UTILISATION DES DONNÉES PERSONNELLES
/ Octobre 2022 /
Les données personnelles sont omniprésentes sur internet et leur importance économique est croissante. Pour les services de la société de l’information tels que les moteurs de recherche, les réseaux sociaux, ou les sites de vente en ligne, elles sont devenues indispensables. Ces services, apparaissant comme essentiellement gratuits pour les utilisateurs, ont en réalité un modèle économique particulier : la monétisation des données personnelles des utilisateurs en échange d’un accès gratuit.
Depuis les années 1970, la montée en puissance de l’informatique et des nouvelles technologies de l’information et de la communication ont amené les États à prendre conscience de l’enjeu crucial que constitue la protection les données personnelles afin de garantir la vie privée des citoyens.
Besoin de l'aide d'un avocat pour un problème de vie privée ?
Téléphonez-nous au : 01 43 37 75 63
ou contactez-nous en cliquant sur le lien
La multiplication des moyens de captation des informations a accentué la possibilité de contrôle des personnes en rendant plus aisée la connaissance de la personnalité des individus par des tiers.
Ainsi, un encadrement des pratiques par une législation protectrice est apparu nécessaire. En France, le texte fondamental concernant les données personnelles est la loi dite « Informatique et Libertés » adoptée en 1978 à la suite de la divulgation du projet du ministère de l’Intérieur de créer un fichier SAFARI (Système automatisé pour les fichiers administratifs et le répertoire des individus), qui devait contenir les données de toute la population faisant ainsi peser la menace de « Big brother ».
La loi initiale était de ce fait axée sur le contrôle des fichiers publics, car seuls les États et quelques grandes entreprises étaient susceptibles de disposer des moyens techniques, financiers et logistiques pour réaliser ces traitements de masse. Modifiée à plusieurs reprises, la loi s’attache désormais à protéger chaque donnée, contenue ou non dans un fichier. Des acteurs privés ont désormais la possibilité de collecter des données de manière massive et sophistiquée.
Pour pouvoir encadrer au mieux la massification des données personnelles, le législateur européen a dû intervenir. C’est ainsi qu’a fait son entrée le Règlement général sur la Protection des Données (RGPD). Ce règlement est donc venu apporter une meilleure protection aux données personnelles. Ce règlement est entré en application le 25 mai 2018. En droit français, il a modifié la loi informatique et libertés.
Qu’est-ce qu’une donnée personnelle ? La CNIL définie celle-ci comme « Toute information relative à une personne physique susceptible d’être identifiée, directement ou indirectement, peu importe que ces informations soient confidentielles ou publiques ».
L’article 6 de la loi informatique et liberté en sa nouvelle version en date du 1er janvier 2019 dresse la liste des données sensibles dont le traitement est en principe interdit. Ainsi, en principe « Il est interdit de traiter des données à caractère personnel qui révèlent la prétendue origine raciale ou l’origine ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l’appartenance syndicale d’une personne physique ou de traiter des données génétiques, des données biométriques aux fins d’identifier une personne physique de manière unique, des données concernant la santé ou des données concernant la vie sexuelle ou l’orientation sexuelle d’une personne physique. »
Aujourd’hui, et à l’heure de l’avènement du web 3.0, les entreprises du numérique axent leur modèle économique sur l’aspect social et personnalisé des services proposés. Comme déjà mentionné, réseaux sociaux, moteurs de recherches, sites de vente en ligne et autres services dématérialisés mettent au cœur de leur ligne directrice le « ciblage » du consommateur.
Les « GAFAM », ces géants du Net, fonctionnent ainsi : quand Facebook mise sur l’économie du « like », Amazon va de fait appuyer ses ventes sur ce que « veut » le consommateur, et notamment grâce aux algorithmes prédictifs et aux trackers. Google base également son système sur les recherches et « mots-clefs » les plus importants ayant été tapés.
Toutes ces données personnelles sont récoltées par ces entreprises, données leur permettant de disposer d’informations précieuses sur leurs consommateurs, afin de leur proposer les produits et services qui « fonctionneront le mieux ».
