LA PROTECTION DES DONNEES PERSONNELLES
LECON 1 Principe et définitions
En préambule : principes fondamentaux Ils sont énumérés dans l’Article 1er identique à 1978 :
L'informatique doit être au service de chaque citoyen. Son développement doit s'opérer dans le cadre de la coopération internationale. Elle ne doit porter atteinte ni à l'identité humaine, ni aux droits de l'homme, ni à la vie privée, ni aux libertés individuelles ou publiques.
Rapport Tricot préparant la loi de 1978 « Maîtriser l’informatique sans la paralyser »
1-1 Définitions
1-1-1 Champ d’application de la loi Article 2 al 1
La présente loi s’applique aux traitements automatisés de données à caractère personnel, ainsi qu’aux traitements non automatisés de données à caractère personnel contenues ou appelées à figurer dans des fichiers, à l’exception des traitements mis en oeuvre pour l’exercice d’activités exclusivement personnelles, lorsque leur responsable remplit les conditions prévues à l’article 5.
Trois concepts doivent donc être définis :"traitement", "donnée à caractère personnel" et "fichier »
1-1-2 Les données à caractère personnel
Art 2 al2. - Définition : Constitue une donnée à caractère personnel toute information relative à une personne physique identifiée ou qui peut être identifiée, directement ou indirectement, par référence à un numéro d’identification ou à un ou plusieurs éléments qui lui sont propres. Pour déterminer si une personne est identifiable, il convient de considérer l’ensemble des moyens en vue de permettre son identification dont dispose ou auxquels peut avoir accès le responsable du traitement ou toute autre personne.
Dans sa rédaction antérieure de 1978, la loi parlait d'informations nominatives. C’est la même chose. Nous avons :
« Toute information relative à une personne physique ». Et uniquement aux personnes physiques !
« Qui peut être identifiée, directement ou indirectement » quelque soit la technique (codages recodages successifs…
«Par référence à un numéro d’identification ou à un ou plusieurs éléments qui lui sont propres ». Plusieurs éléments ouvre la loi à n’importe quelle technique présente ou future (ADN Biotechnologies etc.)
COURS NOTES PERSONNELLES
- Critères : Pour déterminer si une personne est identifiable, il convient de considérer l’ensemble des moyens en vue de permettre son identification dont dispose ou auxquels peut avoir accès le responsable du traitement ou toute autre personne.
Enfin art2 dernier al. La personne concernée par un traitement de données à caractère personnel est celle à laquelle se rapportent les données qui font l’objet du traitement. Donc pas une autre. Cela est important lorsqu’une personne veut exercer ses droits : c’est elle et non une autre qui a compétence….si tel n’était pas le cas la loi se contredirait…..
Une exception essentielle pour les libertés
Article 2 al 1
…à l’exception des traitements mis en oeuvre pour l’exercice d’activités exclusivement personnelles, lorsque leur responsable remplit les conditions prévues à l’article 5.
Ce texte reprend l'ancien article 45 de la loi du 6 janvier 1978 excluant de certaines prescriptions de la loi les fichiers manuels « dont l'usage relève du strict exercice du droit à la vie privée » et l’étend même par le concept « d’activité exclusivement personnelle ».
C’est logique : il ne peut y avoir protection des données personnelles si l’individu n’est pas déjà protégé dans ses activités purement personnelles ; la loi se « retire » donc ce domaine strictement privé.
Cette protection de la loi se comprend donc comme une protection de la personne physique vis-à-vis des autres.
1-1-3 Les traitements
Art2 al 3 Constitue un traitement de données à caractère personnel toute opération ou tout ensemble d’opérations portant sur de telles données, quel que soit le procédé utilisé, et notamment la collecte, l’enregistrement, l’organisation, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, ainsi que le verrouillage, l’effacement ou la destruction.
Mot important : notamment. L’énumération qui suit ne l’est qu’à titre indicatif. Toute nouvelle technique sera automatiquement intégrée dans le champ d’application de la loi. (C’était déjà le cas en 1978).
Traitement =
- toute opération
1-1-4 Les fichiers
Art2 al 4 Constitue un fichier de données à caractère personnel tout ensemble structuré et stable de données à caractère personnel accessibles selon des critères déterminés.
Donc : - ensemble structuré et stable - de données à caractère personnel
Attention : il n’est fait nullement référence au support matériel du fichier : il en résulte que la loi s’applique à tous fichiers de données personnelles : informatisé, papier etc.….. (C’était le fameux art 45 de 1978)
1-1-5 Les fichiers temporaires des réseaux.
Article 4 Les dispositions de la présente loi ne sont pas applicables aux copies temporaires qui sont faites dans le cadre des activités techniques de transmission et de fourniture d’accès à un réseau numérique, en vue du stockage automatique, intermédiaire et transitoire des données et à seule fin de permettre à d’autres destinataires du service le meilleur accès possible aux informations transmises.
Conditions :
1- être faites dans le cadre d'activités techniques de transmission et de fourniture d'accès à un réseau numérique,
2- en vue du stockage automatique, intermédiaire et transitoire des données
3- à seule fin de permettre à d'autres destinataires du service le meilleur accès possible aux informations transmises.
