Données personnelles

Introduction

Les données personnelles sont les informations qui permettent d'identifier directement ou indirectement une personne physique. Elles sont protégées par divers instruments juridiques concernant le droit à la vie privée, dont notamment la loi Informatique (L´informatique - contraction d´information et automatique - est le domaine d'activité scientifique, technique et industriel en rapport avec le traitement automatique de l'information par des machines telles que les ordinateurs, les...), fichiers et libertés de 1978, la directive 95/46/CE au niveau communautaire ainsi que la Convention n°108 pour la protection des données personnelles (Les données personnelles sont les informations qui permettent d'identifier directement ou indirectement une personne physique. Elles sont protégées par...) du Conseil de l'Europe (L’Europe est une région terrestre qui peut être considérée comme un continent à part entière, mais aussi comme l’extrémité occidentale du continent eurasiatique, voire comme une des sous-parties...). À l'instar de la CNIL (La Commission nationale de l'informatique et des libertés (CNIL) est une autorité administrative indépendante française chargée de veiller à la protection des données à caractère personnel et de la vie privée. Elle a été créée par la...) française, beaucoup de pays (Pays vient du latin pagus qui désignait une subdivision territoriale et tribale d'étendue restreinte (de l'ordre de quelques centaines de km²), subdivision de la civitas gallo-romaine. Comme la civitas qui subsiste le plus souvent sous...) disposent aujourd'hui d'autorités chargées de la protection des données personnelles, qui sont souvent des autorités administratives indépendantes (ou des équivalents de celles-ci).

Les données personnelles (ou nominatives) correspondent aux noms, prénoms, adresses (physique et électronique), numéro de téléphone (Le téléphone est un système de communication, initialement conçu pour transmettre la voix humaine.), lieu et date de naissance, numéro de sécurité sociale, numéro de carte de paiement, plaque d'immatriculation d'un véhicule (Un véhicule est un engin mobile, qui permet de déplacer des personnes ou des charges d'un point à un autre.), photo, empreinte digitale (Les digitales forment le genre Digitalis, environ 20 espèces de plantes herbacées classiquement placées dans la famille des Scrofulariacées. Les études récentes situent désormais ce genre dans...), ADN, etc. Aujourd'hui, en effet, une recherche (La recherche scientifique désigne en premier lieu l’ensemble des actions entreprises en vue de produire et de développer les connaissances scientifiques. Par extension métonymique, la recherche...) à l'aide d'un moteur de recherche (Un moteur de recherche est une application permettant de retrouver des ressources (pages Web, forums Usenet, images, vidéo, fichiers, etc.) associées à des mots quelconques. Certains sites Web offrent un...) sur une ou plusieurs bases de données, en utilisant la combinaison (Une combinaison peut être :) de quelques-unes simplement de ces données, permet d'identifier et de retrouver avec précision n'importe quel individu (Le Wiktionnaire est un projet de dictionnaire libre et gratuit similaire à Wikipédia (tous deux sont soutenus par la fondation Wikimedia).). Certaines de ces données, dont en particulier le numéro de sécurité sociale ou le NIR, ainsi que les données biométriques (empreinte digitale, échantillon (De manière générale, un échantillon est une petite quantité d'une matière, d'information, ou d'une solution. Le mot est utilisé dans différents domaines :) ADN, etc.), sont particulièrement sensibles, car elles fonctionnent en tant qu'« identifiants universels », qui permet de raccorder différents fichiers entre eux et ainsi d'opérer leur interconnexion.

Selon une déclaration du Conseil des ministres du Conseil de l'Europe de 1997, elles incluent les données médicales et génétiques, ainsi que les empreintes digitales et, en général, toute caractéristique biométrique.

Plusieurs éléments essentiels sont pris en compte concernant ces données, dont leur durée de conservation, leur finalité, le consentement de la personne vis-à-vis de cette collecte des données personnelles, l'obligation d'information et, dans le cadre de l'entreprise, la consultation des instances représentatives, le niveau de protection technique dont elles bénéficient (ou non), etc.

Les données personnelles en France

Selon la loi Informatique, fichiers et libertés de 1978, lorsqu'il s'agit du secteur privé, ces données ne peuvent être collectées, traitées et conservées par un organisme ou une entreprise que si la personne ou le service qui est responsable de ces opérations a effectué au préalable une déclaration à la CNIL, qui doit être validée par l'attribution d'un numéro d'enregistrement. Ce numéro doit être indiqué sur le site Web (Un site Web est un ensemble de pages Web hyperliées entre elles et mises en ligne à une adresse Web. On dit aussi site Internet par métonymie, le World Wide...) en plus de l'adresse (Les adresses forment une notion importante en communication, elles permettent à une entité de s'adresser à une autre parmi un ensemble d'entités. Pour qu'il n'y ait pas d'ambiguïté, chaque adresse doit correspondre à une unique...) de contact du service qui va gérer le fichier ( Un fichier est un endroit où sont rangées des fiches. Cela peut-être un meuble, une pièce, un bâtiment, une base de données informatique. Par exemple : fichier des patients...) des données personnelles.

