La protection des données personnelles est une question d’actualité notamment avec la démocratisation des réseaux sociaux et autres applications qui possèdent d’innombrables informations personnelles sur vous. Quels sont les principes qui permettent de protéger vos données personnelles lorsqu’elles sont traitées et collectées ? Quelles obligations doit respecter le responsable de traitement ? Quels sont les futurs principes du règlement européen sur la protection des données personnelles ?
Pour rappel, constitue une donnée à caractère personnel toute information relative à une personne physique identifiée ou qui peut être identifiée, directement ou indirectement, par référence à un numéro d’identification ou à un ou plusieurs éléments qui lui sont propres.
Les principes classiques protégeant les données personnelles
Il existe des principes classiques dans la Loi Informatique et Liberté du 6 janvier 1978 pour protéger ces données face à la façon de les collecter et les traiter ; nous verrons leurs définitions ainsi que leurs pratiques.
Le principe de loyauté et de licéité : les données personnelles doivent être collectées et traitées “de manière loyale et licite“.
En pratique, il ne faut pas agir de manière déloyale dans le traitement de vos données, c’est à dire qu’on ne peut pas recueillir votre adresse électronique sans que vous le sachiez ou qu’on ne peut pas vous faire croire que vous répondez à un sondage anonyme alors qu’en fait vos données personnelles sont collectées.
Le principe de finalité : les données personnelles ne peuvent être “recueillies et traitées que pour un usage déterminé et légitime“, correspondant aux missions du responsable de traitement.
En pratique, il faut faire attention à l’exception du détournement de finalité qui peut être prévue pour les traitements réalisés à des fins statistiques, historiques ou scientifiques à condition qu’un tel traitement soit réalisé dans le respect des autres dispositions légales et qu’il ne soit pas utilisé pour prendre des décisions à l’égard des personnes concernées.
Le principe d’exactitude : les données collectées “doivent être exactes, complètes et, si nécessaire, mises à jour“; le responsable du traitement doit également prendre les mesures appropriées afin que des données inexactes ou incomplètes au regard des finalités pour lesquelles elles sont collectées ou traitées soient effacées ou rectifiées.
En pratique, la plupart des applications permettent aux utilisateurs de pouvoir modifier eux-mêmes leurs données comme la saisie dans le profil utilisateur. Comme l’utilisateur agit lui-même, ce principe est rarement utilisé pour une violation quelconque des données.
Le principe de proportionnalité et de pertinence : les données sont” adéquates, pertinentes et non excessives au regard des finalités pour lesquelles elles sont collectées et de leurs traitements ultérieurs”.
En pratique, cela peut être le refus d’utiliser la biométrie. La cause peut être les données sensibles.
Pour rappel, les données sensibles sont les données personnelles qui font apparaître, directement ou indirectement, les origines raciales ou ethniques, les opinions politiques, philosophiques ou religieuses ou l’appartenance syndicale des personnes, ou sont relatives à la santé ou à la vie sexuelle de celles-ci. Ce qui est bon à savoir c’est que la collecte et le traitement de ces données est interdite.
Le principe de durée de conservation des données : les données sont conservées” sous une forme permettant l’identification des personnes concernées pendant une durée qui n’excède pas la durée nécessaire aux finalités pour lesquelles elles sont collectées et traitées”.
En pratique, il s’agit d’un droit à l’oubli. La durée est fixée par le responsable du traitement qui doit procéder à une estimation au regard des finalités indiquées.
Le principe de sécurité et de confidentialité se place lorsque le responsable du traitement répond à une obligation de sécurité. Il doit faire prendre les mesures nécessaires pour garantir la confidentialité des données et éviter leur divulgation. Il s’agit de la sécurité de vos données, elles ne doivent pas être endommagées ou modifiées.
En pratique, ce principe empêche que les données soient déformées, détruites ou que des tiers non autorisés y aient accès comme les tiers étrangers au responsable de traitement mais aussi collaborateurs du responsable de traitement.
Les autres principes protégeant les individus possesseurs des données personnelles
Il existe d’autres principes permettant de protéger au mieux les données personnelles des individus et plus précisément les droits qu’ont ces personnes.
