Donnée à caractère personnel (fr)
Cet article est une ébauche relative au droit français, vous pouvez partager vos connaissances juridiques en le modifiant, vous pouvez également faire une recherche dans le moteur...'
|
France > Droits et libertés de la personne (fr) > Commission nationale de l'informatique et des libertés
Sommaire
Définition
Selon la loi du 6 Janvier 1978[1] (modifiée par la loi n° 2004-801 du 6 août 2004 relative à la protection des personnes physiques à l'égard des traitements de données à caractère personnel et modifiant la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés):
- « Constitue une donnée à caractère personnel toute information relative à une personne physique identifiée ou qui peut être identifiée, directement ou indirectement, par référence à un numéro d'identification ou à un ou plusieurs éléments qui lui sont propres. Pour déterminer si une personne est identifiable, il convient de considérer l'ensemble des moyens en vue de permettre son identification dont dispose ou auxquels peut avoir accès le responsable du traitement ou toute autre personne. »
- « La personne concernée par un traitement de données à caractère personnel est celle à laquelle se rapportent les données qui font l'objet du traitement » (art. 2).
En principe les données sont considérées comme à caractère personnel dès lors qu'elles permettent d'identifier directement ou indirectement des personnes physiques. Une personne est identifiée lorsque son nom apparaît dans un fichier. Une personne est identifiable lorsqu'un fichier comporte des informations permettant indirectement son identification (ex. : n° d'immatriculation, adresse IP, numéro de téléphone, photographie...).
En ce sens, constituent également des données à caractère personnel toutes les informations dont le recoupement permet d'identifier une personne précise (ex. : une empreinte digitale, l'ADN, une date de naissance associée à une commune de résidence, ...). Les technologies de l'information et de la communication génèrent de nombreuses données personnelles (un paiement par carte bancaire, un appel passé par un téléphone portable, une connexion à internet) et aussi des "traces informatiques" facilement exploitables grâce aux progrès des logiciels, notamment les moteurs de recherche.
Constituent des données à caractère personnel les divers identifiants, notamment ceux créés par l'État aux fins d'identification de ses administrés. La sinistre histoire du RNIPP, mise en place par le Régime de Vichy a initié la prise de conscience relative aux traitements de données à caractère personnel. Dans ce contexte, la proposition de loi proposition de loi tendant à compléter les mentions figurant sur la carte nationale d'identité, présentée par M. le député. Alain MOYNE-BRESSAND, et tendant à inscrire le numéro INSEE sur la carte d'identité, représente un danger pour les libertés fondamentales, au regard de la large utilisation de la carte nationale d'identité.
Le traitement des données à caractère personnel
Selon la Loi du 6 janvier 1978 :
- « Constitue un traitement de données à caractère personnel toute opération ou tout ensemble d'opérations portant sur de telles données, quel que soit le procédé utilisé, et notamment la collecte, l'enregistrement, l'organisation, la conservation, l'adaptation ou la modification, l'extraction, la consultation, l'utilisation, la communication par transmission, diffusion ou toute autre forme de mise à disposition, le rapprochement ou l'interconnexion, ainsi que le verrouillage, l'effacement ou la destructio » (art 2).
- «Constitue un fichier de données à caractère personnel tout ensemble structuré et stable de données à caractère personnel accessibles selon des critères déterminés. »
Ainsi le traitement de données à caractère personnel permet d'identifier ou de reconnaître, directement ou indirectement, des personnes. Il peut s'agir du nom, prénom, date de naissance, adresse postale, adresse électronique, adresse IP d'un ordinateur, numéro de téléphone, numéro de carte de paiement, plaque d'immatriculation d'un véhicule, empreinte digitale ou génétique, photo, numéro de sécurité sociale...
les responsables des données à caractère personnel et leur pouvoirs
les responsables
Selon la loi du 6 janvier 1978 :
- « Le responsable d'un traitement de données à caractère personnel est, sauf désignation expresse par les dispositions législatives ou réglementaires relatives à ce traitement, la personne, l'autorité publique, le service ou l'organisme qui détermine ses finalités et ses moyens. » (art. 3)
- « Sont soumis à la présente loi les traitements de données à caractère personnel :
- 1° Dont le responsable est établi sur le territoire français.
- Le responsable d'un traitement qui exerce une activité sur le territoire français dans le cadre d'une installation, quelle que soit sa forme juridique, y est considéré comme établi.
- 2° Dont le responsable, sans être établi sur le territoire français ou sur celui d'un autre État membre de la Communauté européenne, recourt à des moyens de traitement situés sur le territoire français, à l'exclusion des traitements qui ne sont utilisés qu'à des fins de transit sur ce territoire ou sur celui d'un autre État membre de la Communauté européenne » (art. 5)
En résumé
Le responsable du traitement est la personne ou l'organisme qui décide de la mise en œuvre du traitement et qui en détermine la finalité et les moyens.
La finalité des traitements
Le principe de finalité est l'un des piliers de la protection.
Un traitement d'informations nominatives est créé pour atteindre un certain objectif. Son contenu doit correspondre à cet objectif et ne pas servir à d'autres fins.
Le choix des données que l'on décide d'enregistrer, la durée de leur conservation et les catégories de personnes qui peuvent en avoir communication doivent être déterminés en fonction de la finalité du traitement.
L'utilisation d'un traitement nominatif à d'autres fins que celles qui ont été déclarées lors des formalités préalables constitue un détournement de finalité pénalement sanctionné.
Les formalités de déclaration des fichiers
Tout traitement automatisé d'informations nominatives doit, avant sa mise en oeuvre, être déclaré ou soumis à l'avis de la Commission nationale de l'informatique et des libertés (CNIL).
Il s'agit de responsabiliser les utilisateurs de données nominatives, de permettre à la CNIL de contrôler et d'influencer les choix effectués, d'assurer, grâce à la publicité à laquelle elles donnent lieu, la transparence nécessaire à l'exercice des droits des personnes concernées par les traitements.
Le non accomplissement de ces formalités est sanctionné pénalement.
La conservation des informations
Les données nominatives ne doivent pas être conservées au-delà de la durée nécessaire aux finalités du traitement pour lequel elles ont été enregistrées.
Le Code pénal sanctionne aux articles 226-16 à 226-24[2] la conservation des données pour une durée supérieure à celle qui a été déclarée.
Lorsque l'organisme qui détient le fichier a connaissance de l'inexactitude ou du caractère incomplet d'une information, il a l'obligation de procéder à sa mise à jour.
En cas de transmission à un tiers, la rectification ou l'annulation d'une information nominative doit être notifiée à ce tiers.
Entreprises et données personnelles
Notes et références
Voir aussi
- Trouver la notion "Donnée à caractère personnel" dans l'internet juridique français
- Commission nationale de l'informatique et des libertés