La loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, modifiée en 2004
: Article 2 de la loi dite "informatique et libertés"
La loi dite « informatique et libertés » délimite à l'article 2 son champ d'application :
« La présente loi s'applique aux traitements automatisés de données à caractère personnel, ainsi qu'aux traitements non automatisés de données à caractère personnel contenues ou appelées à figurer dans des fichiers, à l'exception des traitements mis en œuvre pour l'exercice d'activités exclusivement personnelles, lorsque leur responsable remplit les conditions prévues à l'article 5. »
« Constitue une donnée à caractère personnel toute information relative à une personne physique identifiée ou qui peut être identifiée, directement ou indirectement, par référence à un numéro d'identification ou à un ou plusieurs éléments qui lui sont propres. Pour déterminer si une personne est identifiable, il convient de considérer l'ensemble des moyens en vue de permettre son identification dont dispose ou auxquels peut avoir accès le responsable du traitement ou toute autre personne. »
« Constitue un traitement de données à caractère personnel toute opération ou tout ensemble d'opérations portant sur de telles données, quel que soit le procédé utilisé, et notamment la collecte, l'enregistrement, l'organisation, la conservation, l'adaptation ou la modification, l'extraction, la consultation, l'utilisation, la communication par transmission, diffusion ou toute autre forme de mise à disposition, le rapprochement ou l'interconnexion, ainsi que le verrouillage, l'effacement ou la destruction. »
« Constitue un fichier de données à caractère personnel tout ensemble structuré et stable de données à caractère personnel accessibles selon des critères déterminés. »
« La personne concernée par un traitement de données à caractère personnel est celle à laquelle se rapportent les données qui font l'objet du traitement »
.
La CNIL[1] est en charge de veiller à la protection des données personnelles. A ce titre, elle dispose notamment d'un pouvoir de contrôle et de sanction. Jouant aussi un rôle d'alerte et de conseil, elle a pour mission de veiller à ce que le développement des nouvelles technologies ne porte atteinte ni à l'identité humaine, ni aux droits de l'homme, ni à la vie privée, ni aux libertés individuelles ou publiques.
La loi a posé six grandes obligations à ceux en charge du traitement des données personnelles :
faire une déclaration à la CNIL ou demander une autorisation à la CNIL préalablement à la mise en œuvre du traitement (ce sont les formalités préalables) (articles 22 et suivants de la loi) ;
s'abstenir de traiter certaines catégories de données dites « sensibles » (données de santé, syndicales, religieuses, condamnations, etc.), sauf dans le cadre strict prévu par la loi ;
assurer la sécurité et la protection des données personnelles et respecter une certaine confidentialité quant aux informations traitées ;
ajouter les mentions légales et informer les personnes dont les données sont traitées de leurs droits ;
ne pas procéder à des transferts de données personnelles hors UE[2], encore une fois, sauf cas spécifiques prévus par la loi ;
respecter une série de principes essentiels imposés par la loi (loyauté, finalité, consentement, temporalité, pertinence, temporalité ...).
Les personnes dont les données personnelles sont « traitées » bénéficient de droits qui doivent être mis en place par ceux en charge du traitement des données :
le droit d'opposition au traitement des données (article 38) ;
le droit d'être informé de l'étendue du traitement réalisé (articles 32, 39) ;
le droit de rectifier les données traitées (article 39) ;
le droit d'exercer leurs droits d'accès et de copie (article 40 et suivants).
