PROTECTION DES

DONNEES PERSONNELLES
« L'informatique doit être au service de
chaque citoyen. Elle ne doit porter atteinte ni
à l'identité humaine, ni aux droits de l'homme,
ni à la vie privée, ni aux libertés individuelles
ou publiques »
(extrait de l’article 1er de la loi informatique
et libertés).
« Données à caractère personnel » : toute donnée
permettant d’identifier directement ou indirectement
une personne physique ». CIL
Sont considérées comme des données à caractère
personnel des informations directement nominatives telles
que le nom, le prénom, la photographie du visage, mais
aussi indirectement nominatives, telles que la date et le
lieu de naissance, l'adresse du domicile, l'adresse
électronique, le pseudonyme ou le numéro de téléphone,
qui peuvent être reliées à la personne par recoupement
d'informations.
Une adresse IP est également considérée comme une
donnée à caractère personnel, qu'elle soit fixe ou
dynamique, le groupe sanguin, le numéro de sécurité
sociale ou de carte bancaire…
Une donnée à caractère personnel ne peut concerner
qu'une personne physique.
« Traitement de données » : opérations réalisées sur
des données à caractère personnel, notamment la
collecte, l’enregistrement, l’utilisation, la transmission
ou la communication.
Qu’est ce qu’une donnée sensible ?
Les données dites “sensibles” sont composées par les
origines raciales, ethniques, les opinions politiques,
philosophiques, religieuses ou l’appartenance syndicale
d’une personne. Elles peuvent également concerner la
santé d’une personne ou encore sa vie sexuelle mais
également les données sur les infractions et
condamnations. Toutes collectes de ces données sont
interdites.
Néanmoins les personnes ayant données leur
consentement ne sont pas soumises à cette interdiction.
De même, et sous condition de l’aval de la CIL ou de
décret en Conseil d’Etat, l’interdiction ne sera pas
applicable dans le cas de traitement justifié par un
intérêt public.
2)- NATURE DE L'INFORMATION
Un document renvoie à un ensemble formé par un
support et une information, celui-ci enregistrée de
manière persistante.
Exemple des données des dossiers passagers (PNR)
Les données des dossiers passagers (Passenger Name
Record) sont des données personnelles concernant tous
les détails d'un voyage pour des passagers voyageant
ensemble.
Exemple des données médicales
Les données médicales surtout quand elles sont
nominatives sont considérées comme des « données
sensibles » Elles ne peuvent être collectées que dans
certains cas, encadrés par la loi, par exemple pour
le dossier médical informatisé d'un patient hospitalisé
5)- Principes clés de la protection des données
personnelles :
La loi informatique et libertés définit les principes à
respecter lors de la collecte, du traitement et de la
conservation de données personnelles. Elle garantit
également un certain nombre de droits pour les
personnes concernées.
- LE PRINCIPE DE FINALITÉ
Définir les objectifs du fichier : avant toute collecte et
utilisation de données personnelles, le responsable de
traitement doit précisément annoncer aux personnes
concernées ce à quoi elles vont lui servir.
Ces objectifs, appelés "finalités", doivent respecter les
droits et libertés des individus. Ils limitent la manière
dont le responsable pourra utiliser ou réutiliser ces
données dans le futur.
Tout détournement de finalité est passible de sanctions
pénales.
- LE PRINCIPE DE PERTINENCE.
Vérifier la pertinence des données : seules les
données strictement nécessaires à la réalisation de
l’objectif peuvent être collectées : c’est le principe de
minimisation de la collecte. Le responsable de
traitement ne doit donc pas collecter plus de données
que ce dont il a vraiment besoin. Il doit également faire
attention au caractère sensible de certaines données.
- LE PRINCIPE DE CONSERVATION.
Limiter la conservation des données : Une fois que
l’objectif poursuivi par la collecte des données est
atteint, il n’y a plus lieu de les conserver et elles
doivent être supprimées. Cette durée de conservation
doit être définie au préalable par responsable du
traitement, en tenant compte des éventuelles
obligations à conserver certaines données.
- LE PRINCIPE DU DROIT.
Respecter les droits des personnes : des données
concernant des personnes peuvent être collectées à la
condition essentielle qu’elles aient été informées de
cette opération. Ces personnes disposent également de
certains droits qu’elles peuvent exercer auprès de
l’organisme qui détient ces données le concernant : un
droit d’accéder à ces données, un droit de les rectifier
et enfin un droit de s’opposer à leur utilisation.
- LE PRINCIPE DE SÉCURITÉ ET DE
CONFIDENTIALITÉ
Sécuriser les données : le responsable de traitement
doit prendre toutes les mesures nécessaires pour
garantir la sécurité des données qu’il a collectées mais
aussi leur confidentialité, c'est-à-dire s’assurer que
seules les personnes autorisées y accèdent. Ces
mesures pourront être déterminées en fonction des
risques pesant sur ce fichier (sensibilité des données,
objectif du traitement…).
La Politique de protection des données personnelles
: décrit la manière dont une entreprise traite les
données à caractère personnel des visiteurs et des
utilisateurs lors de leur navigation.
Elle fait partie intégrante des Conditions Générales
d'Utilisation du site. L’entreprise peut ainsi être amenée
à modifier, compléter ou mettre à jour la Politique de
protection des données personnelles. Elle invite les
utilisateurs à consulter régulièrement la dernière
version en vigueur, accessible sur son site.
