Encadrement de la collecte de données à caractère personnel

Publié le par Nicolas LARDET

Que ce soit par le biais de la relation client, d'Internet (Google, Bing, Twitter etc.), des réseaux sociaux (Facebook, Google +, LinkedIn etc.) ou des objets communicants (smartphones, wifi, bluetooth etc.), la protection des données relatives à la vie privée et/ou à caractère personnel devient une problématique de premier plan.

 

En se fondant sur l'adage que "lorsque le service est gratuit, c'est que vous êtes le produit", 85% des français se disent préoccupés par la protection de leurs données sur Internet (source : CSA, février 2014). A juste titre quand on sait qu'une "simple" liste de contacts comprenant l'âge, le sexe voire la profession rapporte 0,36 € les mille (source : CAPITAL n°272, mai 2014) et que c'est sur un tel modèle économique que Google, Facebook ou Twitter ont fait fortune.


En France, pourtant, le respect de la "vie privée" est implicitement garanti par l'article 2 de la déclaration des droits de l'homme et du citoyen du 26 août 1789 (décision du Conseil Constitutionnel n°94-352 DC du 18 janvier 1995) et explicitement par l'article 9 du code civil ("chacun a le droit au respect de sa vie privée").

 

La jurisprudence de la Cour Européenne des Droits de l'Homme confirme que la protection des données à caractère personnel représente une composante du droit à la vie privée au sens de l'article 8 de la convention européenne de sauvegarde des droits de l'homme et des libertés fondamentales. Pour autant, toutes les données à caractère personnel ne relèvent pas de la vie privée. Les deux notions sont donc bien distinctes. 

 

L'encadrement de la collecte de données à caractère personnel renvoie à la loi n°78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés. Cette norme a été modifiée par la loi du 6 août 2004, transposant en droit français les dispositions des directives européennes n°1995/46/CE et 2002/58/CE. L'article 8 de la charte des droits fondamentaux de l'Union Européenne stipule enfin que "toute personne a droit à la protection des données à caractère personnel la concernant".

 

La loi n°78-17 du 6 janvier 1978 vise aussi bien la collecte que l'enregistrement, l'organisation, la conservation, l'adaptation ou la modification, l'extraction, la consultation, l'utilisation, la communication par transmission, diffusion ou toute autre forme de mise à disposition, le rapprochement ou l'interconnexion, ainsi que le verrouillage, l'effacement ou la destruction (article 2). 

 

Il convient de s'y conformer quelque soit le mode de collecte (manuel ou informatique), aussi bien dans le cadre de processus, de modes opératoires que d'outils de gestion d'un organisme (bases de données etc.).

 

Constitue une donnée à caractère personnel, toute information relative à une personne physique identifiée ou qui peut être identifiée, directement ou indirectement (article 2) tel que nom, prénom, adresse postale et électronique, numéro de téléphone, date et lieu de naissance, numéro de sécurité sociale, données biométriques (génétiques, médicales), données de dossier passager (PNR), numéro de carte de bleue, plaque d'immatriculation de véhicule etc.

 

Au regard de l'article 6, le traitement ne peut porter que sur des données à caractère personnel qui satisfont aux conditions suivantes :

 

1° Les données sont collectées et traitées de manière loyale et licite c'est à dire de façon sincère, franche, sans tromperie et conformément à l'ordre public et aux bonnes moeurs. Le fait de collecter des données à caractère personnel par un moyen frauduleux, déloyal ou illicite est puni de 5 ans d’emprisonnement et de 300 000 € d’amende (1 500 000 € lorsque l’auteur de l’infraction est une personne morale), conformément à l'article 226-18 du code pénal. 

2° Les données  sont collectées pour des finalités déterminées, explicites et légitimes et ne sont pas traitées ultérieurement de manière incompatible avec ces finalités.  

3° Les données sont adéquates, pertinentes et non excessives au regard des finalités pour lesquelles elles sont collectées et de leurs traitements ultérieurs.    

4° Les données sont exactes, complètes et, si nécessaire, mises à jour ; les mesures appropriées doivent être prises pour que les données inexactes ou incomplètes au regard des finalités pour lesquelles elles sont collectées ou traitées soient effacées ou rectifiées.    

5° Les données sont conservées sous une forme permettant l'identification des personnes concernées pendant une durée qui n'excède pas la durée nécessaire aux finalités pour lesquelles elles sont collectées et traitées.

 

L'article 8-I précise qu'il est interdit de collecter ou de traiter des données à caractère personnel qui font apparaître, directement ou indirectement, les origines raciales ou ethniques, les opinions politiques, philosophiques ou religieuses ou l'appartenance syndicale des personnes, ou qui sont relatives à la santé ou à la vie sexuelle de celles-ci (on parle de "données sensibles").

 

Actuellement, si la CNIL considère l'adresse IP d'un ordinateur comme une donnée à caractère personnel, telle n'est pas la position de la Cour d'Appel de Paris ( 27 avril 2007; 15 mai 2007).

 

Le responsable du fichier ou du traitement de données personnelles doit informer les personnes concernées du but de ce traitement, de l'identité des destinataires de ces informations et des droits de consultation, de rectification voire d'opposition dont ils disposent à l'égard des données les concernant.

 

C'est pour avoir ainsi ignorée de telles dispositions que la Commission Nationale de l'Informatique et des Libertés (CNIL) a prononcé un avertissement public en date du 6 octobre 2011 à l'encontre de la société FONCIA (délibération n°2011-205), pour non-respect dans le cadre de son outil de gestion TOTALIMMO des règles visées par l'article 6. Cet avertissement a été confirmée le 12 mars 2014 par le Conseil d'Etat (arrêt n°354629).

 

C'est également pour cette raisons que l'association UFC-Que Choisir a assigné le 25 mars 2014 Google +, Facebook et Twitter devant le Tribunal de Grande Instance de Paris. Déjà, en février 2014, le Conseil d'Etat avait rejeté une demande de Google de surseoir à une injonction de la CNIL de rendre publique sur sa page d'accueil une amende de 150 000 € pour manquements aux règles de protection des données à caractère personnel.

 

C'est enfin pour ce motif qu'il convient pour les citoyens, les consommateurs comme pour les organismes de demeurer vigilants face à la croissance exponentielle des big datas, leur violation (interne / externe) et la tentation de multiplier les outils connectés et géolocalisables (smartphones, smartwears, google glass etc).


Publié dans Confidentialité

Commenter cet article