La loi « informatique et libertés » attribut quatre droits fondamentaux aux invividus pour le traitement informatique des données personnelles.
- Le droit à l’information
- Le droit d'opposition
- Le droit d'accès
- Le droit de rectification
Le droit à l'information :
Le droit à l’information s’applique à tous les fichiers informatiques contenant des données personnelles, que se soit dans la phase de collecte ou de traitement des l’informations. Ainsi une personne à le droit de savoir si des données personnelles la concernant sont contenues dans un fichier.
L’article 32 de la loi précise :
« Toute personne utilisatrice des réseaux de communications électroniques doit être informée de manière claire et complète par le responsable du traitement ou son représentant :
- de la finalité de toute action tendant à accéder, par voie de transmission électronique, à des informations stockées dans son équipement terminal de connexion, ou à inscrire, par la même voie, des informations dans son équipement terminal de connexion ;
- des moyens dont elle dispose pour s’y opposer. »
Un internaute a donc le droit de savoir si des informations le concernant seront utilisées dans le cadre d’un traitement informatique. De plus elle doit être informée si le responsable de traitement place dans sa machine des fichiers permettant d’analyser et transmettre des données personnelles.
Le responsable de traitement du fichier, doit être en mesure de rendre disponible aux personnes qui les demandent les informations suivantes :
- Identité du responsable de traitement.
- Objectif de la collecte d’information.
- Le caractère obligatoire ou facultatif des réponses.
- Les conséquences de l’absence de réponse.
- Le ou les destinataires des informations.
- Les droits reconnus à la personne.
- La possiblilité de transfert des données vers un pays hors de l’UE.
Cependant il existe des cas particuliers où le droit à l’information est appliqué de manière restrictive :
- Pour les fichiers de police ou de gendarmerie,
- Pour les fichiers relatifs à des condamnations pénales,
- Lorsque l’information de la personne se révèle impossible ou très difficile.
Le droit d'opposition :
L’article 38 de la loi défini :
« Toute personne physique a le droit de s’opposer, pour des motifs légitimes, à ce que des données à caractère personnel la concernant fassent l’objet d’un traitement.
Elle a le droit de s’opposer, sans frais, à ce que les données la concernant soient utilisées à des fins de prospection, notamment commerciale, par le responsable actuel du traitement ou celui d’un traitement ultérieur. »
Cette article est on ne peut plus clair, une personne peut donc s’opposer, sans avoir à ce justifier, à ce que des données la concernant ne soient collectées ou exploitées par un quelconque traitement informatique.
Le droit d’opposition peut être manifesté lors de la collecte des informations ( la case que l’on décoche lors de la saisie d’un formulaire sur Internet) ou ultérieurement au responsable de traitement.
Néanmoins ce droit n’est pas opposable à tous les types de fichiers, notamment les fichiers à destination des administrations (sécurité sociale, services fiscaux, justice….).
Le droit d'accès :
L’article 39 de la loi indique :
« Toute personne physique justifiant de son identité a le droit d’interroger le responsable d’un traitement de données à caractère personnel en vue d’obtenir :
- La confirmation que des données à caractère personnel la concernant font ou ne font pas l’objet de ce traitement.
- Des informations relatives aux finalités du traitement, aux catégories de données à caractère personnel traitées et aux destinataires ou aux catégories de destinataires aux quels les données sont communiquées.
- Le cas échéant, des informations relatives aux transferts de données à caractères personnel envisagés à destination d’un pays non membre de la communauté européenne.
- La communication, sous une forme accessible, des données à caractère personnel qui la concernent ainsi que toute information disponible quand à l’origine de celles-ci.
- Les informations permettant de connaître et de contester la logique qui sous-tend le traitement automatisé en cas de décision prise sur le fondement de celui-ci et produisant des effets juridiques à l’égard de l’intéressé. »
Le droit d’accès s’exerce sur demande de la personne concernée ver le responsable de traitement de l’organisme détenant les informations. Toutefois si les données concernent la sûreté de l’état, la sécurité publique (article 41 de la loi) l’accès aux données s’exerce de manière indirecte. Un membre de la CNIL (Commission National informatique et Libertés) est nommé pour mener les recherches et déterminer avec le responsable de traitement le degré de confidentialité des données.
Un responsable de traitement peut refuser de prendre en compte une demande d’information si il estime que celle-ci est abusive. Toutefois il devra légitimer le caractère abusif de la demande devant un tribunal, le cas échéant.
Le droit de rectification :
L’article 40 de la loi fixe les conditions d’application de ce droit :
« Toute personne physique justifiant de son identité peut exiger du responsable d'un traitement que soient, selon les cas, rectifiées, complétées, mises à jour, verrouillées ou effacées les données à caractère personnel la concernant, qui sont inexactes, incomplètes, équivoques, périmées, ou dont la collecte, l'utilisation, la communication ou la conservation est interdite. »
Le droit de rectification s’exerce de la même manière que le droit d’accès, par lettre recommandé adressée au gestionnaire de l’organisme possédant les données. En retour le gestionnaire devra prouver au demandeur que les modifications ont été apportées.
Les obligations du responsable de traitement
Le prérequis à la création d'un fichier contenant des données personnels est sa déclaration auprès de la CNIL(Commision Nationale Informatique et Liberté). Excepté les quelques cas de dispenses, tout fichier doit faire l'objet d'une déclaration à la CNIL par son responsable de traitement. La mise en oeuvre du fichier ne pourra intervenir qu'après avoir obtenu l'autorisation de la CNIL.
Le responsable de traitement est la personne ou l’organisme qui détermine l'objectif et les moyens du traitement des données. Il doit s’assurer que les droits des individus, dont les données à caractère personnels sont en sa possession, sont invocables (voir paragraphe Les Droits). Il s'assure également que les conditions de licité du fichiers sont remplies notamment celles définies à l’article 8 de la loi N° 78-17 du 6 janvier 1978 :
« Il est interdit de collecter ou de traiter des données à caractère personnel qui font apparaître, directement ou indirectement, les origines raciales ou ethniques, les opinions politiques, philosophiques ou religieuses ou l’appartenance syndicale des personnes, ou qui sont relatives à la santé ou à la vie sexuelle de celles-ci.» Des dérogations sont définies seulement pour les fichiers relatifs aux études statistiques réalisées par l'institut national de la statique et des études économiques, gestion des services de santé, traitement nécessaires à l'exercice du droit de justice.
De plus, le responsable de traitement doit suivre avec le plus grand égart le vie du fichier afin de s'assurer que son utilisation est conforme à son but initial. La création d'un fichier répond à un objectif précis, l'exploitation du fichier doit être corrélé à cet objectif, les informations ne peuvent donc pas êtres utilisées à des fins autres que celles prévues à l'origine de la création du fichier. Elles ne peuvent pas non plus être réutilisées dans le cadre d 'un autre traitement.
En outre il devra également s'assurer que le niveau de sécurité entourant les données, est suffisant pour que leur accès ne soit possible qu'aux personnes habilitées.
La tâche d'un responsable de traitement est donc complexe et ne peut pas être prise à la légère. Tous écarts avérer par rapport à la loi peut se traduire par des sanctions pénal (article 226 du code pénal) pouvant aller jusqu'à de la prison ferme et des fortes amendes.
