Obligations du responsable du traitement de données personnelles

By 28 December 2012

Les obligations du responsable du traitement – Section 2 :

Deux types de traitements sont concernés : le traitement papier et le traitement automatisé. Le simple fait de créer un traitement engage la responsabilité du responsable du traitement.

Avant de dégager les différentes obligations incombant au responsable du traitement, il convient de s’interroger sur la notion même de responsable du traitement.

On entend par responsable du traitement non seulement le responsable lui même mais également le sous- traitant. Le sous-traitant est la personne physique ou morale qui traite des données personnelles pour le compte du responsable du traitement. La directive précise que des clauses doivent figurer, dans les contrats passés avec des sous-traitants, permettant d’imputer la responsabilité soit sur le sous-traitant soit sur le responsable du traitement.

§1 : Les obligations relatives à la qualité des données

L’article 6 de la directive de 1995 énonce les principes relatifs à la qualité des données. Ce sont des principes qui manquent de caractère impératif et normatif. Le fait de ne pas respecter ces principes engage la responsabilité de droit commun. Dans certains cas, ils peuvent déboucher sur de la responsabilité pénale. Ces principes correspondent à la doctrine de la C.N.I.L. et sont au nombre de cinq.

* Les données doivent être traitées loyalement et licitement

Tout concours déloyal pourra engager la responsabilité du responsable du traitement. Ainsi, au niveau de la collecte de données personnelles dans le cadre d’un concours, il y aura comportement quand le concours ne s’avère être qu’un prétexte.

Il y aura également un comportement déloyal lorsqu’on fait paraître de fausses offres d’emploi.

* Les données ne doivent être collectées pour des finalités déterminées, explicites et légitimes
* Les données doivent être adéquates, pertinentes et non excessives au regard des finalités
* Les informations ainsi collectées doivent être exactes et si nécessaire mises à jour
* Les données doivent être conservées pour une certaine durée

Les données ne doivent être conservées que pendant le temps utile nécessaire à la finalité du traitement pour laquelle elles ont été collectées. Un des dangers que présente l’informatique est de pouvoir conserver ces données et de les rendre publiques sans limite de temps.

La C.N.I.L., dans une délibération en date du 29/11/2001, s’est intéressée aux problèmes posés par la diffusion des données personnelles sur Internet par les banques de données de jurisprudence. En effet, dans les décisions de justice publiées sur Internet, le nom des parties apparaît. Le problème est posé lorsque la personne figurant dans une décision de justice en ligne a été amnistiée car son nom continuera d’apparaître dans les arrêts. La C.N.I.L. recommande donc de ne plus faire apparaître le nom des parties sur Internet.

§2 : Le principe du consentement

Ce principe n’est pas contenu dans la loi de 1978 mais il fait partie de la directive de 1995. C’est l’article 7 de la directive qui énonce le principe selon lequel la personne concernée doit avoir donnée son consentement préalable à la collecte des données. La directive prévoit tout de même cinq exceptions à ce principe.

Il s’agit des traitements nécessaires à l’exécution d’un contrat ou de mesures précontractuelles prises à l’initiative de cette personne, de traitement nécessaire pour une obligation légale, pour l’intérêt vital de la personne, pour une mission d’intérêt public ou encore quand le traitement a été réalisé dans l’intérêt légitime de la personne.

En matière de spamming par exemple, le droit commun va imposer le principe du consentement (« opt in »).

§3 : L’obligation d’informer préalablement la personne concernée

Ce principe est énoncé aux articles 10 et 11 de la directive de 1995. Ainsi, lors de la collecte de données, le responsable du traitement doit délivrer à la personne concernée certaines informations.

L’article 10 de la directive concerne les données directement auprès de la personne concernée. Dans ce cas de figure, le responsable du traitement doit fournir certaines informations à la personne concernée sauf si elle est déjà informée. Les informations seront l’identité du responsable du traitement, les finalités du traitement auxquelles les données sont destinées, tout information supplémentaire telle que les destinataires ou les catégories de destinataires des données.

Pour les informations recueillies par voie de questionnaire, la loi de 1978 précise qu’elles doivent porter mention de leur prescription.

