Compte-rendu
 

  

Protection de la Vie privée
26 avril 2001
     Hôtel Amigo à Verviers
 

Exposé de Mme Sophie LOUVEAU, chercheur au CRID sur :

"Le traitement des données à caractère personnel sur le Net : Quelles obligations pour l’administration ?"

 

 

La création d’un site Web implique très souvent, de façon explicite ou non, le traitement de données de différentes natures. Ces traitements peuvent alors tomber sous le coup des lois garantissant le respect de la vie privée. Sophie LOUVEAU, chercheur au CRID et consultante de e-Consult, nous a détaillé les obligations et devoirs en la matière. Elle a surtout abordé ce sujet sous l’angle de l’e-gouvernement.

 

Qu’est-ce qu’une donnée à caractère personnel ?

La loi belge (cfr. AR adopté  le 13 février 2001 ) en donne une définition très large (voir infra) afin de protéger le citoyen (uniquement les personnes physiques) quelle que soit l'évolution future des technologies utilisées. Ainsi une donnée est personnelle si elle permet d'identifier une personne directement (un nom, une adresse, etc.) mais aussi indirectement (soit par un assemblage de plusieurs données, soit si un tiers peut identifier quelqu'un grâce à ces données).

Cet élément de la définition est particulièrement important dans le cadre de la gestion d'un site Web. Car les fichiers de log (contenant notamment les adresses IP des visiteurs du site, les dates et durées de connexions, les mots-clés utilisés, etc.) deviennent alors des données à caractère personnel car elles pourraient permettre d'identifier une personne directement ou par recoupement des informations récoltées.

Un site communal est susceptible de traiter principalement deux types de données personnelles : celles concernant ses fonctionnaires (nom, numéro de téléphone, fonction,…) et celles se rapportant aux usagers du site (traces de connexion, envoi de formulaires et d'e-mails, participation à un espace de discussion,…). 

Les obligations légales à respecter

La loi belge est également très large quant aux traitements applicables à ces données. Pour être permis, ceux-ci doivent trouver une base dans l'article 5 de l'AR qui stipule que tout traitement doit être consenti par la personne concernée ou nécessaire à la négociation d'un contrat, à l'exécution d'une mission d'intérêt publique, à la réalisation de l'intérêt légitime (par exemple pour s’abonner à une bibliothèque communale) du responsable du traitement ou au respect d'une obligation légale.

La législation requière de plus l'identification du responsable de ce traitement qui sera le principal garant du respect de la loi. Ce responsable peut être identifié par son nom, sa fonction ou déterminé par un texte légal (par exemple ‘le Bourgmestre’, ‘le Conseil Communal’).  

Deux obligations légales doivent être respectés :

  • Le principe de loyauté : le traitement doit être licite (respecter la loi) et loyal (être le plus transparent possible) ;

  • Le principe de finalité : le but doit être déterminé, explicite et légitime (il doit y avoir équilibre entre l’intérêt du traitement et le droit à la vie privée). Le traitement doit être compatible à l'objectif annoncé initialement. Par exemple afficher, sur un site communal, le numéro de téléphone privé d'un membre de l'administration ne respecterait pas ce principe de finalité.

Notons également deux obligations liées aux données à caractère personnel :

  • Le respect de la qualité de ces données : elles seront adéquates, pertinentes, non excessives, exactes (avec possibilité de mise à jour) et conservées de façon limitée.

  • Un niveau adéquat de protection (compte tenu de l'état de la technique, des coûts et de la nature des données) sera mis en place pour assurer la sécurité et la confidentialité des données (tant au sein de l'administration que chez le sous-traitant le cas échéant).

Avant de pouvoir gérer des données personnelles, le responsable doit encore déposé une "déclaration du traitement" auprès de la Commission de Protection de la Vie Privée. Une déclaration doit être fournie par traitement ou ensemble de traitements ayant une même finalité ou des finalités liées (par ex. tous les traitements liés à la gestion d'un site Web). Cette déclaration peut se faire par voie électronique (25 Euro) ou papier (125 Euro). La démarche interne que nécessite cette déclaration permet de plus au responsable de faire le point sur son projet et les tâches qu'il implique.

