Logo Éduscol
Accueil du portail  Ressources  Légamedia  Données à caractère personnel sur internet

Données à caractère personnel sur internet

Page mise à jour le 13 juillet 2017

Lorsqu’on veut s’inscrire à un certain nombre de services sur Internet, il est courant qu’il soit demandé de remplir un formulaire avec des informations personnelles. Mais ce n’est pas parce que l’on remplit ce formulaire que l’on ne dispose plus de droits sur ces données.

Présentation

L’une des richesses les plus convoitées aujourd’hui sur Internet est celle des données à caractère personnel des internautes. Ces données sont collectées, puis exploitées commercialement notamment dans le cadre de campagnes publicitaires.

Les données à caractère personnel sont souvent collectées lors du remplissage de formulaires en ligne, par exemple lors d’un achat sur Internet, ou lors de l’inscription à des services en ligne. Mais elles sont aussi collectées lorsque l’on s’exprime en ligne (publications, avis, commentaires), et même lorsqu’on navigue simplement et que les serveurs enregistrent par exemple l’adresse IPadresse IP
Chaque terminal (ordinateur, smartphone, « Internet box », équipement domotique…) relié à un réseau utilisant le protocol IP (IP = Internet Protocol) dispose d’une adresse IP permettant de l’identifier de façon unique sur ce réseau. Ce réseau peut être un réseau privé (comme celui de la maison ou de l’établissement, dans la quasi totalité des cas) ou constituer une portion du réseau Internet.  Dans ce dernier cas, l’adresse IP utilisée par une machine à un instant donné est unique au monde. Dans le premier cas, l’adresse IP visible sur le réseau Internet à un instant donné ne permet d’identifier que la maison (adresse Internet de la « box ») ou l’établissement (adresse Internet du routeur d’établissement), les adresses IP des machines pouvant être les mêmes que celles utilisées dans l’établissement ou la maison d’à côté. L’identification exacte d’une machine sur un réseau d’établissement ne peut donc s’effectuer sur la base de la seule adresse IP visible sur Internet.
du visiteur ou déposent des cookies sur son poste.

Lorsque des données sont collectées, il est imposé à la personne qui collecte ces données (le responsable du traitement) de respecter le « droit des personnes à l’égard des traitements de données à caractère personnel[1]». Les internautes disposent en particulier d’un droit à l’information, de droits d’opposition, d’accès, de rectification, de suppression sur leurs données à caractère personnel.

Le droit à l’information[2]

Il est obligatoire d’informer les internautes sur :

  • l’identité du responsable du traitement et le cas échéant de celle de son représentant ;
  • la finalité du traitement ;
  • le caractère obligatoire ou facultatif des réponses ;
  • les conséquences éventuelles en cas d’un défaut de réponse ;
  • les destinataires ou catégories de destinataires ;
  • son droit d’interrogation, d’accès, de rectification et d’opposition pour motifs légitimes ainsi que sur son droit de définir des directives relatives au sort de ses données à caractère personnel après sa mort ;
  • le cas échéant, les transferts de données vers un état non membre de la Communauté européenne ;
  • la durée de conservation des catégories de données traitées.

Ces informations se trouvent souvent dans les bas de pages de site ou dans les conditions d’utilisation ou charte accessibles en ligne sur les sites.

Le droit d’opposition[3]

Le droit d’opposition s’exerce sur l’ensemble des données concernant la personne. Il est toutefois subordonné à la preuve de motifs légitimes.

La décision n° 384869 du 18 novembre 2015 du Conseil d’État énonce que « le droit pour une personne de s'opposer à ce que les données la concernant fassent l'objet d'un traitement doit reposer sur des raisons prépondérantes et légitimes tenant à sa situation particulière ». Concernant les traitements scolaires, les parents doivent donc démontrer « la réalité d'un risque de nature à porter atteinte au droit au respect de la vie privée ou à l'intérêt supérieur de l'enfant », faute de quoi l’opposition doit être rejetée.

En cas de bien-fondé d’une opposition, le responsable des traitements informe sans délai les autres responsables destinataires des données afin de rendre effective l’opposition exprimée[4].

Il existe une exception, pour les traitements de prospection, notamment commerciale ; le droit d’opposition peut s’exercer :

  • sans frais ;
  • et sans motivation préalable.

La jurisprudence complète peu à peu le panorama des domaines dans lesquels l’opposition peut s’effectuer sans frais et sans avoir à fournir de justification. À titre d’exemple, la Cour de cassation a validé la position de la Cour d’appel considérant « qu’en matière politique, philosophique ou religieuse, la légitimité de l’opposition est remplie par le seul exercice de cette faculté »[5].