L’article 11 de la directive concerne les collectes indirectes. Ce sera le cas lorsqu’une société a vendu à une autre société ses fichiers. La responsabilité semble peser sur le responsable du traitement qui cède ses données à un tiers. Il appartient donc au cédant d’informer les personnes concernées de ce changement en leur dévoilant le nom de la nouvelle personne en charge de ses données.

§4 : Le problème de la gestion des données sensibles

Pour certaines informations, qui peuvent s’avérer dangereuses, le principe est l’interdiction de leur collecte. Il y a des exceptions.

Des informations seront dites sensibles lorsqu’elles révèlent l’origine raciale, ethnique, l’opinion politique, les convictions religieuses ou philosophiques, l’appartenance syndicale…

A ainsi été condamné un maire qui avait procédé à un mailing pour une élection municipale à partir de listes à partir desquelles apparaissaient les courants politiques et religieux des personnes concernées.63

Le manquement à ce principe peut entraîner des sanctions pénales conformément à l’article 31 de la loi de 1978.

Les exceptions concernent les cas où la personne a donné son consentement explicite, lorsque le traitement est nécessaire pour respecter des obligations en matière de droit du travail, pour des raisons d’intérêt vital de la personne (santé), si les données ont été divulguées par la personne et lorsque les données sont données pour dispenser des soins médicaux.

Le projet de loi français précise, dans son article 67, que les traitements automatisés de données personnelles à des fins journalistiques n’ont pas à être déclarées.

§5 : L’obligation de sécurité

Le responsable du traitement de données personnelles est responsable de la sécurité du traitement et des données. L’obligation de sécurité est une obligation de moyen évolutive. Cette obligation concerne l’ordinateur, les logiciels, les locaux, le réseau, l’organisation, le problème du personnel…

Les manquements peuvent être divers : destruction accidentelle ou illicite, perte accidentelle, altération, diffusion ou accès non autorisé sur Internet…

Le responsable du traitement sera responsable lorsque les manquements à la sécurité des données incombent au responsable du traitement lui même mais également lorsque ces manquements sont le fait de personnes extérieures (pirates).

L’obligation de sécurité est une infraction pénale, conformément à l’article 226-17 du Code pénal.

§6 : La déclaration de traitement automatisé

Tout traitement doit être déclaré auprès de la C.N.I.L. avant leur mise en œuvre. L’absence de déclaration entraîne des sanctions pénales, conformément à l’article 226-16 du Code pénal. Cet article prévoit que l’infraction peut être constituée y compris par simple négligence. Toute personne peut s’adresser à la C.N.I.L. afin de savoir si une déclaration a été effectuée.

Il existe plusieurs procédures : une procédure concernant le secteur public qui est assez lourde, une concernant le secteur privé et une procédure intermédiaire.

La directive de 1995 repose sur une idée simple : la plupart des traitements donnent lieu à notification auprès de l’autorité de contrôle. Certains traitements peuvent être dispensés ou bénéficier d’une procédure simplifiée.

Par ailleurs, la directive laisse aux Etats membres le soin de concevoir leur système national à l’intérieur de ce cadre laissant ainsi une grande latitude aux Etats.

Conclusion

Les logiciels indiscrets sont donc assez variés et ils doivent être abordés de manière différente selon qu’ils constituent une atteinte aux biens ou une atteinte aux personnes.

Le problème des logiciels espions n’est pas nouveau et il existait déjà avant le développement d’Internet. Internet a en fait agit comme une sorte de déclencheur en amplifiant le phénomène et en augmentant considérablement le nombre de victimes potentielles de ces logiciels indiscrets.

Le problème majeur lié aux logiciels indiscrets vient du fait que ces derniers sont, la plupart du temps, invisibles ce qui rend les moyens de recours difficiles à mettre en oeuvre. Il sera en effet difficile pour les internautes néophytes ou débutants en informatique de se défendre contre l’ensemble des atteintes perpétuées par les logiciels indiscrets. En revanche, les moyens de recours seront plus faciles à mettre en œuvre pour les internautes dotés d’une bonne connaissance générale en informatique.

Devant un espionnage qui prend de plus en plus d’ampleur sur Internet au mépris des droits et libertés individuelles, beaucoup de personnes qualifiées en informatique y compris les informaticiens, au courant de ces pratiques, ont pris conscience du manque d’information des internautes. Certains d’entre eux vont avoir l’impression d’être investis d’un devoir de conseil envers l’ensemble des internautes et vont délivrer leur message de vigilance, notamment à travers des sites Web.

