Accueil » Espace enseignants » Questions juridiques » Protection des données personnelles

Protection des données personnelles et autres contraintes liées à l'exploitation d'un site

Version imprimablePDF version

La protection des données personnelles
Les mentions légales
La question des liens hypertextes

La protection des données personnelles

La protection des données personnelles est organisée par la loi du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, plus connue sous le nom de loi informatique et liberté.

Champ d’application de la loi

Le texte « s’applique aux traitements automatisés de données à caractère personnel, ainsi qu’aux traitements non automatisés de données à caractère personnel contenues ou appelées à figurer dans des fichiers » (article 2 de la loi). Trois notions doivent donc être précisées afin de cerner le champ d’application de la loi : données à caractère personnel – traitement de données – fichiers :

  • « Constitue une donnée à caractère personnel toute information relative à une personne physique identifiée ou qui peut être identifiée, directement ou indirectement, par référence à un numéro d’identification ou à un ou plusieurs éléments qui lui sont propres. Pour déterminer si une personne est identifiable, il convient de considérer l’ensemble des moyens en vue de permettre son identification dont dispose ou auxquels peut avoir accès le responsable du traitement ou toute autre personne » ( article 2 alinéa 2 de la loi).
    En résumé, toute donnée qui permet d’identifier une personne physique présente un caractère personnel. Ce sera par exemple le cas d’une adresse de courrier électronique.
  • « Constitue un traitement de données à caractère personnel toute opération ou tout ensemble d’opérations portant sur de telles données, quel que soit le procédé utilisé, et notamment la collecte, l’enregistrement, l’organisation, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, ainsi que le verrouillage, l’effacement ou la destruction » (article 2 alinéa 3 de la loi).
  • « Constitue un fichier de données à caractère personnel tout ensemble structuré et stable de données à caractère personnel accessibles selon des critères déterminés » (article 2 alinéa 4 de la loi).

Une donnée personnelle ne peut donc être librement utilisée ou même simplement collectée. La protection de ces données est organisée à travers la définition d’obligations pour le responsable du traitement et de droits pour les personnes identifiées par les données.

Obligations du responsable du traitement

Ces obligations, assez diverses, sont toutes sanctionnées pénalement par les articles 226-16 à 226-24 du Code pénal.

  • Le responsable du traitement est « sauf désignation expresse par les dispositions législatives ou réglementaires relatives à ce traitement, la personne, l’autorité publique, le service ou l’organisme qui détermine ses finalités et ses moyens » (article 3-I de la loi).
  • Obligation de déclarer le traitement à la CNIL (Commission nationale de l’informatique et des libertés) : il faut insister ici sur le fait qu’il s’agit d’une déclaration et non d’une demande d’autorisation. Ainsi, dès la déclaration effectuée, la CNIL délivre un récépissé et le traitement peut alors immédiatement être mis en œuvre (article 23-I alinéa 3 de la loi). En effectuant cette formalité, le responsable du traitement s’engage à respecter la loi (article 23-I alinéa 1 de la loi) mais, évidemment, la déclaration auprès de la CNIL ne l’exonère aucunement de sa responsabilité éventuelle.
    Il faut ajouter que certaines données ne peuvent être collectées, sauf cas exceptionnels. Il s’agit des données dites « sensibles » qui «  font apparaître, directement ou indirectement, les origines raciales ou ethniques, les opinions politiques, philosophiques ou religieuses ou l’appartenance syndicale des personnes, ou qui sont relatives à la santé ou à la vie sexuelle de celles-ci » (article 8-I de la loi).
  • Obligation d’assurer la loyauté de la collecte : les données à caractère personnel ne doivent pas être collectées à l’insu de la personne concernée (article 6-1° de la loi).
  • Obligation d’assurer la sécurité des données : la loi oblige à « prendre toutes précautions utiles au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu’elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès » (article 34).
    Les données doivent donc rester confidentielles, ne pas être communiquées à des personnes qui n’ont pas été autorisées à les utiliser. Cette obligation peut conduire à sécuriser les ordinateurs qui « stockent » les données mais aussi, par exemple,  les locaux dans lesquels se trouvent ces ordinateurs. Cela signifie aussi que chaque utilisateur d’un service en ligne ne doit pouvoir accéder qu’aux données qui le concernent.
  • Obligation de respecter la destination initiale du fichier : les données sont collectées pour un usage précis, identifié au moment de leur collecte et elles ne peuvent donc être utilisées à d’autres fins (article 6-2° de la loi).
  • Respecter le droit à l’oubli : les données ne doivent être utilisées que pour une période définie au moment de la collecte ou déterminée en fonction de la destination du fichier. Elles ne pourront être conservées au-delà de ce délai qu’ « en vue d’être traitées à des fins historiques, statistiques ou scientifiques » (article 36 de la loi).
  • Obligation d’informer les personnes concernées pour leur permettre d’exercer leurs droits. Cette information doit porter sur :
    « 1° l’identité du responsable du traitement et, le cas échéant, de celle de son représentant ;
    2° la finalité poursuivie par le traitement auquel les données sont destinées ;
    3° le caractère obligatoire ou facultatif des réponses ;
    4° les conséquences éventuelles, à son égard, d’un défaut de réponse ;
    5° les destinataires ou catégories de destinataires des données ;
    6° les droits qu’elle tient des dispositions de la section 2 du présent chapitre ;
    7° le cas échéant, des transferts de données à caractère personnel envisagés à destination d’un État non membre de la Communauté européenne » (article 32 de la loi).

