UTILISATION DES DONNÉES PERSONNELLES

Aujourd’hui les données à caractère personnel sont particulièrement présentes sur internet. La donnée à désormais une valeur importante pour les entreprises. Ces dernières les récoltent pour pouvoir connaître davantage leur client. Les services proposés sur internet sont majoritairement gratuits. Cela n’est pas réellement gratuit, en échange, les clients ou les internautes fournissent leurs données personnelles. Il est nécessaire de protéger ces dernières.

NOUVEAU : Utilisez nos services pour faire retirer un contenu concernant votre vie privée en passant par le formulaire !

L’importance des données personnelles ne fait qu’augmenter avec l’évolution des nouvelles technologies. L’enjeu de leur protection est crucial pour garantir la vie privée des personnes concernées.

Le législateur a donc dû intervenir. Le texte fondamental sur la protection des données en France est la loi dite « Informatique et Libertés » adoptée en 1978. Cette loi est intervenue suite à un projet du ministère de l’Intérieur. Le projet SAFARI menaçait de créer un fichier contenant toutes les données des citoyens français. Ce projet n’a donc pas vu le jour en raison de la loi informatique et liberté.


Besoin de l’aide d’un avocat pour un problème de vie privée?

Téléphonez-nous au : 01 43 37 75 63

ou contactez-nous en cliquant sur le lien


Depuis, cette loi a subi de nombreuses modifications. la loi s’attache désormais à protéger chaque donnée, contenue ou non dans un fichier. En effet, des acteurs privés ont désormais la possibilité de collecter des données de manière massive et sophistiquée.

En 2016, le règlement européen sur la protection des données a été adopté.  Le règlement général sur la protection des données personnelles (RGPD) est entré en application le 25 mai 2018. Ce règlement est venu modifier la loi « informatique et libertés » en 2019.

La CNIL définit la donnée personnelle comme « Toute information relative à une personne physique susceptible d’être identifiée, directement ou indirectement, peu importe que ces informations soient confidentielles ou publiques ». De plus, l’article 6 de la loi informatique et liberté prévoit une liste des données dites sensibles. Le traitement de ces dernières est par principe interdit, en effet « Il est interdit de traiter des données à caractère personnel qui révèlent la prétendue origine raciale ou l’origine ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l’appartenance syndicale d’une personne physique ou de traiter des données génétiques, des données biométriques aux fins d’identifier une personne physique de manière unique, des données concernant la santé ou des données concernant la vie sexuelle ou l’orientation sexuelle d’une personne physique. »

Aujourd’hui le modèle économique de plusieurs entreprises repose sur la connaissance du client par rapport à ses données personnelles. Le ciblage du consommateur est essentiel pour des services tels que les réseaux sociaux, les sites de vente en ligne ou encore les moteurs de recherche.

L’avènement des GAFAM est fondé sur ce modèle. À titre d’exemple, Facebook mise sur l’économie du « like », Amazon va de fait appuyer ses ventes sur ce que « veut » le consommateur, et notamment grâce aux algorithmes prédictifs et aux trackers. Google base également son système sur les recherches et « mots-clefs » les plus importants ayant été tapés.

Les données, une fois récoltées par ces entreprises, leur permettent de disposer d’informations importantes sur les consommateurs et leurs comportements. Cela améliore leur rentabilité.

Néanmoins, ces pratiques posent d’importantes questions au regard, notamment, du droit à la vie privée et à la confidentialité des internautes.

Au regard du caractère personnel de ces données, la loi fixe un cadre strict et des limites à l’exploitation qui peut en être faite : des sanctions administratives et pénales sont prévues en cas d’infraction. Ainsi, l’utilisation des données personnelles est contrôlée au regard des textes applicables (II) et doit respecter un certain nombre d’obligations (I).


I- Une utilisation des données à caractère personnel encadré

Un traitement est licite si la collecte des données est loyale et adéquate au regard des finalités du traitement de données qui doivent être exactes, complètes et conservées sous une forme permettant l’identification des personnes concernées. Ainsi, de nombreux principes sont posés quant à l’utilisation des données personnelles (B) ces dernières se retrouvent dans les principaux textes existant en la matière (A).

A)  Les principaux textes en la matièr

Différents textes ont le jour avant l’arrivée du règlement général sur la protection des données. Il convient de revenir sur l’évolution de la prise en compte de l’importance de cette protection.

