PAPEETE, le 8 juillet 2015 - Eugène Sandford, ancien chef de service de l'informatique du Pays et expert en management des systèmes d'information, fait le point sur la réglementation relative à la vie privée. Elle s'applique en Polynésie, ce que de très nombreuses entreprises et administrations ignorent. Pourtant, ne pas les respecter les expose à de la prison et à des amendes considérables…
Qui en Polynésie connaît la CNIL, la Loi informatique et libertés de 1978 ou la réglementation sur les bases de données personnelles ? Pourtant cette législation est applicable à notre Territoire, comme le sera une future réglementation européenne encore plus sévère.
Ne pas la respecter, "y compris par négligence" précise la loi, c'est s'exposer à 5 ans de prison et 300 000 euros amende (35 millions de francs). Le point avec le docteur Eugène Sandford, le principal expert de ces sujets en Polynésie.
Qui en Polynésie connaît la CNIL, la Loi informatique et libertés de 1978 ou la réglementation sur les bases de données personnelles ? Pourtant cette législation est applicable à notre Territoire, comme le sera une future réglementation européenne encore plus sévère.
Ne pas la respecter, "y compris par négligence" précise la loi, c'est s'exposer à 5 ans de prison et 300 000 euros amende (35 millions de francs). Le point avec le docteur Eugène Sandford, le principal expert de ces sujets en Polynésie.
Le Dr Eugène Sandford
Tahiti Infos : Quel est l'enjeu de ces lois ?
Eugène Sandford : Protéger les données personnelles c'est protéger la vie privée des personnes physiques. La protection de la vie privée et des données personnelles sont des droits édictés par la Charte Européenne des Droits fondamentaux. Des droits qu'ont également les Polynésiens… Et des obligations qui s'appliquent donc à nos entreprises et administrations.
Que dit la loi ?
La loi informatique et libertés (loi I&L) de 1978, modifiée depuis, est applicable en Polynésie française. Elle engage les responsabilités administrative et pénale des chefs d'entreprises publiques ou privées pour sécuriser le traitement des données personnelles des personnes physiques. C'est la CNIL, Commission Nationale Informatique et Libertés, qui édicte les "prescriptions techniques" afin d'être conforme à la loi.
L'idée de la loi I&L est de protéger la vie privée – et donc les données personnelles – des personnes physiques en imposant aux entreprises et administrations des mesures de sécurité informatique, de transparence et de traçabilité.
Qui respecte la loi informatique et liberté en Polynésie ?
À ma connaissance, pas grand monde.
Il y a les entreprises qui ne la connaissent pas ou celles qui ont en entendu parler mais qui n'en tiennent pas compte pour diverses mauvaises raisons. Ces deux premiers groupes font la majorité des entreprises, petites ou grandes, du Pays.
Il y a aussi ceux qui en tiennent compte mais à moitié. En effet, ils pensent que pour être conforme à la loi I&L, il suffit de remplir les formalités à la CNIL avec deux ou trois affichages sur leur site web de mentions légales. Certes, ce sont des obligations légales, mais elles ne constituent que la partie émergée de l'iceberg.
Enfin, il reste très peu d'entreprises qui prennent en compte la totalité des obligations légales de la loi I&L.
Qui porte la responsabilité et que risque-t-il ?
En général, les "responsables de traitement des données personnelles" sont les décideurs : le maire, le Président du Pays, ses ministres par délégation de pouvoir, le directeur général d'une entreprise… En pratique, c'est la personne qui détermine les finalités et les moyens du traitement de données personnelles.
De nombreuses obligations pénales pèsent sur eux :
(1) Ils doivent déclarer à la CNIL tout traitement ou fichier automatisé de données personnelles avant sa mise en œuvre,
(2) les collecter de façon loyale et légale,
(3) ne les utiliser que pour ce qui est annoncé,
(4) ne les conserver qu'une durée "raisonnable",
(5) les protéger autant que possible par un minimum de mesures de sécurité du système d'information, et
(6) permettre aux personnes concernées de rectifier ou supprimer ces données et
(7) informer ces mêmes personnes que des traitements de données personnelles les concernent.
S'ils échouent, le tarif maximum du défaut d'obligation est, aujourd'hui, de 5 ans de prison et de 35 millions Fcfp d'amende… On peut remarquer que les déclarations à la CNIL et les obligations d'information ne sont qu'une infime partie des obligations pénales. La partie immergée de l'iceberg concerne la sécurité, la traçabilité dans le système d'information des entreprises (98 % du travail au minimum).
Juridiquement, les données personnelles, c'est quoi ?
Pour la CNIL, les données personnelles, c’est tout ce qui permet d’identifier directement (nom, prénom, sexe, photo, video, courriel) ou indirectement (numéro de sécurité sociale, lieu et date de naissance, l’identifiant national élève INE, données de géolocalisation, …) une personne physique.