Néanmoins, ces pratiques posent d’importantes questions au regard, notamment, du droit à la vie privée et à la confidentialité des internautes.
Au regard du caractère personnel de ces données, la loi fixe un cadre strict et des limites à l’exploitation qui peut en être faite : des sanctions administratives et pénales sont prévues en cas d’infraction. Ainsi, l’utilisation des données personnelles est contrôlée au regard des textes applicables (II) et doit être proportionnée (I) au regard de la finalité du traitement.
I- Une utilisation des données à caractère personnel encadrée
Un traitement est licite si la collecte des données est loyale et adéquate au regard des finalités du traitement de données qui doivent être exactes, complètes et conservées sous une forme permettant l’identification des personnes concernées.
A) Les principaux textes applicables
Pour arriver au cadre juridique actuel de la protection des données garanti par le RGPD, cela a nécessité de nombreuses années parmi lesquelles différents textes ont vu le jour.
En effet, dès 1995, l’Union européenne a décidé de se doter d’un instrument contraignant et adopte la directive 95/46/CE relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation des données.
Ce texte est précisé et complété deux ans après son adoption par une seconde directive s’appliquant au secteur des télécommunications (directive 97/66/CE) et est intégré dans le corpus juridique français par la loi de transposition du 6 août 2004 modifiant la loi du 6 janvier 1978. Or, la directive de 1995 ayant montré ses limites et n’étant plus adaptée aux défis posés par les évolutions technologiques, un courant actuel vise la modification de la législation afin de mettre en place une plus grande harmonisation des règles de protection des données à caractère personnel entre les États membres.
Ainsi, la commission a publié, le 25 janvier 2012, un projet de règlement européen relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données qui n’a pas fait l’unanimité des États membres. Le 21 octobre 2013, la commission des libertés civiles, de la justice et des affaires intérieures (LIBE) a alors adopté un texte de compromis portant sur la proposition de directive et fixant le futur cadre européen de protection en remplaçant la directive de 1995.
Or, il s’agit pour les États membres de se mettre d’accord sur les objectifs à définir ainsi que sur le calendrier de la réforme : la France et la Pologne étant opposées à un groupe de six pays qui plaident pour retarder le projet et préférer l’adoption d’une nouvelle directive plutôt que d’un règlement. La directive 2002/58/CE du 12 juillet 2002 modifiée en 2006 concernant le traitement des données personnelles dans le secteur des communications électroniques accessibles au public a été transposée dans la loi pour la confiance dans l’économie numérique et dans l’article L 34-1 du Code des postes et des communications électroniques.
La directive de 2009 « Paquet Télécom » a été transposée par ordonnance en 2011 . Que l’on se situe sous l’empire de la loi de 1978 ou sous celui des textes postérieurs, les responsables des fichiers souhaitant utiliser les informations contenues sur les individus doivent répondre aux mêmes conditions de collecte et de traitement : elle doit se faire de façon loyale, dans un but précis et donner lieu à l’accomplissement de formalités auprès de la CNIL. De plus, le responsable ne peut conserver ces données de manière permanente et doit les purger une fois le but pour lequel elles avaient été collectées atteint.
En 2016 la loi pour une république numérique est entrée en vigueur, prenant un peu d’avance sur le législateur européen.
Enfin, le RGPD est entré en vigueur en 2018 après avoir été adopté en 2016. Il viendra modifier la loi informatique et liberté en 2019.
B) Les principes à respecter
Lorsque l’on traite des données personnelles, il convient de respecter de nombreuses obligations. Celles-ci sont prévues par la loi « Informatique et Libertés ».
Premièrement, les données doivent être traitées de manière licite et loyale. Le traitement de données personnelles doit être fondé sur une condition de licéité. Il existe 6 bases de licéité qui sont prévues à l’article 5 de la loi informatique et libertés : Consentement de la personne concernée ; Traitement nécessaire à l’exécution d’un contrat ; Traitement nécessaire au respect d’une obligation légale ; Traitement nécessaire à la sauvegarde des intérêts vitaux ; Traitement nécessaire à l’exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique.
