TH4: Chapitre 4 : La Sécurisation des données à caractère personnel

La révolution technologique de ces 30 dernières années a provoqué une accélération, une simplification est une banalisation de la collecte, du transfert et du traitement des données touchant aux individus. Le développement des activités numériques et les performances croissantes des outils informatiques favorisent la collecte et le traitement des données à caractère personnel.

Les avantages liés à la rapidité de l’accès aux informations en tout genre, leur transfert, leur reproduction ou leurs exploitations servent à la vie économique. Dans l’entreprise, les bases de données personnelles constituent un marché à part entière, qui s’agisse du traitement des fichiers interne (gestion des fichiers clients) ou de leur commercialisation via le marketing direct.

Mais, face à l’amplification des risques induits d’atteinte à la vie privée des personnes, des limites doivent être proposées. En effet les technologies de l’information et de la communication démultiplient les risques d’atteinte aux libertés individuelles.

1 Le cadre juridique des données à caractère personnel

A. Les données personnelles

Selon la loi du 6 Janvier 1978 « Constitue une donnée à caractère personnel toute information relative à une personne physique identifiée ou qui peut être identifiée, directement ou indirectement, par référence un numéro d’identification ou a un ou plusieurs éléments qui sont propres ». Constituer un fichier de données à caractère personnel toute sensible structurée et stable de données à caractère personnel accessible selon des critères déterminés.

B. Les menaces pesant sur les données à caractère personnel

L’information est devenu une valeur essentielle de l’activité économique :
  • Particulièrement convoitée par les organisations
Le développement des activités numérique et les performances croissantes des outils informatiques :
  • Favoriser la collecte et le traitement des données, et plus particulièrement des données à caractère personnel 
  • Peuvent se révéler dangereuses des lors quelles ne se cotonnent pas à l’enregistrement de données objective mais contiennent des données subjectives. 
Les personnes bénéficient de droits et de libertés qui sont protégés par le droit en toutes circonstances, y compris dans le monde virtuel ou lors de l’utilisation d’outils informatiques.

Toutes les technologies de l’information et de la communication, peuvent représenter une menace pour leurs utilisateurs, compte tenu du mélange possible entre les données touchant à la vie privée et les éventuelles répercussions sur la vie professionnelle des intéressées. 
  • Loi du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, la France a été le 1er état à se doter d’une législation spécifique en matière de la protection des libertés individuelle. 
  • Le principe est que si l’informatique doit être au service de chacun, elle ne doit pas porter atteinte ni à l’identité humaine ni privée, pas plus qu’aux libertés individuelles et publiques. 
  • Loi pour la confiance dans l’économie numérique (LCEN) du 6 Aout 2004, qui renforce le dispositif de protection des données à caractère personnel. 
Tout traitement automatisé d’adresse de messagerie électronique par la collecte, l’enregistrement et la conservation doit faire l’objet d’une déclaration auprès de la CNIL, préalablement à la mise en œuvre.

L’expéditeur doit laisser a tout moment la possibilité au destinataire du courrier électronique de se désinscrire, de s’opposer à tout transmission d’information le concernant à des tiers ou encore de consulter et modifier des données personnelles.

L’article 226 - 16 du Code pénal sanctionne le défaut de cette formalité par une peine de 5 ans de prison et 300 000 € d’amende.

C. Le cadre communautaire

Diverses directives de 1995, 1997 et 2002 encadrent la protection de la vie privée au sein de l’union européenne tendent à harmoniser les législations sur la protection des données.

En droit communautaire, la collecte de données à caractère personnel n’est l’égale que dans des conditions strictes de proportionnalité, transparence et finalité légitime du traitement des données.

2 Le rôle des autorités de régulation

A. L’autorité de référence : La CNIL

Autorité administrative indépendante qui a pour mission de protéger la vie privée et les libertés individuelle ou publiques.

Elle traite les déclarations même exercer un contrôle a posteriori pour s’assurer de la conformité légale de fichier.

Elle a le pouvoir de formuler des avertissements et des injonctions, et peut même prononcer des sanctions pécuniaires.

Ses principales missions sont recenser les ficher et de surveiller la sécurité des systèmes d’information en s’assurant que toutes les précautions sont prises pour empêcher que les données soient déformées ou communiquées à des personnes non autorisées.

Elle établit des normes simplifiées afin d’alléger les formalités des traitement les plus courants et les moins dangereux pour les libertés.

Le traitement de donnée est la collecte, l’enregistrement, l’utilisation, la transmission, la communication et le conservation d’informations personnelles, sous formes de fichier ou de bases de données.
Avant la mise en œuvre d’un traitement de données personnelles, le responsable doit procéder à la notification de l’existence du traitement à la CNIL, sous peine de sanction.
  • Traitement qui permettent le contrôle de l’activité professionnelle des salariés 
  • Traitement liés aux opérations de recrutement 

B. Dans les Organisations : Les CIL

Le CIL (Correspondant Informatique et Liberté), désigné par le responsable du traitement des données au sein d’une organisation, à été institué en 2004.

Son rôle est de conseiller et de suivre la conformité à la loi de la gestion des données à caractère personnel. Il est l’interface entre l’organisation et la CNIL.

Une organisation est dispensée de l’obligation de déclaration préalable des traitements ordinaires et courants.

C. Les droits protèges par les autorités de régulation

Le droit d’opposition permet à une personne dont les données sont collectées, d’être informé de l’identité du responsable du fichier et de sa finalité, des destinataires des données ainsi que de ses droits d’opposition, d’accès et de rectification. Cette information doit lui être fourni clairement quel que soit le support utilisé.

La CNIL précise qu’une case à cocher doit désormais figurer sur tout support de collecte écrit.

Les personnes disposent d’autres droits tels que le droit d’oubli, le droit d’information, le droit de communication, le droit de rectification, etc.
  • Le responsable des données dans l’entreprise doit préserver la confidentialité des données personnelles recueillies, qu’il ne doit conserver que le temps nécessaire. 

Selon le principe de loyauté, la collecte et le traitement des données à caractère personnel doivent être effectués de façon licite et loyale, dans un but déterminé, clair et légitime.
  • Le fichier doit avoir un objectif précis 
  • Les informations ne doivent en aucun cas, sous peine de sanctions civiles et pénales, contenir de « données sensibles » telles que les origines raciales, les opinions politiques ou religieuses, l’appartenance syndicale, des informations relatives à la santé ou à la vie sexuelle. 
Selon l’obligation de sécurité, le responsable du traitement doit mettre en œuvre les moyens techniques appropriés pour protéger les données contre leur perte, leur altération ou leur divulgation.

Commentaires

Posts les plus consultés de ce blog

Chapitre 8: Les Investissements et Leur Rentabilité

Chapitre 9: La mise en valeur de l’offre

Chapitre 8: L’animation de l’équipe commerciale