Droits de la personne « fichée »

Droit d’opposition

Sauf obligation légale particulière, « toute personne physique a le droit de s’opposer, pour des motifs légitimes, à ce que des données à caractère personnel la concernant fassent l’objet d’un traitement » (article 38 de la loi). Ainsi, par exemple, un étudiant peut parfaitement refuser de bénéficier des services d’une UNT et s’opposer à ce que les informations qui le concernent soient collectées.

Droit d’accès aux données

Toute personne peut s’adresser au responsable du traitement afin d’obtenir :
« 1° La confirmation que des données à caractère personnel la concernant font ou ne font pas l’objet de ce traitement ;
2° Des informations relatives aux finalités du traitement, aux catégories de données à caractère personnel traitées et aux destinataires ou aux catégories de destinataires auxquels les données sont communiquées ;
3° Le cas échéant, des informations relatives aux transferts de données à caractère personnel envisagés à destination d’un État non membre de la Communauté européenne ;
4° La communication, sous une forme accessible, des données à caractère personnel qui la concernent ainsi que de toute information disponible quant à l’origine de celles-ci ;
5° Les informations permettant de connaître et de contester la logique qui sous-tend le traitement automatisé en cas de décision prise sur le fondement de celui-ci et produisant des effets juridiques à l’égard de l’intéressé. Toutefois, les informations communiquées à la personne concernée ne doivent pas porter atteinte au droit d’auteur au sens des dispositions du livre Ier et du titre IV du livre III du Code de la propriété intellectuelle » (article 39-I de la loi).
Est donc ici consacré un principe de transparence. Il faut ajouter qu’en cas de remise d’une copie des données personnelles à l’intéressé, le responsable du traitement peut exiger le paiement de frais de mise à disposition, lesquels ne peuvent toutefois excéder « le coût de la reproduction » (article 39-I alinéa 2 de la loi).
Enfin, il est précisé que « le responsable du traitement peut s’opposer aux demandes manifestement abusives, notamment par leur nombre, leur caractère répétitif ou systématique. En cas de contestation, la charge de la preuve du caractère manifestement abusif des demandes incombe au responsable auprès duquel elles sont adressées » (article 39-II de la loi).

Droit de contester l’utilisation des données

Si des données personnelles font l’objet d’un traitement alors que leur collecte, utilisation, communication ou conservation est interdite, la personne concernée peut exiger du responsable du traitement que les données en question soient effacées (article 40 de la loi).

