Le 8 janvier était la journée européenne de protection des données personnelles. C’est pourquoi nous vous proposons un point sur la communication des données personnelles.
« Constitue une donnée à caractère personnel toute information relative à une personne physique identifiée ou qui peut être identifiée, directement ou indirectement, par référence à un numéro d’identification ou à un ou plusieurs éléments qui lui sont propres. » (Loi n°78-17 du 6 janvier 1978, art. 2).
Le Code du Patrimoine, modifié par la loi n°2008-696 du 15 juillet 2008, prescrit pour les documents contenant des données personnelles (art. L213-1 et L213-2) :
- 25 ans à compter de la date du décès de l’intéressé, pour les documents dont la communication porte atteinte au secret médical, sinon 120 ans à compter de la date de naissance de la personne en cause.
- 50 ans pour les dossiers de personnel, les documents concernant la vie privée, portant une appréciation ou un jugement de valeur sur une personne physique, nommément désignée ou facilement identifiable, ou faisant le comportement d’une personne dans des conditions susceptibles de lui porter préjudice.
- 75 ans pour les registres d’état civil (à compter de leur clôture), sauf les registres de décès communicables immédiatement.
- 75 ans ou un délai de 25 ans à compter de la date du décès de l’intéressé, pour les statistiques collectées par des questionnaires portant sur des faits et comportements privés et pour les recensements de population. Cependant, l’arrêté du 4 décembre 2009 accorde une dérogation générale pour la consultation des listes nominatives du recensement général de la population. Les listes sont librement consultables jusqu’en 1975 dans le cadre de statistiques publiques ou de recherches scientifiques ou historiques.
- Pour les documents se rapportant à des mineurs, 100 ans à compter de la date du document ou du document le plus récent inclus dans le dossier, ou un délai de 25 ans à compter de la date du décès de l’intéressé si ce dernier délai est plus bref.
La loi n°78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés s’applique aux traitements de données à caractère personnel, automatisés ou non.
Il est interdit de collecter ou de traiter des données à caractère personnel qui font apparaître, directement ou indirectement, les origines raciales ou ethniques, les opinions politiques, philosophiques ou religieuses ou l’appartenance syndicale des personnes, ou qui sont relatives à la santé ou à la vie sexuelle de celles-ci (art. 8).
Les droits des personnes à l’égard des traitements de données à caractère personnel :
- L’information : toute personne a le droit de savoir si elle est fichée et dans quels fichiers elle est recensée.
- L’opposition à figurer dans un fichier.
- L’accès : toute personne a le droit d’interroger le responsable d’un fichier pour savoir s’il détient des informations sur elle, et le cas échéant d’en obtenir communication.
- La rectification : toute personne peut faire rectifier, compléter, actualiser, verrouiller ou effacer des informations qui la concernent lorsqu’ont été décelées des erreurs, des inexactitudes ou la présence de données dont la collecte, l’utilisation, la communication ou la conservation est interdite.
Les obligations des responsables de traitement de données personnelles :
- La sécurité des fichiers.
- La confidentialité des données.
- Fixer une durée de conservation des données : le responsable d’un fichier fixe une durée de conservation raisonnable en fonction de l’objectif du fichier. Les données sont conservées sous une forme permettant l’identification des personnes concernées pendant une durée qui n’excède pas la durée nécessaire aux finalités pour lesquelles elles sont collectées et traitées.
- L’information des personnes : le responsable d’un fichier doit permettre aux personnes concernées par des informations qu’il détient d’exercer pleinement leurs droits. Pour cela, il doit leur communiquer : son identité, la finalité de son traitement, le caractère obligatoire ou facultatif des réponses, les destinataires des informations, l’existence de droits et les transmissions envisagées.
- L’autorisation de la CNIL.
A noter: La Gazette n°215 de l’AAF, récemment parue, porte notamment sur « Les données personnelles, entre fichiers nominatifs et jungle internet » (actes de la journée d´études de l´AAF du 17 mars 2009).