Loi Informatique et Libertés : définition
La Loi Informatique et Libertés, créée en 1978 et modifiée en 2004, concerne l’ensemble des traitements automatisés de données personnelles. Elle s’applique donc à tous les secteurs qui ont recours à des données personnelles dans le cadre de leurs activités. Plusieurs dispositions sont comprises dans cette loi, à savoir :
- L’obligation de déclarer auprès de la CNIL les fichiers contenant des données personnelles
- L’interdiction de collecter des données à caractère sensible, c’est-à-dire relatives à la religion, la santé, la politique, etc (sauf exceptions)
- Le principe de collecte loyale de données
- L’obligation d’assurer la sécurité de l’ensemble des données collectées
- L’obligation d’informer les individus concernés de la collecte de leurs données
- Le droit à l’accès, la modification et la suppression des données en question
La CNIL, « institution indépendante chargée de veiller au respect de l’identité humaine, de la vie privée et des libertés dans un monde numérique », a notamment été créée pour veiller à la bonne application de cette Loi Informatique et Libertés.
Ainsi, la CNIL, organe décisionnel dont l’importance n’est plus à démontrer, possède un rôle essentiel dans le maintien des principes de la Loi Informatique et Libertés. La Commission Nationale de l’Informatique et des Libertés est, entre autres, chargée de l’évolution de cette législation et d’en informer l’Etat et les citoyens dans un rapport annuel. En tant qu’autorité administrative indépendante, la CNIL est ainsi en charge de contrôler la conformité de l’ensemble de ces traitements de données automatisés, en adéquation avec la loi de janvier 1978.
En résumé, la Loi Informatique et Libertés du 6 janvier 1978 fait ainsi référence aux droits des personnes et non plus seulement aux fichiers informatiques. Cette législation garantit ainsi la liberté individuelle et publique en traitant de l’utilisation des profils automatisés, lesquels doivent désormais être obligatoirement déclarés à la CNIL lors de leur création. De cette manière, la Loi Informatique et Libertés précise le rôle de la CNIL en permettant de renforcer significativement les droits des personnes quant à leurs données personnelles.
Les enjeux de la protection des données personnelles en informatique
A l’ère du numérique, la protection des données personnelles est un enjeu de taille. Alors que la dématérialisation des services et autres procédures s’accélèrent, les collectes et manipulations de données personnelles sont devenues monnaie courante. Avec le Big Data, la production massive de données et leur récolte sont plus que jamais d’actualité, elles sont même devenues un élément moteur dans le développement économique.
Les entreprises et autres organismes sont ainsi toujours plus nombreux à investir dans la collecte et l’exploitation de données personnelles, ce qui a pour conséquence l’émergence permanente de nouveaux outils et systèmes relatifs à ces traitements.
Âge, localisation, sexe, préférences, historique de navigation, etc, toutes ces informations qui paraissent à première vue anodines doivent en réalité être manipulées avec la plus grande précaution, car un usage irraisonné de ces dernières peut rapidement devenir problématique. En effet, que deviendraient des données personnelles sensibles (relatives aux opinions politiques et à la santé), mises entre les mains de personnes mal intentionnées ? Sans aller jusqu’à cet extrême, toutes les traces numériques que nous laissons sur le net permettent aux entreprises et autres organismes de mieux cibler nos préférences et attentes en matière d’offres et services. La Loi Informatique et Libertés sur laquelle s’appuie la CNIL lui permet donc de veiller à ce que ne soient pas collectées les informations à caractère sensibles et à ce que chaque internaute soit informé de la collecte de données personnelles le concernant. Avec l’essor constant du Big Data, la Loi Informatique et Libertés a cependant dû s’actualiser afin de répondre aux enjeux de la collecte de données personnelles dans le monde entier. En effet, comment protéger au mieux les informations relatives aux internautes européens, collectées et traitées dans le monde entier ? Désormais, le RGPD, Règlement Général pour la Protection des Données, permet à la CNIL de renforcer les droits des internautes quant à l’exploitation de leurs données
Le RGPD : une simple mise à jour de la loi Informatique et Libertés ?
Le Règlement Général pour la Protection des Données, entré en vigueur le 25 mai 2018, est bien plus qu’une simple mise à jour de la Loi informatique et Libertés. En effet, cette nouvelle législation a avant tout pour but d’uniformiser les différentes législations européennes à ce sujet, afin de mieux protéger les droits des internautes européens quant à leurs données personnelles. Le RGPD n’est donc pas que le simple prolongement à l’échelle européenne de la Loi Informatique et Libertés, puisque chaque état membre disposait avant son entrée en vigueur de sa propre législation nationale relative à la protection des données. Bien que chaque état membre conserve par ailleurs la possibilité d’adapter ou ajouter d’autres législations à ce sujet, le RGPD prévoit pas moins de 54 renvois au droit national, d’où le rôle encore essentiel de la Loi Informatique et Liberté, conservée comme fondement légal
Le principal but du Règlement Européen pour la Protection des Données est donc avant tout d’harmoniser au niveau européen l’ensemble des législations portant sur la protection de données personnelles, en y ajoutant de nouvelles dispositions.
Il n’est donc pas nécessaire d’opposer la Loi Informatique et Libertés au RGPD, lequel apporte en réalité des nouveautés liées à l’évolution des technologies modernes. Toutefois, depuis l’entrée en vigueur de ce nouveau règlement européen, les entreprises et autres organismes concernés ont désormais l’obligation de mettre en place des procédures en interne afin de démontrer à tout moment leur conformité au RGPD. Pour résumer, avec la Loi Informatique et Libertés, les entreprises étaient soumises – vis-à-vis de la CNIL – à une obligation de moyens quant à la protection des données ; désormais, elles sont soumises à une obligation de résultats. Avec le RGPD, les sociétés sont également tenues au principe de “privacy by design” dans l’ensemble de leurs projets techniques et organisationnels. Ce qui signifie que dès le départ, les entreprises doivent intégrer la notion de protection de données personnelles en amont de tout projet.