Le principe d’information : c’est une obligation d’information qui incombe à tout responsable de traitement selon l’article 32 de la Loi Informatique et Libertés. Les informations qui doivent être délivrées à la personne auprès de laquelle sont recueillies les données personnelles la concernant (sauf si elle l’a été au préalable, par le responsable du traitement ou son représentant) sont par exemple la finalité du traitement, l’identité du responsable de traitement, les destinataires des données, les droits de la Loi, les transferts de donnée en dehors d’un Etat Membre de la Communauté européenne. Par exemple, il y a une obligation d’information spécifique pour les cookies.
En pratique, les individus n’ont donc pas forcément toutes les informations puisqu’il existe certaines exceptions comme quand l’information se révèle impossible ou exige des efforts disproportionnés par rapport à l’intérêt de la démarche ou quand il y a eu un procédé d’anonymisation où l’on informe juste la personne de l’identité du responsable et de la finalité poursuivie par le traitement
Le principe du consentement porte sur les données sensibles qui ne peuvent être collectées qu’avec le consentement des personnes selon l’article 8 de la Loi. En général, il n’y a pas donc pas nécessité d’obtenir l’accord exprès de la personne sauf exception visant le cas du traitement mis en œuvre aux fins de réalisation de l’intérêt légitime poursuivi par le responsable du traitement ou par le destinataire, sous réserve de ne pas méconnaître l’intérêt ou les droits et libertés fondamentales de la personne concernée.
Le principe du respect du droit des personnes signifie que le caractère obligatoire ou facultatif de la collecte des données doit vous être signifié, ainsi que les modalités d’exercice des droits comme le droit d’accès, le droit de rectification et le droit de s’opposer à l’utilisation de vos données.
En pratique, il s’agit des mentions diffusées, par exemple, lorsque vous faîtes une inscription à un formulaire en ligne.
Les apports du règlement européen sur la protection des données personnelles
De nouveaux principes vont renforcer la protection des données personnelles avec le règlement européen sur la protection des données personnelles adopté le 27 avril 2016 et applicable dès mai 2018.
Les principe privacy by design et privacy by default : le principe de Privacy by Design traduit par la protection de la vie privée dès la conception permet de s’assurer de la conformité à la législation en la matière et ce, dès la création d’une société, ou de tout service interne à celle-ci, ayant rapport avec le traitement des données.
Le principe Privacy by default est rattaché au Privacy by design. La législation sur la protection des données personnelles oblige chaque personne ou entreprise traitant des données personnelles à garantir par défaut le plus haut niveau possible de protection des données.
En pratique, ces principes vont intégrer la protection de votre vie privée dans les systèmes et vous ne pouvez plus vous tromper dans les paramétrages pour faire respecter votre vie privée; c’est intégré par défaut et cela facilite la protection de vos données.
Le principe d’accountability : ce principe assure une traçabilité et une transparence, cela nécessite un document ou un dossier prouvant le respect de la protection des données à caractère personnel. Le responsable de traitement doit prouver à la CNIL aux personnes concernées par leurs traitement que le respect des dispositions de la Loi informatique et Libertés est assuré.
En pratique, il s’agit de justifier a posteriori, à l’inverse des principes de privacy qui sont a priori, de prouver que le nécessaire a été fait pour votre vie privée.
Privacy impact assessment : le responsable de traitement devra pratiquer des études d’impact avant la mise en place de traitements comportant un risque particulier sur la vie privée. L’étude devra aussi permettre une analyse complète des risques potentiels ainsi que les moyens d’atténuer ces risques. Le responsable devra aussi mettre en place des audits de conformité.
En pratique, cela sera un autre contrôle a priori allant de pair avec le Privacy by design.
L’obligation de notification des fuites: En cas d’atteinte aux données à caractère personnel, le responsable de traitement devrait notifier obligatoirement la faille de sécurité à l’autorité de contrôle dont il dépend. En pratique, la notification de fuites aux personnes concernées n’est obligatoire que si l’entreprise n’est pas en mesure de démontrer qu’elle a mis en œuvre des mesures afin de rendre cette fuite sans conséquence.
Attendons donc de voir la mise en pratique de ces nouveaux principes dans les Etats membres et particulièrement l’adaptation française de la Loi Informatique et Libertés suite aux changements causés par le Règlement.
Charles-Antoine Jaubert – Etudiant en Master 2 Droit de l’économie numérique à l’Université de Strasbourg. Juriste, passionné par le droit des nouvelles technologies et les questions relatives aux données personnelles, propriété intellectuelle, réseaux sociaux, médias et musique en ligne
