|     | Recherche avancée
Imprimer cette page | Envoyer cette page par e-mail

Les 10 commandements de la protection des données


Celui qui traite des données concernant d'autres personnes doit respecter les principes suivants:

1 - Principe de légitimité

Le traitement de données personnelles n'est possible que s'il existe une raison suffisamment légitime pour le justifier. Celui qui souhaite traiter vos données doit, avant de pouvoir le faire, vous demander votre accord. Alternativement, le traitement de données est aussi permis s'il est indispensable pour pouvoir exécuter un contrat, pour respecter une obligation de service public ou une obligation légale, ou encore pour protéger votre propre vie. Finalement, le traitement peut être légitimé s'il existe un intérêt justifié à condition que le traitement de vos données n'affecte votre vie privée que de façon minime.

Ceci constitue le premier test pour savoir si le traitement est licite. Il répond à la question quand est-ce que vos données peuvent être demandées et utilisées par un tiers.

Les principes suivants décrivent les règles que ce dernier doit respecter lors de l'utilisation de vos données. Ils répondent à la question du comment du traitement de vos données.

2 - Principe de finalité

L'utilisation de vos données personnelles (y compris des images et sons) doit être strictement limitée à une finalité explicitement déterminée au préalable.

La collecte, l'enregistrement et l'utilisation de vos données personnelles sont strictement limités à ce qui est nécessaire pour atteindre des buts expressément fixés d'avance par l'administration, l'entreprise, l'association, le professionnel ou l'indépendant qui s'y livre.

Ceux-ci ne doivent pas les transmettre à d'autres organismes ou personnes, sauf si ces derniers en ont besoin dans le cadre de la réalisation des mêmes buts et ne les utiliseront que de manière compatible.

Exemple:

Suite à un accident de travail, votre employeur souhaite se renseigner sur votre état de santé auprès de votre médecin traitant. Croyant ne rien faire de mal en le rassurant, l'assistante du médecin lui fournit des informations sur le diagnostic établi par le médecin.

Réponse:

Ce faisant, elle transgresse la finalité pour laquelle le cabinet médical détient ces informations, à savoir assurer vos soins de santé.

3 - Principes de nécessité et de proportionnalité

Le principe de proportionnalité implique que le traitement doit se limiter à vos données pour lesquelles il existe un rapport direct avec la finalité initiale du traitement. Ces données doivent non seulement être utiles, mais aussi nécessaires pour celui qui traite vos données. Les données traitées ne doivent pas être excessives par rapport au but poursuivi.

Exemple:

Lors de la réservation par téléphone d'une table, le gérant de restaurant vous demande de lui fournir le numéro de votre carte de crédit.

Réponse:

Cette information est à considérer comme excessive par rapport à la finalité poursuivie qui consiste dans la planification des tables disponibles.

4 - Principe d'exactitude des données

Comme des informations inexactes ou incomplètes peuvent nuire à la personne à laquelle elles se rapportent, tous les efforts doivent être faits pour que les données traitées soient correctes et actuelles. Si ce n'est pas le cas, les données personnelles doivent être rectifiées ou bien effacées.

La loi vous protège également contre toute décision négative prise automatiquement par ordinateur, dont vous pourriez faire l'objet sans pouvoir faire valoir votre point de vue personnel.

Exemple:

Vous sollicitez un prêt personnel auprès de votre banque pour un achat de mobilier. Après introduction de votre dossier par Internet, vous recevez immédiatement une réponse négative de votre banque qui vous refuse l'octroi du prêt demandé. Il s'avère qu'il n'y a pas eu d'intervention d'un conseiller de banque, mais que la demande a été calculée à l'aide d'un logiciel qui évalue votre demande sur base de statistiques et de ratios préétablis.

Réponse: 

Vous avez alors le droit d'exiger que votre dossier soit réexaminé, et ce sur base d'une entrevue avec votre conseiller de banque qui devra vous recevoir pour écouter votre argumentation. Lors de cet entretien, vous pouvez faire valoir de façon plausible que, par exemple, votre situation financière s'est récemment améliorée grâce à un héritage. Il se pourrait même que certains chiffres pris en compte soient inexacts ou qu'il y ait confusion avec un homonyme surendetté.

5 - Principe de loyauté

La collecte, l'enregistrement, l'utilisation et la transmission de vos données personnelles doivent se faire de bonne foi, et non pas à votre insu.

En outre, vos données doivent être effacées ou rendues anonymes le plus rapidement possible. L'utilisation ultérieure de vos données personnelles à des fins autres que celles initialement prévues est en principe interdite.

Exemple:

Votre supermarché vous propose une carte de fidélité pour vous faire profiter de remises spéciales lors de vos achats ou d'une ristourne en fin d'année. Lors de vos futurs passages en caisse, le contenu de votre panier d'achat est enregistré et sert à établir un profil de consommation dont l'évolution sera régulièrement observée.

Réponse: 

Si cela se fait à votre insu et si vous n'en avez pas été informé au moment d'y souscrire, le principe de loyauté est violé.

6 - Principe de sécurité et de confidentialité

Vos données personnelles doivent être traitées de manière confidentielle et être stockées à des endroits et sur du matériel sûrs.

Celui qui traite vos données engage sa responsabilité en cas de non-respect de ce principe. Cette obligation lui incombe aussi en ce qui concerne le comportement de ses collaborateurs et doit être prise en compte dans les contrats conclus avec les sous-traitants (notamment les prestataires de services) et dans le choix des équipements techniques (dans le cadre de la sécurité informatique).

