veille juridique (158541)
La veille juridique
Thème : “ L’identité numérique et la protection des données personnelles ”
I/ L’identité numérique
A/ Définition
Notion :
L’identité numérique est le lien technologique entre une entité réelle et une entité virtuelle .
Création :
La loi dite “informatique et libertés ” a été adoptée le 6 janvier 1978 suite à une polémique
déclenchée en 1974 par la révélation du projet du gouvernement français dénommé SAFARI
(système automatisé pour les fichiers administratifs et le répertoire des individus) .
Ce sont les débuts de l’identité numérique .
B/ Risques
- Usurpation d’identité (L'usurpation d'identité (improprement qualifiée de vol d’identité) est le
fait de prendre délibérément l'identité d'une autre personne vivante, généralement dans le but de
réaliser des actions frauduleuses commerciales, civiles ou pénales, comme régulariser sa situation au
regard de l'émigration, accéder aux finances de la personne usurpée, ou de commettre en son nom un
délit ou un crime, ou d'accéder à des droits de façon indue.)
- Confusion avec le réel
- E-réputation (L'e-réputation, parfois appelée web-réputation, cyber-réputation, réputation
numérique, sur le Web, sur Internet ou en ligne, est la réputation, l’opinion commune (informations,
avis, échanges, commentaires, rumeurs…) sur le Web d'une entité (marque, personne, morale
(entreprise) ou physique (particulier), réelle (représentée par un nom ou un pseudonyme) ou
imaginaire). Elle correspond à l’identité de cette marque ou de cette personne associée à la
perception que les internautes s'en font.
Cette notoriété numérique, qui peut constituer un facteur de différenciation et présenter un
avantage concurrentiel dans le cas des marques, se façonne par la mise en place d'éléments positifs
et la surveillance des éléments négatifs. L'e-réputation peut aussi désigner sa gestion, via une
stratégie globale et grâce à des outils spécifiques (activité à l’origine de nouveaux métiers) pour la
pérennité de l’identité numérique.)
- Saturation de la gestion de l’identité numérique ( contributions, traces )
C/ Protection
Notion :
La sécurité de l’information est un processus visant à protéger des données quelle que soit leur
forme .
En France :
La loi 2012-410 sur la protection de l’identité (LOPPSI2), Idénum, la CNIL, Internet sans crainte et
AFSIN luttent contre la contrefaçon, l’usurpation d’identité et les escroqueries en tout genre liées à
l’identité numérique .
La mise en place de cette lutte est progressive .
Au niveau international :
La commission €uropéenne s’alarme aujourd’hui sur la protection de l’identité numérique .
Le droit international ne semble pas prêt pour modifier ces procédures .
II/ La protection des données personnelles
A/ Définition des données personnelles
Les données personnelles sont les informations qui permettent d’identifier directement ou
indirectement une personne physique .
B/ Risques
Vols de données
Corruption
Suppression
Vie privée accessible grâce à internet ( E-réputation )
C/ Protection des données personnelles
En France :
Il existe une loi portant sur l’informatique et les libertés (1978) :
Elle donne des responsabilités à la CNIL et des droits et obligations aux personnes physiques :
Obligations :
- La sécurité des fichiers
Tout responsable de traitement informatique de données personnelles doit adopter des mesures de
sécurité physiques (sécurité des locaux), logiques (sécurité des systèmes d’information) et adaptées
à la nature des données et aux risques présentés par le traitement.
Le non-respect de l’obligation de sécurité est sanctionné de 5 ans d'emprisonnement et de 300 000
€ d'amende.
art. 226-17 du code pénal
- La confidentialité des données
Seules les personnes autorisées peuvent accéder aux données personnelles contenues dans un
fichier. Il s’agit des destinataires explicitement désignés pour en obtenir régulièrement
communication et des “tiers autorisés” ayant qualité pour les recevoir de façon ponctuelle et motivée
(ex. : la police, le fisc).
La communication d’informations à des personnes non-autorisées est punie de 5 ans
d'emprisonnement et de 300 000 € d'amende.
La divulgation d’informations commise par imprudence ou négligence est punie de 3 ans
d'emprisonnement et de 100 000 € d’amende. art. 226-22 du code pénal
- La durée de conservation des informations
Les données personnelles ont une date de péremption.
Le responsable d’un fichier fixe une durée de conservation raisonnable en fonction de l’objectif du
fichier.
Le code pénal sanctionne la conservation des données pour une durée supérieure à celle qui a été
déclarée de 5 ans d'emprisonnement et de 300 000 € d'amende.
art. 226-20 du code pénal
- L’information des personnes
Le responsable d’un fichier doit permettre aux personnes concernées par des informations qu’il
détient d'exercer pleinement leurs droits. Pour cela, il doit leur communiquer : son identité, la
finalité de son traitement, le caractère obligatoire ou facultatif des réponses, les destinataires des
informations, l’existence de droits, les transmissions envisagées.
Le refus ou l'entrave au bon exercice des droits des personnes est puni de 1500 € par infraction
constatée et 3 000 € en cas de récidive.
art. 131-13 du code pénal Décret n° 2005-1309 du 20 octobre 2005
- L'autorisation de la CNIL
Les traitements informatiques de données personnelles qui présentent des risques particuliers
d’atteinte aux droits et aux libertés doivent, avant leur mise en oeuvre, être soumis à l'autorisation
de la CNIL.
