Les principes de la protection des données personnelles
Accueil Presentation Actualité Dangers Dossiers Références Listes Nouveautés	Note préliminaire : Ce texte d'initiation aux notions concernant la protection des données personnelles a été rédigé, en mars 2000, sous la forme d'un comparatif entre différents textes existants, certains traitements faisant débat à l'époque, ainsi qu'une version préliminaire (non officielle) du texte réformant la loi Informatique et Libertés. Il n'est donc plus totalement d'actualité, mais les concepts sont toujours valides et sa lecture reste donc un préliminaire indispensable avant toute lecture des autres textes présents sur ce site. La Qualité des données Informations nominatives ou données à caractère personnel ? L'article 4 de la loi de 78 est rédigé ainsi : "Sont réputées nominatives au sens de la présente loi les informations qui permettent, sous quelque forme que ce soit, directement ou non, l'identification des personnes physiques auxquelles elles s'appliquent, que le traitement soit effectué par une personne physique ou par une personne morale." Comme on le voit, il n'est pas nécessaire que le nom soit absent pour qu'un enregistrement perde son caractère nominatif. En effet, toute recherche avec les bons critères dans une base de données anonymisée peut permettre, par recoupement successifs, de retrouver des informations spécifiques à un individu. Cependant, la directive, en changeant le terme "donnée nominative" en "donnée à caractère personnel" a très largement étendu le champ d'action de cette notion, en ajoutant : "plusieurs éléments spécifiques, propres à son identité physique, physiologique, psychique, économique, culturelle ou sociale;" (Art. 2a) Ces notions de "données à caractère personnel" ne se limitent pas aux données alpha-numériques, mais aussi à tout autre représentation de données, comme les sons et les images d'une personne. C'est pour cela que tout traitement ou tout enregistrement (y compris analogique) issues, par exemple, de la vidéo-surveillance est concernée par cette notion, et ceci sans attendre la mise en place effective des systèmes de reconnaissance psychologique. Peuvent aussi être considérées comme données personnelles toutes représentation du génome d'une personne. Les Données sensibles Les différentes législations ont concédé que certaines données ne devaient en aucun cas, sauf accord exprès de l'intéressé, faire l'objet de collecte ou de traitement. Selon la loi de 1978 (article 31), il s'agit "des origines raciales ou les opinions politiques, philosophiques ou religieuses ou les appartenances syndicales, ou "les moeurs" des personnes." Une importante modification de la loi de 78, le 1er juillet 1994, à (sans toutefois les inclure dans le cadre strict de l'énumération de l'article 31) ajouté une protection des données médicales, par le biais de procédures spécifiques quant à leur traitement (articles 40-1 à 40-15). Leur utilisation doit donc être strictement limitée aux finalités de santé, de recherche et d'assurance-maladie. En plus de la liste précédemment citée, la Directive Européenne a ajouté les données relatives à l'origine ethnique (en plus de l'origine raciale) et à la santé. D'autre part, il est à noter que, contrairement à la règle dictée par la directive qui indique que la transposition ne doit pas abaisser le niveau de protection de la loi existante, le remplacement du terme "moeurs" par "vie sexuelle" dans l'avant projet ouvre la porte à la mise en fiches de certains comportements (drogue...). Il est à noter que la rédaction de l'avant projet de loi ajoutait aux données sensibles, sur proposition de Guy Braibant, les données génétiques. Mais cette proposition apparaissait entre crochets ("..., ou les appartenances syndicales, ou qui sont relatives à la santé de celles-ci, [à leur génome], ou ..."), révélant probablement que cette question était encore en discussion... Cependant, il est un autre type de données qu'il faut inclure dans la liste des données sensibles, ce sont les données à caractère psychiques et sociales. Cette mesure permettrait de cadrer de façon précise leur collecte et leur utilisation puisque seule une loi pourrait autoriser la création d'un traitement. Cette inclusion permettrait aussi de créer des garde-fous, notamment lorsque l'on considère les risque de privatisation du secteur public... La Pertinence des données Absente de la loi de 1978, et définie dans un article de la convention 108 (suivant une reformulation qui est reprise telle quelle dans les textes suivants), les règles concernant la pertinence des données sont rédigées ainsi : "les données doivent être adéquates, pertinentes et non excessives, en regard des finalités pour lesquelles elles sont collectées." C'est un point extrêmement important, qui, par son couplage avec la notion de finalité, sera probablement notre principal moyen de lutte contre le caractère abusif de certains fichiers. L'exactitude des données Selon l'article 37 de la loi de 78, l'organisme traitant les données doit mettre ses fichiers à jour dès qu'il a connaissance d'inexactitudes dans celles-ci. Cependant, si ce texte oblige le responsable du traitement à effectuer les modifications lorsqu'il a connaissance de différences, rien ne l'oblige à rechercher lui même si des différences peuvent exister... Le texte de la directive est légèrement différent, puisqu'il indique : "[les données doivent être] exactes et si nécessaire, mises à jour; toutes les mesures raisonnables doivent être prises pour que les données inexactes ou incomplètes [...] soient effacées ou corrigées." (texte repris quasiment tel-quel dans l'avant projet de loi) Si cette version est nettement meilleure, elle est cependant entachée du terme "raisonnables", qui, par son côté subjectif, risque de permettre à beaucoup de responsables de traitement de ne pas faire plus qu'il n'en faut pour mettre à jour leurs fichiers. Encore un point qu'il nous faudra montrer du doigt lors des débats sur la transposition.... L'exemple type de ce genre de problèmes nous a été donné par la CNIL elle-même. En effet, elle semble avoir totalement oublié les termes de l'article 37, lorsqu'elle a produit sa délibération à propos du STIC, pour laquelle elle ne fait que demander que les personnes puissent exercer leur droit de rectification, après une relaxe par exemple. En effet, elle pouvait très bien rappeler les termes de l'article 37, et obliger la police à s'informer de tous les jugements et effectuer les modifications nécessaires.... La Proportionnalité Le principe de proportionnalité (qui est un principe juridique reconnu dans d'autres textes) s'applique aussi bien à la qualité des données (ne pas mettre plus d'éléments qu'il n'en est nécessaire), qu'à "l'amplitude" du fichage (ne pas ficher toute la population si la finalité du fichier ne concerne que certaines personnes). Ici aussi, l'utilisation de cette notion peut être utilisée pour éviter la création de méga-bases de données regroupant toutes les informations de la population. Le traitement de données. Un traitement de données suit plusieurs étapes, au cours desquelles certaines procédures et protections doivent être respectée. C'est en observant plusieurs de celles-ci (finalité, collecte, traitement, conservation...) que l'on peut juger de la licité d'un traitement. Etant donnés les grandes différences d'approche entre la loi de 78 et la directive (beaucoup plus précise dans de nombreux cas), Guy Braibant propose l'abrogation directe de cette partie de la loi de 78, pour la remplacer par un texte entièrement nouveau. Définition de la Finalité Loin d'être une notion théorique, le principe de Finalité est le principal fondement du traitement des données personnelles. Selon la CNIL, dans son rapport annuel de 1999 : "C'est au regard de la finalité du fichier que s'apprécient le caractère adéquat, pertinent et non excessif des données collectées la durée pendant laquelle les informations peuvent être conservées ou encore les destinataires de ces informations",.."Le détournement de Finalité est d'ailleurs lourdement sanctionné par le code pénal" (Rap CNIL 99 p39) Ces finalités doivent être explicites et légitimes et doivent être déterminées lors de la collecte des données Tout traitement utilisant des données personnelles en dehors de l'utilisation déclarée du fichier peut donc être attaqué pour "détournement" de finalité. L'exemple type (et pourtant le cas le moins réprimé actuellement..), concerne la ré-utilisation du fichier des abonnés d'un journal. En effet, le fichier a été créé pour gérer les abonnements et garder trace des adresses où envoyer les journaux. Réutiliser ces adresses pour envoyer autre chose (par exemple pour envoyer de la publicité) est donc un détournement de finalité. Principes concernant la collecte des données. Loyauté de la collecte. L'article 5 de la loi de 78 est constitué d'une seule phrase : "La collecte de données opérées par tous moyen frauduleux, déloyal, ou illicite, est interdite." Par exemple on peut juger que la collecte des données par le Samu Social est déloyale, par le fait qu'un chantage est implicitement fait sur le SDF (même si la phrase "Tu n'auras pas ton hébergement si tu ne réponds pas aux questions" n'est pas explicitement formulée) pour obtenir des données sur celui-ci. D'autre part, il faut aussi considérer le fait que certains logiciels (comme ANAISS) sont écrits de façon à se bloquer lorsque certaines informations ne sont pas entrées. Or le fait d'imposer, de façon technique, l'entrée de certaines informations sans l'accord des personnes (aussi bien celui de la personne concernée que, parfois, celui de la personne entrant les données, comme les assistantes sociales) doit rendre automatiquement la saisie illicite... Il convient donc, lorsque l'on examine un logiciel de saisie, d'examiner non seulement la qualité des données demandées, mais aussi de voir si le logiciel accepte que les données ne soient pas entrées. Transparence de la collecte Application du droit à l'information, la collecte doit être effectuée de façon visible et connue de la personne faisant l'objet du traitement. Principes concernant le traitement La Confidentialité Il incombe au responsable du traitement de s'assurer que la confidentialité des données est bien préservée. Ceci peut être fait de plusieurs façons : - Sécurisation des accès (mots de passe sur les postes, etc...) - Niveaux d'habilitation des différents utilisateurs si, par exemple le fichier d'un cabinet médical contient en même temps les dates de rendez-vous et les données comptables et médicales d'un patient, la secrétaire n'a pas obligatoirement besoin d'avoir accès à la partie médicale. - Sécurisation des transferts. Ceux-ci doivent si possible se faire par l'intermédiaire d'un réseau indépendant (fermé). Dans tout autre cas, toute mesure doit être prise pour assurer la confidentialité (cryptage des données, etc...) Si ce principe est évident pour la plupart des traitements, il est bien sûr plus apparent sur ceux concernant la santé. En effet, avec les débats ayant trait à la carte Vitale 2, on s'aperçoit d'un dangereux glissement du secret médical vers le secret professionnel. En effet, avec cette carte, les membres des service sociaux auraient maintenant accès à des informations relevant du secret médical. Ceci sous le prétexte de contrôle de la validité de l'acte (ce qui voudrait dire en passant que des "administratifs" de la Sécurité Sociale serait plus à même qu'un médecin de juger de l'utilité d'un examen ou d'un traitement) et surtout le fait que ces personnes sont astreintes au secret professionnel... Sachant que toute personne employée est, d'une façon ou d'une autre, astreinte au secret professionnel, le fait d'accorder l'accès aux données médicales aux agents administratifs ne peut que provoquer un dangereux précédent. Bien sûr ces réserves doivent aussi s'appliquer aux données sociales. Transfert trans-frontières des données. Selon le texte original de la loi de 78, le transfert de données nominatives ne peut se faire que traitement par traitement, grâce à un décret pris au conseil d'état après avis de la CNIL. Cependant, la modification de 1994 concernant les données de santé a assoupli les règles, en autorisant les transferts vers les pays offrant un niveau de protection équivalent à la France. Le principal point de la directive concerne le fait que, suite à sa transposition dans toute l'Europe, les données doivent y circuler librement sans aucune contrainte. Cependant, les données peuvent être transmises à d'autres pays si : - L'autre pays assure une protection adéquate. Ce terme adéquat est dans tous les cas en net recul, aussi bien sur les textes de la convention 108 (qui utilisait le terme "équivalente") que celle de la loi de 78 en elle-même, qui lorsqu'elle l'acceptait (dans la modification de 1994) ne le faisait que si le niveau de protection de l'autre pays était équivalent. Il faudra donc s'assurer que le terme "adéquat" soit "remplacé par "équivalent". Ceci, par exemple, en rappelant que la directive ne peut pas abaisser le niveau de protection d'une loi déjà existante. - La personne a donné son consentement, ou dans le cadre de certaines dérogations (sauvegarde de la vie de la personne concernée, exécution d'un contrat entre le responsable du traitement et la personne concernée...). Etant donné les risques de dérives, il conviendra de faire une analyse très approfondie du projet de loi devant être discuté. (Pour d'autres aspects de la discussion à propos des flux de données trans-frontières, voir le texte sur le Safe Harbor) Sécurité Le responsable du traitement doit s'assurer, par tous les moyens techniques nécessaires de la sécurité des données. Aussi bien en ce qui concerne leur confidentialité, que les possibles attaques dont elles peuvent faire l'objet. Décisions automatisées Selon l'article 2 de la Loi Informatique et Liberté : "Aucune décision [de justice,] administrative ou privée impliquant une appréciation sur un comportement humain ne peut avoir pour fondement un traitement automatisé d'informations donnant une définition du profil ou de la personnalité de l'intéressé." Cependant, si cet article interdit les décisions basées sur des profils, il n'interdit ni les profils, ni leur utilisation dans ce que certains appelleraient "l'aide à la décision"... En fait, le terme "profil" recouvre trois méthodes de gestion comportementales ayant des appellations usuelles différentes : les profils, les typologies et le scoring. Les profils Les profils consistent à analyser les données comportementales d'une personne (par exemple, en regardant quels sites web elle visite), en les regroupant, afin de d'essayer de déterminer ses habitudes comportementales. C'est cette méthode qui est utilisée par les sites commerciaux afin de proposer Par exemple, si une personne à l'habitude de visiter des sites ayant trait au cinéma, il verra plus souvent apparaître pubs à propos de cassettes vidéo. Les informations permettant de déterminer le profil peuvent être obtenues à partir de plusieurs origines : un formulaire auquel répond l'utilisateur à propos de ses goûts, une liste des différents achats qu'il peut avoir fait récemment sur ce site (ou un autre, dont un partenaire aura fourni les résultats) ou par surveillance des sites visités (grâce aux cookies, par exemple). Les données contenues dans les profils sont donc une compilation des habitudes, à partir des quelles le logiciel de traitement tentera de trouver une proposition correspondant de façon la plus proche au profil. Evidement, plus on a d'informations à propos du comportement d'une personne, plus on pourra déterminer son profil, et mieux on pourra lui proposer des choses qu'il est censé vouloir. D'où la justification des sites marchands pour récupérer le plus de données possible sur notre compte... Les typologies Contrairement aux profils, les typologies sont des listes finies et prédéterminées de comportements types, souvent fixées lors de l'écriture même de l'application de traitement. Le problème est que pour l'utilisateur devant décrire le comportement d'une personne, il doit se débrouiller de trouver la "case" correspondant à ce comportement. Et si la case exacte n'est pas trouvée, on prend celle qui se rapproche le plus... Dans le monde social, le problème des typologies a été particulièrement mis à jour suite à la sortie du logiciel ANAISS. Ce logiciel crée par la CNAM a pour but la création d'un "dossier social" a destination des agents des services sociaux des caisses de sécurité sociale. Les typologies y sont utilisées de deux façon : pour la catégorisation des "problèmes" et la détermination des objectifs. Si la liste des problèmes comprend des rubriques relativement simples (Risque d'expulsion, Budget déséquilibré avec ressources insuffisantes...) beaucoup d'autres portent plus à discussion : Insatisfaction dans les relations sociales, refus de solutions compensatoires, et même difficulté d'exécution d'un rôle ! Sur quoi une assistante sociale peut elle baser ces typologies totalement subjectives ? Comment les expliquer, puisque rien dans les logiciel n'est prévu pour y ajouter un texte de précision ? La CNIL, chargée par deux fois de délibérer sur ce dossier, a émis deux avis relativement contradictoires : Le premier insistait que "les informations mémorisées sont des renseignements factuels à l'exclusion de toute appréciation d'ordre subjectif", alors que la deuxième prenait acte que "certaines codifications, par leur intitulés, relèvent d'une appréciation subjective de l'assistant social"... Le principal problèmes des typologies est donc que c'est une méthode extrêmement réductrice, tendant à "lisser" les comportements vers un comportement type, pour après lui appliquer une solution type. Le scoring Le scoring consiste à déterminer les facteurs communs qui peuvent aboutir à un comportement spécifique. En plus des données contenues dans le fichier des informations nominatives d'autres bases de données peuvent appuyer la recherche. Par exemple, Bouygues Télecom utilise la méthode de scoring pour tenter de "cibler" les personnes insatisfaites qu'elles doivent appeler pour éviter qu'elles se désabonnent. L'analyse est faite en croisant toute une série de données telles que l'adresse de l'usager infidèle reportée par un système d'information géographique qui en déduirait des caractéristiques socioprofessionnelles (!), des éléments de facturation, les sujets de réclamations enregistrées par le service client et les informations facultatives qui ont pu être recueillies sur le formulaire de souscription. "Cette base d'apprentissage est confrontée plusieurs fois par mois au fichier d'abonnés et nous en tirons une liste de candidats potentiels à la résiliation Ensuite, une équipe de télémarketing vérifie auprès d'eux l'exactitude du pronostic et leur propose le cas échéant une offre commerciale mieux adaptée." (d'après Olivier Pujo, directeur des systèmes d'information clients chez Bouygues) Inutile de dire que la qualité du résultat est dépendante, non seulement de l'algorithme utilisé pour déterminer les comportements types, mais surtout de la qualité, et le nombre d'informations trouvées à propos du client... Le principal problème de l'utilisation de cette méthode est que cette méthode travaille "par amalgame". C'est à dire qu'on va analyser tous les comportements, en "déduire" des comportements communs, et les appliquer à tous les comportements relativement proches. Ce qui veut dire que les utilisateurs de cette méthode sont parfois tentés d'obtenir le plus possible d'informations sur une personne, même si le résultat obtenu est foncièrement inexact... Il est à noter que ni la directive ni le texte de l'avant projet ne prêtent une plus grande attention sur ces problèmes que la loi de 1978... Conservation des données Durée de conservation La durée de conservation des données, ou plus exactement leur suppression après la période d'utilisation est une des notions les plus évidentes, mais dont la majeure partie des textes En effet, que ce soit pour la loi de 78, la directive ou le projet de loi, si ces texte mentionnent bien dans les éléments obligatoires à mentionner dans les Une fois cette durée de conservation/utilisation expirée, la question suivante concerne la méthode de suppression : Les données sont-elles effacées automatiquement (par exécution journalière d'une routine du programme comparant la date de l'enregistrement et la date courante) ou manuellement (par le lancement occasionnel d'un programme testant les dates des enregistrements, voir même par la vérification manuelle, par un opérateur, des dates des enregistrements). Il est inutile de dire que, dans le cadre de gros fichiers, seule la première méthode offre des garanties suffisantes... Il serait donc nécessaire que le projet de loi inclue des dispositions pour que toutes les applications développées spécifiquement soient munies d'une fonction automatique d'effacement des données au terme de la durée prévue d'utilisation ou de conservation. Et puisque certains groupes de pressions proches des gouvernement semblent capables d'inciter les sociétés à modifier leurs produits de façon à favoriser les interceptions, il serait peut-être intéressant d'essayer d'exiger que les producteurs de logiciels standard de bases de données (du type Access) incluent en standard les mécanismes permettant l'effacement des données au bout d'un certain temps... Dans tous les cas, au delà de la durée du traitement, les données doivent être obligatoirement rendues anonymes. Cependant, il existe certaines dérogation, par exemple dans le cas des recherches à caractère historiques, qu'il nous faudra étudier sur le projet de loi... Techniques de maintien de la confidentialité : L'anonymisation L'anonymisation est probablement la méthode la plus courante du maintien de la confidentialité. Techniquement, elle est très simple à mettre en oeuvre, puisqu'il s'agit d'effacer les informations permettant l'identification de la personne avant de transmettre les informations à d'autres personnes. Cependant, l'anonymisation n'est pas une méthode parfaite, puisque, il est possible, dans certains cas, de déduire à qui appartient une fiche en faisant des recoupements sur le contenu du fichier. Par exemple, si un fichier contient deux données connues (par exemple, "Date de naissance du dernier enfant" et "profession du conjoint"), il peut être possible de retrouver la fiche de la personne correspondante en recoupant les fiches obtenues après recherche de chaque critère. Bien sûr, ce type de recherche n'est efficace que si le nombre d'enregistrements dans le fichier est suffisamment faible. Dans notre exemple, elle peut être efficace si le fichier contient seulement les fiches d'une commune, mais n'est bien sûr pas possible sur un fichier comprenant toute la population d'un pays... C'est pour cela qu'il est nécessaire de vérifier qu'il est impossible de faire de telles recherches sur des fichiers contenant un faible nombre d'échantillons. Les tables de correspondances [A rédiger] Le hachage [A rédiger] Les droits des personnes Le Droit d'information La loi de 78 autorise quiconque à savoir si il fait l'objet d'un traitement. Bien sûr, ceci n'inclue pas certains traitements "relatifs à la sûreté de l'Etat", etc... Cependant, pour vouloir demander cette communication, il faut cependant _au moins imaginer_ que quelqu'un à mis en place un traitement... Si, lorsque nous remplissons un formulaire, nous savons, honnêtement, que ces informations sont susceptibles de faire l'objet d'un traitement, cela est moins évident lorsque nous répondons, par exemple, a des questions au téléphone. L'exemple type est le Samu social, qui devrait, au début de chaque entretien téléphonique, préciser : - Que les réponses données feront l'objet d'un traitement informatique. - Que le fichier est [soit disant] à destination statistique. - Que la personne peut s'opposer que tout ou partie des réponses données soient enregistrées. Car la question de fond est que si la loi oblige la déclaration des traitement, il y a un gigantesque pas a franchir (plus de 500000 fichiers déclarés à la CNIL...) afin de tout savoir sur des fichiers crées sans que nous en avions connaissance. En effet, si nous sommes à priori informés lorsque nous remplissons un formulaire mentionnant la petite phrase "En vertu de la loi du 6 janvier 1978...", nous savons qu'une immense majorité des fichiers échappent à cette procédure. Il serait donc nécessaire d'imposer que pour tout fichier créé en "seconde main" (C'est à dire en réutilisant le formulaire que nous avons signé, ou en récupérant des données depuis un autre fichier), nous en soyons explicitement informé. Evidement, certains rétorqueront que celà est irréaliste... Dans tous les cas, il faut au minimum imposer, dans le cadre des fichiers de prospection circulant entre différentes sociétés (en se recoupant, se fusionnant, etc...) de connaître aussi bien l'origine de chaque donnée, que la liste complète et détaillée des destinataires. Ceci impose bien sûr aux ficheurs d'installer des méthodes d'historisation complexes à mettre en oeuvre, mais c'est la seule méthode fiable pour que nous puissions, le cas échéant exercer pleinement notre droit d'accès et de rectification... Les Droit d'opposition vs Consentement express, ou Opt-in vs Opt-out Si ces deux notions semblent relativement proches, puisqu'elles donnent toutes les deux la liberté de voir ses données personnelles traitées ou non, ce sont en fait sur celles-ci qu'ont lieu les principaux débats entre les gestionnaires de fichiers et ceux qui luttent pour les libertés individuelles. En effet, si les lois (article 26 de celle de 78) sont maintenant claires sur le fait qu'une personne peut refuser d'être fichée (en dehors des fichages désigné comme obligatoires par la loi), les ficheurs essayent bien sûr de faire en sorte que ce fichage se fasse "par défaut", sachant qu'une fois fichée, la personne n'exercera que rarement son droit d'opposition... Inutile de commenter plus les dangers de ce système... Au contraire, les défenseurs des libertés individuelles tentent d'exiger que le fichage ne puisse se faire qu'avec l'accord express de la personne (où elle demande explicitement, ou fait une action spécifique entraînant l'autorisation de traitement). Dans le cadre commercial, ces deux notions se retrouvent sous les appellations "opt-in" et "opt-out". en relation aux cases des formulaire des sites web, sur lesquelles on coche ("opt") pour entrer ("in") ou sortir ("out") du fichage. Ou, plus simplement, l'opt-in, c'est :       [ ] J'accepte que mes données soient utilisées... et l'opt-out, c'est       [ ] Je refuse que mes données soient utilisées... La subtile différence entre les deux, c'est le fait que l'utilisateur moyen peut être qualifié de paresseux, inerte (ou tout autre terme à votre convenance), et que quelque soit le texte, le fait de cocher la case est un effort surhumain... C'est justement là dessus que jouent les sites commerciaux en utilisant des formulaires basés sur l'opt-out. Attention ! Ce qu'il faut comprendre, c'est que ce n'est pas le texte qui caractérise l'opt-in ou l'opt-out, c'est _l'action_, ou le défaut d'action. En effet, la case (précoché lors de l'affichage de la page) :       [x] J'accepte que mes données soient utilisées... est aussi de l'opt-out, puisqu'il faut décocher la case (et donc agir) pour ne pas être fiché... Cette opposition entre droit d'opposition étant consentement express étant relativement récente (deux ou trois ans), il est relativement logique de voir que les précédents textes ne parlent que du droit d'opposition. Y compris, pour la directive, qui indique explicitement que le droit d'opposition peut se faire gratuitement pour les traitements à fin de prospection. Cependant, le texte de l'article 35 de l'avant projet de loi est aussi basé sur le droit d'opposition, y compris pour les fichiers de prospection... Inutile de dire qu'il est de notre devoir de faire tout en sorte que le consentement express devienne la méthode par défaut, et pas seulement dans le domaine commercial.. Le Droit d'accès Le principe du droit d'accès est reconnu et ne pose que peu de problèmes d'interprétation. Cependant, en raisons des sacro-saintes raisons d'enquêtes et de sûreté d'Etat, il est divisé en deux parties : droit d'accès direct et droit d'accès indirect. Lorsque nous avons à examiner un traitement de fichier de l'Etat, il convient donc de toujours vérifier sous quelle forme le droit d'accès est autorisé. Loi de 78: Le cadre général est le droit d'accès direct. Dans ce cas là, toute personne justifiant de son identité peut, en s'adressant au responsable du traitement, savoir d'une part si elle fait l'objet d'un traitement automatisé (article 34 de la loi de 78), et d'autre part, quelles sont les informations présentes dans ce fichier (article 35). Note : la loi fait mention de la perception d'une redevance forfaitaire éventuellement exigible pour la communication de données. Rappelons ici que la loi de 78 était prévue principalement pour traiter les "fichiers d'Etat"... Le responsable du traitement peut saisir la CNIL afin de demander : soit des délais, soit un refus dans le cas de demandes abusives par leur nombre ou leur caractère répétitif. Il est possible de demander à un juge compétent de prendre les dispositions nécessaires lorsque l'on pense que le responsable du traitement est susceptible de dissimuler ou faire disparaître des informations. Eléments nouveaux dans la directive : La directive apporte quelques ajouts : - La communication doit se faire "sans délais excessifs". Point important, car la loi de 78 ne fait aucune mention quant aux délai maximum autorisé pour transmettre les informations. Cependant, le terme "excessif" reste évidement dans le vague. - En plus, des données "brutes", qui sont parfois non compréhensibles lorsque elle sont isolées du cadre de leur traitement, la communication doit aussi comprendre la finalité du traitement, les catégories de données sur lesquelles portent le traitement, et les catégories de destinataires auquels les données sont communiquées.. - La communication de toute information sur l'origine des données. - La connaissance de la logique utilisée pour les traitements comportant des décisions automatisées. Nouveaux points inclus dans l'APL1 : - Le texte indique clairement que le coût de communication des données ne peut pas être supérieur au coût de reproduction sur papier (ou autre support le cas échéant). - En ce qui concerne les dispositions permettant la protection contre la disparition ou la dissimulation des données, l'APL1 indique que cela se fera par un décision du juge en référé. Les points à exiger : - L'imposition d'un délai maximum pour la communication des informations. Un délai d'un mois parait amplement suffisant. - Les textes donnent le droit d'avoir connaissance des catégories de destinataires de ces données. Ceci peut être nettement insuffisant. Nous devons exiger d'avoir des listes exhaustives, et le cas échéant nominatives. Dans le cadre des fichiers sociaux, nous devons connaître la liste exacte et exhaustive de tous les services ayant communication des données, avec le cas échéant le nom de la personne traitant ces données. Dans le cadre de cession des fichiers commerciaux) de connaître la liste exacte de ces sociétés destinataires. Cette connaissance des acheteurs est probablement le meilleur indice pour savoir si une société est en train de constituer une méga-base de données. Notons que ceci impliquant des dispositifs d'historisation parfois relativement complexes à mettre en oeuvre (surtout sur des traitements existants), il est probable que nous aurons une certaine résistance à faire admettre ce point. - Aucun texte ne donne obligation de communiquer la durée au cours de laquelle les donnés seront traitées, ni le devenir des données une fois traitées (effacement, archivage...), ou l'indication qu'il est prévu de les conserver sous forme nominative pour des raisons historique. C'est pourtant un point capital. Droit d'accès indirect et dérogations au droit d'accès. La loi actuelle. La loi de 1978 indique que pour les traitements concernant la sûreté de l'Etat, la défense et la sécurité publique, le droit d'accès se fera par l'intermédiaire des membres de la CNIL appartenant au Conseil d'état, à la Cour des Comptes (article 39). La seule communication consiste dans un avis que les vérifications on été faites. Cependant, un décret du 14 octobre 1991 a fixé des modalités particulières au droit d'accès aux fichiers des Renseignements Généraux. Trois réponses peuvent donc être apportée : - Un simple avis, si la personne n'est pas fichée. - Si le fichier concernant la personne contient des informations ne compromettant pas