Conditionsd'utilisation et informations légales

La loi du 6 janvier 1978 a prévu de solides garde-fous pour protéger l'individu des dangers liés à la multiplication des fichiers contenant des informations nominatives. La responsabilisation des personnes qui créent des fichiers nominatifs, en les soumettant à des obligations, constitue un élément essentiel du dispositif de protection.
En effet, un fichier nominatif n'est pas un fichier comme les autres, il concerne des parcelles de vie privée et la loi "informatique et libertés" en réglemente l'usage afin d'en limiter les effets liberticides.


Les obligations des responsables de données nominatives :
* Les formalités de déclaration des fichiers
* La collecte d'informations
* La conservation des informations
* La sécurité des traitements
* La communication d'informations
* La commercialisation d'informations
* La finalité des traitements
* L'aide à la décision
* Le respect des droits des personnes

Les formalités de déclaration des fichiers
Tout traitement automatisé d'informations nominatives doit, avant sa mise en oeuvre, être déclaré ou soumis à l'avis de la CNIL.
Il s'agit de responsabiliser les utilisateurs de données nominatives, de permettre à la CNIL de contrôler et d'influencer les choix effectués, d'assurer, grâce à la publicité à laquelle elles donnent lieu, la transparence nécessaire à l'exercice des droits des personnes concernées par les traitements.
Le non-accomplissement de ces formalités est sanctionné pénalement (art. 226-16  du code pénal - 3 ans d'emprisonnement et 45 000 euros d'amende).

La collecte d'informations
La loi condamne pénalement la collecte déloyale, frauduleuse ou illicite d'informations nominatives (art. 25 de la loi et art. 226-18 du code pénal - 5 ans d'emprisonnement et 300 000 euros d'amende) et décret 81-1142 (contravention de 5ème classe).
Ce principe se traduit par:
* l'obligation d'informer préalablement les personnes auprès desquelles sont recueillies des données du caractère obligatoire ou facultatif des réponses, des conséquences d'un défaut de réponse, des destinataires des informations ainsi que de l'existence d'un droit d'accès. Les questionnaires de collecte doivent mentionner ces prescriptions (art. 27).
* l'obligation de recueillir l'accord exprès des personnes avant de collecter des données sensibles (race, religion, opinions politiques...). De même, la loi subordonne l'utilisation du numéro national d'identification (NIR, ou encore n° INSEE, n° de sécurité sociale) à une autorisation par décret en Conseil d'État pris après avis de la CNIL (art. 18). L'utilisation du NIR sans cette autorisation est sanctionnée pénalement (art. 42 - 5 ans d'emprisonnement et 300 000 euros d'amende).
* l'interdiction d'enregistrer les condamnations pénales ; la loi réserve aux seules autorités publiques agissant dans le cadre de leurs attributions légales et sous réserve d'un avis conforme de la CNIL, l'enregistrement de ces données (art. 30). Le non-respect de cette interdiction est sanctionné pénalement (art. 226-19 - 5 ans d'emprisonnement et 300000euros d'amende).
* l'interdiction d'utiliser comme source d'information, des fichiers constitués à d'autres fins.

La conservation des informations
Les données nominatives ne doivent pas être conservées au-delà de la durée nécessaire aux finalités du traitement pour lequel elles ont été enregistrées. Le code pénal sanctionne la conservation des données pour une durée supérieure à celle qui a été déclarée (art. 226-20 - 3 ans d'emprisonnement et 45 000 euros d'amende).
Lorsque l'organisme qui détient le fichier a connaissance de l'inexactitude ou du caractère incomplet d'une information, il a l'obligation de procéder à sa mise à jour (art. 37).
En cas de transmission à un tiers, la rectification ou l'annulation d'une information nominative doit être notifiée à ce tiers (art. 38).

La sécurité des traitements
Toute personne en charge d'un traitement automatisé nominatif doit prendre toutes les précautions utiles afin de préserver l'intégrité des données et d'empêcher toute communication à des tiers non autorisés (art. 29).
Le non-respect de cette obligation de sécurité indispensable compte tenu des multiples risques d'erreurs et de fuites, est pénalement sanctionné (art. 226-17 du code pénal - 5 ans d'emprisonnement de 300 000 euros d'amende).

La communication d'informations
Seuls sont destinataires des informations contenues dans un traitement automatisé les catégories de personnes désignées lors des formalités préalables auprès de la CNIL. Un nombre limité de personnes clairement identifiées est donc habilité à recevoir tout ou partie des informations.
Pour les traitements les plus courants, les normes simplifiées désignent les destinataires des informations en précisant parfois les données que chaque catégorie de personnes est habilitée à recevoir.
La communication d'informations nominatives est parfois étendue pour des raisons d'intérêt général ou pour l'exercice de certaines prérogatives de contrôle ou de répression par les autorités publiques.
Communiquer des informations nominatives à des personnes non-autorisées est pénalement sanctionné ( art. 226-22 du code pénal - 1 an d'emprisonnement et 15 000 euros d'amende). La divulgation par imprudence ou négligence est punie de 7 500 euros d'amende.

