Protection des données, sphère privée, quel cadre légal ?

Cet article d’informations légales permet d’avoir un panorama des lois existantes traitant de la protection des données et de la sphère privée.

Ces lois peuvent avoir un impact sur la configuration et sur l’organisation du système d’information ainsi que sur la POSI de l’entreprise.

Textes de lois

Toute organisation privée ou publique doit respecter un certain nombre de lois concernant la gestion et le stockage de toute information faisant partie de la sphère privée vis à vis de citoyens, clients, employés, partenaires etc.

La sphère privée est représentée par les dimensions suivantes :

  • Informationnelle (nom, prénom et date de naissance, numéro AVS, etc.)
  • Communicationnelle (téléphone, poste, courriel, etc.)
  • Corporelle (contrôle antidopage, ADN, etc.)
  • Territoriale (lieux de travail, de résidence, etc.)

Ceux-ci peuvent être arbitrairement indiqués comme le « qui », le « quoi », le « comment » et l' »où » qu’identifient ou qui peuvent aider à identifier une personne.

Les lois nous concernant, en tant qu’êtres humaines jusqu’à habitants du canton de Genève, sont les suivantes :

Déclaration universelle des droits de l’homme, Art. 12 (1948)

Nul ne sera l’objet d’immixtions arbitraires dans sa vie privée, sa famille, son domicile ou sa correspondance, ni d’atteintes à son honneur et à sa réputation. Toute personne a droit à la protection de la loi contre de telles immixtions ou de telles atteintes.

Cour Européenne des Droits de l’Homme, Art. 8 (1950)

1.    Toute personne a droit au respect de sa vie privée et familiale, de son domicile et de sa correspondance.

2.    Il ne peut y avoir ingérence d’une autorité publique dans l’exercice de ce droit que pour autant que cette ingérence est prévue par la loi et qu’elle constitue une mesure qui, dans une société démocratique, est nécessaire à la sécurité nationale, à la sûreté publique, au bien-être économique du pays, à la défense de l’ordre et à la prévention des infractions pénales, à la protection de la santé ou de la morale, ou à la protection des droits et libertés d’autrui.

Haut-commissariat des Nations Unies aux droits de l’homme, Pacte Int. rel. aux Droits Civils et Politiques, Art. 17 (1966)

1.    Nul ne sera l’objet d’immixtions arbitraires ou illégales dans sa vie privée, sa famille, son domicile ou sa correspondance, ni d’atteintes illégales à son honneur et à sa réputation.

2.    Toute personne a droit à la protection de la loi contre de telles immixtions ou de telles atteintes.

Organisation de Coopération et de Développement Économiques, Lignes directrices régissant la protection de la vie privée et les flux transfrontières de données de caractère personnel (1980)

États membres du Conseil de l’Europe, Convention STE No. 108, Pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel (1981)

Voir aussi Convention STE No. 181 (2001).

Organisation des Nations Unies, Résolution A/RES/45/95, Principes directeurs pour la réglementation des fichiers informatisés contenant des données à caractère personnel (1990)

États membres du Conseil de l’Europe, Directive 95/46, Relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (1995)

Charte des Droits Fondamentaux de l’UE, Art. 8 (2000)

  1. Toute personne a droit à la protection des données à caractère personnel la concernant.
  2. Ces données doivent être traitées loyalement, à des fins déterminées et sur la base du consentement de la personne concernée ou en vertu d’un autre fondement légitime prévu par la loi. Toute personne a le droit d’accéder aux données collectées la concernant et d’en obtenir la rectification.
  3. Le respect de ces règles est soumis au contrôle d’une autorité indépendante.
    États membres du Conseil de l’Europe, Directive 2002/58, Concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques (directive vie privée et communications électroniques) (2002)

Traité dur l’UE, Titre I Art. 6 al. 1 (2007)

L’Union reconnaît les droits, les libertés et les principes énoncés dans la Charte des droits fondamentaux de l’Union européenne du 7 décembre 2000, telle qu’adaptée le 12 décembre 2007 à Strasbourg, laquelle a la même valeur juridique que les traités.

Constitution fédérale de la Confédération suisse, Art. 13 (1999)

  1. Toute personne a droit au respect de sa vie privée et familiale, de son domicile, de sa correspondance et des relations qu’elle établit par la poste et les télécommunications.
  2. Toute personne a le droit d’être protégée contre l’emploi abusif des données qui la concernent.
    Loi fédérale sur la protection des données (2006)

État de Genève, Loi sur l’information du public, l’accès aux documents et la protection des données personnelles (LIPAD) (2001)

Évaluation

La Loi fédérale sur la protection des données prévoit, à l’Art. 11, une procédure de certification :

  1. Afin d’améliorer la protection et la sécurité des données, les fournisseurs de systèmes de logiciels et de traitement de données ainsi que les personnes privées ou les organes fédéraux qui traitent des données personnelles peuvent soumettre leurs systèmes, leurs procédures et leur organisation à une évaluation effectuée par des organismes de certification agréés et indépendants.
  2. Le Conseil fédéral édicte des dispositions sur la reconnaissance des procédures de certification et sur l’introduction d’un label de qualité de protection des données. Il tient compte du droit international et des normes techniques reconnues au niveau international.

L’Ordonnance du 28 septembre 2007 sur les certifications en matière de protection des données (OCPD) contient toute information relative à cette certification.

Le Bureau des préposées à la protection des données et à la transparence (PPDT) du Canton de Genève a les buts suivants :

  • Surveiller la bonne application de la LIPAD.
  • Offrir information, services et conseils aux citoyens et aux institutions; gérer les conflits pouvant naître du traitement des données personnelles comme de l’exercice du droit d’accès aux documents.
  • Effectuer des contrôles auprès des institutions et émettre des recommandations à leur endroit.

Pour cela il a développé un outil à disposition des organisations publiques : l’agrément. Avec leurs propres mots :

  • « Aval de notre bureau, sous l’angle de la protection des données, à un projet d’une institution, qui lui a été soumis sur une base volontaire. »
  • « Accompagnement d’un projet, par des échanges interdisciplinaires. »
  • « Contrôle préalable, au sens de la réglementation européenne. »