L’intéressé doit être mis en mesure d’exprimer son choix avant la validation définitive de ses réponses[6]

Le droit d’accès aux données à caractère personnel[7]

L’internaute dispose d’un droit d’accès à ses données à caractère personnel. Ce droit est :

  • personnel (il est exercé par la personne concernée ou par son mandataire) ;
  • direct (il s’exerce directement auprès du responsable du traitement, sauf exceptions concernant notamment la sûreté de l’État, la défense ou la sécurité) ;
  • discrétionnaire (aucune justification n’est requise) ;
  • gratuit ;
  • permanent.

En pratique, la demande doit être accompagnée de la copie du titre d’identité de la personne portant sa signature[8]. Le responsable du traitement est tenu de répondre dans les deux mois suivant la réception de la demande.

Mais « le responsable de traitement peut s’opposer aux demandes manifestement abusives, notamment par leur nombre, leur caractère répétitif ou systématique[9] ».

Le droit de rectification et de suppression des données à caractère personnel[10]

Les personnes concernées peuvent exiger du responsable d’un traitement que soient, selon les cas, rectifiées, complétées, mises à jour, verrouillées ou effacées les données à caractère personnel, dans le cas où elles sont inexactes, incomplètes, équivoques, périmées, ou dont la collecte, l’utilisation, la communication ou la conservation est interdite.

Le droit de rectification vise ainsi à rectifier, compléter ou mettre à jour des données à caractère personnel. Le droit de suppression permet en revanche de verrouiller ou effacer les données à caractère personnel.

La demande doit être accompagnée de la copie du titre d’identité de la personne portant sa signature[11]. Le responsable du traitement est tenu de répondre sous deux mois suivant la réception de la demande[12].

Le droit au déréférencement

Depuis une décision de la Cour de Justice de l’Union Européenne du 13 mai 2014, l’internaute dispose également d’un droit au déréférencement, c’est-à-dire qu’il peut saisir les moteurs de recherche (Google, Yahoo, Bing etc.) de demandes de déréférencement d’une page web qui est associée à ses nom et prénom. Attention, ce droit n’est pas absolu. L’objet de la demande doit être motivé par un motif légitime (voir fiche « Le droit à l’oubli »).

Pour exercer ce droit, l’internaute doit :

  • accéder au formulaire en ligne mis à disposition par le moteur de recherche ou, s’il n’existe pas de formulaire, se reporter aux mentions légales de son site web pour obtenir l’adresse à laquelle adresser sa demande ;
  • communiquer au moteur de recherche le contenu le concernant apparaissant dans la liste des résultats accompagné de la copie du titre d’identité.

Attention, le déréférencement par le moteur de recherche n’entraine pas la suppression des informations qui figurent sur le site ressorti dans la liste des résultats. De la même manière, le déréférencement ne jouera que pour le moteur de recherche auprès duquel la demande a été faite.

Lorsque vous exercez l’un des droits ci-dessus énoncé, il est utile de conserver une copie des démarches effectuées.

La CNILCNIL
« La Commission nationale de l’informatique et des libertés est chargée de veiller à ce que l’informatique soit au service du citoyen et qu’elle ne porte atteinte ni à l’identité humaine, ni aux droits de l’homme, ni à la vie privée, ni aux libertés individuelles ou publiques. » (www.cnil.fr)
La CNIL remplit des missions :
  * d’information générale ;
  * de veille (droit d’accès des particuliers aux données numériques les concernant) ;
  * de recensement et de publication des fichiers déclarés ;
  * de contrôle et d’investigation auprès des créateurs de fichiers et des systèmes informatiques les traitant ;
  * de proposition pour faire évoluer les réglementations.
Contactez la CNIL pour :
  * les SMS frauduleux (tél. : 33700) ;
  * les spams insidieux (www.signal-spam.fr).
 a mis en place un service de plainte en ligne permettant de demander son intervention si les droits énoncés ci-dessus n’ont pas été respectés. Ce service permet de répondre aux difficultés liées à la suppression de données à caractère personnel sur des sites, blogs, forums, réseaux sociaux ou des moteurs de recherches.

Attention, avant de déposer plainte auprès de la CNIL, il est nécessaire d’avoir au préalable adressé une demande au responsable des données ou du site concerné et que celui-ci n’ait pas répondu à la demande dans un délai de deux mois.

En 2016 la CNIL a enregistré 7703 plaintes reçues.  Parmi ces plaintes,  410 étaient consécutives à des refus de déréférencement par les moteurs de recherche[13].