Même si elle n’a pas été spécialement créée en vue de lutter contre les dérives d’Internet, la loi de 1978 est un réel succès. Elle le doit très certainement à la création de la C.N.I.L., autorité administrative indépendante, chargée de veiller à la bonne application de la loi afin de protéger la vie privée et les libertés individuelles ou publiques.

La C.N.I.L. est encore aujourd’hui au cœur de l’actualité avec sa boîte aux lettres « boîte à spam » destinée à appréhender en France le phénomène du « spamming ».

Le nouveau projet de loi, issu de la directive de 1995, donnera davantage de pouvoirs à la C.N.I.L. sans toutefois bouleverser son mécanisme.

Lire le mémoire complet ==> (Les problèmes juridiques des logiciels indiscrets
Mémoire de D.E.A Informatique et Droit – Formation Doctorale : Informatique et Droit
Université MONTPELLIER 1 – Faculté de Droit

Sommaire détaillé :
Introduction
Partie 1 : Les logiciels indiscrets : une atteinte aux biens
Chapitre 1 : Les différentes techniques et contre techniques d’intrusion dans un système informatique
Section 1 : Les logiciels indiscrets les plus courants
§1 : Les cookies
A) Principe
B) Intérêt
C) Fonctionnement
D) La gestion des cookies par l’internaute
E) Les différentes composantes du cookie
§2 : Le spamming
§3 : Les espiogiciels
A) Technique
B) Contre techniques
§4 : Les mouchards
A) Technique
B) Contre techniques
Section 2 : Les troyens
§1 : Technique
§2 Contre techniques
Chapitre 2 : Le droit applicable et les différentes sanctions
Section 1 : La loi Godfrain
§1 : L’accès et le maintien dans un STAD
A) L’accès frauduleux dans le système
1- La pénétration matérielle dans tout ou partie du système
2- L’absence d’autorisation légale, administrative ou contractuelle pour accéder aux données
B) Le maintien non autorisé dans le système
C) Le cas du cookie et de l’espiogiciel
1- Elément matériel de l’infraction
2- Elément moral de l’infraction
§2 : Les atteintes ayant pour finalité de toucher le système
A) Atteinte directe
1- Le spamming
2- Les chevaux de Troie
B) Atteinte indirecte
§3 : Carences
Section 2 : Les autres types de sanctions
§1 : Le droit international
A) Les infractions répertoriées
B) De nouvelles procédures
C) Les règles de la coopération internationale
§2 : Le droit civil
Partie 2 : Les logiciels indiscrets : une atteinte aux personnes
Chapitre 1 : Une identité de plus en plus dévoilée
Section 1 : Une identification qui suscite de plus en plus de convoitises
§1 : L’utilité du cookie lors du processus d’identification
A) les avantages du cookie
B) Un identifiant toléré mais encadré
§2 : Les espiogiciels : un nouvel outil de collecte de l’information
Section 2 : Le but inavoué de ces pratiques
§1 : L’interconnexion de fichiers
A) Le profiling
B) Le fichage administratif
§2 : La cybersurveillance du salarié
A) Les obligations d’information de l’employeur
B) Le respect de la vie privée du salarié
C) L’exigence de proportionnalité
D) La surveillance de l’ordinateur du salarié
Chapitre 2 : Les règles applicables concernant la collecte de données personnelles
Section 1 : Les droits de la personne propriétaire des données
§1 : Les droits de s’informer et d’accéder aux données personnelles
A) Le droit de s’informer
B) Le droit d’accès direct et de copie
C) Les droits d’accès indirects
1- Données intéressant la sûreté de l’Etat, la défense et la sécurité publique
2- Données médicales
§2 : Le droit de contestation ou de rectification
§3 : Le droit d’opposition
Section 2 : Les obligations du responsable du traitement
§1 : Les obligations relatives à la qualité des données
§ 2 : Le principe du consentement
§3 : L’obligation d’informer préalablement la personne concernée
§4 : Le problème de la gestion des données sensibles
§ 5 : L’obligation de sécurité
§6 : La déclaration de traitement automatisé
Conclusion

_________________________________
63 TGI, Toulouse, 13/09/2001