
Date : 17/10/2022
Sujet :
Voici le dernier texte d’une série publiée par le collectif citoyens d’Iroise sur la protection de la vie privée.
Charte des droits fondamentaux. Chapitre II : Liberté
- Article 7 : respect de la vie privée et familiale ;
- Article 8 : protection des données à caractère personnel ;

Préserver et exercer ses droits en matière de données personnelles
Dans les deux billets précédents, nous avons vu que dans la société numérique qui se construit sous nos yeux, une part de nous-même se retrouve sous forme de données dans « le nuage informatique » (cloud en anglais). Une bonne part des personnes ont intégré le fait que ces données sont utilisables par les entreprises pour faire du commerce sans que nous en tirions forcément un quelconque bénéfice. Mais les établissements publics, l’État de façon générale, collectent et ont beaucoup d’intérêts à collecter toutes les informations possibles sur nous. Pour le faire, elles utilisent des artifices que l’on peut qualifier de marketing. Quand il s’agit de la force publique les choses sont présentées comme normales, sans préjudice et même pour le bienfait de tous. Mais que cela soit clair, l’aliénation physique ou numérique n’est un bienfait pour personne et il n’y a pas de petits renoncements quand on parle de libertés fondamentales.
Quelles soient privées ou publiques, ces captations de données à caractère personnel sont strictement encadrées dans l’espace européen, en particulier par le RGPD.
Que ce soit dans le privé comme dans le public, des excès voire des traitements illégaux sont réalisés et seules la vigilance et les actions des individus permettront de les protéger.
Comment reconnaître les conditions de la légalité ?
La loi Informatique & Liberté / RGPD consacre un certains nombre de grands principes, au premier du rang desquels ont trouve le devoir d’information.
Ce devoir consiste, en synthèse, à avertir du fait qu’un traitement utilisant des données personnelles est réalisé, d’indiquer quelle est sa base légale, qui est le responsable et de rappeler les droits de la personne vis-à-vis de ce traitement (droit de consulter, modifier, effacer, …). Ne pas être informé correctement est souvent un excellent indicateur pour comprendre que le traitement effectué est attaquable et que s’il est effectivement illégal alors ce qui en découle est nul et non avenu. Rien que cela.
Ne pas être informé correctement est souvent un excellent indicateur pour comprendre que le traitement effectué est attaquable et que s’il est effectivement illégal alors ce qui en découle est nul et non avenu.
Vous entrez dans le champ d’une caméra ? Vous devez en être averti, en général par une affiche ou un panneau qui s’ils sont bien faits, vous indiquent qui est le responsable du traitement des données captées par la caméra et comment le joindre. Et que l’on ne vienne pas vous expliquer qu’il est difficile d’afficher des informations partout : il est moins complexe et coûteux de mettre un panneau que d’installer une caméra !
Et ce qui est vrai pour un moyen technique comme une caméra, l’est aussi pour n’importe quel formulaire commercial ou administratif (oups, les cerfas n’ont pas de mentions légales ! ).

Comment les élus peuvent-ils exercer leurs droits au nom de l’intérêt général ?
Les élus ne sont pas là pour voter à la chaîne ce qui leur est proposé en conseil. Ils ont un devoir de vigilance en matière de vérification de la légalité de ce qui est voté.
En matière de protection des données à caractère personnel, leur travail est simplifié par l’existence d’une personne particulière liée à la collectivité : le Délégué à la Protection des Données (DPD / DPO).
Dans toutes les collectivités publiques, nommer un DPD est obligatoire. La première vérification à faire est donc de demander à connaître qui est le délégué de votre collectivité.
- les fiches des traitements effectués (obligation formelle) dans laquelle on aura entre autres les actions effectuées, leur base légale et la liste des données personnelles collectées
- les études d’impacts qui ne sont pas toujours obligatoires mais qui le sont pour les caméras. Dans ces études on peut avoir le détails des installations, l’analyse des contrats de sous-traitance, l’évaluation des risques sur la vie privée, etc…
- Vérifier la nomination du DPD
- Demander les fiches de traitement
- Demander les études d’impact
Ces documents n’ont aucun caractère confidentiel et ne peuvent pas être refusés. Eventuellement, certaines données sur d’autres personnes que le demandeur devront être masquées. Dans le pire des cas, un recours à la loi CADA est possible pour forcer leur transmission aux élus.
Comment les personnes non élues peuvent-elles exercer leurs droits ?
- Vérifier l’affichage des informations RGPD (mairie, site internet, affiches des caméras, …)
- Demander à consulter / avoir une copie de ses données
- Faire appel à la CNIL

Conclusion