Depuis la loi sur la sécurité quotidienne de 2001, modifiée par la loi de 2006 relative à la lutte contre le terrorisme, les FAI et les opérateurs télécom sont tenus de conserver les données de connexion de leurs usagers et de les mettre à la disposition des autorités policières si celles-ci le désirent.

Le responsable du fichier ou du traitement de données (En informatique, le terme traitement de données renvoie à une série de processus qui permettent d'extraire de l'information ou de produire du...) personnelles doit informer les personnes concernées du but de ce traitement, de l'identité des destinataires de ces informations, et des droits dont ils disposent conformément aux articles 32 et 38 de la loi informatique et libertés (Les « lois Informatique et libertés » (aussi appelées LiL) sont des lois destinées à garantir la protection de la vie privée des citoyens face aux...) de 1978.

Les partis politiques, les églises, les syndicats et les associations ne sont pas tenus de déclarer le fichier de leurs membres à la CNIL. Les sites web mis en œuvre par des particuliers dans le cadre d’une activité (Le terme d'activité peut désigner une profession.) exclusivement personnelle sont aussi dispensés de déclaration, comme le stipule (En botanique, les stipules sont des pièces foliaires, au nombre de deux, en forme de feuilles réduites située de part et d'autre du pétiole, à sa base, au point d'insertion sur la tige.) la dispense de déclaration n°6 de la CNIL.

La loi française qualifie de « données sensibles » les données à caractère personnel qui font apparaître, directement ou indirectement, les origines raciales ou ethniques, les opinions politiques, philosophiques ou religieuses ou l'appartenance syndicale des personnes, ou qui sont relatives à leur santé (La santé est un état de complet bien-être physique, mental et social, et ne consiste pas seulement en une absence de maladie ou d'infirmité.) ou à leur vie (La vie est le nom donné :) sexuelle. Il est a priori interdit de collecter et d'enregistrer ces données, seuls les fichiers d'Etat (police, RG, etc.) pouvant déroger à cette règle, sous certaines conditions.

En ce qui concerne les entreprises un sondage ( Un sondage peut désigner une technique d'exploration locale d'un milieu particulier. Un sondage peut également être une méthode statistique d'analyse d'une population humaine ou non humaine...) de juin 2008 élaboré par LEGAL SUITE, éditeur de solutions juridiques d’entreprises et hébergé sur le Village (Un village est, à la campagne ou à la montagne, un ensemble d'habitations, de bâtiments à usages divers, de fermes... de proportion modérée (quelque dizaines de bâtiments)) de la Justice "met à jour (Le jour ou la journée est l'intervalle qui sépare le lever du coucher du Soleil ; c'est la période entre deux nuits, pendant laquelle les rayons du Soleil éclairent le ciel. Son début (par rapport à minuit...) les manques qu’ont les entreprises en matière (La matière est la substance qui compose tout corps ayant une réalité tangible. Ses trois états les plus communs sont l'état solide, l'état liquide,...) de données personnelles. Presque la moitié des sondés (sur un total ( Total est la qualité de ce qui est complet, sans exception. D'un point de vue comptable, un total est le résultat d'une addition, c'est-à-dire une somme. Exemple : "Le total des dettes". En...) de 300 professionnels) déclarent ne pas maîtriser la gestion des données à caractère personnel. Des manques qui pourraient donner des sueurs froides à certains dirigeants car les amendes infligées par la CNIL peuvent monter jusqu’à 300.000 euros." "Pourtant une majorité (60 %) affirme être bien ou plutôt bien informée sur la notion et les enjeux des données à caractère personnel." Selon l'étude "cela montre que les entreprises, bien qu'informées des obligations légales vis-à-vis de la CNIL ne gèrent pas de manière rigoureuse l'ensemble (En théorie des ensembles, un ensemble désigne intuitivement une collection d’objets (les éléments de l'ensemble), « une multitude qui peut être comprise comme un tout »,...) de leurs déclarations et traitements soumis à la loi." D'après ITRmanager.com "les choses devraient néanmoins changer progressivement puisque depuis deux ans, la CNIL mène auprès des entreprises françaises des opérations de sensibilisation."

