Voici une journée type : le matin EDF sait à quelle heure je me lève grâce aux nouveaux LINKY, puis les TCL savent quelle ligne de transport j’utilise et à quelle heure ; ma banque connait tout de mes achats par CB ; Bouygues connaît avec qui je communique et peut me géo-localiser ; tout ce que je place sur les réseaux sociaux (type Facebook, Twitter) est public (que j’ai ou pas pris un pseudo…). Google est en situation de quasi monopole sur le Net, menaçant les libertés individuelles. Que font les entreprises de ces informations ? Google, par exemple, ne va pas se contenter de simplement collecter les données, elle va les traiter et veut créer de nouveaux secteurs d’activité : la santé, le fin de vie, et la voiture sans conducteur.
Généralisons le problème : Ces dernières années, c’est à une véritable révolution que l’on assiste dans les domaines des technologies de l’information et de la communication. En effet, les TIC ont multiplié les possibilités de collecte et de traitement des données, en particulier celles à caractère personnel. Ce sont les Big Data. L’explosion des réseaux sociaux, l’augmentation de la puissance et de l’efficacité des moteurs de recherche, les moyens de géolocalisation et vidéosurveillance, l’arrivée de la biométrie… ont pour conséquence l’accroissement des risques d’atteinte aux libertés publiques et à la vie privée.
Face à ces risques, il est nécessaire de mettre en place une législation de protection des données à caractère personnel qui permettent de sauvegarder les libertés individuelles.
Comment protéger les données à caractère personnel ?
Quelles sont les organes de contrôle des atteintes possibles aux libertés publiques et à la vie privée ?
La protection des données personnelles
Les données personnelles
Définition
On appelle « données à caractère personnel » toute information relative à une personne physique identifiée ou qui peut être identifiée, directement ou indirectement, par référence à un numéro d’identification ou à un ou plusieurs éléments qui lui sont propres » ( par ex : nom ; adresse IP ; nc SS ; n° téléphone ; photographie ; voix ; éléments biométriques -tels que empreintes génétiques, empreintes digitales- ; signature électronique ; code carte bancaire… ainsi que la profession, le sexe, l’âge, lieu d’habitation et tout élément qui permet de discriminer une personne sur ses goûts, ses habitudes). NB : il faut remarquer que cela ne concerne pas les PM.
Certaines données sont dites « sensibles » ou « à risque ». Il s’agit de données relatives à l’origine raciale ou ethnique, les opinions politiques, philosophiques, religieuses, l’appartenance syndicale, la santé, la vie sexuelle, …. Ces derrières sont encore plus protégées. Par principe il est interdit de collecter et de traiter de telles données. II y a cependant des exceptions. En ce cas, il faut avoir recueilli le consentement express de la personne.
La protection des données à caractère personnel
L’information est devenue une valeur essentielle de l’activité économique convoitée par les organisations. Le développement des activités numériques et les performances croissantes des outils informatiques favorisent la collecte et le traitement des données, en particulier des données à caractère personnel. Les personnes bénéficient de droits et de libertés qui sont protégés par le droit en toutes circonstances.
Ainsi, la loi du 6 août 2004 modifiant la loi « informatique et libertés » du 6 janvier 1978, transposant la directive européenne de 1995 dispose que « l’informatique ne doit pas porter atteinte ni à l’identité humaine ni aux droits de l’homme, ni à la vie privée, ni aux libertés individuelles ou publique ».
Elle met en place une protection spécifique des données à caractère personnel, qui font l’objet d’un traitement automatisé ou non, n’intervenant pas dans une sphère exclusivement personnelle.
Cette loi renforce ainsi la protection des droits des personnes, les obligations des responsables des traitements de l’information et les pouvoirs de la CNIL : Commission Nationale de l’Informatique et des Libertés.
Les organes de contrôle
Au niveau national : la CNIL
La CNIL est une AAI (Autorité Administrative Indépendante), qui fonctionne avec une dotation du budget de l’Etat. Elle a pour mission essentielle de protéger la vie privée et les libertés dans un monde numérique et veille à l’application de la loi dans ce domaine.
