Tout le monde sait que les données personnelles, que l’on donne sur Internet ou ailleurs, font l’objet d’un traitement mais ce que peu de gens savent c’est qu’on a des droits face à ces traitements.

La loi Informatique et Libertés du 6 janvier 1978 encadre le traitement des données personnelles par informatique et Internet. Et une loi du 6 août 2004 est intervenue pour mettre à jour cette loi et surtout pour la mettre en conformité avec la directive 95/46 CE du 24 octobre 1995.

Les personnes concernées par les traitements de données sont l’élément central de la loi Informatique et Libertés. Cette dernière fut en effet élaborée pour protéger ces personnes face aux multiples atteintes aux droits et libertés fondamentales que l’informatique, et par extension Internet, peut engendrer. Aussi la loi Informatique et Libertés a-t-elle prévue plusieurs droits à la disposition des personnes faisant l’objet d’un traitement de données personnelles.

Un droit d’information


C’est le premier droit dont dispose toute personne faisant l’objet d’un traitement de données. Ainsi, toute personne a le droit de savoir si elle est fichée et dans quel fichier elle est recensée. Ce droit de regard sur ses propres données personnelles vise aussi bien la collecte des informations que leur utilisation.

Dès lors, toute personne fichée a le droit d’être informée sur :

-       l’identité du responsable du traitement

-       l’objectif de la collecte d’informations

-       le caractère obligatoire ou facultatif des réponses

-       les conséquences de l’absence de réponse

-       les destinataires des informations

-       les droits reconnus à la personne

-       les éventuels transferts de données vers un Etat non européen

Concrètement, c’est au moment de la collecte des données que les personnes doivent être informées, à travers les questionnaires. Ces derniers doivent mentionner l’identité du responsable du site, le caractère obligatoire ou facultatif des réponses fournies ainsi que les droits de la personne fichée.

S’il est prévu que les données seront transmises à d’autres personnes que les destinataires prévus à l’origine, la personne fichée doit en être avertie au plus tard lors de la première communication des données, afin qu’elle puisse exercer sn droit d’opposition.

                        B°) Limites

Pour certains traitements de données personnelles, le droit à l’information est exclu. C’est ainsi le cas des fichiers de police ou de gendarmerie, des fichiers relatifs à des condamnations pénales ou lorsque l’information de la personne se révèle impossible voire très difficile.

Pour d’autres fichiers, le droit à l’information est simplement réduit : cela concerne les cas où les données collectées sont vite anonymisées ou lorsque les données ne sont pas recueillies directement après de la personne.

Un droit d’opposition

                        A°) Le principe

Le droit d’opposition est régi par l’article 38 de la loi Informatique et Libertés lequel prévoit que toute personne a la possibilité de s’opposer, pour des motifs légitimes, à figurer dans un fichier.

De plus, l’article 38, alinéa 2, de la loi précise que toute personne peut refuser, sans avoir à le justifier, que les données la concernant soient utilisées à des fins de prospection, notamment commerciale. Et cela sans frais.

La loi du 21 juin 2004 pour la confiance en l’économie numérique instaure déjà un principe d’interdiction des prospections commerciales à destination des personnes physiques qui n’ont pas exprimé leur consentement préalable à recevoir ces courriels.

Le droit d’opposition n’intervient ainsi que dans un second temps lorsque la personne avait consenti l’envoi de tels messages mais a changé d’avis, ou lorsque le message concerne des « produits ou services analogues » à ceux que le commerçant expéditeur a déjà eu l’occasion de lui fournir. Dans ces cas là, la loi a prévu que le destinataire du message a le droit de s’opposer à toute nouvelle utilisation de ses coordonnées, et cela sans frais hormis ceux afférant à la transmission du refus.

En pratique, le droit d’opposition s’exerce au moment de la collecte d’informations ou, plus tard, en s’adressant au responsable du fichier. Ce droit d’opposition peut s’exprimer de différentes manières :

-       par le refus de répondre lors d’une collecte non obligatoire de données

-       par le refus de donner l’accord écrit obligatoire pour le traitement de données sensibles (exemple : les opinions politiques, les convictions religieuses)

-       par la possibilité de demander la radiation des données contenues dans les fichiers commerciaux

-       par la possibilité d’exiger la non-cession ou la non-commercialisation d’informations. Il suffira simplement de cocher une case prévue à cet effet dans tous les formulaires de collecte.

