Données personnelles, vie privée et nouvelles technologies, qu’en est-il ?

Publié le par

Selon une étude d’octobre 2008 réalisée par l’institut de sondage Ipsos à la demande de la CNIL, pour 61 % des Français l’existence de fichiers est perçue comme une atteinte à la vie privée. Ils sont mêmes un sur deux à éprouver des craintes concernant l’utilisation des fichiers. Leur inquiétude porte autant sur les fichiers d’État que sur les fichiers privés.

Données personnelles, vie privée et nouvelles technologies, qu'en est-il ?

S’il est aisé d’imaginer que nous sommes tous fichés par l’État et les organismes qui lui sont rattachés (Sécurité sociale, Fisc, Police, préfecture, Pôle emploi…), par son employeur, par des associations indépendantes (club de sport, association à laquelle on fait un don, forum de discussion ou chat…) ou encore par des sociétés commerciales (banque, assureurs, téléphonie, fichiers clients des commerces…), on imagine moins être fichés par des sociétés que l’on ne connaît pas. Et pourtant, les données personnelles circulent facilement soit contre rémunération pour le titulaire du fichier, soit de manière involontaire en cas notamment de piratage informatique ou de détournement de la finalité d’un fichier.

Le rôle de la CNIL

C’est pour cela qu’en France, la CNIL (Commission nationale informatique et libertés) veille à ce que loi Informatique et libertés et les autres textes qui protègent ces données personnelles soient respectés afin d’éviter les abus et les atteintes aux droits fondamentaux. En 2011, avec 5 738 plaintes reçues (dont 26 % via le formulaire électronique), la CNIL a enregistré son plus haut niveau d’activité, ce qui, selon elle, « témoigne de l’intérêt de plus en plus marqué des personnes pour la protection de leurs données et de la sensibilité de cette question à l’ère du numérique ».

En 2014, la CNIL affirme que près de 35 % des recruteurs avouent avoir déjà écarté un candidat à un emploi à cause d’une e-réputation négative. À
l’heure d’Internet, du piratage informatique, de la traçabilité, du marketing-comportemental, du spam, du développement de la biométrie, de la vidéosurveillance, des péages autoroutiers et d’autres technologies avancées, la préservation de sa vie privée n’est pas aisée, et il est utile de faire le point sur ce thème particulièrement important, qui d’ailleurs devrait conduire dans un avenir proche à la révision de la législation française et européenne en la matière.

Enfin, nombreux sont les particuliers et entreprises à s’équiper de dispositifs de vidéoprotection pour assurer la sécurité de leurs biens et leur vie, ainsi que celle de leurs proches ou salariés. La Cour de justice de l’Union européenne estime en décembre 2014 que la preuve d’une infraction pénale peut être rapportée par des images filmées par un particulier, depuis un lieu privé (domicile, voiture au sens de l’arrêt de la Cour de cassation du 12 avril 2005, pourvoi n° 04-85637) mais comprenant un espace public, afin d’assurer sa santé, la sécurité de ses biens et sa vie ainsi que celle de sa famille. Il s’agit sans doute d’une première reconnaissance permettant l’exploitation des images collectées grâce à un système de vidéo embarquée à bord des véhicules, en cas par exemple de délit de fuite du conducteur responsable d’un accident !

Les données à caractère personnel

Il s’agit principalement des informations qui permettent d’identifier soit directement, soit indirectement par recoupement d’informations, une personne, telles que : nom, prénom, photo, date de naissance, statut matrimonial, adresse postale, email, adresse IP d’ordinateur, numéro de sécurité sociale, de téléphone, de carte bancaire, plaque d’immatriculation du véhicule, empreinte génétique, élément d’identification biométrique,
les données de géolocalisation du véhicule professionnel, etc.

La définition exacte est la suivante : « Toute information relative à une personne physique identifiée ou qui peut être identifiée directement ou indirectement ou par référence à un numéro d’identification ou à plusieurs éléments qui lui sont propres. Pour déterminer si une personne est identifiable, il convient de considérer l’ensemble des moyens en vue de permettre son identification dont disposent ou auxquels peuvent avoir accès le responsable du traitement ou toute autre personne. »

Il convient de préciser que certaines informations, qui ne sont pas des données à caractère personnel, sont considérées comme sensibles dans la mesure où elles peuvent conduire à un comportement discriminatoire (ex : origine raciale, opinions politiques, philosophiques ou religieuses, appartenance syndicale, information relative à la santé ou à ses orientations sexuelles). En principe, ces données dites sensibles ne peuvent être recueillies et exploitées. Toutefois, certains traitements relatifs à ces données sont possibles dans la mesure où la finalité du traitement l’exige et moyennant le respect de certaines conditions, dont le consentement explicite de la personne fichée. À noter également que certains fichiers publics (Fisc, Sécurité sociale, CAF, Police et Justice…) sont constitués sans notre accord et sans possibilité d’opposition de notre part, car ils ont un but précis et souvent lié à la sécurité du territoire et au respect des principes de notre République (ex : paiement des impôts, droits aux allocations, à la protection sociale).

