L’interconnexion de deux fichiers de données personnelles : un sujet sensible depuis l’origine
La loi informatique et libertés a vu le jour en réaction à un projet d'interconnexion de fichiers de données personnelles, révélé en 1974 par le journal « Le Monde », et désigné « projet Safari ». Le ministre de l'Intérieur de l'époque envisageait de mettre en place un système de centralisation des bases de données des services de police, parmi lesquels les renseignements généraux, la direction de la sécurité du territoire et la police judiciaire.
La révélation des recherches occultes de l'Administration conduisit le Premier ministre à décider l'interdiction de toute nouvelle interconnexion sans autorisation et la mise en place, par décret du 8 novembre 1974, d'une commission chargée de « proposer au Gouvernement dans les six mois des mesures tendant à garantir que le développement de l'informatique dans les secteurs publics, semi-publics et privés se réalisera dans le respect de la vie privée, des libertés individuelles et des libertés publiques ». C'est sur le fondement du rapport de cette commission qu'un projet de loi a été déposé aboutissant à l'adoption de la loi informatique et libertés.
Un encadrement de l’interconnexion de deux fichiers de données personnelles par la loi
Ce texte est donc particulièrement suspicieux à l'égard des interconnexions de données à caractère personnel. L'article 25 de la loi informatique et libertés prévoit que « sont mis en oeuvre après autorisation de la CNIL : 5e) les traitements automatisés ayant pour objet : [...] (ii) l'interconnexion de fichiers relevant d'autres personnes et dont les finalités principales sont différentes ».
Les critères de la CNIL pour identifier une interconnexion de deux fichiers de données personnelles
Pour autant, la loi informatique et libertés ne comporte pas de définition de la notion d'interconnexion et il peut être délicat de déterminer si un rapprochement de données envisagé doit ou non donner lieu à une demande d'autorisation. La CNIL a identifié trois critères permettant de déterminer si l'on est en présence d'une interconnexion ou d'un simple rapprochement de fichiers :
- En premier lieu, l'objet de l'interconnexion doit être la mise en relation de fichiers ou de traitements de données personnelles. Le fait de rapprocher des informations ou des données non personnelles ne constitue donc pas une interconnexion.
- En second lieu, cette mise en relation doit concerner au moins deux fichiers ou traitements distincts. L'ajout d'informations dans un fichier préexistant constitue un simple rapprochement.
- Enfin, l'interconnexion doit consister en un processus automatisé ayant pour objet de mettre en relation des informations issues des fichiers ou traitements. La comparaison visuelle d'informations de fichiers différents ne constitue pas une interconnexion.
Analyse juridique parue dans la revue Option Finance du 2 mai 2011
Conformité RGPD : découvrez notre offre
Quelle que soit votre activité, il est impératif de vous adapter et de vous conformer aux obligations actuelles et à venir du nouveau règlement européen sur la protection des données (RGPD). Découvrez l'offre d'accompagnement de notre cabinet d'avocats ci-dessous.
La Protection des données personnelles au sein de notre cabinet d'avocats :
Que vous soyez un éditeur de plates-formes électroniques, de logiciels, de jeux en ligne ou de sites Internet, une entreprise nationale ou multinationale, nos avocats spécialistes du droit des données personnelles sont à même d’intervenir sur l’ensemble de vos problématiques liées à la protection, la collecte et la gestion des données personnelles.
|
|
|
