Accueil » Espace enseignants » Questions juridiques » Protection des données personnelles

Protection des données personnelles et autres contraintes liées à l'exploitation d'un site

Version imprimablePDF version

La protection des données personnelles est organisée par la loi du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, plus connue sous le nom de loi informatique et liberté.

Champ d’application de la loi

Le texte « s’applique aux traitements automatisés de données à caractère personnel, ainsi qu’aux traitements non automatisés de données à caractère personnel contenues ou appelées à figurer dans des fichiers » (article 2 de la loi). Trois notions doivent donc être précisées afin de cerner le champ d’application de la loi : données à caractère personnel – traitement de données – fichiers :

  • « Constitue une donnée à caractère personnel toute information relative à une personne physique identifiée ou qui peut être identifiée, directement ou indirectement, par référence à un numéro d’identification ou à un ou plusieurs éléments qui lui sont propres. Pour déterminer si une personne est identifiable, il convient de considérer l’ensemble des moyens en vue de permettre son identification dont dispose ou auxquels peut avoir accès le responsable du traitement ou toute autre personne » ( article 2 alinéa 2 de la loi).
    En résumé, toute donnée qui permet d’identifier une personne physique présente un caractère personnel. Ce sera par exemple le cas d’une adresse de courrier électronique.
  • « Constitue un traitement de données à caractère personnel toute opération ou tout ensemble d’opérations portant sur de telles données, quel que soit le procédé utilisé, et notamment la collecte, l’enregistrement, l’organisation, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, ainsi que le verrouillage, l’effacement ou la destruction » (article 2 alinéa 3 de la loi).
  • « Constitue un fichier de données à caractère personnel tout ensemble structuré et stable de données à caractère personnel accessibles selon des critères déterminés » (article 2 alinéa 4 de la loi).

Une donnée personnelle ne peut donc être librement utilisée ou même simplement collectée. La protection de ces données est organisée à travers la définition d’obligations pour le responsable du traitement et de droits pour les personnes identifiées par les données.

Obligations du responsable du traitement

Ces obligations, assez diverses, sont toutes sanctionnées pénalement par les articles 226-16 à 226-24 du Code pénal.

  • Le responsable du traitement est « sauf désignation expresse par les dispositions législatives ou réglementaires relatives à ce traitement, la personne, l’autorité publique, le service ou l’organisme qui détermine ses finalités et ses moyens » (article 3-I de la loi).
  • Obligation de déclarer le traitement à la CNIL (Commission nationale de l’informatique et des libertés) : il faut insister ici sur le fait qu’il s’agit d’une déclaration et non d’une demande d’autorisation. Ainsi, dès la déclaration effectuée, la CNIL délivre un récépissé et le traitement peut alors immédiatement être mis en œuvre (article 23-I alinéa 3 de la loi). En effectuant cette formalité, le responsable du traitement s’engage à respecter la loi (article 23-I alinéa 1 de la loi) mais, évidemment, la déclaration auprès de la CNIL ne l’exonère aucunement de sa responsabilité éventuelle.
    Il faut ajouter que certaines données ne peuvent être collectées, sauf cas exceptionnels. Il s’agit des données dites « sensibles » qui «  font apparaître, directement ou indirectement, les origines raciales ou ethniques, les opinions politiques, philosophiques ou religieuses ou l’appartenance syndicale des personnes, ou qui sont relatives à la santé ou à la vie sexuelle de celles-ci » (article 8-I de la loi).
  • Obligation d’assurer la loyauté de la collecte : les données à caractère personnel ne doivent pas être collectées à l’insu de la personne concernée (article 6-1° de la loi).
  • Obligation d’assurer la sécurité des données : la loi oblige à « prendre toutes précautions utiles au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu’elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès » (article 34).
    Les données doivent donc rester confidentielles, ne pas être communiquées à des personnes qui n’ont pas été autorisées à les utiliser. Cette obligation peut conduire à sécuriser les ordinateurs qui « stockent » les données mais aussi, par exemple,  les locaux dans lesquels se trouvent ces ordinateurs. Cela signifie aussi que chaque utilisateur d’un service en ligne ne doit pouvoir accéder qu’aux données qui le concernent.
  • Obligation de respecter la destination initiale du fichier : les données sont collectées pour un usage précis, identifié au moment de leur collecte et elles ne peuvent donc être utilisées à d’autres fins (article 6-2° de la loi).
  • Respecter le droit à l’oubli : les données ne doivent être utilisées que pour une période définie au moment de la collecte ou déterminée en fonction de la destination du fichier. Elles ne pourront être conservées au-delà de ce délai qu’ « en vue d’être traitées à des fins historiques, statistiques ou scientifiques » (article 36 de la loi).
  • Obligation d’informer les personnes concernées pour leur permettre d’exercer leurs droits. Cette information doit porter sur :
    « 1° l’identité du responsable du traitement et, le cas échéant, de celle de son représentant ;
    2° la finalité poursuivie par le traitement auquel les données sont destinées ;
    3° le caractère obligatoire ou facultatif des réponses ;
    4° les conséquences éventuelles, à son égard, d’un défaut de réponse ;
    5° les destinataires ou catégories de destinataires des données ;
    6° les droits qu’elle tient des dispositions de la section 2 du présent chapitre ;
    7° le cas échéant, des transferts de données à caractère personnel envisagés à destination d’un État non membre de la Communauté européenne » (article 32 de la loi).

