Données personnelles

Données personnelles

Les données personnelles sont les informations qui permettent d'identifier directement ou indirectement une personne physique. Elles sont protégées par divers instruments juridiques concernant le droit à la vie privée, dont notamment la loi Informatique, fichiers et libertés de 1978, la directive 95/46/CE au niveau communautaire ainsi que la Convention n°108 pour la protection des données personnelles du Conseil de l'Europe. À l'instar de la CNIL française, beaucoup de pays disposent aujourd'hui d'autorités chargées de la protection des données personnelles, qui sont souvent des autorités administratives indépendantes (ou des équivalents de celles-ci).

Les données personnelles (ou nominatives) correspondent aux noms, prénoms, adresses (physique et électronique), numéro de téléphone, lieu et date de naissance, numéro de sécurité sociale, numéro de carte de paiement, plaque d'immatriculation d'un véhicule, photo, empreinte digitale, ADN, etc. Aujourd'hui, en effet, une recherche à l'aide d'un moteur de recherche sur une ou plusieurs bases de données, en utilisant la combinaison de quelques-unes simplement de ces données, permet d'identifier et de retrouver avec précision n'importe quel individu. Certaines de ces données, dont en particulier le numéro de sécurité sociale ou le NIR, ainsi que les données biométriques (empreinte digitale, échantillon ADN, etc.), sont particulièrement sensibles, car elles fonctionnent en tant qu'« identifiants universels », qui permet de raccorder différents fichiers entre eux et ainsi d'opérer leur interconnexion.

Selon une déclaration du Conseil des ministres du Conseil de l'Europe de 1997, elles incluent les données médicales et génétiques [1], ainsi que les empreintes digitales et, en général, toute caractéristique biométrique.

Plusieurs éléments essentiels sont pris en compte concernant ces données, dont leur durée de conservation, leur finalité, le consentement de la personne vis-à-vis de cette collecte des données personnelles, l'obligation d'information et, dans le cadre de l'entreprise, la consultation des instances représentatives, le niveau de protection technique dont elles bénéficient (ou non), etc.

Sommaire

Les données personnelles en France

Selon la loi Informatique, fichiers et libertés de 1978, lorsqu'il s'agit du secteur privé, ces données ne peuvent être collectées, traitées et conservées par un organisme ou une entreprise que si la personne ou le service qui est responsable de ces opérations a effectué au préalable une déclaration à la CNIL, qui doit être validée par l'attribution d'un numéro d'enregistrement. Ce numéro doit être indiqué sur le site web en plus de l'adresse de contact du service qui va gérer le fichier des données personnelles.

Depuis la loi sur la sécurité quotidienne de 2001, modifiée par la loi de 2006 relative à la lutte contre le terrorisme, les FAI et les opérateurs télécom sont tenus de conserver les données de connexion de leurs usagers et de les mettre à la disposition des autorités policières si celles-ci le désirent.

Le responsable du fichier ou du traitement de données personnelles doit informer les personnes concernées du but de ce traitement, de l'identité des destinataires de ces informations, et des droits dont ils disposent conformément aux articles 32 et 38 de la loi informatique et libertés de 1978.

Les partis politiques, les églises, les syndicats et les associations ne sont pas tenus de déclarer le fichier de leurs membres à la CNIL. Les sites web mis en œuvre par des particuliers dans le cadre d’une activité exclusivement personnelle sont aussi dispensés de déclaration, comme le stipule la dispense de déclaration n°6 [2] de la CNIL.

La loi française qualifie de « données sensibles » les données à caractère personnel qui font apparaître, directement ou indirectement, les origines raciales ou ethniques, les opinions politiques, philosophiques ou religieuses ou l'appartenance syndicale des personnes, ou qui sont relatives à leur santé ou à leur vie sexuelle. Il est a priori interdit de collecter et d'enregistrer ces données, seuls les fichiers d'Etat (police, RG, etc.) pouvant déroger à cette règle, sous certaines conditions.

