Qu’est ce qu’une donnée personnelle ?
Selon la Commission National de l’Informatique et des Libertés (CNIL), une donnée personnelle est tout information se rapportant à une personne physique identifiée ou identifiable. Si l’information en cause concerne une personne moral (entreprise, association, etc.), elle ne sera pas qualifiée de donnée personnelle.
Une donnée personnelle est avant tout une "information", quel qu’en soit l’origine, le support ou la voie de transmission (physique ou numérique). Classiquement, on distingue deux catégorie de données personnelles :
Celles qui permettent d’identifier directement une personne physique (nom, prénom) ;
Celles qui permettent d’identifier indirectement une personne physique (une adresse postale, une date de naissance, un abonnement à tel ou tel magazine, un email, un numéro de sécurité sociale…).
Concrètement, il s’agit d’un élément phare de la vie privée. Au regard de l’importance de telles données et de leur caractère « personnel », une réglementation était nécessaire pour lutter contre les abus de traitement et de collecte de données.
Quelle est la réglementation applicable aux données ?
Le traitement des données sur le territoire de l’Union européenne est strictement réglementé par le Règlement Général sur la Protection des données (RGPD). Ce règlement européen du 27 avril 2016, entré en application le 25 mai 2018, s’inscrit dans la continuité de la loi française Informatique et Libertés de 1978. Le RGPD, établissent des règles sur la collecte et l’utilisation des données, vise à renforcer le droit des citoyens quant à l’utilisation qui peut être faire des données les concernant ainsi qu’à responsabiliser les acteurs traitant des données.
Désormais dans l’ère du numérique et de la digitalisation, les données personnelles circulent en masse entre les différentes entités, qu’elles soient privées ou publiques. A ce titre, le RGPD fait peser sur les entreprises des obligations destinées à protéger la vie privée et les libertés individuelles des citoyens dont les données sont collectées.
Par exemple, les entreprises sont soumises aux obligations suivantes :
- Obligation générale de sécurité et de confidentialité : des mesures de sécurité des locaux et des systèmes d’information doivent être mises en place par le responsable du traitement des données afin d’empêcher que les fichiers contenant lesdites données soient volés, déformés ou endommagés.
- Obligation d’information : à chaque collecte de données personnelles, l’entreprise doit informer la personne de la finalité du traitement, du fondement juridique, de l’identité du responsable du fichier, la durée de conservation des données, etc.
A cela s’ajoute la réalisation d’analyse d’impact dès lors que le traitement de données présente un risque pour les droits des personnes, la désignation d’un délégué à la protection des données (DPO) et la tenue d’un registre des traitement des données.
Malgré une réglementation stricte, les fuites de données sont encore nombreuses. En effet, les cyberattaques ne cessent d’augmenter, et ce dans tous les secteurs (hospitalier, automobile…).
Quelles solutions en cas de perte de données ?
La perte de données constitue une « violation de données » au sens du RGPD. En effet, on entend par violation de données personnelles une violation de la sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l’altération, la divulgation non autorisée de données à caractère personnel transmises, conversées ou traitées d’une autre manière, ou l’accès non autorisé à de telles données. Le perte renvoie à l’hypothèse selon laquelle les données pourraient toujours exister, mais le responsable du traitement a perdu tout contrôle ou tout accès à ces données, ou qu’il ne les a plus en sa possession.
L’origine de la fuite peut être accidentelle ou malveillante.
Les obligations du responsable du traitement varient selon le risque soulevé par les violations. En cas de violation entraînant un risque élevé pour les droits et libertés des personnes concernées, l’entreprise aura l’obligation de la notifier la CNIL dans un délai maximal de 72 heures après en avoir pris connaissance.
La victime n’est pas passive et peut agir pour défenses ses droits :
- Recours devant la CNIL.
Lorsqu’une personne est informée d’une violation de ses données personnelles, celle-ci peut entamer plusieurs démarches. Elle doit en priorité signaler les pages et comptes divulguant ses informations personnelles auprès des plateformes concernées afin d’en demander la suppression. Des formulaires de demande de suppression de données personnelles sont proposées par les moteurs de recherche pour que les données litigieuses n’y soient plus référencées. Si les données visées par la demande n’ont pas été supprimées dans un délai d’un mois, il est possible d’adresser une réclamation en ligne à la CNIL.
- Plainte pénale.
Les données personnelles divulguées peuvent être récupérées par des escrocs. En cas d’utilisation frauduleuses des données ayant fuitées, la victime peut déposer plainte auprès du commissariat de police ou à la brigade de gendarmerie la plus proche de son domicile.
Par exemple, l’escroquerie, visée par l’article 313-1 du Code pénal, est passible d’une peine d’emprisonnement de cinq d’emprisonnement et de 375 000 euros d’amende.
Faire appel à un avocat spécialisé.
En tout état de cause, il est conseillé de faire appel à un avocat spécialisé qui est habitué à ce type de procédure. Il saura mettre en place la meilleure stratégie juridique pour débloquer les fonds le plus rapidement possible.
Recherche Avancée sur le Village