Également, la collecte de données doit porter sur une finalité qui doit être déterminée, explicite et légitime. La finalité du traitement correspond au but poursuivi par le traitement, elle est prévue à l’article 4 de la loi. En effet, on ne collecte pas de données si on ne sait pas par avance ce qu’on va en faire.
De plus, il convient de respecter le principe de minimisation des données. Les données doivent être « Adéquates, pertinentes et, au regard des finalités pour lesquelles elles sont traitées, limitées à ce qui est nécessaire » (article 4-3 LIL). Ainsi, la collecte de données doit être strictement nécessaire pour répondre à la finalité.
En outre, les données doivent être « Exactes et, si nécessaire, tenues à jour. Toutes les mesures raisonnables doivent être prises pour que les données à caractère personnel qui sont inexactes, eu égard aux finalités pour lesquelles elles sont traitées, soient effacées ou rectifiées sans tarder » (4-4 LIL).
Il est également nécessaire que la conservation des données soit limitée. (4-5 LIL). La durée de conservation doit être limitée au regard de la finalité. Néanmoins, les données pourront être conservées une fois la durée dépassée si ces dernières sont traitées à des fins statistiques, des fins historiques ou scientifiques, dans ces cas, elles devront être anonymisées. Sinon, les données devront être effacées ou encore archivées si elles représentent un intérêt public.
Enfin, les personnes concernées disposent de droits envers les données personnelles. Il y a tout d’abord le droit d’accès, ce dernier permet de savoir si les données sont traitées et d’en contrôler l’exactitude. Il y a également le droit de rectification, des données inexactes peuvent ainsi être corrigées ou complétées.
Le Droit à l’oubli est également prévu, dès lors que les données ne sont plus nécessaires au regard de la finalité poursuivie, ou que la personne retire son consentement par exemple. Le Droit d’opposition est un autre droit qui s’applique uniquement si des raisons le justifient, sauf en cas de prospection commerciale, dans ce cas précise on peut s’opposer sans motif.
Également, de nouveaux droits ont été mis en place par le RGPD, à savoir : le droit à la portabilité, le droit à la limitation du traitement et le droit de ne pas faire l’objet de décision fondée sur un traitement automatisé.
Le premier permet de récupérer ses données auprès d’un responsable de traitement pour qu’elles soient transmisses à un autre responsable. Néanmoins, ce droit s’applique uniquement lorsque la base de licéité du traitement est basée sur le consentement ou sur un contrat.
Le second suppose que l’organisme auprès duquel la personne concernée a fait une demande dispose d’un mois pour y répondre.
Enfin, le dernier correspond au droit de ne pas faire l’objet d’une décision exclusivement fondée sur un traitement automatisé.
Dans la résolution de vos problèmes, nos avocats sont disposés à vous aider.
Téléphonez nous au : 01 43 37 75 63
ou contactez nous en cliquant sur le lien_
II- Une utilisation des données à caractère personnel contrôlée
Pour assurer la mise en œuvre des droits et des obligations instaurés par la loi de 1978, cette dernière a instauré un organisme spécialisé : la Commission nationale de l’informatique et des libertés (A). Mais, le non-respect des dispositions de la loi peut également être sanctionné par les tribunaux (B).
A) Le rôle de la CNIL : d’un mode de contrôle a priori à un mode de contrôle a posteriori
La CNIL est l’autorité de contrôle national concernant la protection des données personnelles. Elle dispose d’un pouvoir de contrôle et de sanction. Les sanctions qu’elle prononce sont effectives, proportionnées et dissuasives. Elles ont pour objectif de faire respecter la conformité et d’améliorer la prise en compte des droits des personnes concernées.
Concernant les sanctions, celles-ci prennent différentes formes. Il peut s’agir d’un simple rappel à l’ordre. Ensuite nous retrouvons l’injonction de se mettre en conformité. Il y a également la limitation temporaire ou définitive du traitement. Enfin il y a le retrait d’une certification ou encore les amendes administratives.
