Données Personnelles

Article 2 de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, modifiée par la loi du 6 août 2004 : toute information relative à une personne physique identifiée ou qui peut être identifiée, directement ou indirectement, par référence à un numéro d'identification ou à un ou plusieurs éléments qui lui sont propres.

Article 8 de la loi de 1978 : données qui font apparaître, directement ou indirectement, les origines raciales ou ethniques, les opinions politiques, philosophiques ou religieuses ou l'appartenance syndicale des personnes, ou qui sont relatives à la santé ou à la vie sexuelle de celles-ci.

- Le responsable du traitement doit recueillir le consentement préalable de la personne dont il recueille les données.
- Le consentement de la personne doit être éclairé, le responsable du traitement doit communiquer certaines informations à la personne concernée.

Article 32 de la loi de 1978 :
- l’identité du responsable du traitement ou de son représentant ;
- la finalité du traitement ;
- le caractère facultatif ou obligatoire des réponses données ainsi que les conséquences d’une absence de réponse ;
- l’identité du ou des destinataires des données ;
- les droits dont bénéficie le titulaire des données en vertu de la loi de 1978 (droit d’accès, droit de modification, droit d’opposition).

- Lorsque le responsable du traitement réalise un fichier en vertu d’une obligation légale (par exemple l’INSEE).
- Lorsque la collecte des données est nécessaire à la sauvegarde de la vie de la personne.
- L'exécution, soit d'un contrat auquel la personne concernée est partie, soit de mesures précontractuelles prises à la demande de celle-ci.
- Lorsqu’il en va de la réalisation de l'intérêt légitime poursuivi par le responsable du traitement ou par le destinataire, sous réserve de ne pas méconnaître l'intérêt ou les droits et libertés fondamentaux de la personne concernée. Problème : imprécision du critère de l’intérêt légitime.
- Les données recueillies utilisées lors d'un traitement mis en œuvre pour le compte de l'Etat et intéressant la sûreté de l'Etat, la défense, la sécurité publique ou ayant pour objet l'exécution de condamnations pénales ou de mesures de sûreté.

L'intérêt légitime du responsable de traitement est apprécié d'une part, en tant que tel, compte tenu notamment de la proportionnalité du traitement au regard de ses finalités, et d'autre part, au regard de l'intérêt de la personne concernée et de ses droits et libertés fondamentaux, auquel l'intérêt légitime du responsable de traitement ne saurait porter atteinte.

- Droit d’opposition, droit d’accès, droit de rectification et droit à l’oubli.
- La demande doit être formulée par écrit signé au responsable du traitement, accompagné de la photocopie de la carte d’identité du demandeur. Il doit être fait mention de l’adresse à laquelle doit parvenir la réponse. La demande peut aussi être réalisée sur place.
- Si le responsable du traitement ne peut pas donner immédiatement une réponse, il doit délivrer un avis de réception daté et signé.
- Deux mois pour répondre.
- Informations supplémentaires avant l’expiration de ce délai de deux mois.
- Le responsable du traitement qui refuserait de faire droit aux demandes de la personne sans motif légitime, encourt une contravention de 5ème classe (1500 €).
Droit d’opposition : article 226-18-1 CP : cinq ans d'emprisonnement et 300 000 euros d'amende.

- Le droit d’opposition est la possibilité pour une personne de refuser que ses données soient collectées ou, après collecte et traitement de ses données, de faire cesser le traitement de ses données.
- Article 38 de la loi de 1978 : toute personne physique a le droit de s'opposer, pour des motifs légitimes, à ce que des données à caractère personnel la concernant fassent l'objet d'un traitement.
- Elle a le droit de s'opposer, sans frais, à ce que les données la concernant soient utilisées à des fins de prospection, notamment commerciale, par le responsable actuel du traitement ou celui d'un traitement ultérieur.
- Il faut en principe un motif légitime.
- Exception : utilisation des données à des fins de prospection commerciale ; il sera alors possible d’exercer son droit d’opposition sans avoir à le justifier par un motif légitime.
L’appréciation du motif légitime se fait au cas par cas, en considération du type de fichier en cause et de la nature des données récoltées.

- Le responsable du traitement doit faire en sorte que la personne intéressée soit mise en mesure d’exprimer son choix avant la validation définitive de ses réponses.

