Les grands principes

 


 

Une page d’histoire

1974 : Le projet SAFARI

La révélation dans les années 70, d'un projet du gouvernement d'identifier chaque citoyen par un numéro et d'interconnecter tous les fichiers de l'administration créa une vive émotion dans l'opinion publique.

Ce projet connu sous le nom de SAFARI*, qui montrait les dangers de certaines utilisations de l'informatique et qui faisait craindre un fichage général de la population, a conduit le gouvernement à instituer une commission auprès du Garde des sceaux afin qu'elle propose des mesures tendant à garantir que le développement de l'informatique se réalisera dans le respect de la vie privée, des libertés individuelles et des libertés publiques.

Cette Commission Informatique et Libertés proposa, après de larges consultations et débats, de créer une autorité indépendante.

 

1978 – 2004 : La loi Informatique et libertés

À la fin de l'année 1977, un projet de loi fut examiné par le Parlement, avant de devenir l'actuelle loi du 6 janvier 1978 relative à l'informatique aux fichiers et aux libertés qui a institué La Commission Nationale de l’Informatique et des Libertés (CNIL).

La loi du 6 janvier 1978 a été modifiée par une loi du 6 août 2004 qui a transposé en France une directive européenne n° 95/46/CE du 24 octobre 1995 relative à la protection des personnes à l'égard des données à caractère personnel et qui a accru les pouvoirs de la CNIL.

 

L’universalisation de la protection des données

Tous les pays de l’Union européenne sont dotés d’une loi Informatique et libertés et d’une autorité de protection.

En l’an 2000, le droit à la protection des données et à la vie privée est inscrit dans la charte des droits fondamentaux de l’Union européenne du 7 décembre 2000, puis repris dans le traité de l’Union européenne de Lisbonne du 13 décembre 2007. Dès lors, la protection des données personnelles devient l’apanage d’une société moderne et démocratique.

La CNIL plaide pour une constitutionnalisation de la protection des données personnelles.

*SAFARI : Système automatisé pour les fichiers administratifs et le répertoire des individus

 

Les textes applicables

  1. La loi Informatique et Libertés du 6 janvier 1978 modifiée le 6 août 2004
    - Conditions de licéité des traitements
    - CNIL : pouvoirs, contrôle, sanctions
    - Obligations des responsables de traitement et droits des personnes
    - Traitements spécifiques : santé, journalisme et transferts hors U.E

    Voir le texte de loi
     
  2. Le décret d'application du 20 octobre 2005 (modifié le 25 mars 2007)
    - CNIL
    - Formalités préalables
    - Le Correspondant Informatique et Libertés (articles 42 à 56)
    - Les pouvoirs de la Commission

    Voir le décret

 

Les mots-clés

Donnée à caractère personnel (article 2 Loi IL)

  • Définition :

« Toute information relative à une personne physique identifiée ou qui peut être identifiée, directement ou indirectement, par référence à un numéro d’identification ou à un ou plusieurs éléments qui lui sont propres »
« Pour déterminer si une personne est identifiable, il convient de considérer l’ensemble des moyens en vue de permettre son identification dont dispose ou auxquels peut avoir accès le responsable du traitement ou toute autre personne. »

  • Exemples :

Données directement nominatives : nom et prénom, adresse, e-mail…
Données indirectement nominatives : NIR, empreinte digitale …
Les recoupements d’informations : lieu de résidence + profession + sexe + âge

 

Traitement / fichier (article 2 Loi IL)

  • Le principe :

« La loi s’applique aux traitements automatisés de données à caractère personnel  ainsi qu’aux traitements non automatisés de données à caractère personnel contenues ou appelées à figurer dans des fichiers »
« Constitue un traitement de données à caractère personnel toute opération ou tout ensemble d’opérations portant sur des données, quel que soit le procédé utilisé, et notamment la collecte, l’ enregistrement, l’organisation, la conservation,la modification, l’extraction, la consultation, l’utilisation, la communication par transmission ,la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, ainsi que le verrouillage, l’effacement, ou la destruction »
« Constitue un fichier de données à caractère personnel les traitements qui présentent la caractéristique d’organiser en un ensemble stable et structuré des données à caractère personnel accessibles selon des critères déterminés ».