    B°) Les limites

L’article 38, alinéa 3, de la loi Informatique et Libertés dispose qu’il n’y a pas de droit d’opposition pour les traitements répondant à une obligation légale (fichiers des services fiscaux, de la sécurité sociale, de la police…).

De même, pas de droit d’opposition possible lorsque ce droit a été expressément écarté par l’acte autorisant le traitement.

Le droit d’accès

                        A°) Le principe

 

« Toute personne justifiant de son identité a le droit d’interroger le responsable d’un fichier ou d’un traitement afin de savoir s’il détient des informations sur elle, et le cas d’échéant d’en obtenir communication » (article 39 de la loi Informatique et libertés).

Pour résumer, toute personne peut prendre connaissance de l’intégralité des données la concernant et peut en demander une copie dont le coût ne devra pas dépasser celui de la reproduction.

Concrètement, l’exercice du droit d’accès se caractérise par la possibilité pour la personne de s’informer sur :

-       les finalités du traitement de données dont elle fait l’objet

-       le type de données enregistrée

-       l’origine et les destinataires des données

-       les éventuels transferts de ces informations vers des Etats non membres de l’Union Européenne.

De plus, toute personne peut demander des explications quant aux procédés informatiques ayant contribué à produire une décision la concernant (segmentation, scoring, profil…).

En pratique, le droit d’accès s’exerce directement auprès de l’organisme qui détient des informations. La communication des données doit être fidèle au contenu de ce qui est enregistré dans l’ordinateur et effectuée en langage clair.

En cas de risque de dissimulation ou de disparition des données à caractère personnel, le juge compétent peut ordonner, y compris en référé, toute mesure de nature à éviter cette dissimulation ou cette disparition.

                        B°) Limites

Le droit d’accès ne pourra pas être utilisé dans trois cas:

-       en cas de demande manifestement excessive. Le responsable du traitement peut en effet s’opposer aux demandes manifestement abusives, notamment par leur nombre, leur caractère répétitif ou systématique.

-       lorsque les données à caractère personnel sont conservées sous une forme excluant tout risque d’atteinte à sa vie privée et pendant une durée limitée.

-       Pour les traitements aux fins de journalisme et d’expression littéraire et artistique

Pour les fichiers de police et de gendarmerie ainsi que pour les traitements en matière d’infractions ou d’impositions, la personne aura un droit d’accès indirect au traitement, c’est-à-dire que cette dernière devra s’adresser à un membre de la Commission Nationale Informatique et Libertés (Cnil) lequel jouera ainsi le rôle d’intermédiaire avec l’Administration.

Ce commissaire effectuera les investigations utiles et fera procéder aux modifications nécessaires comme par exemple la rectification ou l’effacement de données inexactes.

Le droit de rectification

Selon l’article 40 de la loi Informatique et Libertés, « toute personne justifiant de son identité peut exiger du responsable d’un traitement que les données à caractère personnel le concernant, qui sont inexactes, incomplètes, équivoques, périmées, ou dont la collecte, l’utilisation, la communication ou la conservation est interdite, soient rectifiées, complétées, mises à jour, verrouillées ou effacées ».

En pratique, pour exercer son droit de rectification, il faut écrire à l’organisme qui détient les informations.

Pour s’assurer de l’effectivité de sa demande, la personne qui a fait la demande de rectification peut demander au responsable du traitement de prouver qu’il a procédé aux rectifications demandées, et de les notifier aux tiers à qui on aurait transmis les données erronées.

Le demandeur peut obtenir gratuitement une copie de l’enregistrement modifié.

Par ailleurs, pour les héritiers d’une personne décédée, ces derniers peuvent exiger du responsable d’un traitement de données sur le défunt d’actualiser les données concernant celui-ci.

Par conséquent, hormis des cas exceptionnels liés à la sûreté de l’Etat et à la sécurité publique, toutes les personnes faisant l’objet d’un traitement de données personnelles ont des droits face à ces fichiers. Et pour les défendre, rien ne vaut l’assistance d’un avocat compétent qui saura dénicher les failles.

Alexandre RODRIGUES