Exemple:

Vous voulez changer de réseau de téléphone mobile GSM. Or, après l'étude de votre dossier, le délégué commercial de la société que vous venez de choisir vous refuse comme nouveau client. Cette personne, anciennement agent commercial auprès de votre précédent opérateur de GSM, se réfère à un litige que vous avez eu avec cette société au sujet du montant d'une facture.

Réponse:

En permettant à ses agents commerciaux de se procurer des informations du département comptable, votre précédent opérateur de GSM a omis de veiller à ce que les informations personnelles concernant ses clients soient accessibles seulement à ceux de ces employés qui en ont réellement besoin pour leur travail.

Est-ce que le personnel a été par ailleurs suffisamment mis en garde contre les tentations d'utilisation abusive des données relatives à la clientèle ? Comment l'agent commercial a-t-il pu emmener un fichier client de son ancien vers son nouvel employeur ? Y a-t-il eu vol de fichier ?

En tout état de cause, les mesures de sécurité et l'organisation interne de l'entreprise étaient défaillantes pour assurer la confidentialité des données à caractère personnel. La responsabilité pourrait en être attribuée à la direction qui a failli à ses obligations légales, tout comme à l'égard de l'employé indélicat.

7 - Principe de transparence

La loi vous garantit l'information nécessaire relative aux traitements auxquels sont soumises des données vous concernant et vous assure la possibilité d'un contrôle personnel. Celui qui souhaite traiter vos données personnelles devra vous avertir respectivement dès la collecte des données et en cas de transmission de vos données à des tiers.

Vous avez le droit de demander des renseignements quant aux données personnelles enregistrées et quant à leur utilisation ainsi que de faire effacer des informations dont le traitement ne serait pas conforme à la loi.

L'enregistrement des bases de données auprès de la Commission nationale contribue à la transparence. Ce registre public des traitements de données personnelles peut être consulté sur son site Internet.

Exemple:

Étant donné que vous êtes régulièrement épuisé, votre médecin traitant vous prescrit une analyse de sang afin de déterminer les causes de votre fatigue. La prise de sang est réalisée par un laboratoire externe qui transmet les résultats de cette analyse à votre médecin. Il s'avère qu'un dépistage HIV a été réalisé à votre insu.

Réponse:

Ceci constitue une transgression des principes de transparence et de loyauté.

8 - Certaines données particulièrement sensibles sont soumises à une protection encore renforcée

Le traitement d'informations vous concernant qui font apparaître vos opinions et convictions ou qui sont en rapport avec votre état de santé et votre vie sexuelle, y compris vos données génétiques, est interdit, hormis certaines exceptions énumérées de façon limitative par la loi.

Les traitements se faisant dans le cadre de ces exceptions doivent, dans la plupart des cas, être notifiés à la Commission nationale. Les traitements de données génétiques doivent même être expressément autorisés par la Commission nationale.

Exemple:

Lors d'un entretien d'embauche, le directeur des ressources humaines de l'entreprise auprès de laquelle vous postulez vous pose des questions relatives à votre opinion au sujet du financement des retraites et aux points de vue respectifs des partis politiques à ce sujet. Parallèlement, il vous signale qu'il tient un relevé des salariés membres de syndicats.

Réponse:

Recueillir des informations de cette nature (données sensibles) est normalement interdit par la loi.

9 - Surveillance (audio, vidéo, données) de personnes identifiables est strictement limitée par la loi

Une autorisation de la Commission nationale pour la protection des données est en principe nécessaire avant de recourir à des moyens techniques pour surveiller des personnes, notamment par caméra vidéo, traçage informatique, etc. Le traitement de vos données personnelles ainsi recueillies n'est possible que dans des cas de figure bien précis, énumérés par la loi. Ceci inclut la surveillance dans les lieux publics, les moyens de transport et les centres commerciaux ainsi que sur votre lieu de travail. Dans ce dernier cas, elle ne pourra se faire que si vous-même, respectivement le comité mixte, la délégation du personnel ou l'Inspection du travail et des mines avez été informés au préalable.

Exemple:

Vos conversations téléphoniques sont enregistrées par votre entreprise sans que vous en ayez été averti auparavant.

Réponse:

Ceci est contraire au principe de transparence. Par ailleurs, l'employeur doit disposer de l'autorisation de la Commission nationale pour la protection des données à qui il appartient de vérifier la légitimité et la proportionnalité d'une telle pratique.

10 - Utilisation de vos données à des fins de publicité ou de démarchage commercial est soumise à votre autorisation expresse

Vous pouvez à tout moment interdire l'utilisation de vos données personnelles à des fins commerciales. Le marketing direct à l'aide des moyens de communication modernes (SMS, e-mail, etc.) est en principe interdit si vous n'y avez pas marqué votre accord.

Exemple:

Vous êtes assailli de courrier publicitaire personnalisé.

Vous pouvez demander aux magasins et sociétés commerciales d'arrêter l'envoi de ces courriers.

Il s'avère que le commerçant a reçu votre adresse par votre club sportif qui lui a transmis les coordonnées personnelles de tous les membres du club dont il est le sponsor. Le club sportif n'aurait pas dû communiquer son fichier de membres alors que les données qui y figurent devaient servir exclusivement à la gestion du club et à l'organisation de ses activités.

Réponse:

Le détournement de finalité constitue une utilisation illicite de données personnelles qui est punie par la loi.