Protection des données – Episode III
III : Ma vie privée en action
Résumé des épisodes précédents :
La généralisation de l’outil informatique, puis la numérisation de la société, débouchent sur une vidéosurveillance accrue de nos moindres faits et gestes, pouvant déboucher sur une intrusion permanente dans nos vies privées et une remise en cause de nos libertés individuelles. Et semble attirer de plus en plus nos édiles locaux, séduits par une sécurité de façade, présentant de moindres coûts, et assurée par des sociétés privées.
Préserver et exercer ses droits en matière de données personnelles
Dans les deux billets précédents, nous avons vu que dans la société numérique qui se construit sous nos yeux, une part de nous-même se retrouve sous forme de données dans « le nuage informatique » (cloud en anglais). Une bonne partie de la population a intégré le fait que ces données sont utilisables par les entreprises pour faire du commerce sans que nous en tirions forcément un quelconque bénéfice. Mais les établissements publics, et l’État de façon générale, collectent et ont beaucoup d’intérêts à collecter toutes les informations possibles sur nous. Pour ce faire, elles utilisent des artifices que l’on peut qualifier de marketing. Quand il s’agit de la force publique les choses sont présentées comme normales, sans préjudice et même pour le bienfait de tous. Mais que cela soit clair, l’aliénation physique ou numérique n’est un bienfait pour personne et il n’y a pas de petits renoncements quand on parle de libertés fondamentales.
Qu’elles soient privées ou publiques, ces captations de données à caractère personnel sont strictement encadrées dans l’espace européen, en particulier par le RGPD.
Que ce soit dans le privé comme dans le public, des excès voire des traitements illégaux sont réalisés, et seules la vigilance et les actions des individus permettront de les protéger.
Comment reconnaître les conditions de la légalité ?
La loi Informatique & Liberté / RGPD consacre un certain nombre de grands principes, au premier rang desquels on trouve le devoir d’information.
Ce devoir consiste, en synthèse, à avertir du fait qu’un traitement utilisant des données personnelles est réalisé, d’indiquer quelle est sa base légale, qui est le responsable et de rappeler les droits de la personne vis-à-vis de ce traitement (droit de consulter, modifier, effacer, …). Ne pas être informé correctement est souvent un excellent indicateur pour comprendre que le traitement effectué est attaquable et que s’il est effectivement illégal, alors ce qui en découle est nul et non avenu. Rien que cela.
Vous entrez dans le champ d’une caméra ? Vous devez en être averti, en général par une affiche ou un panneau qui, s’ils sont bien faits, vous indiquent qui est le responsable du traitement des données captées par la caméra et comment le joindre. Et que l’on ne vienne pas vous expliquer qu’il est difficile d’afficher des informations partout : il est moins complexe et coûteux de mettre un panneau que d’installer une caméra !
Et ce qui est vrai pour un moyen technique comme une caméra, l’est aussi pour n’importe quel formulaire commercial ou administratif (oups, les cerfas n’ont pas de mentions légales ! ).
Comment les élus peuvent-ils exercer leurs droits au nom de l’intérêt général ?
Les élus ne sont pas là pour voter à la chaîne ce qui leur est proposé en conseil. Ils ont un devoir de vigilance en matière de vérification de la légalité de ce qui est voté.
En matière de protection des données à caractère personnel, leur travail est simplifié par l’existence d’une personne particulière liée à la collectivité : le Délégué à la Protection des Données (DPD / DPO). Dans toutes les collectivités publiques, nommer un DPD est obligatoire. La première vérification à faire est donc de demander à connaître le délégué de votre collectivité. Ensuite, ce délégué a une mission de conseil auprès de la commune, et c’est probablement lui qui fournira les éléments de réponse aux questions qui seront posées.
Son indépendance étant un impératif contractuel, l’élu pourra faire ses vérifications en toute confiance. Parmi les éléments simples à comprendre qu’il peut fournir, on en relèvera deux qui seront très utiles pour l’évaluation du respect de la loi par la collectivité :
- les fiches des traitements effectués (obligation formelle) dans laquelle on aura entre autres les actions effectuées, leur base légale et la liste des données personnelles collectées
- les études d’impacts qui ne sont pas toujours obligatoires mais qui le sont pour les caméras. Dans ces études on peut avoir le détails des installations, l’analyse des contrats de sous-traitance, l’évaluation des risques sur la vie privée, etc…
Ces documents n’ont aucun caractère confidentiel et ne peuvent pas être refusés. Eventuellement, certaines données sur d’autres personnes que le demandeur devront être masquées. Dans le pire des cas, un recours à la loi CADA est possible pour forcer leur transmission aux élus.
Comment les personnes non élues peuvent-elles exercer leurs droits ?
La collectivité collecte des informations personnelles sur vous, par exemple votre identité, votre image, des données sur votre famille, etc ?
La loi vous donne la possibilité de les consulter ou de les récupérer (entre autres droits).
Pour ce faire, c’est très simple : il suffit de justifier de son identité, puis d’exercer ses droits via une demande formelle.
Dans quelques cas, le responsable des traitements concernés peut opposer une loi pour ne pas donner suite (par exemple, il n’est pas toujours possible de détruire un document vous concernant) mais en général il ne peut que s’exécuter dans un délai relativement court (30 jours). Vous trouverez [ici] un outil pour préparer votre demande. S’il rechigne à le faire alors vous pourrez vous retourner vers la CNIL qui est l’autorité française en charge de vérifier la bonne application de la RGPD.
Conclusion
La question des données traitées par les établissements publics va bien au-delà de la bonne gestion administrative du service public. Aujourd’hui, alors même que nous vivons dans un état de droits qui affiche toujours sa volonté de respecter les droits fondamentaux, nous nous habituons petit à petit à les voir attaqués, en grande partie parce que nous ne comprenons pas bien le mécanisme à la manœuvre.
- Il appartient à chaque élu d’être vigilant sur ce qu’il est amené à voter et de procéder aux vérifications avec l’aide de son délégué à la protection des données.
- Il appartient à chaque citoyen d’être vigilant sur les traitements qui sont faits pour son compte, et d’exercer ses droits aussi souvent qu’il a des doutes sur le respect de ses droits fondamentaux, en particulier sur ses droits à la vie privée et la protection des données à caractère personnel.
Commentaires récents