Le traitement et la libre circulation des données personnelles

De nos jours, avec la numérisation, les avancées technologiques, les données personnelles courent d’importants risques comme l’affirme le Forum International de la Cybersécurité (FIC) sur les violations de données personnelles par jour, en moyenne 7 « cette augmentation constante (…) témoigne à la fois de la progression des usages numériques, de la prise de conscience croissante des utilisateurs qui notifient davantage les incidents et d’une cybercriminalité qui progresse fortement ». Commençons par une définition concrète de ce qui est une donnée personnelle qui se trouve dans le Règlement Général sur la protection des données (RGPD) à l’article 4 qui dit « Toute information se rapportant à une personne physique identifiée ou identifiable… » ces données peuvent être par exemple un identifiant ; un nom ; un numéro d’identification ; des données de localisation entre autres. Les données personnelles comprennent comme on a pu le voir, des informations relatives à quelqu’un qu’elles soient générales ou « sensibles ». Ces dernières concernent les informations qui se trouvent dans une catégorie de données à caractère sensible personnel, l’exemple d’un dossier médical l’illustre parfaitement puisque dans un tel document on y trouve l’état de santé du patient et les correspondantes évaluations menées sur sa santé, ce qui est une information de caractère personnel voire privé.

RÈGLEMENTATION DES DONNÉES PERSONNELLES

oc-sante.fr

Dû au progrès technologique, l’Union Européenne a envisagé l’adoption d’un règlement nommé Règlement Général de Protection des Données qui est applicable depuis le 25 mai 2018. Il s’agit donc d’une norme européenne directement applicable où l’on y trouve nombres concepts, principes et mécanismes sur le traitement des données. L’objectif de cette norme est celle de protéger les droits sur la vie privée des personnes mais avec une certaine nouveauté qui est le droit à la portabilité des données personnelles c’est-à-dire qu’un client peut décider librement avec qui partager ses données personnelles que ce soit avec une entreprise, un particulier… Mais, le traitement de ces données utilisées doit se baser sur une base qui légitime faire ceci. Il y a des critères établis qui doivent par conséquent être remplis pour que ce traitement respecte le règlement on constate, le consentement de la personne qui doit manifester sa volonté de partager ses données de manière libre spécifique ; informée ; équivoque. Le consentement implicite c’est celui par exemple qui se déduit de la propre action de la personne quand celle-ci continue à naviguer dans une page web et accepte qu’on utilise des cookies pour suivre sa recherche. Dans certains cas ce consentement doit être en plus explicite notamment dans le traitement de données sensibles.

Le règlement garantit une circulation libre des données non personnelles au-delà d’un pays où chaque entité doit être dotée de la capacité de stocker et traiter des données n’importe où dans le territoire de l’Union européenne. Il est garanti aussi que les autorités publiques doivent conserver l’accès à ces données à des finalités de contrôle réglementaire. En troisième lieu, on fomente entre les fournisseurs de services cloud une commutation plus simple pour les utilisateurs professionnels. La Commission encourage l’élaboration de codes de conduites qui concernent les conditions dans lesquelles les utilisateurs peuvent transférer des données entre fournisseurs. En dernier lieu, on garantit des mesures de sécurité qui s’appliquent aux entreprises qui stockent et traitent des données au-delà des frontières.

DROIT INTERNATIONAL

mydubailawyer.com

De nombreux textes et rapports ont été adoptés en droit international en vue de sensibiliser les États, entités, entreprises sur la protection et traitement des données personnelles. Le Conseil des Droits de l’Homme dans sa 35ème période de sessions (du 6 au 23 juin de 2017) affirme le droit à la vie privée pendant l’ère digitale. Ce droit établit le fait que personne ne peut faire l’objet d’ingérences arbitraires ou illicites dans sa vie privée, sa famille, son domicile. Ce droit est d’autant plus important du fait qu’il matérialise des droits comme la liberté d’expression ou la liberté de réunion mais en plus, il permet le libre développement de la personnalité et l’entité des utilisateurs. Le Conseil des Droits de l’Homme observe l’accroissement de la capacité des gouvernements et des entreprises pour mener des activités de vigilance, de compilation de données et leur interception. Le traitement automatique des données personnelles est un risque pour la population car fréquemment les utilisateurs ne donnent pas leur consentement libre, explicite et informé sur la vente de leurs données et actuellement il y a une augmentation de recompilation de traitement de données personnelles et confidentielles de ces personnes. Il met en valeur le fait que la recompilation illégale constitue un acte intrusif qui viole le droit de la vie privée et par conséquent d’autres droits de l’homme. Ce qui est à retenir est le fait que les états doivent faire attention aux ingérences arbitraires dans le droit de la vie privée qui s’ajustent aux principes de légalité, nécessité et proportionnalité.

