Grands principes de la protection des données personnelles

Sommaire

Chaque individu est aujourd'hui une banque de données sollicitée par les entreprises, associations et services publics.

Avant de leur confier ces données, il est impératif que chacun comprenne de quelles données il s'agit et quels sont les grands principes qui régissent la protection de ces données à caractère personnel. Nous faisons le point.

Qu'est-ce qu'une donnée à caractère personnel ?

Une donnée à caractère personnel correspond à « toute information relative à une personne physique identifiée ou identifiable, directement ou indirectement... » (article 4 du règlement (UE) 2016/679 du 27 avril 2016).

Pour déterminer si une personne est identifiable, il faut prendre en compte l’ensemble des moyens permettant son identification. Par exemple, constituent naturellement des données personnelles :

  • les nom et prénom et numéro de sécurité sociale ;
  • l'adresse électronique personnelle (nom.pré[email protected]) ou professionnelle (nom.pré[email protected]) ;
  • une plaque d'immatriculation (un véhicule est nécessairement rattaché à une carte grise qui porte elle-même le nom du conducteur) ;
  • des données de localisation ;
  • un identifiant en ligne ;
  • un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale.

Protection des données à caractère personnel

La loi qui protège les données à caractère personnel

À l’heure où l’informatique et les réseaux sociaux favorisent la libre circulation des informations, la loi Informatique et libertés n° 78-17 du 6 janvier 1978 a notamment eu pour ambition de veiller à ce que les préoccupations économiques et financières ne l’emportent pas sur la préservation des droits fondamentaux de chacun.

Bon à savoir : cette loi a été modifiée par la loi n° 2018-493 du 20 juin 2018 relative à la protection des données personnelles afin de s'adapter au nouveau règlement européen RGPD et réécrite par l’ordonnance n° 2018-1125 du 12 décembre 2018 applicable au 1er juin 2019. Le décret n° 2019-536 du 29 mai 2019, entré en vigueur le 1er juin 2019, parachève l'adaptation de la législation française avec le RGPD.

Depuis 1978, le droit à la protection des données à caractère personnel est un droit indépendant et distinct du droit à la protection de la vie privée.

Bon à savoir : cette protection des données personnelles existe également au niveau communautaire, c'est-à-dire dans tous les pays de l'Union européenne (UE). Les États membres de l'UE ont adopté le RGPD pour harmoniser la protection des personnes physiques à l’égard des traitements de données à caractère personnel et à la libre circulation de ces données.

Les grands principes de la loi protégeant les données

La loi Informatique et libertés protège le traitement des données à caractère personnel des personnes physiques. Cette protection porte 5 grands principes :

Loyauté du traitement des données :

  • il faut choisir une finalité précise pour collecter des données ;
  • les données que les organismes collectent doivent être proportionnées au regard de la finalité choisie ;
  • les données doivent être exactes, complètes et à jour ;
  • les données ne doivent pas être conservées au-delà de la durée nécessaire à l'exploitation des données pour la finalité choisie (3 ans maximum).

Droit des personnes dont les données sont collectées :

  • les personnes doivent être informées de l'existence du traitement de leur données et ces mêmes personnes ont le droit d'accéder, de modifier, rectifier ou supprimer ces données ;
  • elles ont le droit à la portabilité de ces données;
  • enfin, il est possible de s'opposer à l'utilisation des ces données pour de la prospection commerciale.

Bon à savoir : avant le 25 mai 2018, le responsable des traitements de données devait faire des déclarations ou demander des autorisations auprès de la CNIL (Commission nationale informatique et libertés).

À noter : dans le cadre des élections, les partis et candidats aux élections doivent respecter les règles en matière de protection des données personnelles lors de leur démarchage électoral (indication de l’identité et des coordonnées du responsable du traitement des données, finalités du traitement, destinataires des données, durée de conservation des données). Toute personne contactée par un candidat ou un parti politique peut signaler une conduite qu’elle jugerait non conforme sur la plateforme Signalement élections. La CNIL pourra alors prendre les mesures nécessaires auprès des acteurs concernés : contrôles, mesures correctrices, dénonciation au Parquet.

Sécurité et confidentialité des données :

  • le responsable des traitements de données doit s'assurer que les données sont sécurisées et que des tiers non autorisés n'y aient pas accès ;
  • cette obligation s'étend en cas de sous-traitance de l’utilisation des données.

À noter : dans un arrêt du 4 mai 2017 (affaire n° C-13/16), la Cour de justice de l'Union européenne a jugé que la police pouvait communiquer des données à caractère personnel à un tiers sur la base du droit national, sous trois conditions : la communication des données doit poursuivre un intérêt légitime, elle doit être nécessaire à la réalisation de cet intérêt légitime, et les droits et libertés fondamentaux de la personne ne doivent pas prévaloir.

Bon à savoir : pour faciliter la constatation des infractions à la loi pénale, le rassemblement des preuves et la recherche de leurs auteurs, certaines autorités administratives sont autorisées à mettre en œuvre des traitements automatisés de données à caractère personnel permettant, sur autorisation et sous contrôle de l'autorité judiciaire, la collecte, l'enregistrement, l'exploitation et la conservation de données destinées à la localisation en temps réel d'une personne, à l'insu de celle-ci, d'un véhicule ou de tout autre objet, sans le consentement de son propriétaire ou de son possesseur (arrêté du 22 mai 2018).

Transferts hors Union européenne de données :

  • les destinataires des données doivent être situés dans un pays présentant des garanties légales suffisantes pour assurer la même protection aux données ;
  • à ce titre lorsque les destinataires sont en dehors de l'Union européenne, il faut une autorisation de la CNIL car la directive européenne ne peut plus s'appliquer et protéger ces données.