Sanctions : les atteintes aux droits de la personne résultant des fichiers ou des traitements informatiques sont réprimées pénalement par les articles 226-16 et suivants du Code pénal et peuvent être punies de cinq ans d’emprisonnement et de 300 000 euros d’amende ; elles peuvent être également sanctionnées administrativement par la CNILCNIL
« La Commission nationale de l’informatique et des libertés est chargée de veiller à ce que l’informatique soit au service du citoyen et qu’elle ne porte atteinte ni à l’identité humaine, ni aux droits de l’homme, ni à la vie privée, ni aux libertés individuelles ou publiques. » (www.cnil.fr)
La CNIL remplit des missions :
  * d’information générale ;
  * de veille (droit d’accès des particuliers aux données numériques les concernant) ;
  * de recensement et de publication des fichiers déclarés ;
  * de contrôle et d’investigation auprès des créateurs de fichiers et des systèmes informatiques les traitant ;
  * de proposition pour faire évoluer les réglementations.
Contactez la CNIL pour :
  * les SMS frauduleux (tél. : 33700) ;
  * les spams insidieux (www.signal-spam.fr).
jusqu’à un maximum de 3 millions d’euros.

Illustration

En 2010, la société Pages Jaunes a étoffé son site internet www.pagesblanches.fr, en ajoutant aux résultats classiques de l’annuaire, un ensemble de données issues de celles figurant sur six réseaux sociaux.

La CNILCNIL
« La Commission nationale de l’informatique et des libertés est chargée de veiller à ce que l’informatique soit au service du citoyen et qu’elle ne porte atteinte ni à l’identité humaine, ni aux droits de l’homme, ni à la vie privée, ni aux libertés individuelles ou publiques. » (www.cnil.fr)
La CNIL remplit des missions :
  * d’information générale ;
  * de veille (droit d’accès des particuliers aux données numériques les concernant) ;
  * de recensement et de publication des fichiers déclarés ;
  * de contrôle et d’investigation auprès des créateurs de fichiers et des systèmes informatiques les traitant ;
  * de proposition pour faire évoluer les réglementations.
Contactez la CNIL pour :
  * les SMS frauduleux (tél. : 33700) ;
  * les spams insidieux (www.signal-spam.fr).
 a reçu des plaintes le concernant qui révélaient notamment l'absence de prise en compte de demandes d'opposition formées par des particuliers afin que les informations les concernant, issues des réseaux sociaux, ne soient plus diffusées sur le service Pages Blanches.

La formation contentieuse de la CNIL a d’abord considéré que l’aspiration de ces informations sur les sites des réseaux, à l’insu des personnes concernées, était déloyale et donc contraire à la loi Informatique et libertés. Elle a ensuite jugé que les droits des personnes (information, opposition, rectification) n’étaient pas respectés par la société. En conséquence, au regard du nombre de manquements relevés et de leur particulière gravité, elle a décidé de prononcer un avertissement rendu public à l’encontre de Pages Jaunes[14].

En 2014, la formation restreinte de la CNILCNIL
« La Commission nationale de l’informatique et des libertés est chargée de veiller à ce que l’informatique soit au service du citoyen et qu’elle ne porte atteinte ni à l’identité humaine, ni aux droits de l’homme, ni à la vie privée, ni aux libertés individuelles ou publiques. » (www.cnil.fr)
La CNIL remplit des missions :
  * d’information générale ;
  * de veille (droit d’accès des particuliers aux données numériques les concernant) ;
  * de recensement et de publication des fichiers déclarés ;
  * de contrôle et d’investigation auprès des créateurs de fichiers et des systèmes informatiques les traitant ;
  * de proposition pour faire évoluer les réglementations.
Contactez la CNIL pour :
  * les SMS frauduleux (tél. : 33700) ;
  * les spams insidieux (www.signal-spam.fr).
a sanctionné la Fédération Française d’Athlétisme pour des manquements à l’information des sportifs concernant la publication de leurs résultats sur son site internet. Le contrôle opéré par la Cnil faisait d’ailleurs suite à une plainte concernant une personne qui souhaitait obtenir la suppression des résultats sportifs de son enfant mineur publiés sur le site web de la Fédération.

Astuce

Vérifier systématiquement la présence des informations obligatoires avant de remplir un formulaire. Être particulièrement attentif aux renseignements présentés comme ayant un caractère obligatoire. Comparer les justifications fournies au caractère obligatoire avec la finalité du traitement.

Citations

« Toute personne physique a le droit de s’opposer, pour des motifs légitimes, à ce que des données à caractère personnel la concernant fassent l’objet d’un traitement. » (Article 38 de la loi Informatique et libertés)

En savoir plus…

Liens internes

Lien externe

Textes réglementaires