Tous fichés ?

Le respect de la vie privée des individus et de leurs données à caractère personnel, que ce soit leurs coordonnées, date de naissance, numéro de sécurité sociale, habitudes et modes de vie, etc. est plus que jamais menacé du fait du développement d’un véritable marché de ces données.
 

Les individus sont constamment invités à fournir des informations personnelles. Les progrès incessants de l’informatique ouvrent la voie à des applications mais également à des dangers, inconcevables dans le passé, comme l’utilisation de logiciels espions (« spywares ») qui collectent des informations à l’insu des individus. Enfin, certaines personnes, consciemment ou inconsciemment, offrent des informations personnelles en pâtures (notamment par l’intermédiaire de blogs ou de réseaux sociaux).

Ces données, une fois collectées, sont stockées, diffusées et utilisées comme outils de marketing et permettent de mener des analyses comportementales notamment à des fins commerciales. Ces différentes étapes constituent ce qui est communément appelé le traitement des données.

La loi modifiée du 2 août 2002, relative à la protection des personnes à l’égard du traitement des données à caractère personnel (transposant la directive européenne 95/46/CE), a pour vocation de réguler ces pratiques et d’encadrer ce traitement des données. Mais cette loi devra, au même titre que la directive dont elle est issue, subir des modifications pour s’adapter aux évolutions technologiques et sociales de notre société.

Un traitement légalement limité

En application de la loi précitée du 2 août 2002, le traitement des données ne peut être effectué que s’il est nécessaire au respect d’une obligation légale, à l’exécution d’une mission d’intérêt public, à l’exécution d’un contrat auquel la personne concernée est partie, à la réalisation de l’intérêt légitime poursuivi par le responsable du traitement,  à la sauvegarde de l’intérêt vital de la personne concernée, ou si la personne concernée a donné son consentement.

Bien évidemment, la loi interdit par principe le traitement des données révélant l’origine raciale, ethnique, les opinions politiques, les convictions religieuses ou philosophiques, l’appartenance syndicale et des données relatives à la santé et à la vie sexuelle.

Le traitement des données à des fins de surveillance ne peut être effectué que si la personne a donné son accord, ou respectivement aux abords de certains lieux publics sensibles (gare, aérogare, transport public), ceci sous condition que les usagers soient informés de cette surveillance par des moyens appropriés tels que des panneaux de signalisation.

Sur le lieu de travail, le traitement des données à des fins de surveillance est réglé par les dispositions des articles L 261-1 et suivants du Code du travail. Il n’est possible que s’il est nécessaire pour des besoins de sécurité ou de santé des salariés, de protection des biens de l’entreprise ou en vue du contrôle de la production. Un tel traitement des données de la part d’un employeur est soumis à une autorisation préalable de la Commission Nationale pour la Protection des Données et à l’obligation d’information des salariés.

Le responsable du traitement est soumis à l’obligation de tout mettre en œuvre pour éviter la perte, la diffusion et l’accès non autorisé aux données.

Le contrôle et la surveillance de l’application de la loi sont dévolus à la Commission Nationale pour la Protection des Données (établissement public). En cas d’infraction à la loi, cette Commission peut prendre des sanctions disciplinaires allant du simple avertissement, en passant par la destruction des données faisant l’objet d’un traitement contraire aux dispositions de la loi, jusqu’à l’interdiction temporaire ou définitive de procéder à un traitement des données. Ces décisions sont susceptibles d’un recours en réformation devant les juridictions de l’ordre administratif. Le contrevenant s’expose par ailleurs à des sanctions pénales.

A noter encore que le président du tribunal d’arrondissement peut ordonner la cessation du traitement contraire aux dispositions de la loi à la requête du Procureur d’Etat, de la Commission Nationale pour la Protection des Données, ou de toute personne lésée sous certaines conditions.

Une protection à améliorer

La commissaire européenne chargée de la justice, des droits fondamentaux et de la citoyenneté, Viviane Reding, a récemment posé les contours d’une révision devenue nécessaire de la directive n°95/46/CE précitée du 24 octobre 1995 et, par ricochet, des législations nationales des différents Etats membres de l’Union européenne.

La vie privée devrait à l’avenir être protégée «par défaut» afin de limiter les risques d’utilisation des données. Actuellement, c’est trop souvent la communication des données qui est la règle. Par exemple, sur les réseaux sociaux les paramètres de confidentialité sont, par défaut, réglés de manière à rendre ces données visibles et disponibles au plus grand nombre.

Le concept de «droit à l’oubli» a été également avancé afin que le consentement des individus au traitement de leurs données puisse être retiré, même s’il a été donné au préalable, volontairement, ou inconsciemment car noyé dans des conditions générales bien souvent non lues mais néanmoins acceptées.

Une application de la législation européenne devrait, pour être réellement efficace, être encore étendue à toutes sociétés ou prestataires de service agissant au sein de l’Union européenne, même s’il n’y est pas établi. Actuellement, la loi luxembourgeoise n’est applicable que si le responsable du traitement est situé au Grand-Duché ou si les moyens de traitement y sont situés.

Quoi qu’il en soit, l’évolution inéluctable de la technologie imposera une mise à jour corrélative des législations protectrices en la matière.

Il a en effet été récemment découvert que certains téléphones et appareils mobiles (au demeurant très répandus) collectent et stockent dans leurs mémoires les données de géo-localisation des individus. Ces appareils permettent véritablement de pister les moindres déplacements des individus et de créer des profils de ceux-ci. Ces données, lesquelles sont évidemment des données personnelles, devront faire l’objet d’une protection spécifique.

Actuellement, le meilleur moyen de protéger ses données personnelles reste encore la prudence et la retenue en veillant à éviter une exposition et une diffusion à tout va. Le moindre écart par rapport à cette règle de prudence peut valoir à tout un chacun de ne plus avoir la main mise sur ses données personnelles.