Business et informations personnelles ?


Il y a quelque jour la BBC a publié une note concernant le cas du magazine XY (site pour jeunes homosexuels),  propriétaire d’une base de données regroupant les informations de nombreux abonnés (plus d’un million).
L’éditeur des publications XY est en faillite depuis février 2010 et il semblerait que les informations contenues dans ses bases de données aient été considérées comme un actif et donc valorisées en compensation des dettes.
Ce cas est particulièrement sensible du fait des caractéristiques de la population concernée.

Dans le cas d’une cession, ces informations vont passées sous le contrôle d’un autre « Data Controller » (voir le site de ICO en UK) et les garanties qui ont pu être données aux abonnés quant à l’utilisation de ces informations risquent d’avoir fait long feu !

De plus, aux Etats-Unis il n’y a pas d’équivalent à l’European Data Protection Directive (Directive 95/46/EC) qui protége les citoyens contre un abus possible dans l’utilisation des informations personnelles et que cette affaire ne concerne évidemment pas que des citoyens US.

Les législations vont certainement évoluer, notamment en ce qui concerne le respect de la sphère privée, mais aussi légitime que soit notre désir de protection, ne sommes-nous pas en train d’appeler de nos voeux l’existence d’un monde où l’Etat (par l’édition des règles et le contrôle de leur application) sera seul maître du jeu ?

La protection des données personnelles


Le droit à la protection des données à caractère personnel est inscrit dans la charte des droits fondamentaux de l’Union européenne au titre des libertés fondamentales telles que la liberté de pensée, de conscience ou de religion, la liberté d’expression et d’information ou le respect de la vie privée et familiale, etc.

Toute organisation recueille quotidiennement des données à caractère personnel :
le cabinet de recrutement afin d’évaluer les capacités à occuper un poste, le service RH pour tenir à jour les dossiers du personnel, le conseiller clientèle que vous venez d’appeler pour une réclamation et qui a noté quelques informations ou encore le médecin et votre suivi médical qui lui également fait l’objet d’un traitement électronique.

La CNIL définit les données à caractère personnel comme « toute information relative à une personne physique identifiée ou qui peut être identifiée, directement ou indirectement par référence à un numéro d’identification (par exemple le n° de sécurité sociale) ou par référence à un ou plusieurs éléments qui lui sont propres (par exemple les initiales du nom et du prénom) ou par recoupement d’informations du type : date de naissance, commune de résidence, éléments biométriques, etc. »

En France, la loi « Informatique et libertés »  donne aux personnes privées un droit de regard sur l’utilisation qui est faite de ces informations : c’est le droit d’accès. Elles peuvent ainsi savoir si un fichier comporte des informations personnelles sur elles, connaître lesquelles, en contrôler l’exactitude et lorsque c’est nécessaire, les faire rectifier, mettre à jour ou supprimer.

Le droit d’accès, qui est un droit strictement personnel, s’exerce selon deux modalités :

Le droit d’accès direct

Pour vérifier si elle est fichée ou pas, la personne doit directement s’adresser à la société ou à l’administration susceptible de conserver des informations sur vous. Cet organisme dispose d’un délai de deux mois maximum pour vous répondre. Ensuite, si l’organisme détient effectivement des données personnelles sur votre compte, elle peut accéder à leur intégralité.

Le droit d’accès indirect

C’est un régime particulier applicable à certains fichiers nationaux de souveraineté.
C’est le cas

  • des fichiers intéressant la sûreté de l’Etat, la défense et la sécurité publique (fichiers de police et de gendarmerie, fichiers de renseignement, fichier Schengen, etc.). Certains de ces fichiers sont consultés lors d’un recrutement, de l’agrément ou de l’habilitation de personnels de professions diverses ( surveillance, gardiennage, emplois dans des zones aéroportuaires, fonction publique…). Ils sont également consultés pour la délivrance ou le renouvellement de titres pour l’entrée et le séjour des étrangers.
  • Du fichier des comptes bancaires FICOBA, tenu par la direction générale des finances publiques, qui recense les ouvertures et les mouvements de comptes.

Dans ces cas précis, le droit d’accès s’exercera par l’intermédiaire d’un magistrat, membre de la CNIL qui ira contrôler le fichier au nom de la personne (accès indirect).

Naturellement, ces dispositions légales ont des conséquences importantes sur les processus de conservation des informations, d’anonymisation des données et la gestion des droits d’accès.

En savoir plus :
Le site de la CNIL
Le guide des droits d’accès en téléchargement
La loi fédérale suisse sur la protection des données et les dispositions quant au droit d’accès – Art. 8
Synthèse de la législation UE sur la protection des données à caractère personnel