Cette exception est liée aux spécificités techniques de l’Internet : tel est par exemple l’activité de « cache » que les « proxys » des fournisseurs d’accès proposent aux internautes. Dans la mesure où le caractère temporaire de ces fichiers conduit à leur effacement rapide, la loi ne s’applique pas à cette activité.
COURS NOTES PERSONNELLES
1-2 Les acteurs :
1-2-1 Le responsable du traitement : NOTION NOUVELLE (2004)
La loi de 1978 ne comportait aucune définition du responsable de traitement
1-2-1-1 Définition
Article 3- I Le responsable d’un traitement de données à caractère personnel est, sauf désignation expresse par lesdispositions législatives ou réglementaires relatives à ce traitement, la personne, l’autorité publique, le service ou l’organisme qui détermine ses finalités et ses moyens.
Cette définition permet de déterminer la personne physique ou morale
- à laquelle les obligations de la loi s’imposent.
- Sur quel territoire
A retenir le critère : celui… qui détermine ses finalités et les moyens du traitement de données à caractère personnel Il en résulte par le jeu de l’Article 5 :
Article 5 I. - Sont soumis à la présente loi les traitements de données à caractère personnel :
1° Dont le responsable est établi sur le territoire français. Le responsable d'un traitement qui exerce une activité sur le territoire français dans le cadre d'une installation, quelle que soit sa forme juridique, y est considérée comme établi
Critères si le Responsable est établi sur le territoire français : - activité sur le territoire français
- quelle que soit sa forme juridique
2° « Dont le responsable, sans être établi sur le territoire français ou sur celui d'un autre Etat membre de la Communauté européenne, recourt à des moyens de traitement situés sur le territoire français, à l'exclusion des traitements qui ne sont utilisés qu'à des fins de transit sur ce territoire ou sur celui d'un autre Etat membre de la Communauté européenne ».
- à l'exclusion des traitements qui ne sont utilisés qu'à des fins de transit (c'est-à-dire passage purement technique des données par le territoire)
- avec une obligation : un représentant établi sur le territoire français
- Pour les traitements mentionnés au 2° du I, le responsable désigne à la Commission nationale de l'informatique et des libertés un représentant établi sur le territoire français, qui se substitue à lui dans l'accomplissement des obligations prévues par la présente loi ; cette désignation ne fait pas obstacle aux actions qui pourraient être introduites contre lui.
1-2-1-2 La sous-traitance (article 35, alinéa 1)
Bien que le traitement remplisse les différentes conditions de licéité et que son responsable ait effectué les formalités préalables adéquates, il n'est pas possible de le confier à un sous-traitant sans contrôle. En effet, l'article 35 de la loi précise que "les données à caractère personnel ne peuvent faire l'objet d'une opération de traitement de la part d'un sous- traitant, d'une personne agissant sous l'autorité du responsable du traitement ou de celle du sous-traitant, que sur instruction du responsable du traitement". Le responsable du traitement déclaré à l'origine est donc responsable de toute utilisation incorrecte du traitement pendant toute la période où il peut être mis en oeuvre, qu'elle soit de son fait ou de celui d'une autre personne à qui il aurait confié le traitement.
1-2-2 Le destinataire du traitement :
Article 3-II. - Le destinataire d’un traitement de données à caractère personnel est toute personne habilitée à recevoir communication de ces données autre que la personne concernée, le responsable du traitement, le sous-traitant et les personnes qui, en raison de leurs fonctions, sont chargées de traiter les données. Toutefois, les autorités légalement habilitées, dans le cadre d’une mission particulière ou de l’exercice d’un droit de communication, à demander au responsable du traitement de leur communiquer des données à caractère personnel ne constituent pas des destinataires.
1-2-2-1 Définition très précise : toute personne habilitée à recevoir communication de ces données et personne d’autre.
Exemple, un jury d’examen est destinataire du traitement des données (Apogée) calculant les résultats des étudiants.
COURS NOTES PERSONNELLES
1-2-2-2) Cas particuliers
1- Mineurs : Lorsque ces traitements sont relatifs aux mineurs, la loi précise que les destinataires sont les titulaires de l'autorité parentale.
2- Majeurs incapables sous tutelle : Il s'agira du représentant légal (art58)
3- Recherche médicale : le destinataire des informations traitées est le responsable de la recherche désigné par la personne autorisée à mettre en oeuvre le traitement (article 55).
1-2-2-3 Ne sont pas « destinataires » au sens de la loi :
1) « les autorités légalement habilitées, dans le cadre d’une mission particulière ou de l’exercice d’un droit de communication, à demander au responsabledu traitement de leur communiquer des données à caractère personnel ne constituent pas des destinataires ».
Cela ne signifie pas que ces autorités échappent au droit.
Cela signifie qu’elles ne rentrent pas dans le régime du
« destinataire » tel que l’entend la loi. Elles sont légalement habilitées et peuvent se faire communiquer des données par le destinataire sans en avoir la qualification :
Exemple : -la CNIL dans le cadre de sa mission : elle peut contrôler si le traitement des notes des étudiants est fait dans les conditions de sécurité et confidentialité requises par la loi.