Les données de santé

Les données de santé sont considérées comme des « données sensibles » par la directive 95/46/CE et par la loi Informatique et libertés. Elles ne peuvent donc être collectées que dans certains cas bien précis, encadrés par la loi, par exemple pour le dossier médical (Le dossier médical est un ensemble de documents (physiques ou informatisés) qui retrace des épisodes ayant affecté la santé de cette personne (lettre, notes, compte rendu, résultats de laboratoire, film...) informatisé d'un patient (Dans le domaine de la médecine, le terme patient désigne couramment une personne recevant une attention médicale ou à qui est prodigué un soin.) hospitalisé. Le rapport Babusiaux de 2003 préconisait de transmettre ces données non seulement aux CPAM (Caisses primaires d'assurance maladie), mais aussi aux mutuelles et aux assurances, sous condition qu'elles soient anonymisées. Une petite minorité de médecins s'est rebellé contre l'informatisation des dossiers médicaux, lors de la mise en place de la Carte Vitale (La Carte Vitale est la carte d'assurance maladie de l'assurance maladie en France. Conçue par le groupement d'intérêt économique SESAM-Vitale,...), en alléguant la nécessité de protéger le secret médical.

A la fin des années 1990, un débat (Un débat est une discussion (constructive) sur un sujet, précis ou de fond, annoncé à l'avance, à laquelle prennent part des individus ayant des avis, idées, réflexions ou opinions divergentes pour le sujet considéré. Un...) eut lieu concernant l'inclusion, ou non, du SIDA dans la liste des maladies infectieuses à déclaration obligatoire. Le secrétaire d'Etat à la santé Bernard Kouchner (Bernard Kouchner, né le 1er novembre 1939 à Avignon, est un médecin humanitaire (gastro-entérologue) et homme politique français, cofondateur de Médecins sans frontières et de Médecins du monde,...) du gouvernement Jospin avait proposé de contraindre les séropositifs à déclarer leur maladie (La maladie est une altération des fonctions ou de la santé d'un organisme vivant, animal ou végétal.), ces données étant anonymisées; les associations de lutte contre le SIDA n'étaient pas hostiles à ce projet (Un projet est un engagement irréversible de résultat incertain, non reproductible a priori à l’identique, nécessitant le concours et l’intégration...) tant que les données restaient anonymes. La proposition était aussi soutenue par Jean-Baptiste Brunet, le directeur du Centre européen de surveillance du sida. Toutefois, le Conseil national du sida s'était opposé ( En mathématique, l'opposé d’un nombre est le nombre tel que, lorsqu’il est à ajouté à n donne zéro. En botanique, les organes d'une plante sont dits opposés...) au projet, soulignant les « risques d'atteinte aux libertés individuelles » ainsi que la moindre efficacité de « mesures obligatoires qui ne sont pas directement dans l'intérêt des malades »: « l'obligation supposerait un dispositif automatique (L'automatique fait partie des sciences de l'ingénieur. Cette discipline traite de la modélisation, de l'analyse, de la commande et, de la régulation des systèmes dynamiques. Elle a...), un système illusoire de sanctions en cas de non-respect de la réglementation, voire un aménagement législatif du code de santé publique ». En mai 1999, un décret impose toutefois la déclaration obligatoire du SIDA, en application avec la loi de 1998 sur la veille sanitaire. Un autre décret, publié le 6 mai 1999, suscite les craintes des associations de lutte contre le SIDA à l'été 1999, en raison de la possible inclusion de données nominatives dans le traitement automatisé mis en œuvre par l'Institut de veille sanitaire (L’Institut de veille sanitaire (InVS), est un établissement public français rattaché au ministère de la Santé. Sa mission est de surveiller l’état de santé de la population et en cas de...), et de la discrimination que cela engendrerait. Le ministre annonce alors que ce décret sera modifié, tandis que la CNIL diffère en septembre 2009 la mise en oeuvre par l'IVS du traitement automatisé

Toutes les données sont-elles devenues personnelles ?

C'est la question posée par David Brin. En effet, la dichotomie plaçant d’un côté des données personnelles et de l’autre des données qui ne le sont pas est erronée : un très grand nombre (La notion de nombre en linguistique est traitée à l’article « Nombre grammatical ».) de données apparemment anonymes peuvent devenir personnelles après traitement.

Par exemple, des données médicales anonymisées (visites d'hôpitaux, consultations médicales) d’employés de l’Etat du Massachusetts furent «réidentifées» en les croisant avec les listes électorales d'une même ville (Une ville est une unité urbaine (un « établissement humain » pour l'ONU) étendue et fortement peuplée (dont les habitations doivent être à moins de 200 m chacune, par opposition aux...). Ainsi, pour réidentifier le gouverneur de cet Etat, seules 6 personnes partageaient la même date de naissance dont 3 étaient de sexe (Le mot sexe désigne souvent l'appareil reproducteur, ou l’acte sexuel et la sexualité dans un sens plus global, mais se réfère aussi aux...) masculin et parmi ces dernières, une seule partageait le même code postal, sur un total de 54000 résidents et 7 codes postaux.