  • Exemples :

Bases de données, applications, cartes à puce, transferts de fichiers sur internet, dispositif de vidéosurveillance,
mais aussi : le tri de CV dans un classeur selon un ordre logique (date de réception, noms …) , des fichiers excel comportant des données d’étudiants ou de personnels.

 

Le Responsable de traitement (articles 3 et 5 Loi IL)

  • Définition :

« Sauf désignation expresse par les dispositions législatives ou réglementaires relatives à ce traitement, la personne, l’autorité publique, le service ou l’organisme qui détermine ses finalités, et ses moyens »

Il s’agit de la personne qui va incarner l’organisme et qui est habilité à engager sa responsabilité juridique : le Président pour l’université.

 

Les 5 règles d’or de la protection des données

Pour être conforme à la loi, un traitement doit respecter les 5 règles suivantes :

Finalité (article 6 loi IL)

Les données « sont collectées pour des finalités déterminées, explicites et légitimes et ne sont pas traitées ultérieurement de manière incompatible avec ces finalités »

Les DCP (données à caractère personnel) contenues dans un traitement ne sont recueillies et traitées que pour un usage déterminé et légitime, préalablement défini.

  • Exemples de traitements illégaux

Utilisation des fichiers de gestion administrative des étudiants à des fins de prospection commerciale.
Utilisation d’un dispositif de vidéosurveillance à des fins de contrôle d’activité.

 

Pertinence des données (article 6 loi IL)

Les données doivent être :

« adéquates, pertinentes et non excessives au regard des finalités pour lesquelles elles sont collectées et de leurs traitements ultérieurs » 
« exactes, complètes et, si nécessaire, mises à jour »

Seules les données pertinentes et nécessaires au regard des objectifs poursuivis doivent être traitées.

  • Exemples de données excessives :

Age précis lorsque la tranche d’âge suffit
Situation familiale d’un candidat à l’embauche

NB : bénéficient d’une protection particulière les données dites sensibles c’est-à-dire faisant apparaître les origines raciales ou ethniques, les opinions politiques, religieuses, l’appartenance syndicale, l’état de santé ou la vie sexuelle ainsi que celles relatives aux infractions, condamnations et mesures de sûreté.

 

Conservation des données (article 6 loi IL)

Les données « sont conservées sous une forme permettant l’identification des personnes concernées pendant une durée qui n’excède pas la durée nécessaire aux finalités pour lesquelles elles sont collectées et traitées »
C’est ce que l’on appelle le droit à l’oubli.
La durée de conservation sera donc déterminée en fonction de la finalité du traitement.

  • Exemple :

Les DCP recueillies pour l’organisation d’une journée d’études doivent être supprimées à l’issue de cette journée.

 

Obligation de sécurité (article 34 loi IL)

« Le responsable du traitement est tenu de prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu’elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès ».

Il s’agit là de respecter l’intégrité et la confidentialité des données

 

Respect du droit des personnes

Les personnes concernées par des traitements de données disposent de droits leur permettant de garder la maîtrise des informations qui leur sont relatives.

  • Droit à l’information (article 32 loi IL) :
    la collecte des données doit s’accompagner d’une information précise sur :
    la finalité du traitement, 
    le caractère obligatoire ou facultatif des réponses,
    l’identité du responsable du traitement
    les destinataires des données
    leurs droits d’accès
  • Droit d’opposition (article 32 loi IL) : 
    Toute personne a le droit de s’opposer, pour des motifs légitimes, au traitement de ses données, sauf si le traitement répond à une obligation légale (ex : fichiers des impôts) ou a été écarté par l’acte règlementaire autorisant la mise en œuvre du traitement (ex : APOGEE).
    Toute personne a le droit de s’opposer, sans frais et sans motif légitime, à l’utilisation de ses données à des fins de prospection commerciale : c’est le droit à la tranquillité.
  • Droits d’accès et de rectification (articles 39-40 loi IL) :
    Toute personne peut, directement auprès du responsable des traitements, avoir accès à l’ensemble des informations la concernant, en obtenir la copie et exiger qu’elles soient, selon les cas, rectifiées, complétées, mises à jour ou supprimées.
    Le délai de réponse est de 2 mois.