La loi prévoit deux circonstances particulières où le traitement de données à caractère personnel n’est pas soumis à une déclaration préalable : les traitements en matière de registres de population et cartes d’identité et les traitements, effectués par des autorités administratives, soumis à une réglementation particulière.

 

Cas particuliers : les cookies…

Ces principes s'appliquent entre autres aux cookies. Ces fichiers, envoyés par le serveur sur le disque dur du visiteur, contiennent des informations personnelles qui sont recommuniquées au serveur à chaque visite. Bien sûr, leur utilisation présente des avantages (par ex. pas besoin de choisir sa langue avant d'entrer sur le site) mais aussi des risques (tel que le profilage des internautes).

Pour respecter la loi sur le traitement des données à caractère personnel, les cookies doivent :

  • avoir une finalité légitime telle que rediriger directement vers la partie francophone du site ;

  • avoir une durée limitée raisonnable par rapport à leur finalité ;

  • être signalés : le visiteur doit pouvoir refuser le cookie sans être pénalisé (accéder malgré cela au site).

 

…et les données sensibles.

Certains types de données sont considérés comme sensibles par la loi (voir infra). Leur traitement est alors interdit avec quelques exceptions : le consentement informé et par écrit ; lorsque ces données sont rendues manifestement publiques par la personne concernée ; lorsque le traitement est nécessaire au respect d'obligations du droit du travail.

Pour traiter les données sensibles, il faut obligatoirement désigner les personnes (nom ou fonction) ayant accès à ces informations car elles seront soumises au secret et à la confidentialité. L'obligation de mentionner la base légale du traitement est de plus renforcée. Outre ces obligations spécifiques, le traitement de ces données est soumis à la législation citée plus haut.  

 

Les droits des personnes concernées

 

La législation belge ne s’arrête pas à l'énumération des obligations du responsable du traitement. Elle met également en avant les droits à respecter envers les personnes concernées. Ces droits sont au nombre de quatre :

  • Le droit d'être informé : lors de la collecte d'informations ou de son enregistrement, le visiteur doit être averti, entre autres, de l'identité du responsable et de la finalité du traitement, de ses droits d'opposition, d'accès et de rectification des données ainsi que des destinataires. Le plus simple est de fournir ces informations sur le site même et de renvoyer le visiteur vers la "privacy policy" (code de conduite concernant le respect de la vie privée).

  • Le droit d'accès et de rectification : la personne concernée a le droit, sur simple demande écrite, d'accéder à ses données personnelles, de les rectifier, voire de les supprimer sous certaines conditions (conservées trop longtemps, incomplètes, etc.).

  • Le droit d'opposition : sur demande datée et signée, l'internaute peut s'opposer au traitement des données le concernant soit pour des raisons sérieuses et légitimes, soit sans justification dans le cas de traitements à des fins de direct marketing.

  • Le droit de ne pas être soumis à une décision individuelle automatisée : une décision prise sur le seul fondement d'un traitement automatisé de données destiné à évaluer certains aspects de la personnalité n'est pas permis (sauf dans le cadre d'un contrat ou si cette décision est fondée sur disposition prévue par un texte légal).

 

Conclusion

La législation belge en la matière tente de protéger au maximum le respect de la vie privée de la personne. Ces mesures sont semblables quand elles concernent le cyber-citoyen. Les tâches découlant du respect de ces lois doivent donc être prises en compte dans le cadre de tout projet de e-gouvernement.

 


Arrêt sur quelques mots-clés…

 

Données à caractère personnel : Toute information concernant une personne physique identifiée ou identifiable… Est réputée identifiable une personne qui peut être identifiée directement ou indirectement notamment pas référence à un numéro d’identification ou à un ou plusieurs élément(s) spécifique(s) propre(s) à son identité physique, physiologique, psychique, économique, culturelle ou sociale.

Traitement : Opérations telles que la collecte, enregistrement, conservation, organisation, diffusion,… par un procédé automatisé ou non sur des données à caractère personnel.

Données sensibles : Révèlent l'origine raciale ou ethnique, les opinions politiques, convictions religieuses ou philosophiques, l'appartenance syndicale, ainsi que les données relatives à la santé et à la vie sexuelle.


 

(c) FORUM TELECOM SPI+