Données personnelles, comment sont-elles protégées ?

Les données personnelles sont les informations qui permettent d'identifier directement ou indirectement une personne physique. Elles sont protégées par divers instruments juridiques concernant le droit à la vie privée, dont notamment la loi Informatique, fichiers et libertés de 1978, la directive 95/46/CE au niveau communautaire ainsi que la Convention n°108 pour la protection des données personnelles du Conseil de l'Europe. À l'instar de la CNIL française, beaucoup de pays disposent aujourd'hui d'autorités chargées de la protection des données personnelles, qui sont souvent des autorités administratives indépendantes (ou des équivalents de celles-ci)...

Les données personnelles (ou nominatives) correspondent aux noms, prénoms, adresses (physique et électronique), numéro de téléphone, lieu et date de naissance, numéro de sécurité sociale, numéro de carte de paiement, plaque d'immatriculation d'un véhicule, photo, empreinte digitale, ADN, etc. Aujourd'hui, en effet, une recherche à l'aide d'un moteur de recherche sur une ou plusieurs bases de données, en utilisant la combinaison de quelques-unes simplement de ces données, permet d'identifier et de retrouver avec précision n'importe quel individu. Certaines de ces données, dont en particulier le numéro de sécurité sociale ou le NIR, ainsi que les données biométriques (empreinte digitale, échantillon ADN, etc.), sont particulièrement sensibles, car elles fonctionnent en tant qu'« identifiants universels », qui permet de raccorder différents fichiers entre eux et ainsi d'opérer leur interconnexion.

Selon une déclaration du Conseil des ministres du Conseil de l'Europe de 1997, elles incluent les données médicales et génétiques, ainsi que les empreintes digitales et, en général, toute caractéristique biométrique.

Plusieurs éléments essentiels sont pris en compte concernant ces données, dont leur durée de conservation, leur finalité, le consentement de la personne vis-à-vis de cette collecte des données personnelles, l'obligation d'information et, dans le cadre de l'entreprise, la consultation des instances représentatives, le niveau de protection technique dont elles bénéficient (ou non), etc.

Les données personnelles en France
Selon la loi Informatique, fichiers et libertés de 1978, lorsqu'il s'agit du secteur privé, ces données ne peuvent être collectées, traitées et conservées par un organisme ou une entreprise que si la personne ou le service qui est responsable de ces opérations a effectué au préalable une déclaration à la CNIL, qui doit être validée par l'attribution d'un numéro d'enregistrement. Ce numéro doit être indiqué sur le site web en plus de l'adresse de contact du service qui va gérer le fichier des données personnelles.

Depuis la loi sur la sécurité quotidienne de 2001, modifiée par la loi de 2006 relative à la lutte contre le terrorisme, les FAI et les opérateurs télécom sont tenus de conserver les données de connexion de leurs usagers et de les mettre à la disposition des autorités policières si celles-ci le désirent.

Le responsable du fichier ou du traitement de données personnelles doit informer les personnes concernées du but de ce traitement, de l'identité des destinataires de ces informations, et des droits dont ils disposent conformément aux articles 32 et 38 de la loi informatique et libertés de 1978.

Les partis politiques, les églises, les syndicats et les associations ne sont pas tenus de déclarer le fichier de leurs membres à la CNIL. Les sites web mis en œuvre par des particuliers dans le cadre d’une activité exclusivement personnelle sont aussi dispensés de déclaration, comme le stipule la dispense de déclaration n° 6 de la CNIL.

La loi française qualifie de « données sensibles » les données à caractère personnel qui font apparaître, directement ou indirectement, les origines raciales ou ethniques, les opinions politiques, philosophiques ou religieuses ou l'appartenance syndicale des personnes, ou qui sont relatives à leur santé ou à leur vie sexuelle ; de même les données relatives aux infractions, condamnations et mesures de sûreté bénéficient d'un régime spécifique. Il est a priori interdit de collecter et d'enregistrer ces données, seuls les fichiers d’État (police, RG, etc.) pouvant déroger à cette règle, sous certaines conditions.