En ce qui concerne les entreprises un sondage de juin 2008 élaboré par LEGAL SUITE, éditeur de solutions juridiques d’entreprises et hébergé sur le Village de la Justice[3] "met à jour les manques qu’ont les entreprises en matière de données personnelles. Presque la moitié des sondés (sur un total de 300 professionnels) déclarent ne pas maîtriser la gestion des données à caractère personnel. Des manques qui pourraient donner des sueurs froides à certains dirigeants car les amendes infligées par la CNIL peuvent monter jusqu’à 300 000 euros."[4] "Pourtant une majorité (60 %) affirme être bien ou plutôt bien informée sur la notion et les enjeux des données à caractère personnel."[5] Selon l'étude "cela montre que les entreprises, bien qu'informées des obligations légales vis-à-vis de la CNIL ne gèrent pas de manière rigoureuse l'ensemble de leurs déclarations et traitements soumis à la loi." D'après ITRmanager.com "les choses devraient néanmoins changer progressivement puisque depuis deux ans, la CNIL mène auprès des entreprises françaises des opérations de sensibilisation."[6]

Les données de l'enseignement

La mise en place des ENT[7] est de créer une base de données nationales permettant de suivre la formation des apprenants au cours de la vies en utilisant les nouvelles TIC. La mise en place de cette plateforme se fait sous l'autorité de nos deux ministres de l'éducation.

Les données de santé

Article connexe : Droit de la santé.

Les données de santé sont considérées comme des « données sensibles » par la directive 95/46/CE et par la loi Informatique et libertés. Elles ne peuvent donc être collectées que dans certains cas bien précis, encadrés par la loi, par exemple pour le dossier médical informatisé d'un patient hospitalisé. Le rapport Babusiaux de 2003 préconisait de transmettre ces données non seulement aux CPAM (Caisses primaires d'assurance maladie), mais aussi aux mutuelles et aux assurances, sous condition qu'elles soient anonymisées[8]. Une petite minorité de médecins s'est rebellé contre l'informatisation des dossiers médicaux, lors de la mise en place de la Carte Vitale, en alléguant la nécessité de protéger le secret médical[9].

A la fin des années 1990, un débat eut lieu concernant l'inclusion, ou non, du SIDA dans la liste des maladies infectieuses à déclaration obligatoire. Le secrétaire d'État à la santé Bernard Kouchner du gouvernement Jospin avait proposé de contraindre les séropositifs à déclarer leur maladie, ces données étant anonymisées; les associations de lutte contre le SIDA n'étaient pas hostiles à ce projet tant que les données restaient anonymes[10],[11]. La proposition était aussi soutenue par Jean-Baptiste Brunet, le directeur du Centre européen de surveillance du sida[10]. Toutefois, le Conseil national du sida s'était opposé au projet, soulignant les « risques d'atteinte aux libertés individuelles » ainsi que la moindre efficacité de « mesures obligatoires qui ne sont pas directement dans l'intérêt des malades »: « l'obligation supposerait un dispositif automatique, un système illusoire de sanctions en cas de non-respect de la réglementation, voire un aménagement législatif du code de santé publique » [10]. En mai 1999, un décret impose toutefois la déclaration obligatoire du SIDA, en application avec la loi de 1998 sur la veille sanitaire[12]. Un autre décret, publié le 6 mai 1999, suscite les craintes des associations de lutte contre le SIDA à l'été 1999, en raison de la possible inclusion de données nominatives dans le traitement automatisé mis en œuvre par l'Institut de veille sanitaire, et de la discrimination que cela engendrerait. Le ministre annonce alors que ce décret sera modifié, tandis que la CNIL diffère en septembre 2009 la mise en œuvre par l'IVS du traitement automatisé[13]

Toutes les données sont-elles devenues personnelles ?

C'est la question posée par David Brin[14]. En effet, la dichotomie plaçant d’un côté des données personnelles et de l’autre des données qui ne le sont pas est erronée : un très grand nombre de données apparemment anonymes peuvent devenir personnelles après traitement.

