Quotidien Finance, Corporate Finance, Crypto Finance, ICO, STO, Blockchain Daily News


              



Expertise | Qu'est-ce qu'un traitement de données à caractère personnel ? (Loi Informatique et Libertés)


La célèbre loi du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, modifiée le 6 août 2004, est destinée à protéger la vie privée des débordements de l'informatique. Cette dernière ne doit pas porter atteinte aux libertés individuelles ni aux droits de l'homme – de manière simple, on ne peut réduire un individu à un simple numéro.



Expertise | Qu'est-ce qu'un traitement de données à caractère personnel ? (Loi Informatique et Libertés)
Portée en triomphe par les défenseurs des libertés individuelles ou purement et simplement ignorée par certains organismes, le contenu de la loi Informatique et Libertés demeure une grande inconnue pour nombre de particuliers et d'entreprises. Cette série d'articles a pour but d'exposer les bases du texte. Dans cette première partie, nous examinons ce qu'est un traitement de données à caractère personnel .

La loi ne s'applique qu'aux traitements de données à caractère personnel , qu'ils soient automatisés ou pas – dans ce dernier cas, la loi ne concerne que les données organisées en fichiers. La définition de ces termes est essentielle : elle conditionne la bonne compréhension et donc la bonne application du texte.

1. Une donnée à caractère personnel est une information concernant une personne physique. Les noms des sociétés, établissements publics, marques… ne sont donc pas protégés par la loi de 1978.

Cette donnée doit identifier ou permettre d'identifier, directement ou indirectement, l'individu en cause.
a. L'identification directe se perçoit sans peine. « Cédric Crépin », en écartant le risque d'homonymie, m'identifie clairement. Il en va de même de mon numéro de sécurité sociale, encore nommé n° INSEE ou NIR.
b. L'identification indirecte consiste à identifier quelqu'un en plusieurs étapes. Par exemple, mon numéro de téléphone est indirectement nominatif puisque je peux être identifié à l'aide d'un annuaire inversé.
Il en va de même pour le numéro de plaque d'immatriculation, de carte bancaire, l'adresse IP, etc.
Il faut noter qu'une donnée ne permet pas systématiquement l'identification – et donc que l'obligation de déclaration peut varier. Concrètement, rechercher les « Cédric ayant 23 ans » dans un bourg de 1 000 habitants ne donne pas les mêmes résultats qu'à Paris : dans ce dernier cas, la donnée sera anonyme.

2. Un traitement est une opération ou un ensemble d'opérations portant sur des données. La loi le définit de manière large comme tout travail exercé sur la donnée : collecte, transformation, conservation, transmission, consultation, etc. Mais le texte reste neutre face à la technologie utilisée : traitement par ordinateur, par cartes à puces, serveurs Web… Cette précaution est destinée à se prémunir des avancées technologiques inconnues à ce jour.
a. Le traitement peut être automatisé c'est à dire effectué au moyen d'un ordinateur entendu au sens large. La loi a longtemps confiné les traitements à cette seule définition.
b. La réforme d'août 2004 a étendu le champ de la loi aux traitements non automatisés , c'est à dire manuels (ou de façon plus barbares mécanographiques). Vous établissez une liste des personnes présentes à la dernière réunion à l'aide d'un bon vieux stylo ? C'est un traitement manuel !
Ce traitement manuel n'est cependant concerné par la loi que s'il organisé en un fichier. La loi nous en fournit une définition simple :tout ensemble structuré et stable de données à caractère personnel accessibles selon des critères déterminés est un fichier. Bref, si vous rangez vos comptes rendus de réunion ou des CV de candidats par ordre alphabétique, par date, par thème… vous possédez un fichier.

La loi ne s'applique qu'aux traitements de données à caractère personnel – mais tous les traitements ne sont pas soumis à la loi. Ainsi, mon carnet d'adresse personnel contient des noms, des numéros de téléphone et des adresses. Il est structuré de façon logique, par ordre alphabétique le plus souvent. Dois-je alors le déclarer à la CNIL, la loi Informatique et Libertés trouvant application ? La réponse est (heureusement) négative :le législateur a exclu du champ d'application du texte de 1978 les traitements mis en œuvre pour l'exercice d'activités purement et exclusivement personnelles. Logique, la loi a pour but de défendre la vie privée !

Savoir identifier un « traitement de données à caractère personnel » est ainsi la première étape dans l'application de la loi Informatique et Libertés – les questions suivantes seront : dois-je déclarer ce fichier, et selon quelles modalités ?

Beaucoup de traitements sont dans l'illégalité car ils n'ont pas été correctement identifiés. C'est le moment de corriger ses erreurs, car la loi de 2004 étend également les possibilités de contrôle et de sanctions de la CNIL !

Cédric Crépin est juriste, titulaire d'un DESS - Master II en Droit des Technologies de l'Information et de la Communication à la Faculté de Lille 2. Il a rédigé son Mémoire de fin d'étude : « Le Correspondant Informatique et Libertés : un nouvel outil de régulation pour la protection des données à caractère personnel » dans le cadre d'un stage à la CNIL.

Cédric ( cedric.crepin@cabinet-cilex.com) a rejoint le Cabinet Cilex ( http://www.cabinet-cilex.com début 2006.

Le Cabinet fournit des prestations de Conseil, de Formation et d'externalisation dans le domaine du Correspondant Informatique et Libertés.


Saturday, February 18th 2006
Rate it


Finyear: latest news, derniers articles

Free Daily Newsletter / Newsletter quotidienne gratuite


Cryptocurrencies



Finyear - Daily News