Droit BTS: La sécurisation des données

Chapitre 4

La sécurisation des données

à caractère personnel

Réponses aux questions sur les documents

I. Le cadre juridique des données à caractère personnel

A. Les données personnelles

Document 1. Définition des données personnelles, p. 30

Document 2. Comment contrôler ses données personnelles sur Internet ?, p. 30

1. Dites si chacun de ces éléments peut être considéré comme une donnée personnelle : nom, prénom, photo, date de naissance, statut matrimonial, adresse postale, e-mail, adresse IP, numéro de Sécurité sociale, numéro de téléphone, numéro de carte bancaire, plaque d’immatriculation du véhicule, empreinte génétique, élément d’identification biométrique.

Une donnée personnelle est une information qui permet d’identifier ou de reconnaître une personne, directement ou indirectement. Il peut en effet s’agir d’un nom, d’un prénom, d’une photo, d’une date de naissance, d’un statut matrimonial, d’une adresse postale, d’une adresse électronique, d’un e-mail, de l’adresse IP d’un ordinateur, d’un numéro de Sécurité sociale, d’un numéro de téléphone, d’un numéro de carte bancaire, de la plaque d’immatriculation d’un véhicule, d’une empreinte génétique, d’un élément d’identification biométrique, etc.

2. Quels dangers court l’internaute qui envoie ses données personnelles via Internet ?

Comme l’illustre l’annexe 2, l’internaute est confronté à la « volatilité » et à la vulnérabilité des données stockées sur son ordinateur.

B. Les menaces pesant sur les données à caractère personnel

Document 3. Les libertés individuelles et les données personnelles menacées, p. 30

3. Pourquoi peut-on dire que les TIC démultiplient les risques d’atteinte aux droits et libertés de la personne ?

Les questions de protection des données personnelles sont aujourd’hui au centre de la vie quotidienne : au travail, dans les relations avec les autorités publiques, dans le domaine médical, lorsque l’on surfe sur Internet, que l’on consomme, etc. Tous ces actes impliquent la collecte d’informations personnelles pour alimenter des fichiers toujours plus nombreux.

Il y a donc développement de multiples dangers que les réseaux sociaux, et plus généralement toutes les technologies de l’information et de la communication, peuvent présenter pour leurs utilisateurs, compte tenu du mélange possible entre les données touchant à la vie privée et les éventuelles répercussions sur la vie professionnelle des intéressés.

Ainsi, l’exemple de l’« e-réputation », image numérique d’une personne sur Internet, permet de mesurer les dangers à voir un recruteur, un employeur, un client, un ami ou membre de la famille, etc., être avisé d’informations que l’on n’aurait pas souhaité divulguer.

Document 4. Les dangers des fichiers nominatifs, p. 31

4. Quelles sont les données personnelles concernées dans ce document ?

Quelles sont les pratiques dénoncées ?

Les données personnelles sont les noms et les coordonnées des personnes listées dans les fichiers.

Il s’agit d’utilisations abusives de fichiers pouvant nuire aux personnes qui y figurent. La CNIL peut même trouver des commentaires péjoratifs et subjectifs pouvant nuire aux personnes concernées.

5. Pourquoi de telles bases de données sont-elles dangereuses ?

Des bases de données peuvent se révéler dangereuses dès lors qu’elles ne se cantonnent pas à l’enregistrement de données objectives mais contiennent des données subjectives, avec les risques liés à des commentaires à caractère raciste, politique, etc.

C. Le cadre communautaire

Document 5. Les données à caractère personnel encadrées, p. 31

6. Quelles conditions incontournables la législation européenne impose-t-elle pour la collecte de données ?

En droit communautaire, la collecte de données à caractère personnel n’est légale que dans des conditions strictes de proportionnalité, transparence et finalité légitime du traitement des données. Ainsi, les personnes ou organisations qui collectent et gèrent vos informations personnelles sont tenues d’empêcher leur utilisation à mauvais escient et de respecter certains droits conférés aux propriétaires de ces données par le droit communautaire.

7. Comment l’Union européenne réagit-elle face à la circulation des données à caractère personnel ?

La directive européenne pose des limites relatives à la collecte et à l’utilisation des données à caractère personnel, sachant qu’il est nécessaire de créer, dans chaque État membre, un organisme national indépendant chargé de la protection de ces données.

II. Le rôle des autorités de régulation

A. L’autorité de référence : la CNIL

Document 6. L’information des droits et des obligations des personnes, p. 32

1. Quels sont les différents interlocuteurs de la CNIL ?

La CNIL (Commission nationale de l’informatique et des libertés) a pour interlocuteurs les particuliers et les entreprises qui traitent des données personnelles.

2. En quoi peut-on dire que la CNIL veille à la protection des données personnelles ?

La CNIL (Commission nationale de l’informatique et des libertés) veille à ce que l’informatique soit au service de chaque citoyen, sans porter atteinte ni à l’identité humaine, ni aux droits de l’homme, ni à la vie privée, ni aux libertés individuelles ou publiques. Cette autorité administrative indépendante est chargée d’organiser la protection des personnes physiques à l’égard des traitements des données à caractère personnel et exerce, dans ce but, de nombreuses missions.

Document 7. La CNIL sanctionne, p. 32

3. Qualifier les faits dans cette affaire.

La société contrôlée par la CNIL

...