Par exemple, des données médicales anonymisées (visites d'hôpitaux, consultations médicales) d’employés de l’État du Massachusetts furent «réidentifées» en les croisant avec les listes électorales d'une même ville. Ainsi, pour réidentifier le gouverneur de cet État, seules 6 personnes partageaient la même date de naissance dont 3 étaient de sexe masculin et parmi ces dernières, une seule partageait le même code postal, sur un total de 54000 résidents et 7 codes postaux[15].

Traces numériques et ciblage comportemental : vie privée et informatique

Article détaillé : Vie privée et informatique.

Se pose encore à l'heure actuelle la question de savoir si les traces numériques (cookies, etc.) doivent être considérées comme étant des données personnelles. Le fait est que certaines de ces traces permettent d'obtenir des renseignements sur les habitudes de navigation des internautes, permettant ainsi une collecte d'informations personnelles, à l'insu de l'individu concerné, en vue d'élaborer une base de profils utilisés notamment à fins publicitaires ou de ciblage commercial (ciblage comportemental), mais pouvant aussi être utilisés dans le cadre d'enquêtes judiciaires : par exemple, l'adresse IP de connexion d'un internaute n'est pas considérée comme une donnée personnelle selon deux arrêts de la Cour d'Appel de Paris[16]. Cette vision n'est cependant pas celle de la CNIL qui estime pour sa part que l'adresse IP est une donnée à caractère personnel[17]. La question pourrait, cependant, être bientôt tranchée par la loi. En effet, une proposition de loi est actuellement en discussion au parlement visant à considérer cette donnée comme entrant dans le cadre des données personnelles[18].

Il reste possible de naviguer de façon anonyme sur Internet, en empruntant des réseaux anonymes comme Tor, I2P, Freenet, ou en utilisant un serveur mandataire.

La collecte et l'exploitation des données personnelles

Les modes de collecte se sont particulièrement diversifiés avec les technologies numériques : du formulaire rempli volontairement par les individus à l'enregistrement de traces (habitude de navigation, localisation géographique de l'adresse de connexion).

Les modes d'exploitation peuvent être le fait des individus eux-mêmes par recherche d'informations à partir d'un moteur de recherche ou sur les réseaux sociaux en ligne, ou le fait d'organisations : marketing ciblé, fichage des populations par l'État, envoi massif de courriers non sollicités à caractère commercial (Unsolicited commercial e-mail), etc.[19].

Au niveau européen

Les données personnelles sont protégées au niveau européen par plusieurs directives, la première étant la directive 95/46/CE. L'article 5 de la directive 2002/58/CE (« Vie privée et communications électroniques »)[20] dispose que l'internaute doit être informé de l'existence de toute collecte d'information; qu'il a le droit d'en connaître la finalité et de s'y opposer :

« Les États membres garantissent que l’utilisation des réseaux de communications électroniques en vue de stocker des informations ou d’accéder à des informations stockées dans l’équipement terminal d’un abonné ou d’un utilisateur ne soit permise qu’à condition que l’abonné ou l’utilisateur, soit muni, dans le respect de la directive 95/46/CE, d’une information claire et complète, entre autres sur les finalités du traitement, et que l’abonné ou l’utilisateur ait le droit de refuser un tel traitement par le responsable du traitement des données. »

Cette directive a été modifiée par la directive 2006/24/CE sur la conservation des données, dont l'article 3 est énoncé :

« Les articles 5, 6 et 9 de la directive 2002/58/CE définissent les règles applicables au traitement, par les fournisseurs de réseaux et de services, de données relatives au trafic et de données de localisation générées par l’utilisation de services de communications électroniques. Ces données doivent être effacées ou rendues anonymes lorsqu'elles ne sont plus nécessaires à la transmission d'une communication, sauf les données requises pour établir les factures et les paiements pour interconnexion; moyennant l’accord de l’intéressé, certaines données peuvent également être traitées à des fins commerciales ou de fourniture de services à valeur ajoutée. »

Il existe aussi un Contrôleur européen de la protection des données chargé d'évaluer les politiques relevant de ce domaine. Il a par exemple autorisé la mise en place du Système d'information des visas (SIV) qui est une base de données biométrique.

