Actualité juridique

Protection des données personnelles : les 4 choses à savoir

Le 13/06/2016, par Laetitia Valy, dans Technologies / Droit de l'internet.

Vos réactions...

   

Alors que les plaintes déposées auprès de la CNIL en 2015 ont atteint un nouveau record, la protection de vos données à caractère personnel, et donc de votre vie privée, reste centrale et passe notamment par les droits d'accéder et d'opposition.

La création de fichiers ou traitements de données à caractère personnel est encadrée et doit respecter certaines obligations strictes. Le terme de données personnelles peut vous paraître vaste et peu clair. En effet, son contenu et sa signification peuvent varier d'une personne à l'autre, en fonction de ce que l'on considère comme appartenant ou non à la sphère personnelle, privée. Pour certains, le numéro de téléphone sera une donnée personnelle, alors que pour d'autres il s'agira surtout d'une photo.

Ainsi, les données sont dites personnelles lorsqu'elles permettent d'identifier directement ou non des personnes. Il peut alors s'agir de votre nom, prénom, numéro d'immatriculation, de votre numéro de téléphone, ou encore de votre adresse ou d'une photographie. Il peut également s'agir de vos coordonnées bancaires, de vos données biométriques. Bien sûr, certaines données sont considérées comme plus sensibles que d'autres.

Vous vous demandez sans doute ce qu'est un fichier ou un traitement de données. Un fichier est considéré comme collectant des données à caractère personnel dès lors qu'il permettra d'identifier directement ou non des personnes et que ces données seront collectées, enregistrées, conservées, utilisées, consultées ou transmises (1).

Ainsi, la création, la mise en oeuvre de tels fichiers ou traitements est strictement encadrée en raison du risque encouru pour la vie privée des personnes concernées.

Vous souhaitez savoir comment est garantie votre vie privée :
>>> Veiller aux données personnelles

L'obligation de déclaration

Lorsque vous souhaitez mettre en place un fichier ou un traitement de données à caractère personnel, vous devez réaliser une déclaration auprès de la Commission nationale de l'informatique et des libertés (CNIL). Vous pouvez la faire par voie postale ou par voie électronique.

Attention toutefois, en fonction des données collectées, la déclaration peut varier. En effet, deux types de déclaration existent :

  • La déclaration dite normale pour les fichiers concernant la vie privée ou les libertés individuelles ;
  • La déclaration simplifiée lorsqu'aucune atteinte n'est portée à la vie privée et aux libertés individuelles (2).

>>> Formulaire de déclaration normale auprès de la CNIL

L'obligation d'autorisation

Pour certains fichiers ou traitements, la simple déclaration ne suffit pas. En effet, en raison du caractère sensible des données collectées, une autorisation préalable de la CNIL est nécessaire. Vous vous demandez sans doute ce qu'est une donnée sensible. En effet, l'appréciation de la sensibilité n'est pas chose aisée, d'autant plus lorsque ces données nous concernent directement. La loi est donc venue clarifier la situation en définissant les données à caractère personnel sensibles.

Ainsi, les données sensibles sont celles faisant apparaître, directement ou non, les origines ethniques, les opinions politiques ou religieuses, notamment de la personne. Encore, les données relatives à la santé ou la vie sexuelle sont des données sensibles (3). Par principe, ces données, en raison de leur caractère et des risques qu'elles représentent, ne peuvent faire l'objet d'une collecte ou d'un traitement. Cependant, dans certaines conditions et dans certaines hypothèses, ces données peuvent faire l'objet d'un fichier. Encore, dans la même idée, certaines données sont considérées à risque, telles que les coordonnées bancaires, et doivent faire l'objet de règles strictes (4) telles que l'autorisation préalable.

Enfin, pour la mise en place de certains fichiers, l'autorisation préalable est obligatoire. Ainsi, lorsque la création du fichier ou du traitement entraine un risque d'exclusion pour la personne concernée (exclusion à un droit ou à un contrat), la simple déclaration ne suffit pas. Tel est le cas notamment des listes noires.


>>> Formulaire de demande d'autorisation auprès de la CNIL

L'obligation d'information et de consentement

Au-delà des obligations de déclaration ou d'autorisation, la personne concernée doit généralement être informée et consentir à la collecte et le traitement de données à caractère personnel (5). Ces obligations d'information sont strictes et doivent être respectées.

L'information a notamment pour objectif de permettre à la personne concernée de connaître l'étendue des données collectées, le but, leur utilisation, ainsi que les personnes destinataires de ces données. Cela lui permet également de prendre connaissance des éventuelles conséquences d'une telle collecte, ainsi que de ses droits en termes d'accès, de rectification et d'opposition.

Les risques encourus

En cas de non-respect de vos obligations légales, vous vous exposez à des sanctions. Si les sanctions peuvent être pénales, la CNIL est également habilitée à prononcer diverses sanctions (6).

Ainsi, lorsque vous ne réalisez pas la déclaration préalable obligatoire, vous risquez une peine pénale pouvant aller jusqu'à 5 ans d'emprisonnement et 300 000 euros d'amende (7). Encore, est puni des mêmes peines le fait de collecter des données à caractère personnel par un moyen frauduleux, déloyal ou illicite.

En outre, la CNIL peut également prononcer des sanctions. Ainsi, à titre d'exemple, la Commission peut prononcer un avertissement, après une procédure contradictoire. Elle a également la possibilité de décider d'une sanction pécuniaire ou encore d'une injonction de cesser le traitement.

En cas de litige, n'hésitez pas à faire appel à un avocat !

En conséquence, il est vivement conseillé d'attendre la réception du récépissé pour mettre en oeuvre un tel fichier ou traitement de données à caractère personnel. Pensez également à bien informer la personne concernée, ainsi qu'à recueillir son consentement, par l'intermédiaire d'une case cochée par exemple.

Sources :

(1) Article 2 de la loi n°78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés
(2) Délibération n° 2012-209 du 21 juin 2012 portant création d'une norme simplifiée concernant les traitements automatisés de données à caractère personnel relatifs à la gestion de clients et de prospects (Norme simplifiée n° 48)
(3) Article 8 de la loi n°78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés
(4) Article 25 de la loi n°78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés
(5) Articles 7, 57 de la loi n°78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés
(6) Articles 45 à 52 de la loi n°78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés
(7) Article 226-16 à 226-16-1 du Code pénal

© 2016 Net-iris

   

Inscription JuriTravail Avocats

Pour approfondir ce sujet :

Commentaires et réactions :



-