Expliquez-nous, France info

Expliquez-nous... La protection des données personnelles en France

Alors que le Canard Enchaîné a révélé que des cadres de Force Ouvrière avaient fait l'objet d'un fichage interne, incluant des commentaires sur les orientations politiques ou sexuelles, focus de franceinfo sur ce que dit la loi en matière d'utilisation des données personnelles. 

--'--
--'--
Copié dans le presse-papier !
Le siège de la Cnil, à Paris, le 16 avril 2015.
Le siège de la Cnil, à Paris, le 16 avril 2015. (MAXPPP)

Le fondement de la protection des données à caractère personnel en France est la Loi informatique et libertés qui a institué la CNIL: La Commission Nationale de l'Informatique et des Libertés.

Cette loi a été modifiée et renforcée à plusieurs reprises, notamment pour transposer en droit français des dispositions européennes. Cela a encore été le cas tout récemment, après l'entrée en vigueur du RGPD, le réglement européen sur la protection des données.

Ce que dit la loi

La loi stipule dans son article premier que toute personne dispose du droit de décider et de contrôler les usages qui sont faits des données à caractère personnel la concernant.

La loi s'applique aux traitements automatisés des données, ou aux traitements non automatisés de données appelées à figurer dans des fichiers.

Elle définit ce qu'est une donnée à caractère personnel: il s'agit de toute information qui se rapporte à une personne identifiée ou qui peut être identifiée, directement ou indirectement

Elle précise que ces données doivent être collectées et traitées de manière loyale et licite, avec un but déterminé, explicite et légitime. On doit savoir dans quel but elles sont collectées. Elles doivent être adéquates, pertinentes, non excessives, exactes, complètes et elles doivent surtout "avoir reçu le consentement de la personne concernée". 

La loi précise aussi qu'il est interdit de collecter ou de traiter des données à caractère personnel qui font apparaître, directement ou indirectement, les origines raciales ou ethniques, les opinions politiques, philosophiques ou religieuses, l'appartenance syndicale des personnes, ou qui sont relatives à la santé ou à la vie sexuelle.

Des exceptions, dans certains cas et sous conditions

Certaines données peuvent être collectées par les associations ou les syndicats, mais à plusieurs conditions: il faut d'abord que la finalité, le but recherché l'exige. Il faut aussi que les données collectées soient en lien direct avec l'objet de l'association ou de l'organisme et qu'elles ne portent que sur des données non communiquées à des tiers.

Des sanctions en cas de manquement à la loi

L'une des principales missions de la CNIL est de veiller à ce que les traitements des données soient conformes à la loi. Si elle reçoit des réclamations, des plaintes, elle peut informer le Procureur de la République. Elle peut aussi directement effectuer des vérifications et se faire communiquer des documents.

Lorsqu'elle constate un manquement à la loi, la CNIL commence par mettre en demeure les intéressés de la respecter, dans un délai précis. Si rien ne change, différentes sanctions peuvent être prononcées: avertissements, suspension des flux de données, injonctions avec astreintes, ou sanctions financières, proportionnelles à la gravité de ce qui a été commis et aux avantages qui ont été tirés du manquement à la loi. Le montant depuis l'entrée en vigueur du RGPD peut aller jusqu'à vingt millions d'euros.

Le siège de la Cnil, à Paris, le 16 avril 2015.
Le siège de la Cnil, à Paris, le 16 avril 2015. (MAXPPP)