Donnée à caractère personnel (fr)
Cet article est une ébauche relative au droit français, vous pouvez partager vos connaissances juridiques en le modifiant, vous pouvez également faire une recherche dans le moteur...'
|
France > Droits et libertés de la personne (fr) > Commission nationale de l'informatique et des libertés
Sommaire
Définition
Selon la loi du 6 Janvier 1978[1] (modifiée par la loi n° 2004-801 du 6 août 2004 relative à la protection des personnes physiques à l'égard des traitements de données à caractère personnel et modifiant la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés):
- « Constitue une donnée à caractère personnel toute information relative à une personne physique identifiée ou qui peut être identifiée, directement ou indirectement, par référence à un numéro d'identification ou à un ou plusieurs éléments qui lui sont propres. Pour déterminer si une personne est identifiable, il convient de considérer l'ensemble des moyens en vue de permettre son identification dont dispose ou auxquels peut avoir accès le responsable du traitement ou toute autre personne. »
- « La personne concernée par un traitement de données à caractère personnel est celle à laquelle se rapportent les données qui font l'objet du traitement » (art. 2).
En principe les données sont considérées comme à caractère personnel dès lors qu'elles permettent d'identifier directement ou indirectement des personnes physiques. Une personne est identifiée lorsque son nom apparaît dans un fichier. Une personne est identifiable lorsqu'un fichier comporte des informations permettant indirectement son identification (ex. : n° d'immatriculation, adresse IP, numéro de téléphone, photographie...).
En ce sens, constituent également des données à caractère personnel toutes les informations dont le recoupement permet d'identifier une personne précise (ex. : une empreinte digitale, l'ADN, une date de naissance associée à une commune de résidence, ...). Les technologies de l'information et de la communication génèrent de nombreuses données personnelles (un paiement par carte bancaire, un appel passé par un téléphone portable, une connexion à internet) et aussi des "traces informatiques" facilement exploitables grâce aux progrès des logiciels, notamment les moteurs de recherche.
Constituent des données à caractère personnel les divers identifiants, notamment ceux créés par l'État aux fins d'identification de ses administrés. La sinistre histoire du RNIPP, mise en place par le Régime de Vichy a initié la prise de conscience relative aux traitements de données à caractère personnel. Dans ce contexte, la proposition de loi proposition de loi tendant à compléter les mentions figurant sur la carte nationale d'identité, présentée par M. le député. Alain MOYNE-BRESSAND, et tendant à inscrire le numéro INSEE sur la carte d'identité, représente un danger pour les libertés fondamentales, au regard de la large utilisation de la carte nationale d'identité.
Le traitement des données à caractère personnel
Selon la Loi du 6 janvier 1978 :
- « Constitue un traitement de données à caractère personnel toute opération ou tout ensemble d'opérations portant sur de telles données, quel que soit le procédé utilisé, et notamment la collecte, l'enregistrement, l'organisation, la conservation, l'adaptation ou la modification, l'extraction, la consultation, l'utilisation, la communication par transmission, diffusion ou toute autre forme de mise à disposition, le rapprochement ou l'interconnexion, ainsi que le verrouillage, l'effacement ou la destructio » (art 2).
- «Constitue un fichier de données à caractère personnel tout ensemble structuré et stable de données à caractère personnel accessibles selon des critères déterminés. »
Ainsi le traitement de données à caractère personnel permet d'identifier ou de reconnaître, directement ou indirectement, des personnes. Il peut s'agir du nom, prénom, date de naissance, adresse postale, adresse électronique, adresse IP d'un ordinateur, numéro de téléphone, numéro de carte de paiement, plaque d'immatriculation d'un véhicule, empreinte digitale ou génétique, photo, numéro de sécurité sociale...
les responsables des données à caractère personnel et leur pouvoirs
les responsables
Selon la loi du 6 janvier 1978 :
- « Le responsable d'un traitement de données à caractère personnel est, sauf désignation expresse par les dispositions législatives ou réglementaires relatives à ce traitement, la personne, l'autorité publique, le service ou l'organisme qui détermine ses finalités et ses moyens. » (art. 3)
- « Sont soumis à la présente loi les traitements de données à caractère personnel :
- 1° Dont le responsable est établi sur le territoire français.
- Le responsable d'un traitement qui exerce une activité sur le territoire français dans le cadre d'une installation, quelle que soit sa forme juridique, y est considéré comme établi.