- Lorsque le responsable du traitement agit en vertu d’une obligation légale.
- Lorsqu’un tel droit a été écarté dans une disposition expresse de l’acte autorisant le traitement (contrat).

Article 39 loi de 1978 : il s’agit pour une personne de demander au responsable du traitement :
- la confirmation que des données à caractère personnel la concernant font ou ne font pas l'objet de ce traitement ;
- des informations relatives aux finalités du traitement, aux catégories de données à caractère personnel traitées et aux destinataires ou aux catégories de destinataires auxquels les données sont communiquées ;
- des informations relatives aux transferts de données à caractère personnel envisagés à destination d'un Etat non membre de la Communauté européenne ;
- la communication, sous une forme accessible, des données à caractère personnel qui la concernent ainsi que de toute information disponible quant à l'origine de celles-ci ;
- les informations permettant de connaître et de contester la logique qui sous-tend le traitement automatisé en cas de décision prise sur le fondement de celui-ci et produisant des effets juridiques à l'égard de l'intéressé.

Une copie des données à caractère personnel est délivrée à l'intéressé à sa demande. Le responsable du traitement peut subordonner la délivrance de cette copie au paiement d'une somme qui ne peut excéder le coût de la reproduction.

La demande d’accès n’a pas à être motivée.

La personne qui suspecte un de risque de dissimulation ou de disparition des données à caractère personnel, le juge compétent peut ordonner, y compris en référé, toutes mesures de nature à éviter cette dissimulation ou cette disparition.

Le droit d’accès n’est pas absolu
Le responsable du traitement peut s'opposer aux demandes manifestement abusives, notamment par leur nombre, leur caractère répétitif ou systématique.

Le droit d’accès est écarté lorsque les données à caractère personnel sont conservées sous une forme excluant manifestement tout risque d'atteinte à la vie privée des personnes concernées ; ou pendant une durée n'excédant pas celle nécessaire aux seules finalités d'établissement de statistiques ou de recherche scientifique ou historique.

Le droit d’accès est également limité par le respect des droits d’auteur.

L’article 43 de la loi de 1978 permet à la personne concernée de demander directement au responsable du traitement des données d’accéder à ses données ou de demander d’y accéder par l’intermédiaire d’un médecin.

Article 40 de la loi de 1978 : demander à ce que les données soient rectifiées, complétées, mises à jour, verrouillées ou effacées, si celles-ci s’avèrent inexactes, incomplètes, équivoques ou que la collecte, l’utilisation, la communication ou la conservation en sont interdites.
L’exercice de ce droit est gratuit. Une fois les modifications effectuées, le responsable du traitement doit en avertir le demandeur ainsi que les tiers à qui les données auraient pu être transférées afin qu’ils procèdent aux modifications.

Interdiction faite au responsable du traitement de conserver les données personnelles au-delà du temps nécessaire au traitement, comme le prévoit l’article 6 de la loi de 1978.

Le droit à l’oubli est aussi le droit à une personne de demander son déréférencement. Quelle est la portée de ce droit au déréférencement et ses conditions d’exercice ?
Le droit au déréférencement est ouvert sans avoir à tenir compte de l’illicéité du contenu ni de l’existence d’un préjudice.
Le droit au déréférencement est contrebalancé par d’autres principes, comme ceux de la liberté d’expression et de la liberté d’information.

Le problème qui se pose est que ce rôle d’arbitre est dévolu aux moteurs de recherche, qui deviennent de véritables prescripteurs de droit.

Le TGI a refusé. Une telle obligation pourrait s’avérer illégale. L’article 6,I,7 de la loi du 21 juin 2004 (LCEN) : les activités de surveillance imposées par l’autorité judiciaire ne peuvent être que ciblées et temporaires.

TGI de Paris, 6 novembre 2013 : condamnation de Google sous astreinte de 1000 € par manquement constaté de retirer et cesser, pendant une durée de cinq ans, l’affichage sur le moteur de recherche les neuf images dont Max Mosley a demandé l’interdiction.

Régime de droit commun.
Le régime de déclaration est applicable aux traitements qui portent une atteinte limitée à la vie privée et aux libertés des personnes.

Article 23 de la loi de 1978 : la personne qui désire mettre en place un traitement de données personnelles doit le déclarer à la CNIL.
Engagement que le traitement satisfait aux exigences de la loi.
La CNIL délivre sans délai un récépissé. Dès réception de ce récépissé, le demandeur peut mettre en œuvre le traitement. La déclaration préalable vaut tant que le fichier n’est pas modifié substantiellement.

