Protection de la vie privée

Le droit au respect de la vie privée protège la sphère personnelle de chacun : vie familiale, correspondances, domicile, état de santé ou habitudes de vie. En droit français, chacun peut demander au juge de faire cesser une atteinte à son intimité (C. civil, Art. 9). Cette protection vaut pour toute personne. Elle doit parfois être conciliée avec d’autres exigences, comme la liberté d’expression, le droit à l’information ou la sécurité publique (CEDH, Art. 8).

L’expression « donnée personnelle » qualifie toute information permettant d’identifier une personne, directement ou indirectement : nom, adresse, numéro, photo, identifiant en ligne, etc. Leur « traitement » désigne toute opération réalisée sur ces données : collecte, enregistrement, conservation, modification, transmission ou effacement.

Depuis 2016, le règlement général sur la protection des données (RGPD) encadre et harmonise, au niveau européen, le traitement des données. Ce dernier doit reposer sur une base légale, par exemple le consentement, l’exécution d’un contrat, une obligation légale, un intérêt légitime ou une mission d’intérêt public.

Les données doivent être :

• traitées de manière loyale, licite et transparente ;
• collectées pour un objectif précis et se limiter à ce qui est nécessaire au regard de la finalité poursuivie ;
• conservées pendant une durée limitée et adaptée ;
• protégées contre les accès non autorisés (RGPD, Art. 5).

Certaines données dites sensibles obéissent à des règles renforcées. Il s’agit notamment des données qui révèlent l’origine raciale ou ethnique, les opinions politiques, les convictions religieuses, les données de santé, biométriques ou génétiques, ainsi que les données relatives à la vie sexuelle ou à l’orientation sexuelle. Leur traitement est en principe interdit, sauf exceptions prévues par les textes. Par exemple, il peut être autorisé s’il est effectué à des fins de recherches scientifiques ou statistiques. Dans ce cas, les conditions de traitement sont strictement encadrées (RGDP, Art. 9).

Vous devez être informé, au moment de la collecte, de l’identité du responsable du traitement, de la finalité poursuivie, de la base légale utilisée et de la durée de conservation. Vous pouvez ensuite exercer un certain nombre de droits : le droit d’accès, de rectification, le droit au déréférencement et à l’effacement (voir E-Réputation), et dans certains cas, le droit à la limitation du traitement, le droit à la portabilité (obtention d’une copie des données pour les réutiliser ailleurs) et le droit d’opposition (RGPD, Art. 13 à 21). Vous pouvez aussi définir des directives sur le sort de vos données après votre décès (Loi n° 78-17 du 6/1/1978, Art. 85).

Les organismes doivent mettre en place des modalités concrètes pour vous permettre d’exercer ces droits. Ils doivent vous répondre, en principe, dans un délai d’1 mois, ou de 3 mois si la demande est complexe (RGPD, Art. 12).

En cas de refus ou de non-réponse, l’internaute peut saisir l’autorité de contrôle, la CNIL (www.cnil.fr/fr/adresser-une-plainte), et/ou former un recours juridictionnel.

La diffusion de données personnelles, de photographies ou de vidéos doit être maniée avec prudence. Le consentement de la personne concernée reste un principe central, surtout lorsqu’elle est identifiable et que la publication ne relève pas d’un débat d’intérêt général. Le fait de diffuser des informations permettant d’identifier quelqu’un ou de le localiser pour l’exposer à un risque direct d’atteinte à sa personne ou à ses biens constitue un délit, communément appelé « doxxing ». Il est puni de 3 ans d’emprisonnement et d’une amende de 45 000 € (C. pénal, Art. 223-1-1).

À l’échelle européenne, le Digital Service Act (DSA) impose aux plateformes de réseaux sociaux une obligation de diligence renforcée en matière de signalement, de transparence et de traitement des contenus illicites (voir Réseaux sociaux).

Lorsqu’un traitement est fondé sur le consentement, le mineur de moins de 15 ans ne peut valablement consentir que conjointement avec le ou les titulaires de l’autorité parentale. À partir de 15 ans, il peut en principe consentir seul (Loi n° 78-17 du 6/1/1978, Art. 45).

