Les principes de Droit qui encadrent le Numérique

Les principes

Dans un premier temps, nous allons expliquer les principes de droit qui encadrent le numérique.
Nous trouvons la loi Informatique et Libertés, loi n°78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés. C’est une loi française qui réglemente la liberté de traitement des données personnelles, c'est-à-dire la liberté de ficher les personnes humaines. Cette liberté étant indissociable de l'activité informatique. Cette loi réglemente donc les conséquences potentiellement antisociales de l'activité informatique.
La base de la loi Informatique et Libertés (LIL) concerne les données et le traitement des données à caractère personnel. La LIL inscrit dès le premier article de loi l'informatique dans le cadre des droits de l'homme.

Article 1

“L'informatique doit être au service de chaque citoyen. Son développement doit s'opérer dans le cadre de la coopération internationale. Elle ne doit porter atteinte ni à l'identité humaine, ni aux droits de l'homme, ni à la vie privée, ni aux libertés individuelles ou publiques.''
Dès le second article, elle définit son cadre, s'adressant au plus grand nombre.

Article 2

"[...] Constitue une donnée à caractère personnel toute information relative à une personne physique identifiée ou qui peut être identifiée, directement ou indirectement, par référence à un numéro d'identification ou à un ou plusieurs éléments qui lui sont propres. Pour déterminer si une personne est identifiable, il convient de considérer l'ensemble des moyens en vue de permettre son identification dont dispose ou auxquels peut avoir accès le responsable du traitement ou toute autre personne.
Constitue un traitement de données à caractère personnel toute opération ou tout ensemble d'opérations portant sur de telles données, quel que soit le procédé utilisé, et notamment la collecte, l'enregistrement, l'organisation, la conservation, l'adaptation ou la modification, l'extraction, la consultation, l'utilisation, la communication par transmission, diffusion ou toute autre forme de mise à disposition, le rapprochement ou l'interconnexion, ainsi que le verrouillage, l'effacement ou la destruction.
Constitue un fichier de données à caractère personnel tout ensemble structuré et stable de données à caractère personnel accessibles selon des critères déterminés. La personne concernée par un traitement de données à caractère personnel est celle à laquelle se rapportent les données qui font l'objet du traitement."

Par la suite, elle spécifie :

  • quelles sont les obligations d'un responsable de traitement ;
  • quels peuvent être les destinataires de ce traitement (Art. 3) : toute personne habilitée à recevoir communication de ces données ;
  • quelles données peuvent être collectés : les « origines raciales », ethniques, les opinions politiques, philosophiques ou religieuses, l'appartenance syndicale, ou celles relatives à la santé et à la sexualité sont interdites, étant qualifiées de données sensibles, sauf exception (Art. 8 et 26) ;
  • et comment elles doivent être récoltées et conservées (Art. 6 et 7). L'article 6 définit notamment le principe de finalité, le principe de proportionnalité et le principe d'exactitude.

En cas de non-respect de la loi, des sanctions sont envisageables.

Par la CNIL :
  • Avertissement selon l’article 45
  • Injonction à cesser le traitement ou retrait de l'autorisation (article 45)
  • Verrouillage de certaines données (article 45)
  • Recours au Premier Ministre ou à la justice pour prendre les mesures nécessaires afin de faire cesser le traitement (article 45)
  • Sanction pécuniaire de nature administrative d'un maximum de 150 000 € et 300 000 en cas de récidive légale (article 47)
Les sanctions administratives de la CNIL peuvent être contestées uniquement devant le Conseil d'État.

Besoin d'un audit RGPD ?

Contactez-nous pour plus d'infos

Contact
Par un tribunal :
  • 5 ans d'emprisonnement et jusqu'à 150 000 euros d'amende, 300 000 en cas de récidive légale (articles 226-16 et suivant du code pénal)
  • Annulation d'un licenciement prononcé sur la base de preuves obtenues par un traitement qui n'a pas été déclaré à la CNIL.
  • Annulation de la cession d'une base de données en cas de méconnaissance des obligations déclaratives auprès de la CNIL. Dans ce cas le fichier vendu fut considéré par la Cour de cassation comme étant hors du commerce juridique, comme les organes du corps humain. En conséquence, un tel fichier ne peut être vendu et n'a aucune valeur économique.