Elles incluent également les données médicales (radios, compte-rendu d’opération, groupe sanguin...) et génétiques (ADN), ainsi que toutes les caractéristiques biométriques (empreintes digitales, iris, rétine, voix...). Mais, comme leur nom l’indique, les données personnelles sont personnelles. Elles ne doivent pas être transmises à n’importe qui et a fortiori sur Internet, qui est un lieu public. Il est donc important de se poser la question de ce que l’on peut communiquer et à qui.
Certaines données personnelles sont dites « sensibles ». Il s’agit des informations concernant son origine raciale ou ethnique, ses opinions politiques, philosophiques ou religieuses, l’appartenance syndicale, la santé ou la vie sexuelle. En principe, les données sensibles ne peuvent pas être recueillies dans un fichier et exploitées sans l’accord des personnes concernées. Ces données doivent être encore davantage protégées que les autres.
Des exemples ?
Par exemple en Polynésie, des fichiers tableurs contenant des noms et prénoms, des logiciels rassemblant les données des salariés, des fichiers clientèles, des annuaires d'entreprise, ou des autocommutateurs téléphoniques, la vidéosurveillance, pour les plus évidents, tombent sous le coup de la loi.
Les fournisseurs de service électronique locaux (Vini, Vodaphone, OPT et Viti) ont plus d'obligations légales par rapport à la loi informatique et libertés (article 34 bis) que les autres entreprises.
Et les données de santé sont regardées d'encore plus près par la CNIL car ce sont les données les plus importantes aux yeux de la loi. Les cabinets médicaux comme les cliniques doivent donc se mettre en règle avec la loi.
Et dans le futur ?
Un prochain règlement européen va encore venir durcir les choses. Il prévoit dans les trois ans en France, et un peu plus en Polynésie, une amende de minimum de 100 millions d'euros ou de 5% du chiffre d'affaires du groupe, l'obligation - comme pour les fournisseurs de service électronique - de dénoncer toute violation majeure de sécurité à la CNIL, d'enregistrer et de dire comment ces violations ont été traitées …
Évidemment, en Polynésie, toutes les filiales des grands groupes français seront impactées directement et à moyen terme (un an ou deux plus tard), le reste des entreprises. En France, tous les experts français conviennent d'un boom du secteur de la sécurité très rapidement car les spécialistes viendront rapidement à manquer dès la sortie du règlement européen.
Eugène Sandford : Protéger les données personnelles c'est protéger la vie privée des personnes physiques. La protection de la vie privée et des données personnelles sont des droits édictés par la Charte Européenne des Droits fondamentaux. Des droits qu'ont également les Polynésiens… Et des obligations qui s'appliquent donc à nos entreprises et administrations.
Que dit la loi ?
La loi informatique et libertés (loi I&L) de 1978, modifiée depuis, est applicable en Polynésie française. Elle engage les responsabilités administrative et pénale des chefs d'entreprises publiques ou privées pour sécuriser le traitement des données personnelles des personnes physiques. C'est la CNIL, Commission Nationale Informatique et Libertés, qui édicte les "prescriptions techniques" afin d'être conforme à la loi.
L'idée de la loi I&L est de protéger la vie privée – et donc les données personnelles – des personnes physiques en imposant aux entreprises et administrations des mesures de sécurité informatique, de transparence et de traçabilité.
Qui respecte la loi informatique et liberté en Polynésie ?
À ma connaissance, pas grand monde.
Il y a les entreprises qui ne la connaissent pas ou celles qui ont en entendu parler mais qui n'en tiennent pas compte pour diverses mauvaises raisons. Ces deux premiers groupes font la majorité des entreprises, petites ou grandes, du Pays.
Il y a aussi ceux qui en tiennent compte mais à moitié. En effet, ils pensent que pour être conforme à la loi I&L, il suffit de remplir les formalités à la CNIL avec deux ou trois affichages sur leur site web de mentions légales. Certes, ce sont des obligations légales, mais elles ne constituent que la partie émergée de l'iceberg.
Enfin, il reste très peu d'entreprises qui prennent en compte la totalité des obligations légales de la loi I&L.
Qui porte la responsabilité et que risque-t-il ?
En général, les "responsables de traitement des données personnelles" sont les décideurs : le maire, le Président du Pays, ses ministres par délégation de pouvoir, le directeur général d'une entreprise… En pratique, c'est la personne qui détermine les finalités et les moyens du traitement de données personnelles.
