Les données à caractère personnel à l’épreuve du numérique

Il est acquis que « l’informatique doit être au service de chaque citoyen. […] Elle ne doit porter atteinte ni à l’identité humaine, ni aux droits de l’homme, ni à la vie privée, ni aux libertés individuelles ». Cette formulation déclaratoire de l’article 1er de la loi du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés traduit la volonté du législateur d’assurer un large champ de protection des individus lors de l’utilisation d’un procédé informatique. Toutefois, depuis 1978 la place de l’informatique dans la vie sociale s’est considérablement accrue et on assiste à une véritable révolution. Le numérique a provoqué une simplification, une accélération et une banalisation de la collecte, du traitement et du transfert des données à caractère personnel. En tant que doctorants, par exemple, nous sommes amenés à fournir quantité d’informations sur notre vie au cours de diverses démarches, que ce soit à l’université même ou lors d’activités connexes.

La plupart des personnes, cependant, ne savent pas précisément ce que sont les « données à caractère personnel » et connaissent mal l’encadrement juridique dont elles font l’objet. En fait, la définition de l’expression est donnée par la directive européenne du 24 octobre 1995 et par la loi française du 6 janvier 1978 : par « donnée à caractère personnel », on entend « toute information concernant une personne physique identifiée ou identifiable, directement ou indirectement, par référence à un numéro d’identification ou à un ou plusieurs éléments qui lui sont propres ». On le voit, le domaine des données à caractère personnel est particulièrement vaste, dès lors que l’on vise un élément susceptible d’identifier, même indirectement, la personne. Ce peut être le numéro de sécurité sociale, le numéro de téléphone, la voix, l’image, l’adresse IP, voire des éléments plus insolites comme le contenu de la poubelle, qui peut renseigner sur nos habitudes alimentaires. Bref, toute information qui peut permettre l’identification directe ou indirecte d’une personne, dès lors qu’elle fait l’objet d’un traitement automatisé ou manuel comme la collecte, l’organisation, la conservation, la consultation, la transmission,… est une « donnée à caractère personnel ». Certaines de ces données sont dites sensibles lorsqu’elles révèlent l’origine raciale, les opinions politiques, l’appartenance syndicale, les convictions philosophiques ou religieuses, lorsqu’elles sont relatives à la santé ou à la vie sexuelle des personnes, ou encore lorsqu’elles concernent les infractions et condamnations pénales.

De nos jours, les données à caractère personnel ont acquis une grande valeur commerciale, à tel point que les méthodes pour les collecter se sont diversifiées et se banalisent. Par exemple lors d’un achat en ligne, on fournit des informations comme ses nom et prénom, son adresse et même ses coordonnées bancaires, qui sont conservées par le cyber-commerçant dans une base de données et seront ensuite exploitées pour des opérations de marketing très ciblées. Il est de plus en plus fréquent que les personnes communiquent certaines de ces données sans nécessité absolue, simplement pour s’inscrire à un jeu-concours en ligne, obtenir une carte de fidélité et cumuler des points lors des achats, etc. Aujourd’hui, avec l’explosion des réseaux sociaux de type Facebook ou MySpace, on n’hésite plus à fournir délibérément des informations sur sa vie privée et son intimité, avec les conséquences que l’on peut imaginer sur la vie professionnelle, présente ou à venir.

Le problème qui se pose à propos de ces données est le danger potentiel découlant de l’usage qui en est fait, de la finalité de leur collecte et de leur traitement. Les informations stockées peuvent être recoupées avec d’autres données recueillies ailleurs et l’ensemble permettra alors d’avoir assez de renseignements sur une personne et sur sa vie privée, sa famille, ses préférences. La carte bancaire, par exemple, peut permettre de suivre le déplacement de son titulaire en fonction de la localisation du vendeur ; l’analyse du contenu du caddy de supermarché, grâce au code barre des produits, reliée à l’identité du client révélée par la carte bancaire lors du paiement, donne des indications sur ses habitudes de consommateur. Les conséquences de trop de recoupements entre données peuvent être alors la perte de garantie de la protection de la vie privée.

Il n’est absolument pas interdit de recueillir et traiter des données à caractère personnel – excepté pour les données sensibles pour lesquelles la loi prévoit certaines conditions particulières – mais, afin de lutter contre tout risque de manipulation abusive des données, le législateur tente, depuis toujours, d’encadrer les procédures de collecte, de traitement et de transfert des données. Ainsi, la collecte et le traitement doivent être effectués de façon licite et loyale, pour des finalités déterminées, explicites et légitimes, et doivent avoir reçu le consentement de la personne concernée. Ils doivent également, avant leur mise en œuvre, être déclarés ou soumis à l’avis de la Commission Nationale Informatique et Libertés (CNIL). Cette obligation a pour but de permettre un contrôle de la CNIL sur toute l’opération et d’assurer la transparence et l’information nécessaires à l’exercice des droits de chaque personne concernée par la collecte et le traitement. Ces droits sont l’accès aux données, la possibilité de s’opposer à tout traitement injustifié ou de rectifier certaines informations si elles paraissent inexactes ou incomplètes.

La violation de ces droits par les responsables des fichiers est bien sûr sanctionnée. C’est ainsi que la collecte par un moyen frauduleux, déloyal ou illicite et le détournement de finalité du fichier constituent des fautes susceptibles d’engager la responsabilité civile délictuelle de leur auteur, ou encore sa responsabilité pénale, et peuvent donner lieu à une condamnation allant jusqu’à 5 ans d’emprisonnement et 300 000 € d’amende. Tout citoyen peut porter plainte auprès de la CNIL par simple courrier, afin que celle-ci intervienne en vue d’un règlement amiable entre les parties, procède à des missions de contrôle, délivre des avertissements, ou encore dénonce elle-même les récalcitrants au parquet.

Ceci étant, le développement de l’informatique a placé le numérique au cœur de notre vie quotidienne, privée ou professionnelle, et il est difficilement possible aujourd’hui de ne pas y recourir pour effectuer certaines opérations. Par ailleurs, on voit bien qu’il existe un arsenal juridique nous permettant de faire respecter nos droits lors de toute collecte ou tout traitement de nos données personnelles. Mais en attendant que la loi ne soit respectée, ne faut-il pas encore observer une certaine prudence chaque fois que l’on est amené à fournir des informations sur sa personne ou sur ses proches et s’assurer de l’usage auquel elles sont destinées ?

• ● Loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés.
• ● Directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données.
• ● Loi n°2004-801 du 6 août 2004 (transposition de la directive européenne de 1995) relative à la protection des personnes physiques à l'égard des traitements de données à caractère personnel et modifiant la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés.