Les données personnelles et la protection de la vie privée à l'heure des nouvelles technologies

Si la notion de données personnelles d'un individu englobe une quantité
non-négligeable et importante d'informations plus ou moins nominatives
(nom, prénom, âge, sexe, lieu de résidence, loisirs préférés, pseudo,
n°client, etc.), force est de constater que bon nombre de personnes
ignore précisément de quoi il s'agit, mais aussi par qui et pourquoi
nous sommes fichés. S'il est aisé d'imaginer que nous sommes
tous fichés par l'Etat et les organismes qui lui sont rattachés
(sécurité sociale, fisc, police à travers la carte nationale
d'identité, l'assedic, le médecin, etc.), par son employeur, par des
associations indépendantes (club de sport, association à laquelle on
fait un don, forum de discussion ou chat, etc.) ou encore par des
sociétés commerciales (banque, assureurs, téléphonie, fichiers clients
des commerces,, etc.), on imagine moins être fichés par des sociétés
que l'on ne connaît pas. Et pourtant, les données personnelles
circulent facilement soit contre rémunération pour le titulaire du
fichier, soit de manière involontaire en cas notamment de piratage
informatique ou de détournement de la finalité d'un fichier. C'est pour cela qu'en France, la CNIL,
la Commission nationale informatique et libertés veille à ce que loi
Informatique et libertés et les autres textes qui protègent ces données
personnelles, soient respectés afin d'éviter les abus et les atteintes
aux droits fondamentaux.
A l'heure d'internet, du piratage
informatique, de la traçabilité, du marketing-comportemental, du spam,
du développement de la biométrie, de la vidéosurveillance, des péages
autoroutiers et d'autres technologies avancées, la préservation de sa
vie privée n'est pas aisée, et il est utile de faire le point sur ce
thème particulièrement important, qui d'ailleurs devrait conduire dans
un avenir proche à la révision de la législation française et
européenne en la matière.
Qu'est ce qu'une donnée à caractère personnelle ?

Il
s'agit principalement des informations qui permettent d'identifier soit
directement, soit indirectement par recoupement d'informations, une
personne, telles que : les nom, prénom, photo, date de naissance,
statut matrimonial, adresse postale, n° de sécurité sociale, n° de
téléphone, n° de carte bancaire, plaque d'immatriculation du véhicule,
email, adresse IP d'ordinateur, empreinte génétique, élément
d'identification biométrique, etc. La définition exacte est la
suivante : "toute information relative à une personne physique
identifiée ou qui peut être identifiée directement ou indirectement ou
par référence à un numéro d'identification ou à plusieurs éléments qui
lui sont propres. Pour déterminer si une personne est identifiable, il
convient de considérer l'ensemble des moyens en vue de permettre son
identification dont disposent ou auxquels peuvent avoir accès le
responsable du traitement ou toute autre personne".
Il
convient de préciser que certaines informations, qui ne sont pas des
données à caractère personnelles, sont considérées comme sensibles dans
la mesure où elles peuvent conduire à un comportement discriminatoire
(ex : origine raciale, opinions politiques, philosophiques ou
religieuses, appartenance syndicale, information relative à la santé ou
à ses orientations sexuelles). En principe, ces données dites
"sensibles" ne peuvent être recueillies et exploitées. Toutefois,
certains traitements relatifs à ces données sont possibles dans la
mesure où la finalité du traitement l'exige et moyennant le respect de
certaines conditions, dont le consentement explicite de la personne
fichée. A noter également que certains fichiers publics (fisc,
sécurité sociale, caf, police et justice, etc.) sont constitués sans
notre accord et sans possibilité d'opposition de notre part, car ils
ont un but précis et souvent lié à la sécurité du territoire et au
respect des principes de notre République (ex : paiement des impôts,
droits aux allocations, à la protection sociale). Pour d'autres en revanche, il est possible d'exercer sont droit d'opposition à être fiché et/ou de rectification. Ce que dit la loi

En France, c'est principalement la loi Informatique et libertés
de 1978, dont la dernière révision date de 2004, qui réglemente la
collecte, l'usage et la finalité de la mise en place d'un traitement
automatisé ou d'un fichier manuel contenant des données personnelles.
Se
trouvent soumis à la cette loi, "les traitements de données à caractère
personnel dont le responsable est soit établi sur le territoire
français (c'est-à-dire y exerce une activité dans le cadre d'une
installation stable, quelle que soit sa forme juridique, filiale,
succursale...) ou recourt à des moyens de traitement situés sur le
territoire français, à l'exclusion des traitements qui ne sont utilisés
qu'à des fins de transit sur ce territoire ou sur celui d'un autre Etat
membre de la Communauté européenne".
Les responsables de
traitements sont tenus de délivrer une information détaillée sur les
conditions d'utilisation des données lors de leur collecte, que
celles-ci soient recueillies de manière directe ou indirecte. Le droit
d'opposition est garanti par la loi en matière de prospection
commerciale, de même que les droits d'accès et de rectification sont
précisés. Néanmoins, il existe des dérogations pour tenir compte en
particulier des spécificités de certains traitements notamment
statistiques. Seuls sont soumis à autorisation ou avis de la
CNIL, "les traitements présentant des risques particuliers au regard
des droits et libertés de personnes". Les autres, exempts de risques,
doivent seulement faire l'objet d'une déclaration de fichier quand des
exonérations de déclaration ne sont pas prévues (à titre d'exemple, ne
sont pas soumis à déclaration, les registres destinés exclusivement à
l'information du public, ou encore les traitements de conservation
d'archives). Dans le monde du travail, il est possible et
recommandé dans les grandes structures, de nommer ou plusieurs
correspondants à la protection des données dans les entreprises ou les
collectivités locales. C'est un décret (n°2007-451) du 25 mars 2007 qui a encadré les obligations mises à la charge du responsable du traitement, quel qu'il soit. Pourquoi la protéger ?

Contrairement
à ce que l'on pourrait croire, les informations nominatives en disent
long sur notre vie privée puisqu'elles permettent de déterminer, par
exemple, notre style de vie et nos comportements d'achat (lieu
d'habitation, centre d'intérêt d'achat, loisirs), sur notre intimité
(les produits que l'on affectionne le plus), ou encore sur nous-mêmes
(discussions sur des forums, adhésion à un syndicat ou à un parti
politique). Ces informations circulent librement dans un monde
aujourd'hui sans frontières, ce qui peut un jour être pénalisant, dans
la mesure où le droit à l'oubli n'est pas évident.
Aussi, si nous
ne sommes pas vigilants, il sera aisé de porter atteinte de manière
irréversible, à notre espace intime et à nos droits fondamentaux. Mais
internet n'est pas un espace de non-droit puisque le responsable d'un
fichier ou d'un traitement de données personnelles d'un site web ou
d'un forum de discussion, doit permettre aux internautes concernés par
les informations collectées, d'exercer pleinement leurs droits. Il doit
les informer de son identité, de la finalité de son traitement
(exemple : gestion clientèle, prospection commerciale, etc.), du
caractère obligatoire ou facultatif des informations qu'il collecte,
mais aussi des destinataires de ces informations, et de l'existence de
droits pour les personnes fichées.
Cette information se fait en
principe au moment où sont collectées les données (bon de commande,
souscription d'un abonnement, enregistrement, etc.), et les mentions
d'information à l'attention des personnes fichées doivent apparaître
sur les formulaires utilisés pour collecter les données.
Quelles sont les principales obligations en cas de collecte d'informations à caractère personnelle ?

