Administration électronique : attention aux logiciels qui ne protègent pas suffisamment les données personnelles

Non : selon la loi n° 78-17 du 6 janvier 1978 modifiée dite loi "Informatique et libertés", les responsables de traitement ont l’obligation de prendre toutes précautions utiles pour préserver la sécurité des données et, notamment, empêcher qu’elles ne soient déformées, endommagées, ou que des tiers non autorisés y aient accès. Ainsi, si l’administration envisage de mettre à disposition de ses usagers un téléservice ou une adresse électronique dédiée aux envois de courriels, elle est tenue de veiller à ce que ces échanges soient sécurisés afin d’en préserver la confidentialité. L’article 9 de l’ordonnance n° 2005-1516 du 8 décembre 2005 relative aux échanges électroniques entre les usagers et les autorités administratives prévoit d’ailleurs la mise en place d’un référentiel général de sécurité. Si certains outils permettent aujourd’hui de recueillir des informations liées aux habitudes de navigation des internautes, voire des données échangées par courriers électroniques, une telle collecte opérée au mépris de l’information et du droit d’opposition des intéressés est susceptible d’être considérée comme déloyale au regard de la loi du 6 janvier 1978 modifiée, car non conforme à ses articles 32 et 38. La constitution de bases de données à des fins de ciblage publicitaire, par l’usage de tels procédés, serait d’autant moins conforme que la prospection par voie électronique est soumise, en application de l’article L. 34-5 des codes des postes et des communications électroniques, à de strictes conditions : ce type de prospection est ainsi soumis à l’accord préalable (« opt in ») des internautes et non pas au simple droit d’opposition prévu par l’article 38 de la loi du 6 janvier 1978 (« opt out »).

Les responsables de traitement doivent assurer la sécurité et la confidentialité des données qu’ils traitent

En France, la loi n° 78-17 du 6 janvier 1978 modifiée, dite loi « Informatique et Libertés », oblige les responsables de traitement à « prendre toutes précautions utiles (…) pour préserver la sécurité des données et, notamment, empêcher qu’elles ne soient déformées, endommagées, ou que des tiers non autorisés y aient accès ». Au vu de cette disposition, l’Administration, si elle envisage de mettre à disposition de ses usagers un téléservice ou une adresse électronique dédiée aux envois de courriels, est tenue de veiller à ce que ces échanges soient sécurisés, sous peine d’enfreindre cette obligation de confidentialité. L’article 9 de l’ordonnance n° 2005-1516 du 8 décembre 2005 relative aux échanges électroniques entre les usagers et les autorités administratives prévoit d’ailleurs la mise en place d’un référentiel général de sécurité.

L’analyse de la navigation des internautes et le ciblage publicitaire soumis à des conditions strictes

Si certains outils permettent aujourd’hui de recueillir des informations liées aux habitudes de navigation des internautes, voire des données échangées par courriers électroniques, une telle collecte opérée au mépris de l’information et du droit d’opposition des intéressés est susceptible d’être considérée comme déloyale au regard de la loi du 6 janvier 1978 modifiée, car non conforme à ses articles 32 et 38. La constitution de bases de données à des fins de ciblage publicitaire, par l’usage de tels procédés, serait d’autant moins conforme que la prospection par voie électronique est soumise, en application de l’article L. 34-5 des codes des postes et des communications électroniques, à de strictes conditions. Le législateur ayant considéré cette méthode comme particulièrement intrusive a, en effet, souhaité renforcer les droits des particuliers face à de telles sollicitations. Ce type de prospection est ainsi soumis à l’accord préalable (« opt in ») des internautes et non pas au simple droit d’opposition prévu par l’article 38 de la loi du 6 janvier 1978 (« opt out »). Ce n’est que lorsque la prospection électronique émane d’une entreprise auprès de laquelle l’internaute a acheté des produits et des services similaires à ceux proposés par l’acte de prospection que le droit d’opposition s’applique.

Des mesures de confidentialité particulières doivent être prises concernant les données de santé des usagers

De plus, les informations liées à la santé des usagers, en ce qu’elles sont considérées comme des données sensibles par l’article 8 de la loi du 6 janvier 1978 modifiée, sont soumises à des dispositifs de sécurité encore plus rigoureux. Des mesures de confidentialité particulières doivent donc être mises en place par les professionnels de santé afin d’éviter que des données directement ou indirectement identifiantes ne soient accessibles à des tiers non autorisés.

Toute personne a droit au respect de sa vie privée et familiale, de son domicile et de ses communications

En outre, toute personne détentrice de données à caractère personnel qui les détournerait de leur finalité s’exposerait aux sanctions prévues par l’article 226-21 du code pénal. Enfin, l’article 7 de la Charte des droits fondamentaux de l’Union européenne prévoit que « toute personne a droit au respect de sa vie privée et familiale, de son domicile et de ses communications ».

Afin d’assurer la mise en œuvre de ce droit, l’article 68 de la loi n° 2016-1321 du 7 octobre 2016 pour une République numérique a modifié le code des postes et des communications électroniques en insérant un article 32-3 ainsi rédigé :

« I. Les opérateurs, ainsi que les membres de leur personnel, sont tenus de respecter le secret des correspondances. Le secret couvre le contenu de la correspondance, l’identité des correspondants ainsi que, le cas échéant, l’intitulé du message et les documents joints à la correspondance.

II. Les fournisseurs de services de communication au public en ligne permettant à leurs utilisateurs d’échanger des correspondances, ainsi que les membres de leur personnel, respectent le secret de celles-ci. Le secret couvre le contenu de la correspondance, l’identité des correspondants ainsi que, le cas échéant, l’intitulé du message et les documents joints à la correspondance.

III. Les I et II du présent article ne font pas obstacle au traitement automatisé d’analyse, à des fins d’affichage, de tri ou d’acheminement des correspondances, ou de détection de contenus non sollicités ou de programmes informatiques malveillants, du contenu de la correspondance en ligne, de l’identité des correspondants ainsi que, le cas échéant, de l’intitulé ou des documents joints mentionnés aux mêmes I et II.

IV. Le traitement automatisé d’analyse, à des fins publicitaires, statistiques ou d’amélioration du service apporté à l’utilisateur, du contenu de la correspondance en ligne, de l’identité des correspondants ainsi que, le cas échéant, de l’intitulé ou des documents joints mentionnés auxdits I et II est interdit, sauf si le consentement exprès de l’utilisateur est recueilli à une périodicité fixée par voie réglementaire, qui ne peut être supérieure à un an. Le consentement est spécifique à chaque traitement.

V. Les opérateurs et les personnes mentionnés aux I et II sont tenus de porter à la connaissance de leur personnel les obligations résultant du présent article ».

Réponse du 17 novembre 2016 à la question n° 15408 de M. Hervé Poher