La CNIL a reçu un nombre record de plaintes en 2015. Les sujets les plus fréquents concernent surtout la protection de données personnelles, ou encore l’atteinte aux vies privées.
Comment créer une base de données à caractères personnels ?
La création de fichier de données personnelles doit respecter certaines règles pour être légale. Le caractère « privé » diffère d’une personne à l’autre. Toutefois, certaines données sont souvent qualifiées de personnelles comme le numéro de téléphone ou les photos.
En termes clairs, un objet est personnel ou privé lorsqu’il permet d’identifier directement une personne : noms, prénoms, matricule, numéros de téléphones mobiles, photos, adresse. Certaines sont plus sensibles, comme le numéro de compte en banque ou données biométriques.
Un fichier est qualifié de personnel s’il contient ces informations. Toute création, enregistrement ou transfert de tels fichiers nécessite donc un encadrement strict.
Traitement de données personnelles
Tout traitement de fichiers personnels doit être déclaré à la CNIL (Commission Nationale de l’Informatique et des Libertés) soit par voie postale, soit électronique. Il y a aura alors deux types de déclarations.
Faites une déclaration normale si les fichiers à traiter contiennent des données privées ou la manifestation de la liberté personnelle.
Une déclaration simplifiée pour traiter des données à caractère personnel, relatives à la gestion de clients et de prospects.
Données sensibles : Pourquoi une autorisation ?
La collecte des données sensibles nécessite l’autorisation de la CNIL. Celle-ci peut aider à déterminer le caractère sensible des données. Une fois autorisé, on peut procéder au traitement.
Les données sensibles sont relatives aux origines ethniques, à l’appartenance politique, ou encore à la confession d’un individu. Il en est de même des informations sur la santé ou activité sexuelle d’une personne. En principe, ces données ne se collectent et ne se traitent pas, d’où la nécessité d’une autorisation préalable. Les règles sont encore plus rigoureuses dans le cas des données à risques comme des coordonnées bancaires.
Les informations dans les listes noires
Certaines informations peuvent entrainer une privation de droit ou résiliation de contrat à une personne. Ce sont notamment les données dites de liste noire. Leur traitement devra passer par une procédure encore plus stricte.
Obtenir le consentement du détenteur
Le concerné doit être informé et consentir au traitement de ses données personnelles. C’est la règle fondamentale d’une création de fichier personnel. Cela avisera la personne de l’utilisation de ses données, et les personnes qui les consulteront. Ainsi, il prendra conscience des risques encourus et sera à même de rectifier, voire, de s’opposer à l’acte.
Les risques d’un traitement de données
Tout non-respect de la procédure de création de fichiers personnel est passible d’une peine de 5 ans d’emprisonnement ferme assortie d’une amende de 300.000 euros. La sanction sera plus sévère en cas de traitement et collecte illicites de données personnelles.
Normalement, ces infractions sont jugées par un tribunal pénal. Toutefois, la CNIL peut aussi prononcer des sanctions à l’encontre de l’auteur des faits. Cela pourrait être un avertissement, une sanction pécuniaire, ou l’interruption du traitement. Si vous êtes victime de tel acte, recourez aux services d’un avocat.
Quand commencer le traitement d’un fichier privé ?
On commence la collecte de données sensibles, après réception du récépissé. Ainsi, avant le traitement, assurez-vous d’avoir obtenu le consentement de chaque personne enquêtée.