la sûreté de l'Etat, la défense ou la sécurité publique, la personne pourra avoir communication de ces informations. Après consultation de ces informations, la personne a la possibilité de rédiger un note d'information, qui sera incluse dans le dossier. - Si le fichier concernant la personne contient des informations compromettant la sûreté de l'Etat, la défense ou la sécurité publique, le magistrat de la CNIL procède à la vérification du dossier et procède à la rectification et à l'effacement des données inexacte. Le président de la CNIL adresse ensuite au requérant une lettre recommandée lui indiquant que les vérifications on été faites. En ce qui concerne les données médicales, l'accès se fait par l'intermédiaire d'un médecin (article 40). La directive. La directive ajoute, aux dérogations au droit d'accès énoncées dans la loi de 78, des alinéas concernant principalement des alinéas permettant de limiter le droit d'accès à certains traitement nous concernant, comme par exemple ceux touchant ) la sûreté de l'Etat. Cependant, l'alinéa le plus intéressant concerne la limitation du droit d'accès constitue une mesure nécessaire pour sauvegarder "un intéret économique ou financier important d'un état membre ou de l'Union Européenne, y compris dans les domaines monétaires, budgétaire et fiscal"... L'Avant projet de loi L'APL1 a ajouté un article indiquant que l'administration fiscale pouvait s'opposer à la communication des données nous concernant, lorsque nous serions l'objet d'enquêtes fiscales... Pour les données médicales, la loi devra tenir compte des modifications en cours à propos de l'accès au dossier médical, qui sera maintenant libre. Le Droit de rectification Selon la Loi de 78 : "Le titulaire du droit d'accès peut exiger que soient rectifiées, complétées, clarifiées, mises à jour ou effacées les informations le concernant qui sont inexactes, incomplètes, équivoques, périmées ou dont la collecte ou l'utilisation, la communication ou la conservation est interdite. [...] En cas de contestation, la charge de la preuve incombe au service auprès duquel est exercé le droit d'accès...." (Article 36) "Si une information a été transmise à un tiers, sa rectification ou son annulation doit être notifiée à ce tiers, sauf dispense accordée par la commission". (Article Ces deux articles, suffisamment clairs, auraient très bien pu passer tels quels dans le nouveau projet de lois. Malheureusement, nous y trouvons encore, suite à une différence dans la rédaction de la directive, un cas de non-conformité avec le principe disant que le nouveau texte de loi ne peut pas abaisser le niveau de protection existant. En effet, la notification aux tiers devrait toujours se faire, mais "sauf dispense accordée par la commission en raison d'une difficulté particulière à retrouver celui-ci" (selon le texte de l'avant-projet) Quoi qu'il en soit, ces articles ne doivent pas remplacer l'obligation de maintien exact des données par le responsable du traitement. Le Droit à l'oubli. Bien n'étant encore appuyée par aucun texte (si ce n'est ceux concernant l'amnistie), une notion commence à faire parler de plus en plus d'elle. Le "droit à l'oubli" consiste en effet, à ce que, au bout d'un certain temps, tout ce qui a trait à une condamnation soit effacé, afin que la condamné, ayant purgé sa peine, ne soit plus inquiété dans la suite de son existence. On peut prendre pour exemple l'affaire d'une personne qui, il y a quelques années, a fait l'objet d'un procès ayant eu les "honneurs" de la presse. Quelques années plus tard, après sa sortie de prison, il se connecte sur Internet et lance une recherche sur son nom. Parmi les réponses, il a la désagréable surprise de voir apparaître une page de Libération mentionnant son procès. Ici, c'est lui qui a lancé cette recherche, mais que se serait-il passé si c'était un éventuel employeur qui l'avait fait ? Le condamné ayant purgé sa peine, il n'a plus aucune dette envers la société, et c'est tout à l'honneur de la société de savoir oublier qu'une personne a commis une faute. Or, l'informatique pose un problème, c'est qu'elle a une mémoire "infinie". Et que même si la société peut oublier, l'informatique risque d'être toujours là pour le rappeler. La notion de "droit à l'oubli" est donc là pour permettre les dispositions nécessaires pour que toute information concernant une affaire puisse être définitivement effacée. Le problème reste cependant à faire le tri entre ce qui peut être oublié (un vol, ou même un meurtre) et de ce qui ne peut pas l'être (les crimes contre l'humanité...). Où placer cette limite ?
Début de Page
Page d'Accueil	http://www.clifti.org/dangers/notions.htm Dernière mise à jour : 22/09/2001