L'institution garante de la protection des données à caractère personnel

La CNIL est la Commission nationale de l’informatique et des libertés, régie par la loi Informatique et libertés et ses décrets d’application. C'est une autorité administrative indépendante garante du respect de la loi Informatique et libertés. À ce titre, la CNIL se voit conférer différentes missions, notamment celles :

  • de recevoir les plaintes en cas de problème dans le traitement des données personnelles ;

Exemple de plainte déposée par des personnes physiques : une entreprise vous rappelle souvent pour vous vendre des fenêtres malgré votre opposition à ces appels.

  • de contrôler les organismes qui ne respectent pas les données personnelles ;

Exemple de contrôle de la CNIL : contrôle d'un commerce qui dispose de caméras de vidéosurveillance sans en informer les clients.

  • de sanctionner les organismes qui manquent à la loi Informatique et libertés.

Exemple de sanctions : sanction financière pouvant aller jusqu'à 300 000 €, sanction administrative (mise en demeure), publication des sanctions dans la presse au frais de l'organisme.

La loi de modernisation de la Justice du XXIe siècle du 18 novembre 2016 a instauré la possibilité d'une action de groupe en matière de protection des données personnelles à l'article 43 ter de la loi de 1978.

Lorsque plusieurs personnes physiques placées dans une situation similaire subissent un dommage ayant pour cause commune un manquement aux dispositions de la loi du 6 janvier 1978 par un responsable de traitement de données à caractère personnel ou un sous-traitant, une action de groupe peut être exercée devant la juridiction civile ou la juridiction administrative compétente.

Cette action doit tendre à la cessation du manquement (et non à l'indemnisation des victimes). Elle est exercée par les associations de consommateurs agréées, les syndicats représentatifs et les associations ayant pour objet la protection de la vie privée et la protection des données personnelles, régulièrement déclarées depuis cinq ans.

Le Règlement européen sur la protection des données personnelles (RGPD)

Depuis le 25 mai 2018, le Règlement général sur la protection des données (RGPD) renforce la protection des données personnelles dans l'ensemble des pays membres de l'Union européenne (règlement n° 2016/679 du Parlement européen et du Conseil du 27 avril 2016).

Personnes concernées par le règlement

Le règlement européen s'applique :

  • aux administrations, PME, startups et grands groupes situés sur un territoire de l'UE ;
  • qui collectent et traitent des données à caractère personnel ;
  • auprès de personnes situées dans un État membre de l'UE.

Ce règlement s'applique dès lors qu'un résident européen est concerné par un traitement de données (même par internet).

Bon à savoir : un règlement européen s'applique automatiquement sans qu'il ne soit nécessaire pour chaque pays de le transposer en droit national.

Règles de protection des données imposées par le RGPD

Le règlement européen renforce la protection des données personnelles, et prévoit en outre :

  • que le responsable de traitement des données personnelles doit exposer clairement, aux personnes dont les données personnelles sont collectées, ce à quoi vont servir ces données ;
  • la suppression des données collectées, une fois que l'objectif poursuivi par cette collecte est atteint (la durée de conservation des données personnelles doit être précisée au préalable par le responsable de traitement) ;

Bon à savoir : cette mesure était déjà prévue en France par la loi Informatique et libertés.

  • la possibilité pour une personne de récupérer, à tout moment et sous une forme facilement réutilisable, les données personnelles qu'elle a fournies et de les transférer ensuite à un tiers ; 
  • qu'en cas de collecte de données personnelles relatives à des enfants mineurs de moins de 16 ans, une autorisation préalable des parents doit être exigée (les États membres de l'UE peuvent abaisser cet âge à 13 ans maximum – la France a fixé cet âge à 15 ans) ;
  • un droit à réparation pour toute personne qui a subi un dommage, qu'il soit matériel ou moral, en raison d'une violation du règlement européen par le responsable du traitement ou l'un de ses sous-traitants ;
  • l'obligation pour les responsables de traitement de notifier à l’autorité de protection des données dans les 72 heures toute violation, par un tiers, de données à caractère personnel ;
  • la fin de l'obligation d'effectuer des formalités préalables auprès de l'autorité de protection des données (la CNIL en France) lors de la mise en place d'un traitement de données ;
  • l'obligation pour les responsables de traitement de désigner un délégué à la protection des données personnelles dont les missions principales seront d'informer et de conseiller le responsable de traitement ou le sous-traitant, et de veiller au respect de la législation européenne (la désignation du délégué peut être effectuée via le téléservice mis en place par la CNIL) ;
  • l'application de sanctions en cas de non-respect du règlement européen par le responsable de traitement ou un sous-traitant ;
  • l'obligation d’effectuer une analyse d’impact (AIPD) avant tout traitement à risque élevé pour les droits et libertés des personnes concernées.

À noter : les caméras thermiques dont l’usage est facultatif, qui n’enregistrent aucune donnée personnelle et qui ne délivrent d’information qu’à l’intéressé peuvent être installées sans tenir compte du RGPD (CE, ord., 26 juin 2020, req. n° 441065).

Bon à savoir : le numéro de sécurité sociale permet d'identifier les personnes physiques. Il comporte, à ce titre, des données sur le sexe, le mois, l'année et le département de naissance de la personne. Il représente donc une donnée personnelle qui est protégée. Son usage est encadré par le RGDP et, en droit français, par le décret n° 2019-341 du 19 avril 2019.

Besoin de plus d'informations ? Rendez-vous sur nos autres contenus :

Ces pros peuvent vous aider