Utilisation des données à caractères personnelles (fr)
France > Droit public > Droits de l'Homme et libertés fondamentales > Protection des données personnelles (fr)
Auteur : Murielle Cahen,
Avocate au barreau de Paris
Publié le 01/10/2014 sur le blog de Me Murielle Cahen
Mots clefs : E-commerce, internet, réseaux sociaux, données personnelles, CNIL, autorité administrative, protection, vie privée, communication électronique
Les données personnelles sont omniprésentes sur internet et leur importance économique est croissante. Pour les services de la société de l’information tels que les moteurs de recherche, les réseaux sociaux, ou les sites de vente en ligne, elles sont devenues indispensables. Ces services, apparaissant comme essentiellement gratuits pour les utilisateurs, ont en réalité un modèle économique particulier : la monétisation des données personnelles des utilisateurs en échange d’un accès gratuit.
Depuis les années 1970, la montée en puissance de l’informatique et des nouvelles technologies de l’information et de la communication ont amené les Etats à prendre conscience de l’enjeu crucial que constitue la protection les données personnelles afin de garantir la vie privée des citoyens. La multiplication des moyens de captation des informations a accentué la possibilité de contrôle des personnes en rendant plus aisé la connaissance de la personnalité des individus par des tiers. Ainsi, un encadrement des pratiques par une législation protectrice est apparu nécessaire.
En France, le texte fondamental concernant les données personnelles est la loi dite « Informatique et Libertés » adoptée en 1978 à la suite de la divulgation du projet du ministère de l’Intérieur de créer un fichier SAFARI (Système automatisé pour les fichiers administratifs et le répertoire des individus), qui devait contenir les données de toute la population faisant ainsi peser la menace de « Big brother ».
La loi initiale était de ce fait axée sur le contrôle des fichiers publics car seuls les Etats et quelques grandes entreprises étaient susceptibles de disposer des moyens techniques, financiers et logistiques pour réaliser ces traitements de masse. Modifiée à plusieurs reprises, la loi s’attache désormais à protéger chaque donnée, contenue ou non dans un fichier. Des acteurs privés ont désormais la possibilité de collecter des données de manière massive et sophistiquée.
Qu’est-ce qu’une donnée personnelle ? « Constitue une donnée à caractère personnel toute information relative à une personne physique identifiée ou qui peut être identifiée, directement ou indirectement, par référence à un numéro d’identification ou à un ou plusieurs éléments qui lui sont propres ». L’article 8 de la même loi dresse la liste des données sensibles dont le traitement est en principe interdit. Ce sont les informations « qui font apparaître, directement ou indirectement, les origines raciales ou ethniques, les opinions politiques, philosophiques ou religieuses ou l’appartenance syndicale des personnes, ou qui sont relatives à la santé ou à la vie sexuelle de celles-ci ». La loi fixe un cadre strict et des limites à l’exploitation qui peut en être faite : des sanctions administratives et pénales sont prévues en cas d’infraction. Ainsi, l’utilisation des données personnelles est contrôlée au regard des textes applicables (II) et doit être proportionnée (I) au regard de la finalité du traitement.
Une utilisation des données à caractère personnel proportionnée
A.Les principaux textes applicables
L’Union Européenne décide en 1995 de se doter d’un instrument contraignant et adopte la directive 95/46/CE relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation des données. Ce texte est précisé et complété deux ans après son adoption par une seconde directive s’appliquant au secteur des télécommunications (directive 97/66/CE) et est intégré dans le corpus juridique français par la loi de transposition du 6 aout 2004 modifiant la loi du 6 janvier 1978.
Or, la directive de 1995 ayant montré ses limites et n’étant plus adaptée aux défis posés par les évolutions technologiques, un courant actuel vise la modification de la législation afin de mettre en place une plus grande harmonisation des règles de protection des données à caractère personnel entre les Etats membres. Ainsi, la commission a publié, le 25 janvier 2012, un projet de règlement européen relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données qui n’a pas fait l’unanimité des Etats membres.
Le 21 octobre 2013, la commission des libertés civiles, de la justice et des affaires intérieures (LIBE) a alors adopté un texte de compromis portant sur la proposition de directive et fixant le futur cadre européen de protection en remplaçant la directive de 1995. Or, il s’agit pour les Etats membres de se mettre d’accord sur les objectifs à définir ainsi que sur le calendrier de la réforme : la France et la Pologne étant opposées à un groupe de six pays qui plaident pour retarder le projet et préférer l’adoption d’une nouvelle directive plutôt que d’un règlement.
La directive 2002/58/CE du 12 juillet 2002 modifiée en 2006 concernant le traitement des données personnelles dans le secteur des communications électroniques accessibles au public a été transposée dans la loi pour la confiance dans l’économie numérique et dans l’article L 34-1 du Code des postes et des communications électroniques. La directive de 2009 « Paquet Télécom » a été transposée par ordonnance en 2011. Que l’on se situe sous l’empire de la loi de 1978 ou sous celui des textes postérieurs, les responsables des fichiers souhaitant utiliser les informations contenues sur les individus doivent répondre aux mêmes conditions de collecte et de traitement : elle doit se faire de façon loyale, dans un but précis et donner lieu à l’accomplissement de formalités auprès de la CNIL. De plus, le responsable ne peut conserver ces données de manière permanente et doit les purger une fois le but pour lequel elles avaient été collectées atteint.