La commercialisation d'informations
Les transactions commerciales d'informations nominatives doivent respecter la loi "informatique et liberté" dans son intégralité (déclaration, collecte; information préalable des personnes concernées en cas de cession de données; respect du droit d'opposition à la collecte ou à la cession d'informations, prise en compte des demandes de radiation).

La finalité des traitements
Le principe de finalité est l'un des pilier de la protection. Un traitement d'informations nominatives est créé pour atteindre un certain objectif. Son contenu doit correspondre à cet objectif et ne pas servir à d'autres fins. Le choix des données que l'on décide d'enregistrer, la durée de leur conservation et les catégories de personnes qui peuvent en avoir communication doivent être déterminés en fonction de la finalité du traitement.
L'utilisation d'un traitement nominatif à d'autres fins que celles qui ont été déclarées lors des formalités préalables constitue un détournement de finalité pénalement sanctionné (art. 226-21 du code pénal - 5 ans d'emprisonnement).

L'aide à la décision
La loi du 6 janvier 1978 tend à éviter tout automatisme dans la prise de décision.
Aucune décision impliquant une appréciation sur un comportement humain ne peut avoir pour seul fondement un traitement automatisé d'informations donnant une définition du profil ou de la personnalité de l'intéressé (art. 2). Il n'est pas interdit de recourir à la méthode des profils qui consiste à classer des individus au regard de caractéristiques déterminées après des études statistiques, mais cette méthode ne peut être utilisée que comme une aide à la décision c'est-à-dire constituer un élément d'information parmi d'autres, laissant toute sa liberté d'appréciation au décideur humain
Le respect des droits des personnes
Les responsables des fichiers doivent permettre aux personnes figurant dans des traitements d'exercer pleinement leurs droits.
Le refus ou l'entrave au bon exercice de ces droits est sanctionné pénalement (art. 226-18 du code pénal et Décret 81-1142 du 23 décembre 1981
Les principes de la loi
Loyauté de la collecte de données : tout moyen de collecte frauduleux, déloyal ou illicite est interdit (article 226-18 du code pénal : 5 ans d'emprisonnement, 300.000 euros d'amende).
Finalité des fichiers : les traitements informatiques doivent poursuivre une finalité explicite ; c'est au regard de cette finalité que sont appréciés le caractère pertinent, adéquat et non excessif des données enregistrées, les catégories de personnes ou d'organismes qui peuvent être destinataires de ces données et la durée pendant laquelle les données collectées peuvent être conservées (articles 226-21 et 226-20 du code pénal : utiliser des données personnelles à des fins étrangères à celles qui ont justifié leur collecte, ou les conserver au-delà de ce que justifie la finalité du traitement est puni, respectivement, de 5 ans d'emprisonnement et de 300.000 euros d'amende et de 3 ans d'emprisonnement et de 45.000 euros d'amende).
Information des personnes : les personnes auprès desquelles sont recueillies des données personnelles doivent être informées du caractère obligatoire ou facultatif des réponses, des conséquences d'un défaut de réponse, des catégories de personnes ou d'organismes pouvant avoir connaissance de ces données et du lieu où s'exerce le droit d'accès et de rectification (article 2 du décret du 23 décembre 1981 : le défaut d'information est puni de 1.500 euros).
Protection renforcée des données sensibles : les informations qui font apparaître directement ou indirectement les origines raciales, les opinions politiques, philosophiques ou religieuses, les appartenances syndicales ou les m?urs des personnes ne peuvent être collectées et enregistrées qu'avec l'accord exprès (écrit) des personnes concernées. L'article 226-19 du code pénal punit toute infraction à ces dispositions de 5 ans d'emprisonnement et de 300.000 euros d'amende.
Loi 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés.

* Le texte de la loi
* Sanctions pénales
* Textes d'application

Convention 108
Convention pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel
Directive européenne n° 95/46/CE
Directive 2002/58/CE du 12 juillet 2002
du Parlement européen et du Conseil concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques (directive vie privée et communications électroniques)
Réforme de la loi "Informatique et libertés"
Le 24 octobre 1995, l'Union européenne a adopté la directive 95/46/CE qui vise à réduire les divergences entre les législations nationales sur la protection des données à l'intérieur de l'Union européenne.   COMPLEMENTS :
Les travaux du Conseil de l'Europe
Les principes de l'ONU
Les lignes directrices de l'OCDE

Retour