Au niveau international

La Conférence Internationale sur la protection des données personnelles a mis sur pied, en 1983, un groupe de travail spécifique visant à protéger les données personnelles dans le domaine des télécommunications, le International Working Group on Data Protection in Telecommunications (IWGDPT) [21]. Quelques années plus tard, le grand public apprenait l'existence du réseau ECHELON et la puissance du renseignement d'origine électromagnétique moderne.

En septembre 2005, la 27e Conférence internationale des Commissaires à la protection des données et à la vie privée, a débouché sur l'adoption de la Déclaration de Montreux visant, selon la CNIL, « au renforcement du caractère universel des principes de la protection des données. La Conférence a également adopté une résolution sur l’utilisation des données biométriques dans les passeports, cartes d’identité et documents de voyage et une résolution sur l’utilisation de données personnelles pour la communication politique. » [22], repris par la Résolution de Madrid.

Données des dossiers passagers (PNR)

Article détaillé : Données des dossiers passagers.

Les données des dossiers passagers (ou PNR, pour l'anglais Passenger Name Record) sont des données personnelles concernant tous les détails d'un voyage pour des passagers voyageant ensemble. La CNIL, et son homologue européen le G29, considèrent que l'échange de ces données entre États ainsi que l'utilisation qui en est faite soulèvent un certain nombre de problèmes quant au respect de la vie privée, particulièrement avec les États-Unis dont la législation protège moins bien ces données que ne le fait la législation de l'Union européenne. Dans son avis concernant la décision-cadre du Conseil européen de novembre 2007, qui reprenait maintes dispositions de l'accord entre l'UE et les États-Unis de juillet 2007 sur l'échange des données PNR, le G29 déclarait : « Un régime PNR européen ne saurait aboutir à la surveillance généralisée de tous les passagers. »[23].

Notes et références

  1. Recommandation n° R (97) 5 du Comité des ministres aux États membres relative à la protection des données médicales, adoptée par le Comité des ministres le 13 février 1997, lors de la 584e réunion des délégués des ministres.
  2. CNIL : dispense de déclaration n°6
  3. La gestion des données personnelles en entreprises et collectivités : résultats de l’enquête Legal Suite et Village de la justice, le 19 juin 2008.
  4. Olivier Robillard : CNIL, beaucoup d'entreprises méconnaissent leurs obligations, le 19 juin 2008
  5. Christophe Guillemin : La gestion des données privées des salariés à revoir dans une majorité d'entreprises, 2 juillet 2008.
  6. Comment les entreprises françaises gèrent les données à caractère personnel ?, le 9 juillet 2008
  7. http://www.educnet.education.fr/services/ent/
  8. Un rapport approuve la diffusion de données médicales aux assureurs, Transfert, 20 juin 2003. Rapport Babusiaux.
  9. "L’informatisation des données de santé menace le secret médical" (Docteur X), Transfert, 9 octobre 2003.
  10. a, b et c Eric Favereau, « Polémique sur la déclaration obligatoire de la séropositivité », Libération, 31 janvier 1998 [lire en ligne]
  11. Eric Favereau, « Sida: les femmes de plus en plus touchées. La déclaration (obligatoire et anonyme) de la séropositivité est toujours à l'ordre du jour », Libération, 17 novembre 1997 [lire en ligne]
  12. Sur la procédure législative durant l'année 1999, voir le 20e rapport de la CNIL (année 1999), chap. V
  13. CNIL, Délibération no 99-042 du 9 septembre 1999.
  14. (en)en:The Transparent Society
  15. (en)"Anonymized" data really isn't—and here's why not
  16. Cour d'Appel de Paris, 27 avril 2007 ; Cour d'Appel de Paris, 15 mai 2007
  17. Communiqué de presse de la CNIL du 7 août 2007
  18. Article 2 de la proposition de loi n°81 adoptée le 23 mars 2010 par le Sénat et visant à mieux garantir le droit à la vie privée à l'heure du numérique
  19. Voir par exemple : Économie des données personnelles, Fabrice Rochelandet, Ed. La Découverte, Paris, 2010
  20. Directive 2002/58/CE du Parlement européen et du Conseil du 12 juillet 2002
  21. Voir papiers sur le site du Groupe de Berlin (en anglais)
  22. CNIL, La conférence internationale de Montreux, à laquelle la CNIL a participé, demande la reconnaissance d’un droit universel à la protection des données, 5 octobre 2005.
  23. G29, Avis commun sur la proposition de décision-cadre du Conseil relative à l’utilisation des données des dossiers passagers (PNR) à des fins répressives présentée par la Commission le 6 novembre 2007

