Protéger ses données personnelles

Données personnelles à protégerLe législateur a pris peur.

En effet, devant l’informatisation de la société, il est très dangereux de pouvoir croiser de multiples bases de données et ainsi établir / publier des informations extrêmement personnelles / voire fausses : « M. DUPOND, dont le numéro de sécurité sociale est 0270456xxxxx, est en fait une femme et depuis 4 ans, elle adhère à une association d’homosexuels et selon son banquier ‘Il s’énerve pour un rien et est caractériel’ »

Effectivement, des informations personnelles doivent être protégées pour éviter que la vie privée soit exposée.

Ainsi en 1978, des avancées législatives ont été faites mais les connaissons-nous toutes ?

Chapitre 1. Quels sont vos droits ?

La grande révolution dans ce domaine est la loi du 6 janvier 19781 relative à l’informatique, aux fichiers et aux libertés (modifiée par de très nombreuses lois)

Section 1.1. Droit d’accès à vos données

Ce droit est totalement discrétionnaire. Vous n’avez pas à justifier d’une motivation quelconque : un simple curiosité est possible.

L’article 39 de la loi précise :

I.-Toute personne physique justifiant de son identité a le droit d’interroger le responsable d’un traitement de données à caractère personnel en vue d’obtenir :

[… ]

2° Des informations relatives aux finalités du traitement [… ] et aux destinataires [… ] auxquels les données sont communiquées ;

[… ]

4° La communication, sous une forme accessible, des données à caractère personnel qui la concernent ainsi que de toute information disponible quant à l’origine de celles-ci ;

5° Les informations permettant de connaître et de contester la logique qui sous-tend le traitement automatisé en cas de décision prise sur le fondement de celui-ci et produisant des effets juridiques à l’égard de l’intéressé. [… ]

Une copie des données à caractère personnel est délivrée à l’intéressé à sa demande. Le responsable du traitement peut subordonner la délivrance de cette copie au paiement d’une somme qui ne peut excéder le coût de la reproduction.

C’est très clair… Nous pouvons connaître l’ensemble des informations qu’une personne a sur nous. J’insiste volontairement sur l’ensemble pour bien dire que par exemple, vous pouvez demander à votre employeur votre dossier RH qui inclut l’avis de votre hiérarchie sur vous.

Section 1.2. Droit de rectification / de suppression

L’article 40 de la loi dispose :

Toute personne physique justifiant de son identité peut exiger du responsable d’un traitement que soient, selon les cas, rectifiées, complétées, mises à jour, verrouillées ou effacées les données à caractère personnel la concernant, qui sont inexactes, incomplètes, équivoques, périmées, ou dont la collecte, l’utilisation, la communication ou la conservation est interdite.

Lorsque l’intéressé en fait la demande, le responsable du traitement doit justifier, sans frais pour le demandeur, qu’il a procédé aux opérations exigées en vertu de l’alinéa précédent.

En cas de contestation, la charge de la preuve incombe au responsable auprès duquel est exercé le droit d’accès sauf lorsqu’il est établi que les données contestées ont été communiquées par l’intéressé ou avec son accord.

[… ] Si une donnée a été transmise à un tiers, le responsable du traitement doit accomplir les diligences utiles afin de lui notifier les opérations qu’il a effectuées conformément au premier alinéa.

Je trouve tout cela très clair… Bref, il faut juste demander si ces données sont « inexactes, incomplètes, équivoques, périmées, ou dont la collecte, l’utilisation, la communication ou la conservation est interdite » .

Chapitre 2. Les entreprises souvent mal préparées à ces demandes

Section 2.1. L’incompréhension…

De nombreuses entreprises ne sont pas habituées à ce genre de requêtes et ne connaissent même pas leurs obligations. Des juristes ont créé les déclarations CNIL, mais quand le responsable clientèle reçoit une demande d’accès qui est souvent rédigé en langage juridique, il ne sait pas ce qu’il doit faire.

Quand il répond, (et c’est rare) il donne le plus souvent les informations dites classiques « Nom, prénom, numéros de téléphone…  » mais il omet les données sensibles comme les informations de « scoring » , les commentaires…

Section 2.2. La non préparation des systèmes…

Les systèmes informatiques des entreprises sont souvent très complexes et n’ont jamais eu d’approche rationnelle de la protection des données personnelles. Comment chercher sur plus d’une centaine de serveurs et de bases de données les informations relatives à une personne ?

D’autant plus que dans une base de données M DUPOND pourra être l’ID 3443564 et dans une autre, il pourra être albert.dupond@mail.com…

Section 2.3. La peur…

De nombreux responsables de traitements paniquent littéralement lors de la réception d’une demande d’accès comme s’il s’agissait d’une assignation en justice ou autres actes terribles.

Ainsi, la peur entraîne, généralement, la dissimulation d’informations « non visibles » comme pour se protéger des sanctions.

Chapitre 3. Comment demander en pratique

Section 3.1. Justifier son identité

Pour éviter que vous demandiez les informations de quelqu’un d’autre, la loi prévoit explicitement (et c’est heureux) que vous justifiez de votre identité.

Mais qu’est-ce que l’identité ?

Non ce n’est pas une question que l’on pourrait appeler de rhétorique, mais parle-t-on ici de présenter sa pièce d’identité ou autre chose ? La loi n’apporte pas de réponse malheureusement.

A mon sens, cela dépend du contexte ; il faut apporter la meilleure preuve possible du lien entre les données demandées et vous-même :

  • Une pièce d’identité semble pertinente si vous demandez des informations médicales ;
  • Une adresse mail ou un identifiant peut être suffisant si vous demandez des informations à un commerçant sur Internet qui vous envoie de très nombreuses publicités. La pièce d’identité n’apporterait rien ici.

Section 3.2. Coût éventuel à votre charge

La seule somme, que le responsable du traitement peut vous réclamer, est la somme liée à la copie des données à caractère personnel comme, par exemple, les frais de photocopies.

Aucune autre somme, forfaitaire ou non, ne peut être réclamée.

Section 3.3. Modèle de lettre

La CNIL propose des modèles de courriers2 sur son site web. Je vous invite à vous y rendre pour plus d’informations.

Légalement, il n’est pas nécessaire de faire la demande par courrier postal avec accusé de réception. Un simple mail ou fax peut suffire. Néanmoins, et si c’est très important, je vous recommande quand même la lettre avec A/R car la preuve de l’envoi est beaucoup plus simple.

Chapitre 4. Traitements informatisés / automatisés seulement ?

Des grands penseurs affirment, non sans une certaine superbe, que les données manuscrites ne tombent pas sous la coupe de la loi de 1978… Et comme souvent pour les grands penseurs, ils ont tort !

Je vous invite à nous attarder sur les termes utilisés dans le texte de loi :

… responsable d’un traitement de données à caractère personnel

ou encore :

La présente loi s’applique aux traitements automatisés de données à caractère personnel, ainsi qu’aux traitements non automatisés de données à caractère personnel contenues ou appelées à figurer dans des fichiers, à l’exception des traitements mis en œuvre pour l’exercice d’activités exclusivement personnelles, lorsque leur responsable remplit les conditions prévues à l’article 5.

Bref, le cadre est posé : cette disposition d’accès adresse l’ensemble des données manuscrites / informatisées qui ont vocation à être utilisées par plus d’une personne (cela exclu par exemple les carnets d’adresses ou les répertoires téléphoniques des téléphones portables)

L'URL courte pour partager cet article est: https://sedlex.fr/ZoDPS

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

CAPTCHA*

Merci de taper les caractères de l'image Captcha dans le champ