Beaucoup
ignorent encore que le fichage n'est pas libre et qu'il nécessite au
préalable l'accomplissement de formalités déclaratives auprès de la
CNIL, quand il ne s'agit pas d'obtenir une autorisation préalable,
comme par exemple en cas de recours à des technologies biométriques.
Qu'il
s'agisse d'établissements publics ou privés, la collecte d'informations
personnelles est soumise à conditions, et la CNIL comme le juge
veillent à leur respect.
En revanche, Internet ouvre la voie à la
collecte d'information nominative par les traces que l'internaute
laisse en surfant sur le web, sans que la collecte ne puisse être
contrôlée (cookies, adresse IP, téléchargements, ou encore
participation à des forums de discussion, messagerie instantanée, ou
alimentation d'un blog).
Un constat : les français ont peur des fichiers

Selon
une étude d'octobre 2008 réalisée par l'institut de sondage Ipso à la
demande de la CNIL, pour 61% des Français, l'existence de fichiers est
perçue comme une atteinte à la vie privée. Ils sont mêmes un sur deux à
éprouver des craintes concernant l'utilisation des fichiers. Leur
inquiétude porte autant sur les fichiers d'Etat que sur les fichiers
privés.
On remarque également que c'est la collecte d'informations
personnelles sur Internet qui suscite le plus de crainte : 71% des
personnes jugeant la protection de leur vie privée sur internet
insuffisante, voire même "pas du tout satisfaisante" pour 37% d'entre
eux.
C'est la tranche d'âge des 18-24 ans, c'est-à-dire les plus
"gros consommateurs d'Internet", qui semble être la plus soucieuse dans
ce domaine, puisque 78% des internautes de cette catégorie d'âge
estiment que leur vie privée est insuffisamment protégée sur Internet.
Néanmoins, ils n'entendent pas se détourner d'internet ou des nouveaux
outils de communication. De quoi avons-nous le plus peur ?

Sans
avoir à faire référence aux films d'anticipation, certaines
technologies qui s'avèrent particulières utiles, se révèlent aussi
potentiellement dangereuses pour notre vie privée, que l'on en soit
conscient ou pas. Il s'agit par exemple :
- des traces que l'on
laisse sur le net, qui peuvent se retourner contre nous (à titre
d'exemple, certains salariés qui critiquaient nominativement leur
employeur et les pratiques de leur entreprise sur leur blog, ont été
licenciés pour faute)
- des systèmes de géolocalisation : GPS des
voitures, relais satellites des téléphones portables, bracelets
électroniques (tant pour les détenus à la sortie de prison que pour les
personnes âgées attentes de la maladie d'Alzheimer, ou encore les
bracelets équipant les nouveaux nés dans les cliniques)
- les
puces de géolocalisation personnelles : implantées sous la peau, elles
permettent de déterminer le lieu où se trouve une personne sur le globe

- les dispositifs de reconnaissance biométrique : ouverture ou
accès contrôlés par la voix, les empreintes digitales, l'iris de l'oeil

- les codes d'accès : qui n'a pas aujourd'hui peur de se faire
pirater les codes d'accès à sa banque en ligne et se faire vider son
compte en banque, ou encore pirater le numéro de sa carte bancaire
-
les systèmes d'enregistrement vidéo : s'ils sont là pour nous protéger,
l'exploitation des systèmes de vidéosurveillance à mauvais escient peut
s'avérer extrêmement attentatoire à la vie privée
- des systèmes de publicité ciblée que ce soit sur internet ou dans certaines enseignes commerciales... Quelles solutions pour l'avenir ?

Conscients
de l'importance de la question de la protection des données
personnelles, la CNIL a organisé à la mi-octobre 2008 avec son
homologue allemand, une conférence
mondiale sur la protection de la vie privée dans un monde sans
frontières, au cours de laquelle elle est revenu sur le développement
de la protection des données ces 30 dernières années. Elle a aussi
présenté ce qu'elle estime être "les défis auxquels nous devons faire
face ensemble" dans les années à venir. Bref, la CNIL espère faire
évoluer la législation en la matière avant que la protection de la vie
privée ne puisse plus être garantie.
Parallèlement, elle mène avec le Forum des droits sur l'Internet jusqu'au 15 janvier 2009, une vaste consultation
sur le thème de la vie privée numérique, et invite toute personne
intéressée à participer dès lors qu'elle fournit ses données
personnelles..