-La justice (article 6 - I I d e l a L CE N ) requérant aux fournisseurs d'accès internet ou aux fournisseurs d'hébergement communication des données de nature à permettre l'identification d'un client.
2) «… autre que la personne concernée… » : la personne qui fait l’objet du traitement et qui dispose de droits particuliers. (Dans mon exemple, l’étudiant désirant connaître son relevé de notes)
3) le responsable qui a son régime juridique propre. (Ici, c’est l’Université, par la personne de son Président)
4) le sous-traitant et les personnes qui, en raison de leurs fonctions, sont chargées de traiter les données.
Là aussi, ces personnes échappent au régime juridique du destinataire…mais n’échappent pas au droit, nous le verrons plus bas. Toujours dans mon exemple : la personne qui saisit les notes, le service informatique …)
1-2-3 Le Correspondant à la protection des données personnelles
C’est une nouveauté de la loi de 2004 qui apparaît dans l’article 22 (chapitre IV formalités préalables à la mise en œuvre des traitements) , ceci pour simplifier les formalités de mise en œuvre des traitements. C’est donc une nouvelle fonction dans l’entreprise qui est ainsi créée.
- une circulaire du 12 mars 1993 a déjà créé dans les ministères les « correspondants informatique et libertés » chargés de veiller à la protection de la vie privée dans les traitements automatisés, des sortes de
« responsables /correspondants » de la CNIL dans un ministère
La loi généralise cette fonction en permettant la création de tels correspondants au sein des entreprises, des collectivités territoriales et des associations.
Une telle fonction existe déjà aux Etats-Unis, En Allemagne, (les entités tant publiques que privées de plus de quatre employés doivent avoir un « data protection officer ») en Finlande, (le « Data Protection Ombudsman ») en Norvège, Suisse et Grande-Bretagne.
Certains Etats, comme l'Allemagne, les Pays-Bas et la Suède, exemptent les entreprises employant un délégué à la protection des données de certaines obligations légales (comme la déclaration des traitements de données à l'autorité de protection).
Art 22 III ….La désignation du correspondant est notifiée à la Commission nationale de l’informatique et des libertés. Elle est portée à la connaissance des instances représentatives du personnel.
Le correspondant est une personne bénéficiant des qualifications requises pour exercer ses missions. Il tient une liste des traitements effectués immédiatement accessible à toute personne en faisant la demande et ne peut faire l’objet d’aucune sanction de la part de l’employeur du fait de l’accomplissement de ses missions. Il peut saisir la Commission nationale de l’informatique et des libertés des difficultés qu’il rencontre dans l’exercice de ses missions.
En cas de non-respect des dispositions de la loi, le responsable du traitement est enjoint par la Commission nationale de l’informatique et des libertés de procéder aux formalités prévues aux articles 23 et 24. En cas de manquement constaté à ses devoirs, le correspondant est déchargé de ses fonctions sur demande, ou après consultation, de la Commission nationale de l’informatique et des libertés.
COURS NOTES PERSONNELLES
1-2-3-1 La Fonction
Il est destiné à « favoriser l'application de la loi du 6 janvier 1978 en facilitant sa prise en considération par les entreprises » au travers d'une meilleure circulation de l'information.
Ce correspondant est « chargé d'assurer, d'une manière indépendante, le respect des obligations prévues par /a présente loi ». La désignation d'un tel correspondant est notifié à la Commission et est portée, par l'employeur, à la connaissance des instances représentatives du personnel Pour remplir ce rôle pivot, la loi impose que le correspondant soit « une personne bénéficiant des qualifications requises pour exercer ses missions ». Ces qualifications doivent être portées à la connaissance de la CNIL lors de la notification de la désignation du correspondant.
Il ne peut faire l'objet d'une quelconque sanction de la part de son employeur du fait de l'accomplissement de ses missions et cela bien qu'il ne s'agisse pas d'un « salarié protégé » au sens du Code du travail. Cependant la question de son indépendance vis-à-vis de son employeur se pose réellement.
1-2-3-2 Missions
- Le correspondant doit tenir une liste de l'ensemble des traitements effectués qui doit être immédiatement accessible à toute personne en faisant la demande.
L'objectif est de limiter les fichiers clandestins puisque la tenue de ce registre peut permettre de révéler à l'autorité de contrôle les fichiers auparavant non déclarés.
- En contrepartie, la loi ne soumet plus aux formalités de déclaration préalable prévues aux articles 23 et 24 les traitements pour lesquels le responsable a désigné un tel correspondant sauf lorsque le transfert de données à destination d'un État non membre de l'Union européenne est envisagé. Ce dispositif ne vise pas les traitements soumis à autorisation préalable.
1-2-3-2 Relations avec la CNIL
En cas de difficultés dans l'exercice de ses missions, il peut saisir la Commission.
En cas de non-respect des dispositions de la loi, le responsable du traitement est enjoint par la Commission de procéder aux formalités de déclaration prévues aux articles 23 et 24.