Le traçage comportemental : Cookies
Un cookie est un fichier qui est déposé par votre
navigateur sur votre ordinateur lorsque vous surfez sur
Internet. Ce fichier est composé uniquement
de texte. Ce fichier est généré par le serveur du site
que vous consultez et il est envoyé à votre navigateur
Internet. C’est le navigateur qui va enregistrer le
fichier sur votre disque dur. Ainsi, il est possible de
tracer le profil de l’internaute en analysant les
différentes pages qu’il a consultées lors de sa
connexion.
A quoi ça sert un cookie?
- la sauvegarde de login et de mot de passe
Vous utilisez tous des sites sur lesquels il faut vous
identifier avec un login et un mot de passe.
Il vous est parfois proposé d’enregistrer ces
informations. Lorsque vous répondez oui, il y a 2
possibilités : c’est soit votre navigateur qui retient le
mot de passe, ou alors un cookie est créé avec le mot
de passe.
- le stockage des paramètres d’affichage d’un site
Si vous avez déjà visité un site, lorsque vous y
revenez, les pages sont proposées en fonction de ce
que vous aviez vu.
Si vous personnalisez un site sur lequel vous avez
l’habitude d’aller, les différents paramètres seront
enregistrés dans un cookie. Et bien évidemment, si
vous consultez un site en français, le cookie peut
stocker la langue affichée.
- les différentes saisies réalisées sur un site :
comme par exemple, les recherches sur les moteurs de
recherche. Les cookies vont pouvoir ainsi contenir, vos
centres d’intérêts. Les publicités proposées vont
pouvoir ainsi être ciblées.
- l’analyses des pages vues
il est intéressant pour un éditeur de site internet de
savoir quelle est l’audience de son site, ainsi que le
comportement des utilisateurs. Il faut donc recueillir
un maximum d’informations sur le comportement des
utilisateurs sur un site : pages vues, temps passé.
Est-ce que l’utilisateur a déjà vu cette page, etc … Si
les utilisateurs ont passé beaucoup de temps sur une
page, cela permettra de savoir par exemple : que la
page a été entièrement lue et que le sujet leur convient.
- différentes informations des réseaux sociaux,
si vous voyez une page qui vous plait et que vous
voulez la partager via Twitter. Il suffit de cliquer sur le
lien. Vos informations d’identification Twitter seront
lues à partir d’un cookie pour vous permettre
d’envoyer rapidement votre Twit. (idem pour le like de
Facebook et tous les autres réseaux sociaux).
- a récupérer différents paramètres vous concernant
Les cookies vont stocker des informations sur votre
comportement sur Internet : « Attention : on vous
trace ! »
AUTORITE DE PROTECTION DES
DONNÉES PERSONNELLES
ASSOCIATION
Elle possède cinq grandes missions qui vont de la
pédagogie au pouvoir de sanction.
Informer et protéger : Les salariés, les entreprises ou
les simples particuliers peuvent contacter l’autorité
afin de demander des renseignements relatifs à la
protection des données personnelles. L'autorité
administrative indépendante met à leur disposition des
outils pratiques et pédagogiques. Elle mène également
des actions de sensibilisation.
Accompagner et conseiller : L’autorité accompagne
au quotidien le législateur via des avis sur des projets
de loi ou de décrets ou encore des recommandations.
Elle intervient également dans les entreprises via les
correspondants informatique et libertés.
Contrôler : L’autorité peut mener des contrôles sur
place et sur pièces dans les entreprises, mais aussi au
sein de l'administration. Ainsi, elle est en droit de
contrôler la bonne utilisation des systèmes de
vidéoprotection.
En cas de contrôle la commission peut "accéder à tous
les locaux professionnels, demander communication de
tout document nécessaire et d'en prendre copie,
recueillir tout renseignement utile et entendre toute
personne, accéder aux programmes informatiques et
aux données".
Sanctionner : A l'issue d'un contrôle, L’autorité peut
imposer une injonction de cesser le traitement,
dénoncer des infractions au Procureur de la République
voire imposer une sanction financière.
Anticiper : Avec la digitalisation de la société, les
enjeux liés à la protection des données personnelles
sont en constante évolution. L’autorité mène donc un
travail quotidien pour anticiper les nouvelles tendances
et leur impact sur les libertés. Elle possède pour cela un
comité de prospective qui peut faire appel à des
spécialistes venant de l'extérieur, notamment du secteur
privé.
Les Data Protection Officers (DPO) peuvent être utiles
aux entreprises. Les différentes commissions de
protection des données personnelles :
Le règlement général pour la protection des données
(RGPD) est une législation mise en place dans les pays
pour aider à la bonne compréhension et à la bonne
application du règlement. Ce rôle est assuré par le Data
Protection Officer (DPO) ou le Responsable de la
protection des données personnelles (DPD) au sein
d’une entreprise.
Les différentes commissions de protection des données
personnelles :
- CEPD : Contrôleur Européen de la Protection des
Données est l’autorité chargée de la protection des
données personnelles dans l’Union européenne.
- Commission nationale de l'informatique et des
libertés de la France (CNIL).
- Commission de Protection des Données Personnelles
du Sénégal (CDP).
- Commission Nationale de Contrôle de la Protection
des Données à Caractère Personnel (CNDP) du Maroc.
- Commission de l’Informatique et des Libertés du
Burkina Faso (CIL).
- L'Instance Nationale de Protection des données
personnelles en Tunisie (INPDP)
- En Afrique, plusieurs pays francophones ont formé
en 2007 une autorité de protection des données
personnelles : l’Association Francophone des
Autorités de Protection des Données Personnelles
(AFAPDP).
- Office du commissaire à l’information (Information
Comissioner’s Office ou ICO)
- American Civil Liberties Union