Droit de rectification

Si une personne accède aux données qui la concernent et constate alors qu’elles sont « inexactes, incomplètes, équivoques, périmées », elle peut exiger du responsable du traitement qu’il apporte les rectifications nécessaires (article 40 de la loi).

Les mentions légales

L’article 6-III-1 de la loi du 21 juin 2004 pour la confiance dans l’économie numérique impose la mention d’un certain nombre d’information sur les sites internet. Il opère une distinction selon que le site est celui d’une personne physique ou morale.

  • Les personnes physiques ont l’obligation d’indiquer sur le site « leurs nom, prénoms, domicile et numéro de téléphone et, si elles sont assujetties aux formalités d'inscription au registre du commerce et des sociétés ou au répertoire des métiers, le numéro de leur inscription » (art. 6-III-1 a de la loi).
  • Les personnes morales doivent préciser « leur dénomination ou leur raison sociale et leur siège social, leur numéro de téléphone et, s'il s'agit d'entreprises assujetties aux formalités d'inscription au registre du commerce et des sociétés ou au répertoire des métiers, le numéro de leur inscription, leur capital social, l'adresse de leur siège social » (art. 6-III-1 b de la loi).

Dans tous les cas, il faut également préciser :

  • « Le nom du directeur ou du codirecteur de la publication et, le cas échéant, celui du responsable de la rédaction au sens de l'article 93-2 de la loi n° 82-652 du 29 juillet 1982 précitée » (art. 6-III-1 c de la loi).
    Selon le 1er alinéa de cet article 93-2 « tout service de communication au public par voie électronique est tenu d'avoir un directeur de la publication ».
    Ce même texte, dans ses alinéas 5 et 6, identifie ce directeur de la publication : « Lorsque le service est fourni par une personne morale, le directeur de la publication est le président du directoire ou du conseil d'administration, le gérant ou le représentant légal, suivant la forme de la personne morale.
    Lorsque le service est fourni par une personne physique, le directeur de la publication est cette personne physique ».
  • « Le nom, la dénomination ou la raison sociale et l'adresse et le numéro de téléphone » de l’hébergeur du site (art. 6-III-1 d de la loi).

En outre, dès lors que le site implique le traitement de données à caractère personnel, la loi informatique et liberté du 6 janvier 1978 oblige à communiquer certaines informations.

  • L’article 32-I de la loi prévoit que « La personne auprès de laquelle sont recueillies des données à caractère personnel la concernant est informée, sauf si elle l’a été au préalable, par le responsable du traitement ou son représentant :
    1° De l’identité du responsable du traitement et, le cas échéant, de celle de son représentant ;
    2° De la finalité poursuivie par le traitement auquel les données sont destinées ;
    3° Du caractère obligatoire ou facultatif des réponses ;
    4° Des conséquences éventuelles, à son égard, d’un défaut de réponse ;
    5° Des destinataires ou catégories de destinataires des données ;
    6° Des droits qu’elle tient des dispositions de la section 2 du présent chapitre ;
    7° Le cas échéant, des transferts de données à caractère personnel envisagés à destination d’un État non membre de la Communauté européenne ».
    En principe, ces informations sont données au moment de la collecte des informations à caractère personnel. Mais une fois cette opération réalisée, il faut encore indiquer, sur le site internet, les droits dont disposent les personnes concernées par la collecte de données.
    Ainsi, à titre d’illustration, on peut adopter une formulation telle que :
    « Conformément aux articles 39 et suivants de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, toute personne peut obtenir communication et, le cas échéant, rectification ou suppression des informations la concernant, en s’adressant au service.................. . Toute personne peut également, pour des motifs légitimes, s’opposer au traitement des données la concernant ».
    Il est conseillé de communiquer à la fois l’adresse postale, le numéro de téléphone et l’adresse de courrier électronique de la personne auprès de laquelle ces droits peuvent être exercés.

Il est également très fréquent de faire figurer dans la rubrique « Mention légale » des sites internet des informations relative au droit d’auteur ou, plus généralement, aux droits de propriété intellectuelle.

