Grands principes de la protection des données personnelles

Rédigé par des auteurs spécialisés Ooreka  À jour en décembre 2020

Sommaire

Chaque individu est aujourd'hui une banque de données sollicitée par les entreprises, associations et services publics.

Avant de leur confier ces données, il est impératif que chacun comprenne de quelles données il s'agit et quels sont les grands principes qui régissent la protection de ces données à caractère personnel. Nous faisons le point.

Qu'est-ce qu'une donnée à caractère personnel ?

Une donnée à caractère personnel correspond à « toute information relative à une personne physique identifiée ou identifiable, directement ou indirectement ... » (article 4 du règlement (UE) 2016/679 du 27 avril 2016).

Pour déterminer si une personne est identifiable, il faut prendre en compte l’ensemble des moyens permettant son identification. Par exemple, constituent naturellement des données personnelles :

  • les nom et prénom et numéro de sécurité sociale ;
  • l'adresse électronique personnelle (nom.pré[email protected]) ou professionnelle (nom.pré[email protected]) ;
  • une plaque d'immatriculation (un véhicule est nécessairement rattaché à une carte grise qui porte elle-même le nom du conducteur) ;
  • des données de localisation ;
  • un identifiant en ligne ;
  • un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale.

Protection des données à caractère personnel

La loi qui protège les données à caractère personnel

À l’heure où l’informatique et les réseaux sociaux favorisent la libre circulation des informations, la loi Informatique et libertés n° 78-17 du 6 janvier 1978 a notamment eu pour ambition de veiller à ce que les préoccupations économiques et financières ne l’emportent pas sur la préservation des droits fondamentaux de chacun.

Depuis 1978, le droit à la protection des données à caractère personnel est un droit indépendant et distinct du droit à la protection de la vie privée.

Les grands principes de la loi protégeant les données

La loi Informatique et libertés protège le traitement des données à caractère personnel des personnes physiques. Cette protection porte 5 grands principes :

Loyauté du traitement des données :

  • il faut choisir une finalité précise pour collecter des données ;
  • les données que les organismes collectent doivent être proportionnées au regard de la finalité choisie ;
  • les données doivent être exactes, complètes et à jour ;
  • les données ne doivent pas être conservées au-delà de la durée nécessaire à l'exploitation des données pour la finalité choisie (3 ans maximum).

Droit des personnes dont les données sont collectées :

  • les personnes doivent être informées de l'existence du traitement de leur données et ces mêmes personnes ont le droit d'accéder, de modifier, rectifier ou supprimer ces données ;
  • elles ont le droit à la portabilité de ces données;
  • enfin, il est possible de s'opposer à l'utilisation des ces données pour de la prospection commerciale.

Sécurité et confidentialité des données :

  • le responsable des traitements de données doit s'assurer que les données sont sécurisées et que des tiers non autorisés n'y aient pas accès ;
  • cette obligation s'étend en cas de sous-traitance de l’utilisation des données.

Transferts hors Union européenne de données :

  • les destinataires des données doivent être situés dans un pays présentant des garanties légales suffisantes pour assurer la même protection aux données ;
  • à ce titre lorsque les destinataires sont en dehors de l'Union européenne, il faut une autorisation de la CNIL car la directive européenne ne peut plus s'appliquer et protéger ces données.

L'institution garante de la protection des données à caractère personnel

La CNIL est la Commission nationale de l’informatique et des libertés, régie par la loi Informatique et libertés et ses décrets d’application. C'est une autorité administrative indépendante garante du respect de la loi Informatique et libertés. À ce titre, la CNIL se voit conférer différentes missions, notamment celles :

  • de recevoir les plaintes en cas de problème dans le traitement des données personnelles ;
  • de contrôler les organismes qui ne respectent pas les données personnelles ;
  • de sanctionner les organismes qui manquent à la loi Informatique et libertés.

La loi de modernisation de la Justice du XXIe siècle du 18 novembre 2016 a instauré la possibilité d'une action de groupe en matière de protection des données personnelles à l'article 43 ter de la loi de 1978.

Lorsque plusieurs personnes physiques placées dans une situation similaire subissent un dommage ayant pour cause commune un manquement aux dispositions de la loi du 6 janvier 1978 par un responsable de traitement de données à caractère personnel ou un sous-traitant, une action de groupe peut être exercée devant la juridiction civile ou la juridiction administrative compétente.

Cette action doit tendre à la cessation du manquement (et non à l'indemnisation des victimes). Elle est exercée par les associations de consommateurs agréées, les syndicats représentatifs et les associations ayant pour objet la protection de la vie privée et la protection des données personnelles, régulièrement déclarées depuis cinq ans.

Le règlement européen sur la protection des données personnelles (RGPD)

Depuis le 25 mai 2018, le règlement général sur la protection des données (RGPD) renforce la protection des données personnelles dans l'ensemble des pays membres de l'Union européenne (règlement n° 2016/679 du Parlement européen et du Conseil du 27 avril 2016).

Personnes concernées par le règlement

Le règlement européen s'applique :

  • aux administrations, PME, startups et grands groupes situés sur un territoire de l'UE ;
  • qui collectent et traitent des données à caractère personnel ;
  • auprès de personnes situées dans un État membre de l'UE.

Ce règlement s'applique dès lors qu'un résident européen est concerné par un traitement de données (même par internet).

Règles de protection des données imposées par le RGPD

Le règlement européen renforce la protection des données personnelles, et prévoit en outre :

  • que le responsable de traitement des données personnelles doit exposer clairement, aux personnes dont les données personnelles sont collectées, ce à quoi vont servir ces données ;
  • la suppression des données collectées, une fois que l'objectif poursuivi par cette collecte est atteint (la durée de conservation des données personnelles doit être précisée au préalable par le responsable de traitement) ;
  • la possibilité pour une personne de récupérer, à tout moment et sous une forme facilement réutilisable, les données personnelles qu'elle a fournies et de les transférer ensuite à un tiers ; 
  • qu'en cas de collecte de données personnelles relatives à des enfants mineurs de moins de 16 ans, une autorisation préalable des parents doit être exigée (les États membres de l'UE peuvent abaisser cet âge à 13 ans maximum) ;
  • un droit à réparation pour toute personne qui a subi un dommage, qu'il soit matériel ou moral, en raison d'une violation du règlement européen par le responsable du traitement ou l'un de ses sous-traitants ;
  • l'obligation pour les responsables de traitement de notifier à l’autorité de protection des données dans les 72 heures toute violation, par un tiers, de données à caractère personnel ;
  • la fin de l'obligation d'effectuer des formalités préalables auprès de l'autorité de protection des données (la CNIL en France) lors de la mise en place d'un traitement de données ;
  • l'obligation pour les responsables de traitement de désigner un délégué à la protection des données personnelles dont les missions principales seront d'informer et de conseiller le responsable de traitement ou le sous-traitant, et de veiller au respect de la législation européenne (la désignation du délégué peut être effectuée via le téléservice mis en place par la CNIL) ;
  • l'application de sanctions en cas de non-respect du règlement européen par le responsable de traitement ou un sous-traitant ;
  • l'obligation d’effectuer une analyse d’impact (AIPD) avant tout traitement à risque élevé pour les droits et libertés des personnes concernées.

Besoin de plus d'informations ? Rendez-vous sur nos autres contenus :

Ces pros peuvent vous aider