Les amendes administratives sont infligées en fonction de la gravité du manquement, le montant varie. Il est d’un maximum de 20 millions d’euros ou de 4 % du chiffre d’affaires mondial de l’entreprise. On retient le montant le plus élevé des deux.
Les agents de la CNIL peuvent donc réaliser des contrôles afin de vérifier à un moment T la conformité de l’entreprise. Pour ce faire, les agents pourront interroger toute personne de l’entreprise, accéder au document ainsi que prendre une copie de toutes les pièces jugée utile. Tous les organismes tant privés que publics, peu importe la taille de l’entreprise peuvent être la cible d’un contrôle. Il est possible pour l’entreprise de refuser un contrôle, mais cela est grandement déconseillé. Également cela n’est pas possible lorsque la visite a été autorisée par le juge des libertés et de la détention.
Ce contrôle peut avoir lieu après un signalement ou tout simplement la CNIL peut s’autosaisir. Le contrôle lui pourra avoir lieu sur place, en ligne, ou simplement par la fourniture de pièce.
Après avoir réalisé ce contrôle, la CNIL rendra sa décision comportant ou non une sanction si elle a constaté de sérieux manquements.
B) Le rôle des tribunaux
L’autorité administrative et le juge peuvent toutefois procéder à des analyses différentes, voire contradictoires. À titre d’exemple, la CNIL a pu refuser à la Société des auteurs, compositeurs et éditeurs de musique (SACEM) et à la société pour l’administration du droit de reproduction mécanique (SRDM) la mise en œuvre d’un dispositif de surveillance des réseaux d’échange de fichiers afin de lutter contre la contrefaçon tandis que le Conseil d’Etat a estimé que ces traitements étaient proportionnés au regard du volume des échanges sur les réseaux.
Avec la généralisation des traitements de données à caractère personnel dans la société de l’information, les infractions aux dispositions de la loi se sont également multipliées. Hormis l’article 51 de la loi concernant l’entrave à l’action de la CNIL, les sanctions en cas de non-respect des dispositions de la loi se situent dans le Code pénal (articles L. 226-16 à L. 226-31 pour les délits et R. 625-10 à R. 625-13 pour les contraventions).
C’est le responsable du traitement qui encourt les sanctions, ce dernier pouvant être une personne physique ou morale (article 226-24 Code pénal). Deux types de devoirs sont imposés : d'une part, la loi impose un certain nombre d’obligations (respect de formalités, sécurisation des traitements, conservation des données) ; d'autre part, la loi mentionne certaines interdictions pour protéger les données contre les utilisations abusives (collecte frauduleuse, déloyale ou illicite, transgression de l’opposition de la personne concernée, détournement de la finalité du traitement…)
À titre d’exemple, le détournement de la finalité de traitement par le responsable lui fait encourir 300 000 euros d’amende et 5 ans d’emprisonnement.
Pou rlire uneversion plus adaptée aux mobiles de cet article sur la vie privée, cliquez
ARTICLES QUI POURRAIENT VOUS INTERESSER :
- Le vol de données électroniques à caractère personnel
- Webcam et vie privée
- L’adresse IP est-elle une donnée personnelle ?
- Contrats de sous traitance informatique
- Objets connectés
- Reconnaissance faciale
- Bitcoin
- Objets connectés
- RGPD et sous-traitance
- Cybercriminalité
Sources :
- Fabrice Mattatia, Traitement des données personnelles, Eyrolles, 2013
- Jessica Eynard, Les données personnelles : quelle définition pour un régime de protection efficace ? Michalon, 2013
- https://www.cnil.fr/fr/la-loi-informatique-et-libertes
- https://www.cnil.fr/fr/respecter-les-droits-des-personnes
- https://www.cnil.fr/fr/definition/donnee-personnelle
- https://www.cnil.fr/fr/assurer-votre-conformite-en-4-etapes
- https://www.cnil.fr/fr/le-controle-de-la-cnil