  • Il s’agit alors généralement de préciser que les éléments diffusés sont protégés par le droit d’auteur et ne peuvent donc être exploités sans l’autorisation du responsable du site. Ils ne peuvent donc faire l’objet que d’un usage personnel.
  • On rappelle également que les marques et autres logos figurant sur le site sont déposés comme marque et ne peuvent donc être utilisés sans le consentement du titulaire des droits.
  • De telles mentions ne sont ni obligatoires, ni indispensables. En effet, en leur absence, les internautes devront de la même façon respecter les droits de propriété intellectuelle. Il faut toutefois signaler que ces mentions présentent l’utilité, non négligeable, d’informer les internautes.

Enfin, il peut être utile de prévoir des développements relatifs au liens hypertextes. Là encore, aucune loi n’impose un tel dispositif mais il peut permettre de clarifier la situation. L’objet peut alors être double :

  • On peut ainsi préciser que les liens hypertextes réalisés sur le site de l’UNT « pointent » vers d’autres sites, qui ne sont pas sous le contrôle du créateur du lien hypertexte, lequel ne peut donc être tenu pour responsable de leur contenu.
  • On peut également indiquer à quelle(s) condition(s) des liens peuvent être créés vers le site  de l’UNT. Ainsi, on peut préciser que le contenu pointé doit être rendu accessible dans une fenêtre distincte et faisant explicitement apparaître le nom de l’UNT (pour plus de détail sur les liens hypertextes, voir, ci-dessous, la partie « La question des liens hypertextes »).

La question des liens hypertextes

Le lien hypertexte (ou hyperlien) est celui qui permet, par un simple clic, de passer d’un document à un autre. Il établit donc une connexion entre des données, qui peuvent figurer sur les sites internet différents. Les ressources proposées par les UNT peuvent donc intégrer des liens hypertextes mais il faut également envisager la possibilité qu’un tiers créé un lien vers le site d’une UNT.

Dans tous les cas, il faut opérer une distinction selon la nature du lien créé :

  • Si le lien conduit à la page d’accueil d’un site, il peut être réalisé librement, sans que l’autorisation du responsable de ce site soit nécessaire. On parle alors de lien simple.
    Ainsi, un lien peut être créé vers la page d’accueil du site de l’UNT.
    De même, les ressources mises en ligne par les UNT peuvent intégrer des liens renvoyant aux pages d’accueil de différents sites.
  • Si le lien conduit l’internaute directement à l’intérieur du site tiers, de telle façon que l’utilisateur ne se rend pas compte qu’il a changé de site, est alors créé une confusion entre le site pointeur et le site pointé. Ces liens, dits profonds, ne peuvent être créés qu’avec l’autorisation du responsable du site pointé. Ce dernier peut, par exemple, exiger que l’accès à  son site ait lieu dans une fenêtre distincte, ce qui permettra à l’utilisateur de se rendre compte qu’il accède à un autre site.
    Ainsi, les UNT peuvent autoriser les liens profonds vers leur site en posant certaines conditions permettant de s’assurer qu’aucune confusion n’existera entre site pointé et pointeur.
  • Si le lien permet d’insérer, directement dans une page du site, une image qui provient d’un autre site (« inlining »), sa création est, là encore, subordonnée à l’autorisation du responsable du site pointé. A fortiori, il en ira de même lorsqu’il s’agira d’intégrer ainsi non plus seulement une image mais une page entière du site pointé (« framing »).

Conclusion
Dans tous les cas, il faut être loyal et transparent lorsque l’on crée un lien hypertexte. Aucune confusion ne doit être créée dans l’esprit de l’utilisateur entre le site pointeur et le site ciblé.

Le séminaire juridique inter UNT, qui s'est tenu les 5 et 6 juin 2008 à Nantes, fut l'occasion d'aborder toutes ces questions :
vidéo de l'intervention d'Antoine Latreille, sur le site Canal-U
www.canal-u.education.fr/

Creative Commons License
Ce texte est mis à disposition sous un contrat Creative Commons.
(Source : http://creativecommons.org/)