Home » Headline, Technologies de l'information

Proposition de loi visant à mieux garantir le droit à la vie privée à l’heure du numérique

9 mars 2010 No Comment

Le 23 mars prochain les sénateurs examineront une nouvelle proposition de loi visant à combattre les atteintes à la vie privée sur le net.

En effet, la toile, merveilleux outil de communication, comporte également un certain nombre de dangers pour la vie privée, d’autant plus à l’heure où les réseaux sociaux tels que Facebook ou encore Twitter se multiplient et attirent de plus en plus de membres, toutes tranches d’âge et toutes nationalités confondues.

Néanmoins, les internautes n’ont pas toujours conscience des risques encourus en éparpillant des informations personnelles (photos de famille, contacts personnels ou professionnels, etc.) voire sensibles (opinions politiques ou religieuses, préférences sexuelles, etc.) sur ces sites. En les dévoilant sur les sites de socialisation, les internautes diminuent leur protection au titre de la vie privée, qui devient en quelque sort “publique”.

Cette proposition de loi a pour principale ambition l’information des utilisateurs du net.

Elle présente principalement deux séries de mesures mises à la charge du responsable du traitement des données :

- le renforcement de l’obligation d’information destinée aux internautes en matière de collecte de données

- l’obligation dans certains cas de s’entourer d’ « un consultant informatique et libertés », déjà présent depuis 2004 mais à titre facultatif seulement.

Education civique pour les plus jeunes

La proposition prévoit, dans le cadre de l’enseignement d’éducation civique qui est dispensé dans les établissements scolaires, une information à l’attention des élèves dans le but de les prévenir des dangers de l’exposition de soi et d’autrui sur internet. Il s’agira également de leur indiquer qu’ils possèdent des droits d’opposition, de suppression, d’accès et de rectification concernant leurs données personnelles.

Ces droits ont en effet été créés par la loi du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés. Cependant, eu égard à la rapidité de circulation des informations sur le web, l’information préalable des internautes semble indispensable pour rendre l’exercice de ces droits effectif.

Obligations mises à la charge du collecteur de données

Les obligations du responsable de traitement sont redéfinies par cette proposition de loi.

En effet, la personne concernée doit, avant tout collecte de données à caractère personnel être informée de :

- l’identité et de l’adresse du responsable de traitement ;

- de la finalité poursuivie par le traitement ;

- des critères déterminant la durée de conservation ;

- du caractère obligatoire ou facultatif des réponses et des conséquences éventuelles d’un défaut de réponse ;

- des destinataires des données ;

- des coordonnées du service auprès duquel les droits d’accès, de rectification et de suppression peuvent s’exercer.

- le cas échéant des modalités d’exercice de ces droits par voie électronique après identification ;

- le cas échéant des transferts de données à caractère personnel envisagés dans un Etat non membre de l’U.E

Ces informations devront à présent être mises en lignes dans une rubrique spécifique et permanente, de manière claire et accessible.

Le responsable du traitement devra également informer tout utilisateur d’un réseau de manière permanente et spécifique, sur la nature des informations stockées et les personnes habilitées à en prendre connaissance, ainsi que sur les moyens dont l’utilisateur dispose pour exprimer ou refuser son consentement.

La proposition prévoit également que lorsque les données n’ont pas été recueillies directement auprès de la personne concernée, le responsable doit informer cette dernière dès l’enregistrement des données.

Par ailleurs, la désignation d’un correspondant informatique et libertés (CIL), crée en 2004, devient obligatoire lorsque qu’une autorité publique ou un organisme privé recourt à un traitement de données à caractère personnel qui relève d’un régime d’autorisation auprès de la CNIL ou pour lequel plus de cinquante personnes y ont directement accès.

Le CIL est chargé d’assurer le respect des obligations légales relatives au numérique et de conseiller l’ensemble des personnes travaillant pour le compte de l’autorité ou de l’organisme sur les questions de protection des données à caractère personnel.

Cette mission est d’autant plus importante au regard de l’ensemble des obligations d’information incombant au responsable du traitement.

Il doit également tenir à jour une liste des traitements et saisir la CNIL des difficultés qu’il rencontre dans l’exercice de ses missions, sauf si le CIL désigné est avocat, auquel cas sa déontologie lui interdit de dénoncer les irrégularités constatées à la CNIL. Le CIL-avocat aura seulement la possibilité de se démettre de sa mission.

