En 2017, plusieurs organismes publics et privés ont subi des attaques de leur système de sécurité, ce qui a eu pour conséquence l’accès aux données personnelles des clients. Les plaintes portées auprès de la Commission Nationale de l’informatique et des libertés (CNIL) pour violation de la protection des données personnelles n’ont jamais été aussi importantes. La constitution de fichiers ou un quelconque traitement des données à caractère personnel doit respecter certaines règles en Europe.
Par ailleurs, la signification du terme données personnelles change d’une personne à une autre. Ainsi, si le numéro de téléphone relève des données à caractère privé pour certains, il s’agira plutôt d’une image pour d’autres.
Quelles sont données dites personnelles ?
Sur le plan juridique, les données à caractère personnel, comme son nom l’indique permettent d’identifier une personne de manière directe ou indirecte, explique Claire SAMBUC. Il s’agira alors de votre nom ou prénom, votre numéro de carte d’identité ou d’immatriculation ou de téléphone ou encore une photo ou adresse. Cependant, sont aussi considérées comme données personnelles, les coordonnées bancaires, les empreintes digitales, bref toutes les données biométriques d’une personne. Parmi toutes ces données, certaines sont plus sensibles que d’autres et leur traitement est rigoureusement encadré à cause du risque d’atteinte à la vie privée.
Quelles sont les obligations à respecter pour le traitement des données personnelles ?
Le traitement des données personnelles se définit comme une action de collecte ou de création d’un fichier sur les informations à caractère personnel à partir du moment où ce dernier permet d’identifier directement ou non une personne. Actuellement, il existe trois obligations à respecter pour pouvoir traiter les informations personnelles.
Obligation de déclaration
Pour pouvoir traiter des données dites personnelles ou constituer un fichier, il faut au préalable une déclaration auprès de la CNIL, soit par voie postale ou par courriel. Cependant, il existe deux types de déclaration :
- déclaration normale concernant les fichiers sur la vie privée ou les libertés individuelles
- déclaration simplifiée lorsqu’il n’existe pas de risque d’atteinte à la vie privée ou aux libertés individuelles
Obligation d’autorisation
Parfois, la déclaration ne suffit pas pour constituer un fichier sur les données personnelles dites sensibles (opinions politiques, origines ethniques, orientations religieuses ou sexuelles, les données sur la santé, etc.), il faut également une autorisation de la CNIL.
Obligation d’information et de consentement
En plus de la déclaration et de l’autorisation de la CNIL pour le traitement des données à caractère personnel, les personnes concernées par la collecte doivent être informées et consentir cette action. Ce qui n’est pas le cas actuellement, car vos données sont collectées et vendues chaque jour par les sites marchands sans que vous ne soyez pour autant informés. L’information permettra d’en savoir un plus sur l’utilisation qui est faîte de vos données et les conséquences que cela implique.