Traces (TRACES (TRAde Control and Expert System) est un réseau vétérinaire sanitaire de certification et de notification basé sur internet sous la responsabilité de la...) numériques et ciblage comportemental: vie privée et informatique (L'apparition de l'informatique a changé la nature des problèmes posés par la notion de vie privée. Si l'informatisation des données a été généralement considérée comme un...)

Se pose encore à l'heure (L’heure est une unité de mesure du temps. Le mot désigne aussi la grandeur elle-même, l'instant (l'« heure qu'il est »), y compris en sciences (« heure...) actuelle la question de savoir si les traces numériques (cookies, etc.) doivent être considérées comme étant des données personnelles. Le fait est que certaines de ces traces permettent d'obtenir des renseignements sur les habitudes de navigation (La navigation est la science et l'ensemble des techniques qui permettent de :) des internautes, permettant ainsi une collecte d'informations personnelles, à l'insu de l'individu concerné, en vue (La vue est le sens qui permet d'observer et d'analyser l'environnement par la réception et l'interprétation des rayonnements lumineux.) d'élaborer une base de profils utilisés notamment à fins publicitaires ou de ciblage commercial (Un commercial (une commerciale) est une personne dont le métier est lié à la vente.) (ciblage comportemental), mais pouvant aussi être utilisés dans le cadre d'enquêtes judiciaires : par exemple, l'adresse IP (Une adresse IP (avec IP pour Internet Protocol) est le numéro qui identifie chaque ordinateur connecté à Internet, ou plus généralement et précisément, l'interface avec le réseau de...) de connexion d'un internaute (Un internaute est un utilisateur du réseau Internet.) n'est pas considérée comme une donnée (Dans les technologies de l'information (TI), une donnée est une description élémentaire, souvent codée, d'une chose, d'une transaction d'affaire, d'un événement, etc.) personnelle selon deux arrêts de la Cour d'Appel de Paris (Paris est une ville française, capitale de la France et le chef-lieu de la région d’Île-de-France. Cette ville est construite sur une boucle de la...). Cette vision n'est cependant pas celle de la CNIL qui estime pour sa part que l'adresse IP est une donnée (Dans les technologies de l'information, une donnée est une description élémentaire, souvent codée, d'une chose, d'une transaction, d'un événement, etc.) à caractère personnel. La question pourrait, cependant, être bientôt tranchée par la loi. En effet, une proprosition de loi est actuellement en discussion au parlement visant à considérer cette donnée comme entrant dans le cadre des données personnelles.

Il reste possible de naviguer de façon anonyme sur Internet (Internet est le réseau informatique mondial qui rend accessibles au public des services variés comme le courrier électronique, la messagerie instantanée et le World Wide Web, en utilisant le protocole de...), en empruntant des réseaux anonymes comme Tor, I2P, Freenet (Freenet est un réseau informatique anonyme et décentralisé bâti au dessus d'Internet visant à permettre une liberté d'expression et d'information totale profitant de la sécurité de l'anonymat. Sa nature...), ou en utilisant un serveur mandataire (Un serveur mandataire ou proxy (de l'anglais) est un serveur informatique qui a pour fonction de relayer des requêtes entre un poste client et un...).

La collecte et l'exploitation des données personnelles

Les modes de collecte se sont particulièrement diversifiés avec les technologies numériques : du formulaire rempli volontairement par les individus à l'enregistrement de traces (habitude de navigation, localisation géographique de l'adresse de connexion).

Les modes d'exploitation peuvent être le fait des individus eux-mêmes par recherche d'informations à partir d'un moteur (Un moteur (du latin mōtor : « celui qui remue ») est un dispositif qui déplace de la matière en apportant de la puissance. Il effectue ce travail à partir d'une...) de recherche ou sur les réseaux sociaux en ligne, ou le fait d'organisations : marketing (Le marketing (on utilise aussi parfois — dans 7% des cas, d'après les chiffres donnés par Google — le néologisme français mercatique) est une...) ciblé, fichage des populations par l'Etat, envoi massif (Le mot massif peut être employé comme :) de courriers non sollicités à caratère commercial (Unsolicited commercial e-mail), etc..

Page générée en 0.191 seconde(s) - site hébergé chez Amen
Ce site fait l'objet d'une déclaration à la CNIL sous le numéro de dossier 1037632
Ce site est édité par Techno-Science.net - A propos - Informations légales
Partenaire: HD-Numérique