La loi n° 2023-566 du 7/7/2023 ajoute des règles spécifiques aux réseaux sociaux en ligne (voir Réseaux sociaux). Ces services doivent refuser l’inscription d’un mineur de moins de 15 ans en l’absence d’autorisation d’un titulaire de l’autorité parentale. Ils doivent aussi informer les mineurs et leurs parents sur les risques liés aux usages numériques et permettre le signalement de contenus illicites.

Les mineurs bénéficient également d’une protection renforcée pour l’exercice de leurs droits numériques, notamment lorsqu’ils demandent l’effacement de données les concernant (voir E-réputation).

Le fait de capter, enregistrer ou transmettre l’image d’une personne se trouvant dans un lieu privé sans son consentement est pénalement sanctionné. Le fait de conserver ou de diffuser un document obtenu dans ces conditions l’est également (C. pénal, Art. 226-1 et 226-2). Lorsque les images présentent un caractère sexuel et sont diffusées sans accord, les peines sont aggravées (C. pénal, Art. 226-2-1).

Les cookies servent à mémoriser vos préférences, mesurer l’audience d’un site, suivre votre navigation à des fins publicitaires, etc. On les appelle également des traceurs. Lorsqu’ils ne sont pas strictement nécessaires au fonctionnement du service, leur dépôt suppose en principe votre accord (Loi n° 78-17 du 6/1/1978, Art. 82). C’est la fameuse fenêtre qui s’ouvre lors de la consultation d’un nouveau site, où il faut choisir entre « J’accepte tout », « Je n’accepte rien » et « Je n’accepte que les cookies essentiels ».

Les plateformes et applications utilisent souvent les données collectées par les cookies pour personnaliser les contenus, recommander des publications, cibler les publicités ou établir des profils. Ce profilage peut avoir des effets concrets sur les contenus qui vous sont montrés ou sur les offres qui vous sont proposées.

Vous pouvez vous opposer à ce que vos données soient utilisées à des fins de prospection commerciale. Lorsque vous exercez ce droit, vos données ne doivent plus être utilisées à cet effet (RGPD, Art. 21). Il faut pour cela contacter les organismes à qui vous aviez donné votre accord pour qu’ils effacent vos informations de leur base de données, ce qui peut s’avérer long et fastidieux. Pour faciliter cette démarche, vous pouvez vous inscrire sur des listes d’opposition (www.cnil.fr/fr/les-listes-dopposition).

Malgré un cadre juridique renforcé, il peut arriver que des personnes ou organismes non autorisés aient accès à vos données personnelles, que ce soit de façon accidentelle ou illicite.

Si cela arrive, il faut d’abord prévenir l’organisme concerné (réseau social, plateforme de vente en ligne, etc.) ou son délégué à la protection des données (DPO) (voir E-réputation). Si le risque est sérieux, l’organisme doit notifier la CNIL et, en cas de risque élevé, informer les personnes concernées. S’il s’agit d’une cyberattaque (voir Fraudes en ligne), un signalement ou une plainte auprès de la police peut aussi être utile.

Pour s’en prémunir, on peut adopter quelques réflexes : mots de passe forts et uniques, double authentification, vigilance face au phishing, limitation du partage de données et vérification des destinataires avant tout envoi. Il peut également être judicieux d’utiliser un pseudonyme et de créer plusieurs adresses électroniques en fonction des usages (personnel, professionnel, etc.), ou encore, d’effacer régulièrement son historique. Il faut, enfin, toujours faire attention à ce que l’on partage sur Internet. Photo de famille gênante, opinions personnelles, etc. : une fois publiées, leur diffusion devient incontrôlable.

Les objets connectés (montres, enceintes, caméras, jouets, thermostats, etc.) peuvent collecter des données sur nos habitudes, notre localisation ou notre voix, par exemple. Cela leur permet de mieux s’adapter à nos usages et de devenir plus performants. Néanmoins, s’ils sont mal paramétrés ou insuffisamment sécurisés, cela peut porter atteinte à notre vie privée.

La CNIL rappelle donc l’intérêt d’adopter quelques réflexes simples : changer les paramètres par défaut, faire les mises à jour, limiter les permissions accordées, désactiver les fonctions inutiles et vérifier quelles données sont réellement collectées. Il peut être opportun de privilégier, lorsque cela est possible, des constructeurs français ou européens, plus directement soumis aux exigences européennes en matière de protection des données et de cybersécurité.