La loi informatique et libertés

Les principes fondamentaux

La loi «Informatique et Libertés»

Article 1

«L'informatique doit être au service de chaque citoyen. Elle ne doit porter atteinte ni à l'identité humaine, ni aux droits de l'homme, ni à la vie privée, ni aux libertés individuelles ou publiques.»

Article 2

«Constitue une donnée à caractère personnel toute information relative à une personne physique identifiée ou qui peut être identifiée, directement ou indirectement, par référence à un numéro d’identification ou à un ou plusieurs éléments qui lui sont propres. Pour déterminer si une personne est identifiable, il convient de considérer l’ensemble des moyens en vue de permettre son identification dont dispose ou auxquels peut avoir accès le responsable du traitement ou toute autre personne.»

«Constitue un traitement de données à caractère personnel toute opération ou tout ensemble d’opérations portant sur de telles données, quel que soit le procédé utilisé, et notamment la collecte, l’enregistrement, l’organisation, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, ainsi que le verrouillage, l’effacement ou la destruction. »

 

Par ailleurs, la loi spécifie :

  • quelles sont les obligations d'un responsable de traitement,
  • quels peuvent-être les destinataires de ce traitement (Art. 3) : toute personne habilitée à recevoir communication de ces données,
  • quelles données peuvent être collectés : les « origines raciales », ethniques, les opinions politiques, philosophiques ou religieuses, l'appartenance syndicale, ou celles relatives à la santé et à la sexualité sont interdites, étant qualifiées de données sensibles, sauf exception (Art. 8 et 26),
  • et comment doivent-elles êtres récoltées et conservées (Art. 6 et 7). L'article 6 définit notamment le principe de finalité, le principe de proportionnalité et le principe d'exactitude.

Un traitement ne peut porter sur des données à caractère personnel que s'il est collecté de manière loyale et licite pour des finalités déterminées, explicites et légitimes. Les données de pouvant pas être traitées ultérieurement de manière incompatible avec ces finalités.

Les obligations

La mise en oeuvre de traitements de données à caractère personnel impose un certain nombre d'obligations telles que :

La collecte :

Le recueil du consentement de la personne pour l'utilisation des informations qui la concerne est obligatoire.

Les données doivent être exactes et mises à jour régulièrement.

Sauf dérogation, il est interdit de collecter des informations sensibles (origines raciales ou ethniques, opinions politiques, préférences sexuelles, etc.).

La finalité :

Un fichier doit avoir un objectif précis.

Les données exploitées doivent être en cohérence avec la finalité.

Les informations ne peuvent pas être réutilisées de manière incompatible avec la finalité initiale pour laquelle elles ont été collectées.

La conservation :

Les données personnelles doivent avoir une date de péremption.

La durée raisonnable de conservation de l’information est fixée en fonction de l’objectif du fichier.

La sécurité des données :

Tout responsable d’un traitement informatique de données personnelles a pour obligation d’adopter des mesures de sécurité physiques et logiques (SSI) adaptées à la nature des données et aux risques présentés par le traitement.

La confidentialité :

Seules les personnes autorisées peuvent accéder aux données personnelles que ce soit des destinataires explicitement désignés soit des tiers autorisés (la police, le fisc).

L’information :

Le responsable d’un fichier doit permettre aux personnes concernées par des informations qu’il détient d'exercer pleinement leurs droits. (cf. Droits des citoyens).

Pour cela il doit communiquer son identité, la finalité de son traitement, le caractère obligatoire et facultatif des réponses, les destinataires des informations, l’existence de droits et les transmissions envisagées.

La déclaration :

Certains traitements informatiques de données personnelles qui présentent des risques particuliers d’atteinte aux droits et aux libertés doivent, avant leur mise en oeuvre, être déclarés ou soumis à la CNIL.

Le cas des administrateurs

Cas particulier de l'accès aux données à caractère personnel par les administrateurs :

Le fait que les administrateurs des réseaux et des systèmes informatiques aient accès à l'ensemble des informations relatives aux utilisateurs, y compris celles stockées sur leur disque dur, n'est pas contraire aux dispositions de la loi "informatique et libertés".

Il est en est de même pour ce qui est de la prise en main à distance du poste utilisateur, à condition que les mesures de sécurité nécessaires à la protection des données soient mises en oeuvre.

Ces administrateurs sont toutefois tenus au secret professionnel. Il ne doivent donc en aucun cas divulguer les informations portées à leur connaissance dans le cadre de leur fonction, notamment celles couvertes par le secret des correspondances ou relevant de la vie privée des utilisateurs.