Données personnelles : ce que dit vraiment la réglementation


Les données personnelles sont un sujet qui semble donner lieu à de véritables disputes « philosophiques » entre des systèmes parfois taxés de répressifs ou de permissifs. Qu’en est-il vraiment ? Fondamentalement, on retrouve au cœur de tous les grands textes un socle de principes communs.

Prenons pour base le nouveau règlement européen sur la protection des données personnelles (en anglais General Data Protection Regulation – GDPR), adopté en avril 2016. Au cœur du texte, on trouve leur énoncé à l’article 5-1a : licéité, loyauté, transparence, limitation des finalités, minimisation et exactitude des données, limitation de leur conservation, intégrité et confidentialité. Certes, chacune de ces notions pourra donner lieu à interprétation. Mais on retrouve bien le même noyau commun partout ailleurs.

Au Canada, la Loi sur la Protection des Renseignements Personnels et les Documents Electroniques (LPRDE ou PIPEDA) énonce quant à elle une série de 10 principes : responsabilité, détermination de la finalité de la collecte, consentement, limitation de la collecte, limitation de l’utilisation, de la communication ou de la conservation, exactitude, mesures de sécurité, transparence, accès aux renseignements personnels, possibilité de porter plainte.

Les Etats-Unis ne sont pas en reste, avec leurs multiples textes qui encadrent les pratiques du traitement des données personnelles, en général centrées sur les enjeux de publics ou de secteurs particuliers (enfants, conducteurs de véhicules, données de santé, données bancaires, etc.). Les principes généraux, même s’ils sont rarement explicites, en sont les mêmes.

data-donnees-personnelles-bureau-veritas

Voici pour conclure les principes les plus communément partagés :

La transparence : les entreprises qui utilisent des données personnelles s’engagent à informer le public de leurs pratiques – et des éventuels dangers encourus du fait d’une utilisation inappropriée des données personnelles collectées

Le consentement : l’accord préalable à la collecte ou à toute utilisation des données personnelles ;

La finalité : les données sont collectées dans un but précis – et ne seront utilisées que dans la finalité explicitement consentie ;

La pertinence (et la minimisation) : sont collectées les données nécessaires à l’atteinte des finalités visées – et uniquement ces données ;

La qualité : les données personnelles détenues doivent être exactes, et stockées sous une forme conforme aux finalités visées (en particulier rendues anonymes lorsque leur durée limite de conservation préalablement fixée est dépassée) ;

Le contrôle : les individus ont un droit d’accès à leurs données pour les modifier, les supprimer, ou les reprendre ; ils ont dans certains cas la possibilité de réviser leur consentement en fonction des traitements subis par leurs données ;

La responsabilité : l’entreprise qui conserve les données est responsable de leur sécurité, ainsi que du respect de l’ensemble des principes gouvernant la gestion des données privées ;

Le droit de réclamation ou d’alerte : les individus ont le droit de demander des informations, de s’opposer ou d’alerter quant aux pratiques de gestion des données les concernant.

Les différences, entre Europe, Asie et Amérique du Nord notamment, tiennent le plus souvent à l’intégration de ces principes dans des textes contraignants – ou à un pari sur une régulation autonome par marché lui-même.       

a Le règlement européen contient d’autres principes fondamentaux au-delà de l’article 5-1 : principe de responsabilité (accountablity qui ne concerne pas uniquement la sécurité), consentement ou autre motif pertinent de traiter de façon licite les données, encadrement stricte des données « sensibles » ….