Droits de la personne « fichée »

Droit d’opposition

Sauf obligation légale particulière, « toute personne physique a le droit de s’opposer, pour des motifs légitimes, à ce que des données à caractère personnel la concernant fassent l’objet d’un traitement » (article 38 de la loi). Ainsi, par exemple, un étudiant peut parfaitement refuser de bénéficier des services d’une UNT et s’opposer à ce que les informations qui le concernent soient collectées.

Droit d’accès aux données

Toute personne peut s’adresser au responsable du traitement afin d’obtenir :
« 1° La confirmation que des données à caractère personnel la concernant font ou ne font pas l’objet de ce traitement ;
2° Des informations relatives aux finalités du traitement, aux catégories de données à caractère personnel traitées et aux destinataires ou aux catégories de destinataires auxquels les données sont communiquées ;
3° Le cas échéant, des informations relatives aux transferts de données à caractère personnel envisagés à destination d’un État non membre de la Communauté européenne ;
4° La communication, sous une forme accessible, des données à caractère personnel qui la concernent ainsi que de toute information disponible quant à l’origine de celles-ci ;
5° Les informations permettant de connaître et de contester la logique qui sous-tend le traitement automatisé en cas de décision prise sur le fondement de celui-ci et produisant des effets juridiques à l’égard de l’intéressé. Toutefois, les informations communiquées à la personne concernée ne doivent pas porter atteinte au droit d’auteur au sens des dispositions du livre Ier et du titre IV du livre III du Code de la propriété intellectuelle » (article 39-I de la loi).
Est donc ici consacré un principe de transparence. Il faut ajouter qu’en cas de remise d’une copie des données personnelles à l’intéressé, le responsable du traitement peut exiger le paiement de frais de mise à disposition, lesquels ne peuvent toutefois excéder « le coût de la reproduction » (article 39-I alinéa 2 de la loi).
Enfin, il est précisé que « le responsable du traitement peut s’opposer aux demandes manifestement abusives, notamment par leur nombre, leur caractère répétitif ou systématique. En cas de contestation, la charge de la preuve du caractère manifestement abusif des demandes incombe au responsable auprès duquel elles sont adressées » (article 39-II de la loi).

Droit de contester l’utilisation des données

Si des données personnelles font l’objet d’un traitement alors que leur collecte, utilisation, communication ou conservation est interdite, la personne concernée peut exiger du responsable du traitement que les données en question soient effacées (article 40 de la loi).

Droit de rectification

Si une personne accède aux données qui la concernent et constate alors qu’elles sont « inexactes, incomplètes, équivoques, périmées », elle peut exiger du responsable du traitement qu’il apporte les rectifications nécessaires (article 40 de la loi).

Creative Commons License
Ce texte est mis à disposition sous un contrat Creative Commons.
(Source : http://creativecommons.org/)