Voir aussi

Articles connexes

Aspects techniques
Aspects légaux

Wikimedia Foundation. 2010.

Contenu soumis à la licence CC-BY-SA. Source : Article Données personnelles de Wikipédia en français (auteurs)

Игры ⚽ Поможем написать реферат

Regardez d'autres dictionnaires:

  • Donnees personnelles — Données personnelles Les données personnelles sont les informations qui permettent d identifier directement ou indirectement une personne physique. Elles sont protégées par divers instruments juridiques concernant le droit à la vie privée, dont… …   Wikipédia en Français

  • Données Personnelles — Les données personnelles sont les informations qui permettent d identifier directement ou indirectement une personne physique. Elles sont protégées par divers instruments juridiques concernant le droit à la vie privée, dont notamment la loi… …   Wikipédia en Français

  • données personnelles — asmens duomenys statusas Aprobuotas sritis asmens duomenų apsauga apibrėžtis Bet kuri informacija, susijusi su fiziniu asmeniu – duomenų subjektu, kurio tapatybė yra žinoma arba gali būti tiesiogiai ar netiesiogiai nustatyta pasinaudojant tokiais …   Lithuanian dictionary (lietuvių žodynas)

  • Directive 95/46/CE sur la protection des données personnelles — Directive sur la protection des données personnelles Titre directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l égard du traitement des données à caractère personnel et à …   Wikipédia en Français

  • Convention n°108 pour la protection des données personnelles — Convention pour la protection des personnes à l égard du traitement automatisé des données à caractère personnel La Convention pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel du Conseil de l… …   Wikipédia en Français

  • Données de connexion — Données personnelles Les données personnelles sont les informations qui permettent d identifier directement ou indirectement une personne physique. Elles sont protégées par divers instruments juridiques concernant le droit à la vie privée, dont… …   Wikipédia en Français

  • Données à caractère personnel — Données personnelles Les données personnelles sont les informations qui permettent d identifier directement ou indirectement une personne physique. Elles sont protégées par divers instruments juridiques concernant le droit à la vie privée, dont… …   Wikipédia en Français

  • Données des dossiers passagers (PNR) — Données des dossiers passagers Les données des dossiers passagers (ou PNR, pour l anglais Passenger Name Record) sont des données personnelles concernant tous les détails d un voyage pour des passagers voyageant ensemble. Les Etats Unis, le… …   Wikipédia en Français

  • Données des dossiers passagers — Les données des dossiers passagers (ou PNR, pour l anglais Passenger Name Record) sont des données personnelles concernant tous les détails d un voyage pour des passagers voyageant ensemble. Les États Unis, le Canada, l Australie et le Royaume… …   Wikipédia en Français

  • données à caractère personne — asmens duomenys statusas Aprobuotas sritis asmens duomenų apsauga apibrėžtis Bet kuri informacija, susijusi su fiziniu asmeniu – duomenų subjektu, kurio tapatybė yra žinoma arba gali būti tiesiogiai ar netiesiogiai nustatyta pasinaudojant tokiais …   Lithuanian dictionary (lietuvių žodynas)

Share the article and excerpts

Direct link
Do a right-click on the link above
and select “Copy Link”