Traitement des données personnelles : vos droits

Traitement des données personnelles : vos droits

Nom, prénom, adresse, numéro de téléphone, adresse mail,… autant d’éléments personnels qui nous sont régulièrement, voire systématiquement demandés que ce soit pour souscrire un abonnement, faire une carte de fidélité, répondre à une enquête de satisfaction, …. Ces données à caractère personnel font l’objet d’un traitement particulier, mais ce que peu de gens savent c’est quels sont leurs droits en matière de traitement de ces données.

La loi Informatique et Libertés du 6 janvier 1978 encadre strictement le traitement des données personnelles.  La loi du 6 août 2004 est intervenue pour compléter cette loi et surtout pour la mettre en conformité avec la directive 95/46 CE du 24 octobre 1995.

Les personnes concernées par le traitement de données sont l’élément central de la loi Informatique et Libertés. Cette dernière fut en effet élaborée pour protéger ces personnes face aux multiples atteintes aux droits et libertés fondamentales que l’informatique, et par extension Internet, peut engendrer. Aussi la loi Informatique et Libertés a-t-elle prévue plusieurs droits à la disposition des personnes faisant l’objet d’un traitement de données personnelles.

Un droit d’information

Le droit à l’information préalable est le premier droit dont dispose toute personne faisant l’objet d’un traitement de données. Ainsi, toute personne a le droit de savoir si elle est fichée et dans quel fichier elle est recensée. Ce droit de regard sur ses propres données personnelles vise aussi bien la collecte des informations que leur utilisation.

Dès lors, toute personne fichée, au moment où elle fournit ces données, a le droit d’être informée entre autres sur :

  • l’identité du responsable du traitement
  • l’objectif de la collecte d’informations
  • le caractère obligatoire ou facultatif des réponses
  • les conséquences de l’absence de réponse
  • les destinataires des informations
  • les droits reconnus à la personne
  • les éventuels transferts de données vers un État non européen

Concrètement, c’est au moment de la collecte des données que les personnes doivent être informées, à travers les questionnaires. Ces derniers doivent mentionner l’identité du responsable de traitement, le caractère obligatoire ou facultatif des réponses fournies ainsi que les droits de la personne fichée.

S’il est prévu que les données seront transmises à d’autres personnes que les destinataires prévus à l’origine, la personne fichée doit en être avertie au plus tard lors de la première communication des données, afin qu’elle puisse exercer son droit d’opposition.

Cependant ce droit possède également des limites.

Pour certains traitements de données personnelles, le droit à l’information est exclu. C’est ainsi le cas des fichiers de police ou de gendarmerie, des fichiers relatifs à des condamnations pénales ou lorsque l’information de la personne se révèle impossible voire très difficile.

Pour d’autres fichiers, le droit à l’information est simplement réduit : cela concerne les cas où les données collectées sont vite anonymisées ou lorsque les données ne sont pas recueillies directement après de la personne.

Un droit d’opposition

Le droit d’opposition est régi par l’article 38 de la loi Informatique et Libertés, lequel prévoit que toute personne a la possibilité de s’opposer, pour des motifs légitimes, à figurer dans un fichier.

De plus, l’article 38, alinéa 2, de la loi précise que toute personne peut refuser, sans avoir à le justifier, que les données la concernant soient utilisées à des fins de prospection, notamment commerciale. Et cela sans frais.   
 

La loi du 21 juin 2004 pour la confiance en l’économie numérique instaure déjà un principe d’interdiction des prospections commerciales à destination des personnes physiques qui n’ont pas exprimé leur consentement préalable à recevoir ces courriels.

Le droit d’opposition n’intervient ainsi que dans un second temps lorsque la personne avait consenti l’envoi de tels messages, mais a changé d’avis, ou lorsque le message concerne des « produits ou services analogues » à ceux que le commerçant expéditeur a déjà eu l’occasion de lui fournir. Dans ces cas-là, la loi a prévu que le destinataire du message a le droit de s’opposer à toute nouvelle utilisation de ses coordonnées, et cela sans frais hormis ceux afférant à la transmission du refus.

En pratique, le droit d’opposition s’exerce au moment de la collecte d’informations ou, plus tard, en s’adressant au responsable du fichier. Ce droit d’opposition peut s’exprimer de différentes manières :

  • par le refus de répondre lors d’une collecte non obligatoire de données
  • par le refus de donner l’accord écrit obligatoire pour le traitement de données sensibles (exemple : les opinions politiques, les convictions religieuses)
  • par la possibilité de demander la radiation des données contenues dans les fichiers commerciaux
  • par la possibilité d’exiger la non-cession ou la non-commercialisation d’informations. Il suffira simplement de cocher une case prévue à cet effet dans tous les formulaires de collecte.

Ce principe rencontre également des limites : l’article 38, alinéa 3, de la loi Informatique et Libertés dispose qu’il n’y a pas de droit d’opposition pour les traitements répondant à une obligation légale (fichiers des services fiscaux, de la sécurité sociale, de la police…).