Tout d’abord une directive a été adoptée en 1995. Il s’agit de la directive 95/46/CE. Cette dernière porte sur la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation des données.

Par la suite, cette directive s’est vue complétée en 1997, avec l’adoption d’une directive sur le secteur des télécommunications (directive 97/66/CE), ces deux directives ont modifié la loi du 6 janvier 1978 avec la loi de transposition du 6 août 2004.

De plus, la directive 2002/58/CE du 12 juillet 2002 modifiée en 2006 concernant le traitement des données personnelles dans le secteur des communications électroniques accessibles au public a été transposée dans la loi pour la confiance dans l’économie numérique et dans l’article L 34-1 du Code des postes et des communications électroniques.

La directive nommée « paquet Télécom » transposée en 2011 en droit français a également permis une meilleure prise en compte de la donnée.

La loi pour une république numérique est entrée en vigueur en 2016, avec pour objectif l’amélioration de la protection des données.

Finalement, le RGPD est entré en vigueur en 2018 après avoir été adopté en 2016. Il viendra modifier la loi informatique et liberté en 2019. Celui-ci a permis une harmonisation des règles au sein de l’Union européenne.

B)  Les principes à respecter

La loi Informatique et Liberté prévoit différents principes à respecter lorsque l’on traite de données à caractère personnel. Les données doivent être traitées de manière licite et loyale.

Les différents principes sont les suivants :

  • Le principe de licéité. La loi prévoit 6 bases de licéité de traitement en son article 5. Il s’agit du soit du : Consentement de la personne concernée ; Traitement nécessaire à l’exécution d’un contrat ; Traitement nécessaire au respect d’une obligation légale ; Traitement nécessaire à la sauvegarde des intérêts vitaux ; Traitement nécessaire à l’exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique
  • La collecte de données doit être faite en raison d’une finalité (article 4 de la loi). Celle-ci doit être déterminée à l’avance, explicite et légitime. Ainsi, le but poursuivi du traitement doit être clair.
  • Le principe de minimisation des données. L’article 4 alinéa 3 de la loi informatique et liberté précise que les données doivent être « Adéquates, pertinentes et, au regard des finalités pour lesquelles elles sont traitées, limitées à ce qui est nécessaire » (article 4-3 LIL). La collecte doit strictement être nécessaire à la finalité poursuivie.
  • Le principe de l’exactitude des données. L’article 4 alinéa 4 de la loi énonce que les données doivent être « Exactes et, si nécessaire, tenues à jour. Toutes les mesures raisonnables doivent être prises pour que les données à caractère personnel qui sont inexactes, eu égard aux finalités pour lesquelles elles sont traitées, soient effacées ou rectifiées sans tarder ».
  • Le principe de la limitation de la conservation des données. L’article 4 alinéa 5 de la loi prévoit la limitation de la conservation des données, en effet, la conservation doit être limitée au regard de la finalité. Les données pourront tout de même être conservées dans certains cas. Il est possible de les conserver à des fins d’archivage dans l’intérêt public ou à des fins statistiques, historiques ou encore scientifiques. Elles devront faire l’objet d’une anonymisation. En dehors de ces cas, les données devront être effacées.
  • Les droits des personnes concernées. Il existait déjà de nombreux droits avant l’arrivée du RGPD. Il s’agit : du droit d’accès ( permettant de savoir quelles sont les données traitées et d’en contrôler l’exactitude) ; Le droit de rectification (si les données sont inexactes ou incomplètes, il sera possible de les corriger) ; Le droit à l’oubli (lorsque les données ne sont plus nécessaires au regard de la finalité poursuivie ou que la personne retire son consentement lorsqu’il s’agissait de la base de licéité) ; Le droit d’opposition ( il ne s’agit pas d’un droit automatique, il n’est possible que dans certains cas et quand des raisons le justifient, néanmoins il sera toujours possible en cas de prospection commerciale sans nécessité de motif particulier). Le règlement a également apporté de nouveaux droits : le droit à la portabilité des données (permettant de transférer les données auprès d’un responsable de traitement pour les transférer à un autre, ce droit s’appliquera si la base de licéité du traitement est basée sur le consentement ou un contrat) enfin il y a le droit de ne pas faire l’objet de décision fondée sur un traitement automatisé.

 

II- Une utilisation des données à caractère personnel contrôlée

Pour assurer la mise en œuvre des droits et des obligations instaurés par la loi de 1978, cette dernière a instauré un organisme spécialisé : la Commission nationale de l’informatique et des libertés (A). Mais, le non-respect des dispositions de la loi peut également être sanctionné par les tribunaux (B).

