Traitements de données à caractère personnel : les principes

Publié le 1 mars 2012 dans Articles et Actualités / Vie privée et données à caractère personnel

 
Depuis la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, dite « loi Informatique et Libertés », toute personne mettant en œuvre un traitement de données personnelles est tenue de respecter diverses obligations légales, sous peine de voir sa responsabilité, civile ou pénale selon les cas, engagée.

Cette loi a été modifiée par la loi du 6 août 2004 pour l’adapter à certaines évolutions de notre société et aux nouvelles technologies, en particulier au développement d’internet et des réseaux.

Le champ d’application de la loi Informatique et Libertés est très large.

Sont concernées toutes les données permettant d’identifier directement ou indirectement une personne physique.

Le responsable du traitement est tenu, préalablement à sa mise en œuvre, selon les cas et notamment en fonction du degré de sensibilité des données en cause, d’effectuer une déclaration auprès de la Commission Nationale Informatique et Libertés (CNIL) ou d’obtenir une autorisation.

Lors de la collecte des données, les personnes concernées doivent en principe donner leur autorisation et être informées de leurs droits (droit d’accès, de rectification, droit d’opposition, etc.) ainsi que d’autres informations concernant le traitement, portant en particulier sur sa finalité.

Lors de la mise en œuvre du traitement, le responsable doit veiller en permanence à ne pas s’écarter de la finalité déclarée et à respecter diverses obligations, notamment en matière de sécurité et confidentialité des données, en cas de sous-traitance d’opérations techniques sur les données, ou en ce qui concerne la durée de conservation des données.

S’il est envisagé de communiquer les données à un tiers ou d’utiliser les données pour effectuer des opérations de prospection commerciale, par exemple pour des opérations d’emailing, l’autorisation préalable des personnes concernées est en principe requise, conformément à la règle dite de l’ « opt-in », et elles doivent en outre pouvoir à tout moment faire valoir leur droit d’opposition.

La méconnaissance de la plupart des obligations légales relatives aux données personnelles peut constituer un délit, passible d’une peine d’emprisonnement et d’amende.

Le respect de la législation Informatique et Libertés est indispensable pour sécuriser une activité sur internet, dès que le site collecte de quelque manière que ce soit des données personnelles, y compris s’il s’agit d’adresses email ou encore d’adresses IP par exemple dans des fichiers logs ou journaux de connexions.

Le respect de ces règles est aussi indispensable pour toute entreprise, car une entreprise met nécessairement en oeuvre des traitements de données personnelles.

Au minimum, le fichier des clients et prospects, le fichier de gestion du personnel et de la paye, la facturation des téléphones mis à la disposition des salariés sont soumis à la loi Informatique et Libertés.

Il en est de même, à plus forte raison, pour les dispositifs de vidéosurveillance, de badges pour l’accès aux locaux, de géolocalisation des véhicules des salariés, etc.