, endommagées, ou que des tiers y aient accès, ce qui suppose par conséquent l’adoption de mesures de sécurité physiques, de gestion des habilitations et droits d’accès, l’encadrement bien sûr de la sous-traitance avec des contrats contenant des clauses de confidentialité.
 
Le respect des droits des personnes s’entend de la nécessité absolue pour toute personne de garder la maîtrise des informations collectées, d’où un droit à l’information, un droit d’opposition, un droit d’accès et de rectification, et une droit de définir le sort de ses données après sa mort.
 
La Loi Informatique et Libertés du 06 janvier 1978 a été modifiée en 2004.
 
Elle a été enrichie récemment, en octobre 2016, par la Loi pour une République numérique, avec l’apparition de nouveaux droits, le renforcement des sanctions, et l’élargissement des missions de la Commission Nationale Informatique et Libertés (CNIL).
 
En mai 2018, un nouveau règlement européen d’avril 2016 renforce les droits des personnes et responsabilise plus encore les acteurs traitants les données.
 
Alors que la Directive de 1995 reposait sur l’existence de formalités préalables, déclarations et autorisations, le règlement européen repose sur une logique de conformité et de responsabilité dite « d’accountability ».
 
La responsabilité des entreprises s’incarne par les principes de la protection des données dès la conception (privacy by design) et de protection des données par défaut (privacy by default), qui imposent au responsable des traitement de mettre en œuvre toute les techniques nécessaires au respect de la protection des données personnelles, à la fois dès la conception du produit ou du service, et par défaut.
 
Les analyse de l’impact des traitements sur la protection des données à caractère personnel doivent être conduites par le responsable de traitement lorsque le traitement est susceptible d’engendre un risque élevé pour le droit des personnes physiques et la désignation d’un délégué à la protection des données sera obligatoire dans le secteur public et lorsque l’activité principale d’une entreprise concerne le suivi régulier et systématique des personnes à grande échelle, ou au traitement à grande échelle de données sensibles relatives à des condamnations.
 
Les sanctions qui peuvent être prononcées sont aggravées dans la mesure où elles peuvent atteindre, selon la catégorie de l’infraction, 10 ou 20 millions d’euros, ou, dans le cadre d’une entreprise, de 2% à 4% du chiffre d’affaire annuel mondial.
 
* * * * *
 
Quels en sont les impacts dans notre vie quotidienne ?
 
Quelques situation concrètes, afin de mesure à quelles situations vous pouvez être confronté et qui peuvent être strictement légales, comme être en totale illégalité au regard des dispositions protectrices des données personnelles :
 
Par exemple, vos enfants viennent de vous offrir pour Noël un poulailler.
 
Vous vous rendez sur les sites internet pour savoir quelle race de poules acheter, pour avoir des informations sur l’entretien et la qualité des produits alimentaires pour les nourrir.
 
Pour vous rendre sur ce site, vous acceptez les cookies.
 
Les cookies constituent un fichier déposé dans le terminal de l’utilisateur lorsque celui-ci navigue sur un site web.
 
Ils contiennent un identifiant sous forme de numéro, le nom du serveur qui l’a déposé, et éventuellement une date d’expiration.
 
Les cookies permettent ainsi de suivre la navigation et les actions sur des terminaux qui sont connectés sur le web.
 
Ils permettent ainsi de définir éventuellement, selon le nombre de consultations, votre profil et d’assurer un traçage du consommateur.
 
Vous passez finalement commande par internet, puis vous êtes inondé de publicités commerciales sur différents types de poulailler, de races de poule, puis vous recevez également des publicités commerciales sur les dangers de santé liés à une consommation excessive de viande blanche, puis vous recevez même une proposition commerciale d’une filiale du magasin auprès duquel vous avez acheté vos poules pour la vente en ligne d’autres produits.
 
Vous recevez également des publicités dans votre boite aux lettres, puis vous recevez une publicité d’un magazine de santé vous proposant ses produits et services.
 
Ainsi, à partir d’une seule commande sur internet, et donc d’une collecte de vos données personnelles, vos données ont été mutualisées, cédées.
 
            Vous vous inscrivez par internet à un voyage à New-York, puis vous recevez régulièrement des publicités pour des agences de location de voiture à New-York.
 
Vous avez indiscutablement fait l’objet d’un traçage de par le seul fait d’avoir accepté les cookies qui vous ont permis de naviguer sur ce site, ce qui au passage peut être parfaitement légal ou illégal selon le respect des dispositions protectrices des données personnelles, issues tant de la Loi Informatique et Libertés que de la Directive de 1995, de la Loi Lemaire et du règlement européen d’avril 2016.
 
            Vous êtes chef d’entreprise, puis un policier vous contacte afin de solliciter la transmission par mail d’une liste nominative de certains de vos livreurs.
 
Etant précautionneux par rapport aux droits de vos livreurs, vous devez légitimement vous interroger sur une telle demande au regard des dispositions protectrices des données personnelles.
 
            Vous avez passé un séjour dans un hôtel en Corse en étant passé par une agence de voyage.
 
Cette agence de voyage est en partenariat avec un autre hôtel, en sachant que bon nombre de clients de cette agence de voyage sont les clients de cet hôtel.
 
Vous faites l’objet d’une prospection commerciale de cet hôtel pour vos futures vacances, alors même que quant à vous, vous ne n’y avez jamais séjourné.
 
            Vous êtes une entreprise spécialisée dans l’organisation d’anniversaires pour les enfants.
 
Vous vous rapprochez des services d’une mairie pour avoir accès à la liste des enfants inscrits dans les écoles de la commune.
 
Pouvez-vous obtenir une telle liste ?
 
La mairie peut-elle vous la donner ?
 
            Vous êtes client habituel d’une grande surface.
 
Vous recevez des sollicitations commerciales par mail, alors que vous n’avez rien demandé.
 
            A la naissance de votre enfant, vous recevez un courrier de la mairie.
 
Le Maire avait l’accès à l’information par l’intermédiaire de l’accès au fichier des administrés.
 
Pouvait-il le faire ?
 
            Vous êtes chef d’entreprise.
 
Compte-tenu de la responsabilité qu’encourt un chef d’entreprise du fait de la diffusion d’informations sur les réseaux sociaux, vous souhaitez vous protéger en mettant en place des logiciels de contrôle d’usage de la messagerie et d’usage de l’internet par votre personnel.
 
Pouvez-vous le faire ? Dans quelles conditions légales êtes-vous autorisé à le faire ?
 
            Vous souhaitez mettre en place un système de vidéo-surveillance dans les locaux de votre entreprise et sur le parking.
 
Quelles sont les modalités à respecter, les démarches à entreprendre, pour être en conformité avec les dispositions de la Loi Informatique et Libertés et du règlement communautaire ?
 
Bref, autant de situations qui interpellent au regard de la protection des données personnelles et qui peuvent être parfaitement légales ou illégales selon le respect des dispositions législatives.
 
La problématique de la protection des données personnelles doit par conséquent être au cœur de la réflexion de tous dans sa vie de citoyen ou dans sa vie professionnelle.
 
Il ne saurait y avoir de progrès technologiques et de développement d’entreprises sans avoir la préoccupation de la protection des données personnelles.
 
L’objectif du règlement du 27 avril 2016 est la responsabilisation des entreprises qui s’incarne par les principes de la protection des données dès la conception et de la protection des données par défaut, imposant encore une fois au responsable de traitement de mettre en œuvre toutes les techniques nécessaires au respect de la protection des données personnelles, à la fois dès la conception du produit ou du service, et ce par défaut.