Il faut cependant préciser que l’avocat ne peut pas toujours être désigné en tant que CIL.

En effet, le décret du 20 octobre 2005 prévoit que lorsque plus de cinquante personnes sont chargées de la mise en oeuvre ou ont directement accès aux traitements ou catégories de traitements automatisés pour lesquels le responsable entend désigner un correspondant à la protection des données à caractère personnel, seul peut être désigné un correspondant exclusivement attaché au service de la personne, de l’autorité publique ou de l’organisme, ou appartenant au service, qui met en oeuvre ces traitements.

La CNIL doit être informée de la désignation du CIL à laquelle elle peut s’opposer. En effet, la CNIL requiert que le CIL possède les compétences juridiques et informatiques nécessaires.

La désignation du CIL est d’autant plus importante que le responsable de traitement est tenu de garantir la sécurité des données collectées. Ce dernier doit, s’il s’aperçoit d’une violation des bases de données, prévenir le CIL qui doit quant à lui prendre les mesures nécessaires pour « colmater la brèche » d’une part et informer la personne concernée. En effet, le responsable du traitement engage sa responsabilité pénale sur le fondement des articles 226-16à 226-24 du code pénal si la loi du 6 janvier 1978 modifiée n’est pas respectée.

En ce sens également, il convient de préciser que les membres de la CNIL verront leurs moyens d’enquête renforcés, avec notamment l’intervention du Juge des Libertés et de la Détention qui pourra imposer leur présence lors d’un contrôle sur place. Enfin, les sanctions pécuniaires qui peuvent être infligées par la CNIL ont été doublées et peuvent aller jusqu’à 600 000 €.

Cette proposition de loi va donc globalement dans le sens d’une meilleure protection de la vie privée des personnes sur le web.

Néanmoins, en ce qui concerne le traitement des données personnelles réalisé pour le compte de l’Etat, il ne semble pas, à la lecture de l’article 4, que la prolifération des fichiers de police soit en voie de déclin, bien au contraire.

En effet, les termes de cet article 4 sont très larges. Le traitement des données à caractère personnel mis en œuvre pour le compte de l’Etat et « qui intéressent la sûreté de l’Etat, la défense, la sécurité publique ou qui ont pour objet la prévention, la recherche, la constatation ou la poursuite des infractions pénales ou des mesures de sûreté », est autorisé lorsqu’il répond à une des finalités suivantes :

- Permettre aux services de renseignements d’exercer leurs missions ;

- Permettre aux services de police judiciaire d’opérer des rapprochements entre des infractions susceptibles d’être liées entre elles, à partir des caractéristiques de ces infractions, afin de faciliter l’identification de leurs auteurs ;

- Faciliter la constatation des infractions à la loi pénale, le rassemblement des preuves de ces infractions et la recherche de leurs auteurs ;

- Procéder à des enquêtes administratives liées à la sécurité publique ;

- Prévenir les atteintes à la sécurité publique…

Encore bien d’autres finalités figurent dans la proposition de loi, néanmoins celles précitées permettent de se rendre compte que les conditions requises pour le traitement sont si larges qu’il est à se demander s’il existe bel et bien un intérêt à les lister…

La CNIL émet un avis motivé sur la constitution de ces fichiers mais ne peut freiner la leur multiplication puisque ce sont les autorités exécutives qui ont le pouvoir de les autoriser ou non.

Elle a cependant un rôle primordial de surveillance du contenu de ces fichiers. Lors de ses investigations en 2008 dans le fichier STIC (Système de traitement des infractions constatées), la CNIL a pu constater que concernant les mis en cause, seulement 17 % des fiches s’étaient révélées exactes.

La CNIL contrôle également l’accès des personnes autorisées à ces fichiers. C’est de cette façon que les récentes divulgations relatives au parcours judiciaire de Monsieur Ali SOUMARE ont conduit la CNIL à se saisir du dossier afin d’identifier les personnes qui ont eu accès à son dossier.

Laissez-nous vos commentaires !

Ajoutez vos commentaires ci-dessous, ou répondez directement (trackback) depuis votre site. Vous pouvez aussi souscrire à ces commentaires via RSS.

Vous pouvez utiliser les tags suivants :
<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>