B.Le principe de proportionnalité
La loi « Informatique et Libertés » prévoit de nombreuses obligations. Au moment de la collecte et pour la personne concernée, le droit d’obtention d’informations est prévu à l’article 32 de la loi. Ces informations doivent être communiquées même dans le cas où les données ne sont pas recueillies auprès de la personne concernée. Un traitement de données personnelles doit avoir reçu le consentement de la personne concernée, sauf exceptions (article 7).
Il existe également un droit d’accès aux données (article 39), un droit de rectification (article 40), un droit d’opposition (article 38) et des règles concernant les cookies (article 32). Le droit français des données à caractère personnel s’articule autour de principes généraux et abstraits qui sont inscrits dans les nouveaux articles de la loi du 6 janvier 1978 : principe de finalité, de proportionnalité, de loyauté, d’exactitude, de sécurité, de confidentialité…
Aux termes de l’article 6-2 de la loi, les données « sont collectées pour des finalités déterminées, explicites et légitimes et ne sont pas traitées ultérieurement de manière incompatible avec ces finalités ». Ainsi, la détermination des finalités du traitement joue un rôle primordial car elle conditionne l’appréciation du critère de proportionnalité. Les finalités poursuivies par un traitement de données à caractère personnel doivent être définies avant son application puisqu’elles doivent être indiquées soit dans la déclaration, soit dans le dossier de demande d’autorisation par la CNIL.
Elles doivent également être portées à la connaissance des personnes concernées par le traitement, sauf exception. La caractérisation des finalités emporte l’appréciation de leur légitimité par la CNIL et elle examine la proportionnalité des moyens mis en œuvre pour atteindre les objectifs définis. La loi précise également que seules des fins historiques, statistiques ou scientifiques justifient que les données puissent être conservées au-delà de la durée induite par la finalité du traitement (droit à l’oubli).
Une utilisation des données à caractère personnel contrôlée
A.Le rôle de la CNIL : d’un mode de contrôle à priori à un mode de contrôle à posteriori
Concernant les données personnelles, l’accomplissement de formalités préalables est une condition de la licéité des traitements. L’accomplissement de ces formalités constitue des procédures de contrôle a priori qui peuvent être plus ou moins poussées : la procédure de déclaration n’emporte pas d’obligation de vérification à la charge de la CNIL alors que la procédure d’autorisation impose une autorisation de la CNIL qui examine le dossier avant de rendre une décision motivée.
Ces procédures de contrôle a priori sont en net recul car la transposition de la directive de 1995 par la loi du 6 aout 2004 a été l’occasion d’une évolution des pouvoirs de la CNIL : non seulement la déclaration est devenue le régime de droit commun, mais encore la désignation d’un correspondant informatique et libertés permet de s’affranchir de toute obligation déclarative.
De plus, la nouvelle rédaction instaure une palette de contrôles et de sanctions car il est aujourd’hui impossible de soumettre à des formalités préalables l’intégralité des traitements de données. Après avoir constaté un manquement aux obligations de la loi, la CNIL peut prononcer un avertissement à l’égard du responsable et le mettre en demeure de faire cesser ce manquement. Si le responsable ne se conforme pas, la CNIL peut prononcer une sanction pécuniaire (article 47 de la loi) ou faire cesser le traitement. Par ailleurs, elle conserve une mission d’information concernant les droits et obligations des responsables et personnes concernées par le traitement.
Elle peut publier des normes simplifiées pour les catégories les plus courantes et délivrer des labels aux traitements assurant une protection efficace des données personnelles. La CNIL a également un rôle de régulation, elle peut émettre des avis sur la conformité des projets de règles professionnelles et des systèmes et procédures tendant à la protection des personnes.
B.Le rôle des tribunaux
L’autorité administrative et le juge peuvent toutefois procéder à des analyses différentes voire contradictoires. A titre d’exemple, la CNIL a pu refuser à la société des auteurs, compositeurs et éditeurs de musique (SACEM) et à la société pour l’administration du droit de reproduction mécanique (SRDM) la mise en œuvre d’un dispositif de surveillance des réseaux d’échange de fichiers afin de lutter contre la contrefaçon tandis que le Conseil d’Etat a estimé que ces traitements étaient proportionnés au regard du volume des échanges sur les réseaux.
Avec la généralisation des traitements de données à caractère personnel dans la société de l’information, les infractions aux dispositions de la loi se sont également multipliées. Hormis l’article 51 de la loi concernant l’entrave à l’action de la CNIL, les sanctions en cas de non-respect des dispositions de la loi se situent dans le Code pénal (articles L. 226-16 à L. 226-31 pour les délits et R. 625-10 à R. 625-13 pour les contraventions).
C’est le responsable du traitement qui encourt les sanctions, ce dernier pouvant être une personne physique ou morale (article 226-24 Code pénal). Deux types de devoirs sont imposés : d’une part la loi impose un certain nombre d’obligations (respect de formalités, sécurisation des traitements, conservation des données) ; d’autre part la loi mentionne certaines interdictions pour protéger les données contre les utilisations abusives (collecte frauduleuse, déloyale ou illicite, transgression de l’opposition de la personne concernée, détournement de la finalité du traitement…)
Sources
- Fabrice Mattatia, Traitement des données personnelles, Eyrolles, 2013
- Jessica Eynard, Les données personnelles : quelle définition pour un régime de protection efficace ? Michalon, 2013
- Site de la CNIL
Voir aussi
- Trouver la notion Utilisation des données à caractères personnelles dans l'internet juridique français
« Erreur d’expression : opérateur / inattendu. » n’est pas un nombre.