- l'identité et l'adresse du responsable du traitement ou de son représentant ;
- la ou les finalités du traitement ;
- le cas échéant, les interconnexions, les rapprochements ou toutes autres formes de mise en relation avec d'autres traitements ;
- les données à caractère personnel traitées, leur origine et les catégories de personnes concernées par le traitement ;
- la durée de conservation des informations traitées ;
- le ou les services chargés de mettre en œuvre le traitement ;
- les destinataires ou catégories de destinataires habilités à recevoir communication des données ;
- la fonction de la personne ou le service auprès duquel s'exerce le droit d'accès, ainsi que les mesures relatives à l'exercice de ce droit ;
- les dispositions prises pour assurer la sécurité des traitements et des données et la garantie des secrets protégés par la loi et, le cas échéant, l'indication du recours à un sous-traitant ;
- le cas échéant, les transferts de données à caractère personnel envisagés à destination d'un Etat non membre de la Communauté européenne.

Il existe une procédure de déclaration simplifiée pour les traitements qui ne sont pas de nature à porter atteinte à la vie privée et aux libertés.
Article 24 de la loi de 1978 : déclaration simplifiée de conformité envoyée à la commission. Dans ce cas, l’obligation du responsable du traitement est limitée au respect d’un cahier des charges élaboré par la CNIL.

Article 22 de la loi de 1978 :

- les traitements ayant pour seul objet la tenue d'un registre qui, en vertu de dispositions législatives ou réglementaires, est destiné exclusivement à l'information du public et est ouvert à la consultation de celui-ci ou de toute personne justifiant d'un intérêt légitime.

- Les traitements mis en œuvre par une association ou tout autre organisme à but non lucratif et à caractère religieux, philosophique, politique ou syndical :
-- pour les seules données correspondant à l'objet de ladite association ou dudit organisme ;
-- sous réserve qu'ils ne concernent que les membres de cette association ou de cet organisme et, le cas échéant, les personnes qui entretiennent avec celui-ci des contacts réguliers dans le cadre de son activité ;
-- et qu'ils ne portent que sur des données destinées à une consultation interne.

- Les traitements pour lesquels le responsable a désigné un correspondant à la protection des données à caractère personnel chargé d'assurer, d'une manière indépendante, le respect des obligations prévues par la loi ; sauf lorsqu'un transfert de données à caractère personnel à destination d'un Etat non membre de la Communauté européenne est envisagé.

Le responsable du traitement va devoir être autorisé par la CNIL à réaliser le traitement. Cette procédure concerne les traitements présentant un risque important d’atteintes à la vie privée et aux libertés des individus. Article 25 de la loi de 1978 : la demande doit être accompagnée des mêmes informations que celles requises avec la procédure de déclaration. A compter de la réception de la demande, la CNIL a 2 mois pour se prononcer. A l’expiration de ce délai, le silence doit être interprété comme refus.

Lorsque le traitement est mis en œuvre par des médecins ou des biologistes et qu'ils sont nécessaires aux fins de la médecine préventive, des diagnostics médicaux ou de l'administration de soins ou de traitements, la procédure est celle de la déclaration préalable.

- Les traitements automatisés de données génétiques.
- Les traitements, automatisés ou non, portant sur des données relatives aux infractions, condamnations ou mesures de sûreté, sauf ceux qui sont mis en œuvre par des auxiliaires de justice (avocats) pour les besoins de leurs missions de défense des personnes concernées.
- Les traitements automatisés susceptibles, du fait de leur nature, de leur portée ou de leurs finalités, d'exclure des personnes du bénéfice d'un droit, d'une prestation ou d'un contrat. Les personnes figurant dans ces fichiers doivent être informées, que ces fichiers soient limités à un secteur d’activité précis et que le droit à l’oubli soit respecté. Il faut également veiller à la sécurité de ces fichiers et au risque d’homonymie.
- Les traitements automatisés ayant pour objet l'interconnexion de fichiers relevant d'autres personnes et dont les finalités principales sont différentes.
- Les traitements portant sur des données parmi lesquelles figure le numéro d'inscription des personnes au répertoire national d'identification (RNIPP) des personnes physiques et ceux qui requièrent une consultation de ce répertoire sans inclure le numéro d'inscription à celui-ci des personnes. - Les traitements automatisés de données comportant des appréciations sur les difficultés sociales des personnes.
- Les traitements automatisés comportant des données biométriques nécessaires au contrôle de l'identité des personnes.
Les données biométriques sont des données qui reposent sur la reconnaissance de caractéristiques physiques et permettent de prouver l’identité des personnes.
Le pouvoir de surveillance de la CNIL est limité en ce qui concerne les traitements de données biométriques effectuées par l’Etat nécessaires à l’authentification ou au contrôle de l’identité des personnes.
- Fichiers impliquant une conservation des données au-delà de la durée nécessaire aux finalités pour lesquelles elles ont été collectées ou qui prévoient une utilisation prolongée à des fins autres qu’historiques, statistiques et scientifiques.