A)   Le contrôle exercé par la CNIL

Concernant la protection des données personnelles, la CNIL est l’autorité nationale compétente, elle dispose ainsi d’un pouvoir de sanction ainsi que de contrôle. Elle prononce des sanctions qui doivent être proportionnées et dissuasives. L’importance étant de pousser les entreprises vers la conformité.

Les sanctions qui peuvent être prononcées par la CNIL sont variées. Il y a par exemple :

  • L’injonction de se mettre en conformité
  • Un simple rappel à l’ordre
  • La limitation temporaire ou définitive du traitement
  • Le retrait d’une certification
  • Les amendes administratives

Concernant les amendes administratives, le montant évolue selon la gravité des manquements. L’amende peut s’élever à un maximum de 20 millions d’euros ou de 4 % du chiffre d’affaires mondial de l’entreprise, selon lequel est le plus important.

Les contrôles peuvent être exercés à tout moment par les agents de la CNIL. Ils pourront avoir lieu sur les lieux de l’entreprise, à distance ou en échangeant certains documents. Au cours du contrôle ils pourront interroger toutes les personnes de l’entreprise, demander une copie de tout document jugé utile. L’objectif étant de s’assurer de la conformité de l’entreprise. Ces contrôles concernent autant les grandes entreprises que les plus petites, peu importe qu’elles soient publiques ou privées. Un contrôle peut éventuellement être refusé, sauf si celui-ci a été autorisé par le juge des libertés et de la détention. Néanmoins, il est grandement conseillé de coopérer, le contrôle aura lieu dans tous les cas.

La CNIL peut s’autosaisir pour réaliser un contrôle, elle peut également intervenir après un signalement. Par la suite, la CNIL rendra sa décision, celle-ci fera soit l’état de la conformité soit elle constatera les manquements ce qui entraînera des sanctions.

B)  Le rôle des tribunaux

Le juge dispose également d’un rôle important. Il est arrivé qu’il est un point de vue différent de celui de l’autorité administrative. La CNIL a notamment refusé que la Société des auteurs, compositeurs et éditeurs de musique (SACEM) ainsi que la société pour l’administration du droit de reproduction mécanique (SRDM) mettent en œuvre un système de surveillance des réseaux d’échanges de fichiers destinés à lutter contre la contrefaçon. Le Conseil d’État lui a estimé que ce système traitant des données était proportionné au vu du volume des échanges sur les réseaux.

Le nombre d’infractions liées au traitement des données personnelles a augmenté ces dernières années en raison de l’importance actuelle des données personnelles. Ainsi, en cas de non-respect des obligations prévues par la loi, le Code pénal prévoit différentes infractions (notamment aux articles L. 226-16 à L. 226-31 pour les délits et R. 625-10 à R. 625-13 pour les contraventions).

La personne encourant des sanctions pénales est le responsable de traitement, celui-ci peut être une personne physique ou morale (article 226-24 Code pénal). La loi impose des obligations concernant les devoirs du responsable de traitement, telless que la sécurisation des traitements ou encore la conservation des données. La loi prévoit d’autre part une protection contre l’utilisation abusive des données, comme la collecte frauduleuse, déloyale ou illicite ou encore le détournement de la finalité de traitement. Ce dernier fait encourir au responsable de traitement une amende de 300 000 euros ainsi que 5 ans d’emprisonnement.

Pour lire une version plus complète de cet article sur la vie privée, cliquez

Sources :

https://www.cnil.fr/fr/la-loi-informatique-et-libertes
https://www.cnil.fr/fr/respecter-les-droits-des-personnes
https://www.cnil.fr/fr/definition/donnee-personnelle
https://www.cnil.fr/fr/assurer-votre-conformite-en-4-etapes
https://www.cnil.fr/fr/le-controle-de-la-cnil

Cet article a été rédigé pour offrir des informations utiles, des conseils juridiques pour une utilisation personnelle, ou professionnelle. Il est mis à jour régulièrement, dans la mesure du possible, les lois évoluant régulièrement. Le cabinet ne peut donc être responsable de toute péremption ou de toute erreur juridique dans les articles du site. Mais chaque cas est unique. Si vous avez une question précise à poser au cabinet d’avocats, dont vous ne trouvez pas la réponse sur le site, vous pouvez nous téléphoner au 01 43 37 75 63.