Ce que dit la loi

En France, c’est principalement la loi Informatique et libertés de 1978, dont la dernière révision date de 2004, qui réglemente la collecte, l’usage et la finalité de la mise en place d’un traitement automatisé ou d’un fichier manuel contenant des données personnelles. Se trouvent soumis à la cette loi, « les traitements de données à caractère personnel dont le responsable est soit établi sur le territoire français (c’est-à-dire qui y exerce une activité dans le cadre d’une installation stable, quelle que soit sa forme juridique, filiale, succursale...) soit recourt à des moyens de traitement situés sur le territoire français, à l’exclusion des traitements qui ne sont utilisés qu’à des fins de transit sur ce territoire ou sur celui d’un autre État membre de la Communauté européenne. »

Les responsables de traitement sont tenus de délivrer une information détaillée sur les conditions d’utilisation des données lors de leur collecte, que celles-ci soient recueillies de manière directe ou indirecte, y compris par le biais de cookies. Le droit d’opposition est garanti par la loi en matière de prospection commerciale, de même que les droits d’accès et de rectification sont précisés. Néanmoins, il existe des dérogations pour tenir compte en particulier des spécificités de certains traitements notamment statistiques.

Dans le monde du travail, il est possible et recommandé dans les grandes structures, de nommer un ou plusieurs correspondants à la protection des données dans les entreprises ou les collectivités locales. C’est un décret (n° 2007-451) du 25 mars 2007 qui a encadré les obligations mises à la charge du responsable du traitement, quel qu’il soit.

Sur Internet, les usagers peuvent demander à l’organisme responsable la suppression d’informations publiées les concernant (y compris des photos et vidéos). Cet organisme doit répondre dans un délai maximal de 2 mois. Passé ce délai, en l’absence de réponse ou si la réponse n’est pas satisfaisante, l’internaute peut demander l’intervention de la CNIL.
En 2011, la CNIL a été saisie de près de 700 plaintes d’internautes ayant rencontré des problèmes d’opposition à la diffusion de contenus et d’images sur Internet. Par rapport à 2010, cela représente une hausse d’environ 42 % des litiges portant sur la protection de la vie privée sur Internet. Mais Internet n’est pas un espace de non droit puisque le responsable d’un fichier ou d’un traitement de données personnelles d’un site web ou d’un forum de discussion doit permettre aux internautes concernés par les informations collectées d’exercer pleinement leurs droits. Il doit les informer de son identité, de la finalité de son traitement (exemple : gestion clientèle, prospection commerciale…), du caractère obligatoire ou facultatif des informations qu’il collecte, mais aussi des destinataires de ces informations et de l’existence de droits pour les personnes fichées. Une information qui se fait en principe au moment où sont collectées les données (bon de commande, souscription d’un abonnement, enregistrement…). Les mentions d’information à l’attention des personnes fichées doivent apparaître sur les formulaires utilisés pour collecter les données.

Qu’il s’agisse d’établissements publics ou privés, la collecte d’informations personnelles est soumise à conditions, et la CNIL comme le juge veillent à leur respect. En revanche, Internet ouvre la voie à la collecte d’informations nominatives par les traces que l’internaute laisse en surfant sur le Web, sans que la collecte puisse être contrôlée (cookies, adresse IP, téléchargements, ou encore participation à des forums de discussion, messagerie instantanée, ou alimentation d’un blog). Depuis le 25 août 2013, en cas de piratage des données d’un opérateur de services de télécommunications et des fournisseurs de services internet ayant pour conséquence de permettre à un tiers de récupérer des données à caractère personnel (ex : nom, adresse, coordonnées bancaires, historique des appels téléphoniques…), le consommateur sera informé de la situation de manière à pouvoir prendre les mesures nécessaires. Ces entreprises confrontées à un acte de piratage ou de malveillance sont tenues, lorsque des données personnelles concernant leurs clients ont été volées ou perdues, de :
- informer l’autorité nationale compétente de tout incident dans un délai de 24 heures après la découverte de la violation des données, afin de limiter autant que faire se peut l’ampleur de cette violation. Si la communication de toutes les informations ne peut se faire dans ce délai, elles doivent fournir dans les 24 heures les informations initiales dont elles disposent et transmettre le reste des informations dans les 3 jours ;
- fournir une brève description des éléments d’information concernés et des mesures qui ont été prises ou qui seront prises par la société ;
- examiner soigneusement, lorsqu’elles évaluent la nécessité d’informer les abonnés (par exemple, en utilisant comme critère le risque que la violation ait des conséquences dommageables pour les personnes en ce qui concerne leurs données à caractère personnel ou leur vie privée), le type de données ayant fait l’objet d’une violation, en particulier dans le secteur des télécommunications, selon qu’il s’agit d’informations de nature financière, de données de localisation, de fichiers journaux internet, d’historiques de sites web consultés, de données relatives au courrier électronique et de listes d’appels téléphoniques détaillées ;
- utiliser un document harmonisé (par exemple un formulaire type en ligne, identique pour tous les États membres de l’UE) pour informer l’autorité nationale compétente.

Source : dossier Net-Iris

Recherche
Guide Fiscal 2016

Le guide de la fiscalité des véhicules d’entreprises, édition 2016, est l’outil indispensable.

Guide Fiscal 2016
COMMANDER