- Les traitements d’identification permettent de vérifier l’identité des individus faisant l’objet du traitement ; la finalité du dispositif doit être légitime ;
proportionnalité du dispositif, arbitrage entre les intérêts protégés par la mise en place du traitement et les inconvénients du recueil des données ;
sécurité du dispositif et transparence du traitement des données. // - Le traitement d’authentification.

Article 8 de la loi de 1978 : Il est interdit de collecter ou de traiter des données à caractère personnel qui font apparaître,
directement ou indirectement, les origines raciales ou ethniques, les opinions politiques,
philosophiques ou religieuses ou l’appartenance syndicale des personnes, ou qui sont relatives à la
santé ou à la vie sexuelle de celles-ci.
Article 226-19 CP : le fait de mettre ou de conserver en mémoire informatisée, sans le consentement exprès de l'intéressé, ces données sensibles est puni de cinq ans d'emprisonnement et de 300 000 euros d'amende.

Exceptions :
- Consentement exprès de la personne. Cependant, il y a des interdictions que le consentement de la personne ne peut pas faire tomber (il est interdit aux assureurs de collecter les données génétiques de leurs clients même s’ils y consentent).
- Les traitements nécessaires à la sauvegarde de la vie humaine, mais auxquels la personne concernée ne peut donner son consentement par suite d'une incapacité juridique ou d'une impossibilité matérielle.
- Pour les seules données correspondant à l'objet de ladite association ou dudit organisme ; sous réserve qu'ils ne concernent que les membres de cette association ou de cet organisme et, le cas échéant, les personnes qui entretiennent avec celui-ci des contacts réguliers dans le cadre de son activité ; et qu'ils ne portent que sur des données destinées à une consultation interne.
- Les traitements portant sur des données à caractère personnel rendues publiques par la personne concernée. Par exemple, les hommes politiques.
- Les traitements nécessaires à la constatation, à l'exercice ou à la défense d'un droit en justice.
- Données de santé : le traitement est autorisé lorsqu’elles sont nécessaires aux fins de la médecine préventive, des diagnostics médicaux, de l'administration de soins ou de traitements, ou de la gestion de services de santé et mis en œuvre par un membre d'une profession de santé, ou par une autre personne à laquelle s'impose en raison de ses fonctions l'obligation de secret professionnel. Ou encore lorsqu’elles sont nécessaires à la recherche médicale.
- Les traitements de données réalisés par l’INSEE
- Si les données sensibles sont appelées à faire l'objet à bref délai d'un procédé d'anonymisation préalablement reconnu conforme aux dispositions de la présente loi par la CNIL.
- Les traitements, automatisés ou non, justifiés par l'intérêt public et autorisés.

Article 226-16 Code pénal : le fait, y compris par négligence, de procéder ou de faire procéder à des traitements de données à caractère personnel sans qu'aient été respectées les formalités préalables à leur mise en œuvre prévues par la loi est puni de cinq ans d'emprisonnement et de 300 000 euros d'amende.

Article 2 de la loi du 6 janvier 1978, défintion du traitement : toute opération ou tout ensemble d'opérations portant sur ses données, quel que soit le procédé utilisé, et notamment la collecte, l'enregistrement, l'organisation, la conservation, l'adaptation ou la modification, l'extraction, la consultation, l'utilisation, la communication par transmission, diffusion ou toute autre forme de mise à disposition, le rapprochement ou l'interconnexion, ainsi que le verrouillage, l'effacement ou la destruction.

Article 2 de la loi de 1978 : constitue un fichier de données à caractère personnel tout ensemble structuré et stable de données à caractère personnel accessibles selon des critères déterminés.