De même, pas de droit d’opposition possible lorsque ce droit a été expressément écarté par l’acte autorisant le traitement.

Un droit d’accès

« Toute personne justifiant de son identité a le droit d’interroger le responsable d’un fichier ou d’un traitement afin de savoir s’il détient des informations sur elle, et le cas échéant d’en obtenir communication » (article 39 de la loi Informatique et libertés).

Pour résumer, toute personne peut prendre connaissance de l’intégralité des données la concernant et peut en demander une copie dont le coût ne devra pas dépasser celui de la reproduction.

Concrètement, l’exercice du droit d’accès se caractérise par la possibilité pour la personne de s’informer sur :

  • les finalités du traitement de données dont elle fait l’objet
  • le type de données enregistrées
  • l’origine et les destinataires des données
  • les éventuels transferts de ces informations vers des États non membres de l’Union européenne.

De plus, toute personne peut demander des explications quant aux procédés informatiques ayant contribué à produire une décision la concernant (segmentation, scoring, profil…).

En pratique, le droit d’accès s’exerce directement auprès de l’organisme qui détient des informations. La communication des données doit être fidèle au contenu  enregistré et effectuée en langage clair.

En cas de risque de dissimulation ou de disparition des données à caractère personnel, le juge compétent peut ordonner, y compris en référé, toute mesure de nature à éviter cette dissimulation ou cette disparition.

Le droit d’accès ne pourra pas être utilisé dans trois cas:

  • en cas de demande manifestement excessive. Le responsable du traitement peut en effet s’opposer aux demandes manifestement abusives, notamment par leur nombre, leur caractère répétitif ou systématique.
  • Lorsque les données à caractère personnel sont conservées sous une forme excluant tout risque d’atteinte à sa vie privée et pendant une durée limitée.
  • Pour les traitements aux fins de journalisme et d’expression littéraire et artistique

Pour les fichiers de police et de gendarmerie ainsi que pour les traitements en matière d’infractions ou d’impositions, la personne aura un droit d’accès indirect au traitement, c’est-à-dire que cette dernière devra s’adresser à un membre de la Commission Nationale Informatique et Libertés (CNIL) lequel jouera ainsi le rôle d’intermédiaire avec l’Administration en effectuant les investigations utiles et faisant procéder aux modifications nécessaires par exemple la rectification ou l’effacement de données inexactes.

Un droit de rectification

Selon l’article 40 de la loi Informatique et Libertés, « toute personne justifiant de son identité peut exiger du responsable d’un traitement que les données à caractère personnel le concernant, qui sont inexactes, incomplètes, équivoques, périmées, ou dont la collecte, l’utilisation, la communication ou la conservation est interdite, soient rectifiées, complétées, mises à jour, verrouillées ou effacées ».

En pratique, pour exercer son droit de rectification, il faut écrire à l’organisme qui détient les informations.

Pour s’assurer de l’effectivité de sa demande, la personne qui a fait la demande de rectification peut demander au responsable du traitement de prouver qu’il a procédé aux rectifications demandées, et de les notifier aux tiers à qui on aurait transmis les données erronées.

Le demandeur peut obtenir gratuitement une copie de l’enregistrement modifié.

Par ailleurs, pour les héritiers d’une personne décédée, ces derniers peuvent exiger du responsable d’un traitement de données sur le défunt d’actualiser les données concernant celui-ci.

Par conséquent, hormis des cas exceptionnels liés à la sûreté de l’État et à la sécurité publique, toutes les personnes faisant l’objet d’un traitement de données personnelles ont des droits face à ces fichiers. Et pour les défendre, rien ne vaut l’assistance d’un avocat compétent qui saura dénicher les failles.

Un droit à l’oubli

Toute personne dont les informations personnelles sont collectées bénéficie d’un droit à l’oubli. Ses données ne pourront être conservées au-delà d’une certaine durée. Cette durée ne doit pas excéder « la durée nécessaire aux finalités pour lesquelles elles sont collectées et traitées ».

Elles pourront cependant être conservées au-delà si elles sont traitées à des fins historiques, statistiques ou scientifiques.

Le traitement des données personnel est strictement encadré, que ce soit au niveau national comme au niveau européen. La protection des personnes s’est renforcée au fil des ans, notamment sous la supervision de la CNIL. La règlementation est devenue plus stricte prévoyant de nombreuses sanctions en cas de manquement, renforçant la responsabilité pesant sur responsable de traitement. Afin de l’épauler, le Correspondant informatique et liberté a été créé. Son rôle est devenu primordial et est amené à évoluer encore (CIL). Le fait de nommer un CIL est un avantage, car il vous exonère de certaines déclarations et allège les formalités, alors pensez-y !

Votre avis nous intéresse

* Ces champs sont obligatoires
En savoir plus sur le traitement des données