Les missions de la CNIL :
Informer et conseiller les personnes de leurs droits et les responsables de traitements de leurs obligations:
- Elle reçoit les réclamations, pétitions et plaintes relatives à la mise en œuvre de traitements des données personnelles.
- Elle contribue à l’élaboration des règles dans son domaine en répondant par des avis, des délibérations et des recommandations aux multiples questions soulevées par le traitement des données à caractère personnel.
Réguler et recenser les fichiers de données personnelles :
- veille à ce que le traitement des données à caractère personnel soit mis en œuvre conformément à la loi
- autorise (ou non) la création de certains fichiers.
- contribue à la formation et à l’émergence de correspondants Informatiques et Libertés dans les entreprises. Ceux-ci deviennent alors ses interlocuteurs privilégiés.
Attention, ce n’est pas un juge. C’est ce dernier qu’il faudra saisir pour obtenir des dommages et intérêts au titre de la responsabilité civile en cas de préjudice subi.
Le CIL (Correspondant Informatique et Libertés), désigné par le responsable du traitement des données au sein d’une organisation, a été institué en 2004. Son rôle est de conseiller et de suivre la conformité à la loi de la gestion des données à caractère personnel. Il est l’interface entre l’organisation et la CNIL. Une organisation dotée d’un CIL est dispensée de l’obligation de déclaration préalable des traitements ordinaires et courants.
Au niveau européen
Diverses directives européennes de 1995, 1997 et 2002 encadrent la protection de la vie privée au sein de l’Union européenne et tendent à harmoniser les législations sur la protection des données.
Depuis 1995, l’Union européenne s’est mobilisée pour faciliter la circulation des données à caractère personnel entre Etats membres, tout en préservant la sauvegarde des droits fondamentaux des personnes et notamment leur vie privée. Pour cela, la directive de 1995 fixe des limites strictes à la collecte et à l’utilisation des données à caractère personnel et demande la création dans chaque Etat membre d’un organisme national indépendant chargé de la protection des données (exemple : La CNIL). Tous les Etats membres ont maintenant transposé la directive et le transfert de données est libre. Pour les pays n’appartenant pas à l’Union européenne, le principe retenu est l’interdiction du transfert des données à caractère personnel si le pays destinataire n’assure pas un niveau de protection suffisant.
En 2001, un poste de contrôleur européen de la protection des données a été créé, il est chargé de veiller à ce que les institutions et les organes communautaires respectent la vie privée des personnes physiques lorsqu’ils traitent des données à caractère personnel les concernant.
Les Etats Membres de l’Union Européenne viennent de convenir d’un texte venant moderniser la directive 1995/46/CE du 24 octobre 1995. Contrairement à une directive, le Règlement adopté en avril 2016 par le Conseil de l’Europe et par le Parlement européen, est d’application directe et s’imposera aux Etats Membres à compter du 25 mai 2018 (sans qu’il soit besoin de le transposer dans les législations nationales). Ce règlement fait apparaître de nouveaux droits pour les personnes:
- Le droit à la portabilité : ce droit permet à une personne de récupérer les données qu’elle a fournies sous une forme aisément réutilisable, et le cas échéant, de les transférer ensuite à un tiers.
- Les actions collectives : les associations actives dans le domaine de la protection des données personnelles auront la possibilité d’introduire des recours collectifs.
- Droit à réparation : toute personne ayant subi un dommage matériel ou moral du fait d’une violation du règlement a le droit d’obtenir réparation du préjudice subi.
La nomination obligatoire d’un délégué à la protection des données (DPO en anglais) pour les organismes publics ou privés dont « les activités de base exigent un suivi régulier et systématique à grande échelle des personnes concernées » (article 37), dont les responsabilités seront plus importantes que celles du CIL, sera associé à toutes les questions de protection des données à caractère personnel.
Pour aller + loin : règlement européen
Les données personnelles sont notamment capturés lors de réalisation de contrats électroniques.