    • Une nouvelle loi plus stricte a été mis en rigueur afin de protéger plus efficacement les données des internautes. C’est la loi n° 2018-493 du 20 juin 2018, promulguée le 21 juin 2018. Elle a modifié la loi Informatique et Libertés afin de mettre en conformité le droit national avec le cadre juridique européen. Elle permet la mise en œuvre concrète du Règlement général sur la protection des données (RGPD) et de la Directive « police-justice », applicable aux fichiers de la sphère pénale.

Les limites

Aujourd’hui les enjeux et conséquences que pose le phénomène des « Mégadonnées » ou Big Data, sur notre société sont véritablement présents. En effet, certaines questions se posent telles que le problème de la limite de l’anonymisation des données et sur la « data privacy ». Les data, le calcul, les algorithmes et les machines auto-apprenantes et augmentées, nous exposent à une certaine « gouvernementalité algorithmique ».

Les Mégadonnées mettent en avant un problème nouveau : celui posé par le traitement des données massives via des algorithmes révélant des données confidentielles et souvent sensibles sur les individus, qu’ils soient consommateurs, patients ou citoyens.

Le Big Data ne repose pas uniquement sur des données liées à des publications Facebook ou Twitter, ou à des requêtes effectuées via Google, mais par exemple sur des données de localisation enregistrées depuis nos smartphones ou celles des dépenses tracées grâce aux cartes de crédit. Dans un monde hyper-connecté, il est difficile voire impossible de passer outre le big data.

Datacenter

Un nouveau dilemme naît entre les individus-citoyens. Les acteurs traditionnels qui analysent et exploitent les données (banques, hôpitaux...) et les nouveaux acteurs, les « pure players » qui agissent dans une « zone grise » : celle de la dérégulation. Les banques, les compagnies de téléphone, les sociétés médicales ou encore des industries hautement réglementées détiennent les données les plus “sensibles”.

Notre société soumise aux règles et au fonctionnement d’une « gouvernance algorithmique » est risque de dérives possibles sur les plans sociétal, économique et juridique… Pourtant, il semble que ces dérives soient fondées et déjà engagées.

L’apparition du cloud, exemple parfait de la victoire de la communication sur le droit, implique que les données à caractère personnel des particuliers ne soient plus concentrées sur un ordinateur privé mais sur des centres de données distants auxquels les usagers accèdent au travers d’Internet. C’est le prestataire de cloud, le plus souvent situé hors de l’U.E., qui garde un certain contrôle sur les traitements des données et qui se situe ainsi entre le responsable de traitement et le sous-traitant passif : il joue un rôle difficile à cadrer. Comment imaginer que ces entreprises se soumettront volontairement au droit européen de protection des données ?

Le cas Facebook

Nous avons tous entendu parler des problèmes rencontrés par Facebook. Ce réseau social avec 2,27 milliards d’utilisateurs fin trimestre 2018 où chacun met en avant sa vie, partage ses photos, ses avis (qu’ils soient politique, social, personnels…). Sur ce réseau social, apparaissent également : numéro de téléphone, position géographique, et adresse mail sur le profil des utilisateurs.

En début d’année 2018, Facebook a fait face à un énième scandale. Au delà de la vente des données personnelles de ses utilisateurs, Facebook fut la victime d’un nouveau piratage massif qui a affecté 50 millions de comptes du réseau social. Mais, une incertitude demeure sur 40 autres millions de comptes actifs.

La question de la protection de nos données est une fois de plus posée. Qui a nos données en main? A quoi vont servir ces données? Dans quel but ?

Le fondateur de Facebook, Mark Zuckerberg, a réagi en expliquant que cela prendrait des années pour trouver une solution face aux fuites des données personnelles.