Depuis la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, dite « loi Informatique et Libertés », toute personne mettant en œuvre un traitement de données personnelles est tenue de respecter diverses obligations légales, sous peine de voir sa responsabilité, civile ou pénale selon les cas, engagée.

Cette loi a été modifiée par la loi du 6 août 2004 pour l’adapter à certaines évolutions de notre société et aux nouvelles technologies, en particulier au développement d’internet et des réseaux.

Domaine d’application

Le champ d’application de la loi Informatique et Libertés est très large.

Sont concernées toutes les données permettant d’identifier directement ou indirectement une personne physique.

Sont considérés comme des traitements de données à caractère personnel toute opération sur de telles données (collecte, conservation, transmission, etc.).

Le respect de la législation Informatique et Libertés est indispensable notamment pour sécuriser une activité sur internet, dès que le site collecte de quelque manière que ce soit des données personnelles, y compris s’il s’agit d’adresses email ou encore d’adresses IP par exemple dans des fichiers logs ou journaux de connexions.

Le respect de ces règles est aussi indispensable pour toute entreprise, car une entreprise met nécessairement en oeuvre des traitements de données personnelles. Au minimum, le fichier des clients et prospects, le fichier de gestion du personnel et de la paye, la facturation des téléphones mis à la disposition des salariés sont soumis à la loi Informatique et Libertés. Il en est de même, à plus forte raison, pour les dispositifs de vidéosurveillance, de badges pour l’accès aux locaux, de géolocalisation des véhicules des salariés, etc.

Obligations du responsable de traitement

Le responsable du traitement est tenu, préalablement à sa mise en œuvre, selon les cas et notamment en fonction du degré de sensibilité des données en cause, d’effectuer une déclaration auprès de la Commission Nationale Informatique et Libertés (CNIL) ou d’obtenir une autorisation.

Lors de la collecte des données, les personnes concernées doivent en principe donner leur autorisation et être informées de leurs droits (droit d’accès, de rectification, droit d’opposition, etc.) ainsi que d’autres informations concernant le traitement, portant en particulier sur sa finalité.

Lors de la mise en œuvre du traitement, le responsable doit veiller en permanence à ne pas s’écarter de la finalité déclarée et à respecter diverses obligations, notamment en matière de sécurité et confidentialité des données, en cas de sous-traitance d’opérations techniques sur les données, ou en ce qui concerne la durée de conservation des données.

S’il est envisagé de communiquer des données personnelles à un tiers ou d’utiliser des données personnelles pour effectuer des opérations de prospection commerciale, par exemple pour des opérations d’emailing, l’autorisation préalable des personnes concernées est en principe requise, conformément à la règle dite de l’ « opt-in », et elles doivent en outre pouvoir à tout moment faire valoir leur droit d’opposition.

Sanctions et contrôle

La méconnaissance de la plupart des obligations légales relatives aux données personnelles peut constituer un délit, passible d’une peine d’emprisonnement et d’amende.

La CNIL dispose aussi d’un pouvoir de sanction et d’amende à l’encontre des contrevenants.