Pour continuer sur ce point, dans l’observation générale numéro 16, commentaires généraux adoptés par le comité des droits de l’homme, cet organe énonce les circonstances où il est possible d’autoriser ces ingérences notamment pour des fins statistiques ou de recherche scientifique lorsque qu’il n’y a pas de risques d’atteinte à la vie privée des personnes concernées.

Cependant, pour que la protection de la vie privée soit le plus efficace possible, toute personne doit avoir le droit de vérifier si ses données sont stockées dans des archives automatiques de données et, dans le cas affirmatif, elle a droit d’obtenir de l’information sur quels sont ces données y avec quelles fins elles ont été stockées. En outre, toute personne doit pouvoir vérifier quelles sont les autorités ou particuliers ou organismes privés qui contrôlent ces archives. Si ces archives contiennent des données personnelles incorrectes ou ont été compilées de manière incorrecte, toute personne a le droit de demander la rectification ou l’élimination.

Finalement, l’accord nº108 du Conseil d’Europe, du 28 janvier de 1981, pour la protection des personnes concernant le traitement automatique des données personnelles, établit dans son chapitre deux, dans les premiers articles, les données qui font l’objet de traitement doivent se traiter loyal et légitimement, en vue de la réalisation de finalités légitimes, elles seront adéquates et pertinentes en relation avec les fins pour lesquelles elles ont été enregistrées ces données. Ce seront ainsi des données exactes qui se conservent pour une durée qui n’excède pas le nécessaire.

LES VIOLATIONS DE LA NORME EUROPÉENNE

Le Règlement Général de Protection des Données prévoit des sanctions pour ceux qui violent cette protection. Il prévoit des peines pécuniaires qui peuvent s’élever jusqu’à 20 millions d’euros ou 4% du chiffre d’affaires de la société qui est concernée. En revanche, il existe aussi des sanctions pénales qui peuvent être envisagées.

On illustre le cas où Google LLC et Google Ireland Limited ont violé la norme européenne. La CNIL a sanctionné ces deux sociétés en 2020 avec une peine pécuniaire de 100 millions d’euros pour avoir installé automatiquement des cookies qui faisaient de la publicité sur les ordinateurs des personnes qui faisaient usage du moteur de recherche de google.fr sans un consentement préalable, près de cinquante millions d’utilisateurs ont été affectés. La CNIL a par conséquent constaté trois violations de l’article 82 de la loi Informatique et Libertés, notamment, « un dépôt de cookies sans recueil préalable du consentement de l’utilisateur ; un défaut d’information des utilisateurs du moteur de recherche google.fr ; la défaillance partielle du mécanisme « d’opposition ». Voici un des cas récents qu’il y a eu à ce sujet mais il en existe beaucoup d’autres que vous trouverez sur Internet.

<span style="font-size: 12pt;"><strong>Lucía Andres Jimenez</strong></span> <br> Cliquez sur la photo pour plus d’articles !
Lucía Andres Jimenez
Cliquez sur la photo pour plus d’articles !
SOURCES (cliquez sur les titres pour en savoir plus)

RGPD

Commission Européenne

PLR Avocats

Eur-lex

El nuevo Reglamento General de Protección de Datos (RGPD) es aplicable desde el 25 de mayo de 2018.

Dans la même thématique, la rédaction vous propose les articles suivants :

Ein Bild, das Gebäude, Screenshot, Wolkenkratzer, Blau enthält. Automatisch generierte Beschreibung
BEYOND THE FIREWALL: CYBER-ATTACKS AND THEIR IMPACT ON NATIONAL SECURITY
– JENNIFER-MARIECLAIRE STURLESE –