Neuvième épisode d’une série sur les droits et obligations de l’entreprise en matière de données personnelles.
Alors que la loi du 6 janvier 1978 se contentait d’exiger l’information préalable de la personne concernée, la loi du 6 août 2004 impose le consentement de l’intéressé, sauf exceptions dûment encadrées (L. mod. 6 janv. 1978, art. 7). En effet, conformément à la directive de 1995, chaque individu a le droit d’être informé avant que les données « ne soient pour la première fois communiquées à des tiers ou utilisées pour le compte de tiers à des fins de prospection et de se voir expressément offrir le droit de s’opposer, gratuitement, à ladite communication » (dir. 24 oct. 1995, art. 14-b). À ce titre, le responsable du traitement est contraint de fournir à la personne auprès de laquelle sont recueillies les données à caractère personnel une série d’informations : l’identité du responsable du traitement ou de son représentant, la finalité poursuivie par le traitement auquel les données sont destinées, l’existence du droit d’accès, de contestation, de rectification et d’opposition, le caractère obligatoire ou facultatif des réponses et conséquences éventuelles à son égard d’un défaut de réponse, les destinataires des données, le transfert éventuel des données envisagé à destination d’un État non membre de l’Union européenne… (L. 6 janv. 1978, art. 32, I).
Le texte crée une obligation d’information même lorsque les données ne sont pas collectées directement auprès des personnes concernées, sauf si cette démarche est manifestement impossible ou de nature à entraîner la mobilisation de moyens disproportionnés par rapport à l’intérêt qu’elle présente. Dans ce dernier cas, les informations doivent être portées à la connaissance de l’intéressé dès l’enregistrement des données ou, si une communication des données à des tiers est envisagée, au plus tard lors de la première communication des données.
Enfin, toute personne utilisant des réseaux de communications électroniques doit être informée de « la finalité de toute action tendant à accéder […] à des informations stockées dans son équipement terminal de connexion » et « des moyens dont elle dispose pour s’y opposer ». Cette disposition vise directement les cookies sauf lorsqu’ils ont « pour finalité exclusive de permettre ou faciliter la communication par voie électronique » (cookies de navigation).
Cette exigence concerne également les moteurs de recherche. En effet, selon un avis adopté le 4 avril 2007 à l’unanimité des membres du groupe de l’article 29 (qui rassemble les Cnil des 27 Etats membres de l’Union européenne), les moteurs en ligne doivent modifier leurs conditions générales pour respecter les contraintes d’information et, plus particulièrement, recueillir le consentement préalable de l’internaute quand ils croisent les données personnelles qu’ils détiennent en vue d’établir leur profil.
Le décret du 25 mars 2007 définit les modalités de communication des informations, en opérant une distinction selon que la collecte des données est envisagée au moyen d’un support ou oralement, à distance (D. 25 mars 2007, art. 14).
Dans le premier cas, l’information doit être portée directement à la connaissance des personnes concernées sur le support de collecte ou, à défaut, sur un document préalablement porté à leur connaissance en caractères lisibles. Les coordonnées du service doivent être également communiquées pour leur permettre d’exercer leurs droits d’opposition, d’accès et de rectification.
Dans le deuxième cas, lorsque la collecte des données est faite oralement à distance, il doit être donné lecture de ces informations aux personnes concernées en leur indiquant qu’elles peuvent, sur simple demande, même exprimée oralement, recevoir postérieurement ces informations par écrit. Ces informations peuvent également leur être communiquées, avec leur accord, par voie électronique.
Si ces informations relatives aux traitements sont portées à la connaissance des personnes par voie d’affichage, il doit être indiqué qu’elles peuvent, sur simple demande orale ou écrite, recevoir ces informations sur un support écrit.
En cas de transfert des données à destination d’Etats non membres de l’Union européenne, le responsable du traitement doit informer, dans les mêmes conditions que celles précédemment indiquées, les personnes sur (i) le ou les pays d’établissement du destinataire des données, et si ce ou ces pays figurent dans la liste de la Commission européenne autorisant ce transfert, ou dans le cas contraire, il doit être fait mention de l’exception prévue par loi Informatique et Libertés permettant ce transfert ; (ii) la nature des données transférées ; (iii) la finalité du transfert envisagé ; (iv) les catégories de destinataires des données ; (v) le niveau de protection offert par le ou les pays tiers.
Lorsque le transfert est envisagé postérieurement à la collecte des données à caractère personnel, celui-ci ne peut intervenir que dans un délai de quinze jours suivant la réception par l’intéressé des informations mentionnées ci-dessus.
Cependant, l’information à délivrer à la personne concernée est allégée si « les données recueillies sont appelées à faire l’objet à bref délai d’un procédé d’anonymisation » (L. 6 janv. 1978, art. 8-III).
Par ailleurs, de nombreuses exceptions ont été introduites par le législateur, le consentement de l’intéressé n’étant pas requis en raison :
- du respect d’une obligation légale incombant au responsable du traitement ;
- de la sauvegarde de la vie de la personne concernée ;
- de l’exécution d’une mission de service public dont est investi le responsable ou le destinataire du traitement ;
- de l’exécution, soit d’un contrat auquel la personne concernée est partie, soit de mesures précontractuelles prises à la demande de celle-ci ;
- de l’intérêt légitime poursuivi par le responsable du traitement ou par le destinataire, sous réserve de ne pas méconnaître l’intérêt ou les droits et libertés fondamentaux de la personne concernée.