De nombreuses obligations pénales pèsent sur eux :
(1) Ils doivent déclarer à la CNIL tout traitement ou fichier automatisé de données personnelles avant sa mise en œuvre,
(2) les collecter de façon loyale et légale,
(3) ne les utiliser que pour ce qui est annoncé,
(4) ne les conserver qu'une durée "raisonnable",
(5) les protéger autant que possible par un minimum de mesures de sécurité du système d'information, et
(6) permettre aux personnes concernées de rectifier ou supprimer ces données et
(7) informer ces mêmes personnes que des traitements de données personnelles les concernent.
S'ils échouent, le tarif maximum du défaut d'obligation est, aujourd'hui, de 5 ans de prison et de 35 millions Fcfp d'amende… On peut remarquer que les déclarations à la CNIL et les obligations d'information ne sont qu'une infime partie des obligations pénales. La partie immergée de l'iceberg concerne la sécurité, la traçabilité dans le système d'information des entreprises (98 % du travail au minimum).
Juridiquement, les données personnelles, c'est quoi ?
Pour la CNIL, les données personnelles, c’est tout ce qui permet d’identifier directement (nom, prénom, sexe, photo, video, courriel) ou indirectement (numéro de sécurité sociale, lieu et date de naissance, l’identifiant national élève INE, données de géolocalisation, …) une personne physique.
Elles incluent également les données médicales (radios, compte-rendu d’opération, groupe sanguin...) et génétiques (ADN), ainsi que toutes les caractéristiques biométriques (empreintes digitales, iris, rétine, voix...). Mais, comme leur nom l’indique, les données personnelles sont personnelles. Elles ne doivent pas être transmises à n’importe qui et a fortiori sur Internet, qui est un lieu public. Il est donc important de se poser la question de ce que l’on peut communiquer et à qui.
Certaines données personnelles sont dites « sensibles ». Il s’agit des informations concernant son origine raciale ou ethnique, ses opinions politiques, philosophiques ou religieuses, l’appartenance syndicale, la santé ou la vie sexuelle. En principe, les données sensibles ne peuvent pas être recueillies dans un fichier et exploitées sans l’accord des personnes concernées. Ces données doivent être encore davantage protégées que les autres.
Des exemples ?
Par exemple en Polynésie, des fichiers tableurs contenant des noms et prénoms, des logiciels rassemblant les données des salariés, des fichiers clientèles, des annuaires d'entreprise, ou des autocommutateurs téléphoniques, la vidéosurveillance, pour les plus évidents, tombent sous le coup de la loi.
Les fournisseurs de service électronique locaux (Vini, Vodaphone, OPT et Viti) ont plus d'obligations légales par rapport à la loi informatique et libertés (article 34 bis) que les autres entreprises.
Et les données de santé sont regardées d'encore plus près par la CNIL car ce sont les données les plus importantes aux yeux de la loi. Les cabinets médicaux comme les cliniques doivent donc se mettre en règle avec la loi.
Et dans le futur ?
Un prochain règlement européen va encore venir durcir les choses. Il prévoit dans les trois ans en France, et un peu plus en Polynésie, une amende de minimum de 100 millions d'euros ou de 5% du chiffre d'affaires du groupe, l'obligation - comme pour les fournisseurs de service électronique - de dénoncer toute violation majeure de sécurité à la CNIL, d'enregistrer et de dire comment ces violations ont été traitées …
Évidemment, en Polynésie, toutes les filiales des grands groupes français seront impactées directement et à moyen terme (un an ou deux plus tard), le reste des entreprises. En France, tous les experts français conviennent d'un boom du secteur de la sécurité très rapidement car les spécialistes viendront rapidement à manquer dès la sortie du règlement européen.
Biographie d'Eugène Sandford
Le docteur Sandford a commencé sa carrière comme simple aide-technicien à l'OPT pendant 4 ans, après son bac. Mais il avait plus d'ambition. Il a repris ses études en métropole, jusqu'à obtenir son doctorat en réalisant un logiciel de traduction automatique du français vers le tahitien… Revenu au Fenua en 2004, il dirige le Service de l'informatique de la Polynésie française de 2005 à 2013. Il est désormais consultant indépendant. Il est le partenaire local de Xavier Leclerc, fondateur de l'association française des correspondants informatiques et libertés, un des premiers dans le domaine au niveau national.
Le docteur Sandford a commencé sa carrière comme simple aide-technicien à l'OPT pendant 4 ans, après son bac. Mais il avait plus d'ambition. Il a repris ses études en métropole, jusqu'à obtenir son doctorat en réalisant un logiciel de traduction automatique du français vers le tahitien… Revenu au Fenua en 2004, il dirige le Service de l'informatique de la Polynésie française de 2005 à 2013. Il est désormais consultant indépendant. Il est le partenaire local de Xavier Leclerc, fondateur de l'association française des correspondants informatiques et libertés, un des premiers dans le domaine au niveau national.
