Chapitre 4: La sécurisation des données à caractère personnel,

Penses à ton orientation.

Notre aide pour la lettre de motivation.

PLAN: La sécurisation des données à caractère personnel.

Le cadre juridique des données à caractère personnel:

  • Les menaces pesant sur les données à caractère personnel
  • Les cadres communautaire et national

Le rôle des autorités de régulation:

  • Les missions de la CNIL
  • Le rôle du CIL dans une organisation.
  • Les différents droits protégés.

Enseignement et formation pédagogiques

SYNTHESE:La sécurisation des données à caractère personnel.

Le cadre juridique des données à caractère personnel.

Les menaces pesant sur les données à caractère personnel

L'information est devenue une valeur essentielle de l'activité économique. à ce titre, elle est particulièrement convoitée par les organisations. Les personnes bénéficient de droits et de libertés qui sont protégés par le droit en toutes circonstances, y compris dans le monde virtuel ou lors de l'utilisation d'outils informatiques.

La loi précise que constitue une donnée à caractère personnel toute information relative à une personne physique identifiée ou qui peut être identifiée, directement ou indirectement, par référence à un numéro d'identification ou à un ou plusieurs éléments qui lui sont propres (nom, voix, image, empreinte génétique, numéro de téléphone, etc). Ainsi, une adresse de messagerie électronique est une donnée nominative, soit directement lorsque le nom de l'internaute figure dans le libellé de l'adresse, soit indirectement dans la mesure où toute adresse électronique peut être associée à une personne physique.

Les cadres communautaire et national

La protection se fait nécessairement dans le cadre communautaire et dans le cadre national.

Le cadre communautaire

Diverses directives de 1995, 1997 et 2002 encadrent la protection de la vie privée au sein de l'Union européenne, et tendent à harmoniser les législations sur la protection des données, mais transfère le contrôle à un organisme national indépendant (en France, la CNIL)

Le cadre national

Avec la loi du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, la France a été le premier état à se doter d'une législation spécifique en matière de protection des libertés individuelles. Le principe est que si l'informatique doit être au service de chacun, il ne doit porter atteinte ni à l'identité humaine, ni à la vie privée, pas plus qu'aux libertés individuelles et publiques.

Cette loi a ensuite été modifiée par la Loi pour la confiance dans l'économie numérique (LCEN) du 6 août 2004, qui a renforcé le dispositif de protection des données à caractère personnel. Notamment, tout traitement automatisé d'adresses de messagerie électronique par la collecte, l'enregistrement et la conservation doit faire l'objet d'une déclaration auprès de la CNIL préalablement à sa mise en œuvre. De même, l'expéditeur doit laisser la possibilité à tout moment au destinataire du courrier électronique de se désinscrire, de s'opposer à toute transmission d'information le concernant à des tiers (partenaires commerciaux, filiales.), ou encore de consulter et modifier ses données personnelles. L'article 226-16 du Code pénal sanctionne le défaut de cette formalité par une peine de cinq ans de prison et 300 000 € d'amende.

Le rôle des autorités de régulation

Les missions de la CNIL

Voir aussi le site www.cnil.fr (espace jeune)

La CNIL (Commission nationale de l'informatique et des libertés) est une autorité administrative indépendante qui a pour mission de protéger la vie privée et les libertés individuelles ou publiques. Elle traite les déclarations et les réclamations et plaintes dont elle est saisie, pouvant même exercer un contrôle a posteriori pour s'assurer de la conformité légale des fichiers. Elle a le pouvoir de formuler des avertissements et des injonctions, et peut même prononcer des sanctions pécuniaires.

Ses principales missions sont de recenser les fichiers et de surveiller la sécurité des systèmes d'information en s'assurant que toutes les précautions sont prises pour empêcher que les données soient déformées ou communiquées à des personnes non autorisées.

La CNIL établit des normes simplifiées afin d'alléger les formalités des traitements les plus courants et les moins dangereux pour les libertés (par exemple, certaines déclarations préalables à un traitement peuvent être effectuées simplement sur Internet).

Le traitement de données est la collecte, l'enregistrement, l'utilisation, la transmission, la communication et la conservation d'informations personnelles, sous forme de fichiers ou de bases de données. Avant la mise en œuvre d'un traitement de données personnelles, le responsable doit procéder à la notification de l'existence du traitement à la CNIL, sous peine de sanction. Il en est ainsi des traitements qui permettent le contrôle de l'activité professionnelle des salariés (surveillance des connexions Internet et de la messagerie électronique, vidéosurveillance.), des traitements liés aux opérations de recrutement (base de CV), des traitements gérés par la médecine du travail.

Le rôle du CIL dans une organisation.

Le CIL (Correspondant Informatique et Libertés), désigné par le responsable du traitement des données au sein d'une organisation, a été institué en 2004. Son rôle est de conseiller et de suivre la conformité à la loi de la gestion des données à caractère personnel. Il est l'interface entre l'organisation et la CNIL. Une organisation dotée d'un CIL est dispensée de l'obligation de déclaration préalable des traitements ordinaires et courants.

Les différents droits protégés.

Le droit d'opposition permet à une personne dont les données sont collectées d'être informée de l'identité du responsable du fichier et de sa finalité, des destinataires des données ainsi que de ses droits d'opposition, d'accès et de rectification. Cette information doit lui être fournie clairement, quel que soit le support utilisé.

L'expéditeur d'un e-mailing doit laisser la possibilité au destinataire de se désinscrire à tout moment, de s'opposer à la transmission de toute information le concernant, et de consulter et modifier ses données personnelles. Les personnes doivent être en mesure de s'opposer à l'utilisation commerciale de leurs données - par la revente des fichiers - avant la validation d'une commande ou la signature d'un contrat.

La CNIL précise qu'une case à cocher doit désormais figurer sur tout support de collecte écrit. Lorsqu'une personne exerce son droit d'opposition, l'organisation doit informer toutes celles auxquelles elle avait déjà transmis des données la concernant. L'intéressé doit obtenir une réponse dans un délai maximal de deux mois. En cas de refus, la décision doit être motivée et indiquer les voies et délais de recours.

Les personnes disposent d'autres droits tels que le droit d'oubli, le droit d'information, le droit de communication, le droit de rectification.

On notera que le responsable des données dans l'entreprise doit préserver la confidentialité des données personnelles recueillies, qu'il ne doit conserver que le temps nécessaire. Selon le principe de loyauté, la collecte et le traitement des données à caractère personnel doivent être effectués de façon licite et loyale, dans un but déterminé, clair et légitime. Le fichier doit avoir un objectif précis. Les informations ne doivent en aucun cas, sous peine de sanctions civiles et pénales, contenir de données sensibles telles que les origines raciales, les opinions politiques ou religieuses, l'appartenance syndicale, des informations relatives à la santé ou à la vie sexuelle.

Selon l'obligation de sécurité, le responsable du traitement doit mettre en œuvre les moyens techniques appropriés pour protéger les données contre leur perte, leur altération ou leur divulgation.

La loi impose de recueillir le consentement de l'intéressé, chaque personne ayant le droit d'être informée avant que les données ne soient constituées, et a fortiori communiquées à des tiers à des fins de prospection.

Tout recueil de données sur des personnes (par questionnaires ou exploitation de fichiers) impose que celles-ci soient informées des conditions d'utilisation de ces données, de leur droit d'obtenir communication de celles-ci, de demander leur rectification, voire leur suppression si elles sont inexactes, et, sous certaines conditions, de s'opposer à leur traitement.

Enseignement et formation pédagogiques