Les données personnelles, à manier avec précaution

A l'exception des traitements portant atteinte à la vie privée ou aux libertés individuelles (lesquels sont soumis à une autorisation), les traitements de données personnelles font l'objet d'une simple déclaration à la Commission nationale de l'informatique et des libertés (Cnil). Certaines catégories courantes de traitement de données sont soumises à des normes simplifiant le processus de déclaration. Quelques traitements sont également dispensés de déclaration (gestion des rémunérations, notamment) sous réserve qu'ils soient bien mis en oeuvre conformément à la décision de dispense prise par la Cnil. Le nouveau dispositif législatif prévoit une dispense de déclaration lorsque l'entreprise a désigné un correspondant à la protection des données, chargé d'assurer, de manière indépendante, le respect des obligations prévues dans la loi du 6 janvier 1978.

La déclaration effectuée doit préciser l'identité du responsable de la base de données, sa finalité, les informations personnelles traitées, leur origine et les catégories de personnes concernées, mais aussi la durée de conservation des informations, le service chargé de leur collecte et de leur utilisation, les dispositions prises pour assurer la sécurité des données et la garantie des secrets protégés par la loi. Toutefois, le récépissé délivré par la Cnil n'exonère pas le demandeur de ses responsabilités. La loi interdit, sauf exception, la collecte ou le traitement de données personnelles faisant apparaître, directement ou non, les origines raciales ou ethniques, les opinions politiques, philosophiques ou religieuses, l'appartenance syndicale ou relatives à la santé ou la vie sexuelle.

Préciser la finalité

Les données doivent être collectées et traitées de manière loyale et licite, pour une finalité déterminée. Elles doivent être adéquates, pertinentes et non excessives au regard de la finalité déterminée, mais également exactes, complètes et, si nécessaire, mises à jour (les données inexactes ou incomplètes devant être effacées ou rectifiées). Enfin, elles ne seront pas conservées plus longtemps que nécessaire. Préalablement à la mise en oeuvre du traitement, la personne auprès de laquelle sont recueillies des données personnelles doit être informée de l'identité du responsable du traitement, de la finalité poursuivie et des droits dont elle dispose.

Le transfert de données collectées en France hors de l'Union européenne est interdit si le pays destinataire n'offre pas des conditions de protection suffisantes. Des mécanismes contractuels ou l'autorisation expresse de la personne concernée - dont la validité peut être remise en cause - permettent de déroger à l'interdiction d'un tel transfert.

La prospection par e-mail suppose l'accord préalable du destinataire du message, sauf si ses coordonnées ont été régulièrement collectées à l'occasion d'une vente ou d'une prestation de service et que la prospection est relative à des produits ou services analogues fournis par la même personne (article L. 34-5 du code des postes et communications électroniques).

Attention, l'ordonnance du 24 août 2011 impose de nouvelles règles en matière de cookies. Vous avez dorénavant obligation d'informer l'internaute et surtout d'obtenir son consentement pour les installer sur son terminal. Tous les cookies ne sont pas concernés, par exemple ceux servant à gérer un panier d'achat sur un site d'e-commerce. L'accumulation de données des cookies et les recoupements qu'ils induisent pourraient aboutir à des indications sur les préférences politiques, philosophiques ou sexuelles, soumises à des contraintes juridiques fortes. Attention aux dérives!