Le non-accomplissement des formalités auprès de la CNIL est sanctionné de 5 ans d'emprisonnement
et 300 000€ d'amende. art. 226-16 du code pénal
- La finalité des traitements
Un fichier doit avoir un objectif précis.
Les informations exploitées dans un fichier doivent être cohérentes par rapport à son objectif.
Les informations ne peuvent pas être réutilisées de manière incompatible avec la finalité pour
laquelle elles ont été collectées.
Tout détournement de finalité est passible de 5 ans d'emprisonnement et de 300 000 € d'amende.
Droits :
- Le droit à l'information
Toute personne a le droit de savoir si elle est fichée et dans quels fichiers elle est recensée.
- Le droit d'accès
Toute personne a le droit d'interroger le responsable d’un fichier pour savoir s’il détient des
informations sur elle.
- Le droit de rectification
Toute personne peut faire rectifier des informations qui la concernent.
- Le droit d'opposition
Toute personne a la possibilité de s'opposer, pour des motifs légitimes, à figurer dans un fichier.
- Le droit d'accès Indirect
Le droit d'accès à des fichiers "sensibles" s'exerce par l'intermédiaire de la CNIL.
- Le droit à l'oubli numérique
Initiées par la secrétaire d’Etat chargée de la Prospective et du Développement de l’économie
numérique, Nathalie Kosciusko-Morizet, 2 chartes du droit à l'oubli numérique ont été signées en
2010 :
=> le 30 septembre 2010 : Charte du Droit à l'oubli numérique dans la publicité ciblée : il s'agit
de données personnelles collectées passivement, sans que l'internaute en ait vraiment conscience
Thèmes :
l’exercice de leurs droits en matière de publicité ciblée
le rapprochement entre les données de navigation et les données personnelles
la publicité géo-localisée
le « capping » (maîtrise de l’exposition à la publicité)
la protection des publics mineurs
=> le 13 octobre 2010 : Charte du Droit à l'oubli numérique dans les sites collaboratifs et moteurs
de recherche : il s'agit de données personnelles publiées activement par l'internaute
Les six points de la charte :
Favoriser les actions de sensibilisation et d’éducation des internautes
Protéger les données personnelles de l’indexation automatique par les moteurs de recherche
Faciliter la gestion des données publiées par l’internaute lui-même
Adopter des mesures spécifiques d’information pour les mineurs
Mettre en place un outil de signalement ou un bureau des réclamations
Transfert de données
Au niveau international :
Il existe un contrôleur €uropéen de la protection des données. Le contrôleur veille au respect de la
vie privé de chacun et conseille les institutions et organes communautaires sur toute question
concernant le traitement des données à caractère personnel .
Le “traitement” désigne des opérations telles que la collecte, l’enregistrement, l’organisation et la
conservation de données, leur extraction aux fins de consultation, leur transmission ou leur diffusion
à d’autres personnes, ainsi que leur verrouillage, leur effacement ou leur destruction .
Ces opérations sont régies par des règles strictes de protection de la vie privée .
Le contrôleur coopère avec les responsables de la protection des données de chaque institution ou
organe communautaire, de manière à veiller à l’application correcte des règles relatives à la
protection de la vie privée .
D/ Dans le monde du travail
La protection des données à caractère personnel est devenue un sujet majeur dans les relations
sociales sur les lieux de travail. Des outils comme la vidéosurveillance ou la géolocalisation sont
largement mis en place. En effet, dans le cadre du recrutement ou de la gestion des carrières, les
employeurs utilisent de plus en plus d'applications informatiques. En outre, les dispositifs de
contrôle de l'activité des employés liés aux nouvelles technologies se multiplient : contrôle de l'usage
d'internet, de la messagerie, géolocalisation, biométrie, vidéosurveillance, etc.
Ces dispositifs enregistrent quantité de données personnelles sur les salariés et peuvent parfois
porter atteinte à leurs droits ou à leur vie privée.
A l'heure du développement de l'utilisation des smartphones, du télétravail et du bring your own
device, il est nécessaire de maintenir de maintenir un équilibre entre le contrôle de l'activité des
salariés et la protection de la vie privée. Cet équilibre passe avant tout par une bonne compréhension
des droits et des obligations de chacun, et du cadre légal applicable.
La CNIL encadre l'utilisation de ces outils, y compris sur les lieux de travail, notamment en
s'assurant que les personnes concernées (employeurs, employés, organisations syndicales, etc.) sont
informées de leurs droits et de leurs obligations en matière de protection des données à caractère
personnel.
En 2012, plus de 10 % des plaintes reçues par la CNIL concernaient le monde du travail. 17 d'entre
elles ont donné lieu à des mises en demeure. Les principaux manquements concernaient l'absence ou
la mauvaise information des employés, l'absence de déclaration, la collecte excessive ou non
pertinente de données personnelles.
C'est dans ce cadre que la CNIL publie, à l'occasion de la journée européenne de la protection des
données, cinq fiches thématiques sur les principales problématiques :
Le recrutement et la gestion du personnel
La géolocalisation des véhicules des salariés
Les outils informatiques au travail
L'accès aux locaux et le contrôle des horaires
La vidéosurveillance sur les lieux de travail
http://www.cnil.fr
6
7
8
9
10
11
1
/
11
100%