- 2° Dont le responsable, sans être établi sur le territoire français ou sur celui d'un autre État membre de la Communauté européenne, recourt à des moyens de traitement situés sur le territoire français, à l'exclusion des traitements qui ne sont utilisés qu'à des fins de transit sur ce territoire ou sur celui d'un autre État membre de la Communauté européenne » (art. 5)
En résumé
Le responsable du traitement est la personne ou l'organisme qui décide de la mise en œuvre du traitement et qui en détermine la finalité et les moyens.
La finalité des traitements
Le principe de finalité est l'un des piliers de la protection.
Un traitement d'informations nominatives est créé pour atteindre un certain objectif. Son contenu doit correspondre à cet objectif et ne pas servir à d'autres fins.
Le choix des données que l'on décide d'enregistrer, la durée de leur conservation et les catégories de personnes qui peuvent en avoir communication doivent être déterminés en fonction de la finalité du traitement.
L'utilisation d'un traitement nominatif à d'autres fins que celles qui ont été déclarées lors des formalités préalables constitue un détournement de finalité pénalement sanctionné.
Les formalités de déclaration des fichiers
Tout traitement automatisé d'informations nominatives doit, avant sa mise en oeuvre, être déclaré ou soumis à l'avis de la Commission nationale de l'informatique et des libertés (CNIL).
Il s'agit de responsabiliser les utilisateurs de données nominatives, de permettre à la CNIL de contrôler et d'influencer les choix effectués, d'assurer, grâce à la publicité à laquelle elles donnent lieu, la transparence nécessaire à l'exercice des droits des personnes concernées par les traitements.
Le non accomplissement de ces formalités est sanctionné pénalement.
La conservation des informations
Les données nominatives ne doivent pas être conservées au-delà de la durée nécessaire aux finalités du traitement pour lequel elles ont été enregistrées.
Le Code pénal sanctionne aux articles 226-16 à 226-24[2] la conservation des données pour une durée supérieure à celle qui a été déclarée.
Lorsque l'organisme qui détient le fichier a connaissance de l'inexactitude ou du caractère incomplet d'une information, il a l'obligation de procéder à sa mise à jour.
En cas de transmission à un tiers, la rectification ou l'annulation d'une information nominative doit être notifiée à ce tiers.
Entreprises et données personnelles
En ce qui concerne les entreprises un sondage de juin 2008 élaboré par LEGAL SUITE, éditeur de solutions juridiques d’entreprises et hébergé sur le Village de la Justice [3] "met à jour les manques qu’ont les entreprises en matière de données personnelles. Presque la moitié des sondés (sur un total de 300 professionnels) déclarent ne pas maîtriser la gestion des données à caractère personnel. Des manques qui pourraient donner des sueurs froides à certains dirigeants car les amendes infligées par la CNIL (Commission nationale de l'informatique et des libertés) peuvent monter jusqu’à 300.000 euros."[4] "Pourtant une majorité (60 %) affirme être bien ou plutôt bien informée sur la notion et les enjeux des données à caractère personnel."[5] Selon l'étude "cela montre que les entreprises, bien qu'informées des obligations légales vis-à-vis de la CNIL ne gèrent pas de manière rigoureuse l'ensemble de leurs déclarations et traitements soumis à la loi." D'après ITRmanager.com "les choses devraient néanmoins changer progressivement puisque depuis deux ans, la CNIL mène auprès des entreprises françaises des opérations de sensibilisation."[6]
Notes et références
- ↑ Loi n° 78-17 du 6 Janvier 1978 relative à l'informatique, aux fichiers et aux libertés
- ↑ articles 226-16, 226-16-1-A, 226-16-1, 226-17, 226-18, 226-18-1, 226-19, 226-19-1, 226-20, 226-21, 226-22, 226-22-1, 226-22-2, 226-23, 226-24 du Code pénal
- ↑ La gestion des données personnelles en entreprises et collectivités : résultats de l’enquête Legal Suite et Village de la justice, le 19 juin 2008.
- ↑ Olivier Robillard : CNIL, beaucoup d'entreprises méconnaissent leurs obligations, le 19 juin 2008
- ↑ Christophe Guillemin : La gestion des données privées des salariés à revoir dans une majorité d'entreprises, 2 juillet 2008.
- ↑ Comment les entreprises françaises gèrent les données à caractère personnel ?, le 09 juillet 2008
Voir aussi
- Trouver la notion "Donnée à caractère personnel" dans l'internet juridique français
- Commission nationale de l'informatique et des libertés