Un guide juridique pour le traitement des données personnelles

Un ouvrage didactique de Fabrice Mattatia revient sur les différents volets de la loi informatique et libertés et passe au crible une centaine de jurisprudences. 

Qu’il s’agisse d’un internaute désireux de faire respecter le droit à ses données personnelles ou d’une entreprise sur le web souhaitant exploitant ces mêmes données, ces deux profils doivent se référer à un cadre juridique existant. C’est justement pour décortiquer ce cadre plutôt complexe que Fabrice Mattatia vient de faire paraitre un ouvrage relativement pratique.

Cet ingénieur polytechnicien, docteur en droit et ancien conseiller de Nathalie Kosciusko-Morizet en économie numérique, passe au peigne fin les différentes lois concernées. Si la plus connue est celle de 1978, relative à la protection des données personnelles, les autres textes concernent la criminalité informatique (loi Godfrain), les pratiques des fournisseurs d'accès internet (code des postes et des communications électroniques) ou les obligations des hébergeurs (loi pour la confiance sur l’économie numérique).

Des sanctions sévères, rarement appliquées

agrandir la photo

Mais surtout, et c’est là l’originalité du livre (qui découle d’une thèse de droit sur la Cnil soutenue fin 2010), la publication passe en revue une centaine de jurisprudences. Précisément celles liées au non-respect des obligations, mais aussi des interdictions liées aux traitements effectués sur ces données personnelles : collecte frauduleuse ou illicite, traitement malgré opposition, dépassement de la limitation de conservation, etc.

« Si la loi est finalement très sévère dans ses textes, en pratique quasiment aucun tribunal n’a jamais fait appliquer les peines encourues. Personne par exemple n’a été condamné - comme c’est prévu dans la loi - à cinq ans de prisons et à 300 000 euros pour ne pas avoir déclaré un site web qui manipule des données personnelles », explique Fabrice Mattatia. En revanche, des sanctions sont bien appliquées par la Cnil. La plus élevée s’élevant à de 100 000 euros. Elle a été infligée à Google pour l’affaire de ses voitures Google Street. 

Une loi toujours pertinente, mais à revoir

agrandir la photo

Dans son ouvrage, Fabrice Mattatia constate également que la loi de 1978 reste globalement adaptée au contexte actuel. « Elle visait à se prémunir d’une surveillance trop étroite des autorités policières. Aujourd’hui, elle permet d’encadrer correctement le suivi comportemental et le traçage des internautes sur le web et les réseaux sociaux. »

Pour autant, précise-t-il, cette loi, et la directive de 1995 qui en découle, exigeraient quelques réaménagements (que devrait apporter le futur règlement européen). Parmi eux, le principe de territorialité : les traitements réalisés par une entreprise non européenne dont les serveurs sont hors d’Europe (Google, par exemple) échappent à la loi… Le règlement prévoit alors d’appliquer ses contrôles à tous les traitements impliquant des données appartenant à des Européens (où qu’ils soient effectués).

Enfin la loi actuelle n’est pas taillée pour le cloud. Avec elle ,en effet, la société qui traite les données personnelles a l’entière responsabilité de ces données. « Or si elle confie ces traitements à une offre sur le cloud, elle ne maîtrisera pas, par exemple, le niveau de sécurité ou de protection de ces données. A terme, il faudra pouvoir déléguer cette responsabilité entre le commanditaire des traitements et son prestataire. »