En ce qui concerne les entreprises un sondage de juin 2008 hébergé sur le Village de la Justice « met à jour les manquements des entreprises en matière de données personnelles. Presque la moitié des sondés (sur un total de 300 professionnels) déclarent ne pas maîtriser la gestion des données à caractère personnel. Des manques qui pourraient donner des sueurs froides à certains dirigeants car les amendes infligées par la CNIL peuvent monter jusqu’à 300 000 euros. » « Pourtant une majorité (60 %) affirme être bien ou plutôt bien informée sur la notion et les enjeux des données à caractère personnel. » Selon l'étude, « cela montre que les entreprises, bien qu'informées des obligations légales vis-à-vis de la CNIL ne gèrent pas de manière rigoureuse l'ensemble de leurs déclarations et traitements soumis à la loi. » D'après ITRmanager.com, « les choses devraient néanmoins changer progressivement puisque depuis deux ans, la CNIL mène auprès des entreprises françaises des opérations de sensibilisation. »

La collecte et l'exploitation des données personnelles
Les modes de collecte se sont particulièrement diversifiés avec les technologies numériques. Elles peuvent aller

- de la collecte d'informations contenue via un formulaire rempli volontairement par les individus

- jusqu'à l'enregistrement de traces (habitudes de navigation, localisation géographique de l'adresse de connexion, sites consultés, relations établies avec des individus ou des réseaux ...).

Les modes d'exploitation peuvent être le fait des individus eux-mêmes par recherche d'informations à partir d'un moteur de recherche ou sur les réseaux sociaux en ligne, ou le fait d'organisations : marketing ciblé, fichage des populations par l'État, envoi massif de courriers non sollicités à caractère commercial etc.. Le modèle économique des acteurs majeurs du Web (Google, Amazon) et des réseaux sociaux (Facebook, Twitter) repose en grande partie sur l'exploitation des données personnelles des utilisateurs. Pierre Bellanger suggère en 2014 la création d'un droit de propriété : celui de sa trace numérique sur les réseaux. Ce droit supposerait que toute captation ou traitement des données provenant d'un citoyen européen réponde du droit européen, mais de surcroît que toute exportation de ces données hors de l'Union soient assujettie à une taxe : la dataxe.

La protection des données personnelle au niveau européen
Les données personnelles sont protégées au niveau européen par plusieurs directives, la première étant la directive 95/46/CE. L'article 5 de la directive 2002/58/CE (« Vie privée et communications électroniques ») dispose que l'internaute doit être informé de l'existence de toute collecte d'information ; qu'il a le droit d'en connaître la finalité et de s'y opposer  :

« Les États membres garantissent que l’utilisation des réseaux de communications électroniques en vue de stocker des informations ou d’accéder à des informations stockées dans l’équipement terminal d’un abonné ou d’un utilisateur ne soit permise qu’à condition que l’abonné ou l’utilisateur, soit muni, dans le respect de la directive 95/46/CE, d’une information claire et complète, entre autres sur les finalités du traitement, et que l’abonné ou l’utilisateur ait le droit de refuser un tel traitement par le responsable du traitement des données. »

Cette directive a été modifiée par la directive 2006/24/CE sur la conservation des données, dont l'article 3 est énoncé  :

« Les articles 5, 6 et 9 de la directive 2002/58/CE définissent les règles applicables au traitement, par les fournisseurs de réseaux et de services, de données relatives au trafic et de données de localisation générées par l’utilisation de services de communications électroniques. Ces données doivent être effacées ou rendues anonymes lorsqu'elles ne sont plus nécessaires à la transmission d'une communication, sauf les données requises pour établir les factures et les paiements pour interconnexion; moyennant l’accord de l’intéressé, certaines données peuvent également être traitées à des fins commerciales ou de fourniture de services à valeur ajoutée. »

Il existe aussi un Contrôleur européen de la protection des données chargé d'évaluer les politiques relevant de ce domaine. Il a par exemple autorisé la mise en place du Système d'information des visas (SIV) qui est une base de données biométrique.

Texte sous licence CC BY-SA 3.0. Contributeurs, ici. Photo : Fotolia.com - Aleksandr Bedrin.

Un spécialiste de la gestion de vos données personnelles :

92250 - GERERMESAFFAIRES SAS http://www.gerer-mes-donnees-privees.com