Mise en œuvre des droits d'opposition, d'accès direct et de rectification prévus dans le cadre de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés.
Note INSEE du 14 mars 2008 n° 114/DG75-D110

La loi " Informatique et Libertés " ouvre, pour chaque personne concernée par un traitement de données à caractère personnel, la possibilité d'exercer un certain nombre de droits. Le décret n° 2007-451 en date du 25 mars 2007 qui complète le décret du 20 octobre 2005 ouvre de nouvelles méthodes d'exercice de ces droits.

1°) De quels droits s'agit-il ?

Dans la section 2 de son chapitre V (articles 38 à 43), la loi " Informatique et Libertés " attribue des droits à chaque personne concernée par un traitement de données à caractère personnel. Parmi ces droits, se trouvent :

* Droit d'opposition : Il s'agit du droit général pour une personne concernée de s'opposer, pour des raisons légitimes, à la mise en œuvre d'un traitement. Ce droit ne peut être exercé en cas d'obligation légale ou de disposition expresse de l'acte autorisant le traitement. Les enquêtes statistiques obligatoires entrent dans cette exception. L'exercice de ce droit peut aussi concerner une partie du traitement, comme par exemple l'opposition d'une personne à la rediffusion commerciale des données Sirene.

* Droit d'accès direct : Ce droit recouvre la possibilité pour une personne de savoir si des données la concernant font ou ne font pas l'objet d'un traitement, de connaître des informations relatives à ce traitement (finalités, données traitées, destinataires, transfert éventuel vers un État non membre de la Communauté européenne), d'avoir accès aux données qui la concernent et éventuellement à la logique du programme si ce traitement permet la prise de décision ayant des effets juridiques.

* Droit de rectification : outre la rectification des données inexactes, incomplètes ou équivoques, ce droit inclut la possibilité pour une personne concernée de demander le verrouillage ou l'effacement des données périmées ou dont le traitement est interdit.

2°) Qui peut exercer ces droits ?

Le principe général est que ces droits sont exercés par la personne concernée directement. Toutefois, un certain nombre d'exceptions sont prévues, tant dans les textes généraux que dans les décrets d'application.

2.1 Le cas des personnes mineures

Le Code civil, dans son article 389-3, prévoit une incapacité générale des mineurs, sauf si " la loi ou l'usage autorise les mineurs à agir eux-mêmes ". La loi " Informatique et Libertés " ne prévoit pas d'exception à ce principe. Il convient donc de limiter l'exercice de ces droits à l'administrateur légal du mineur.

Lorsque les deux parents ont l'autorité parentale sur le mineur, chacun d'entre eux est un administrateur légal et est réputé, à l'égard des tiers, avoir reçu le pouvoir d'exercer seul ces droits. Dans le cas où un seul parent a l'autorité parentale, seul ce parent est administrateur légal.

Il conviendra de s'assurer, notamment par la production d'un livret de famille, que la personne exerçant un droit pour un mineur a bien l'autorité parentale sur ce dernier.

Dans le cas, qui est relativement rare, où aucun parent n'a plus l'autorité parentale (en cas de décès notamment), un tuteur est nommé. Ce dernier devient l'administrateur légal du mineur et exerce donc le droit d'accès en lieu et place de l'enfant.

Le Code civil ne prévoit aucune exception d'âge, il conviendra donc de refuser un droit d'accès à une personne de moins de 18 ans et de faire assurer ce droit par son représentant légal. A cet égard, il importe peu que ce soit l'enfant ou le parent qui ait répondu à l'enquête.

2.2 Le cas des majeurs sous tutelle ou curatelle

De par la définition même de la tutelle, un majeur sous tutelle a besoin d'être représenté de façon continue dans tous les actes de la vie civile (Art. 492 du Code civil). Il ne peut donc exercer directement les droits mentionnés dans la loi du 6 janvier 1978. C'est son tuteur qui le fera à leur place. Il conviendra, dans ce cas, de vérifier le jugement prononçant l'ouverture de la tutelle. En revanche, un majeur sous curatelle peut exercer directement les droits mentionnés dans la loi du 6 janvier 1978.

2.3 Le cas d'un mandat spécial

Le décret du 25 mars 2007 prévoit explicitement, dans son article 93, la possibilité, pour une personne concernée, de pouvoir se faire représenter par un mandataire. Il convient dans ce cas de s'assurer de l'identité du mandant, de celle du mandataire ainsi que de l'existence d'un mandat spécial, c'est-à-dire mentionnant explicitement le (ou les) droit(s) que le mandataire va exercer.

3°) Sur quelles données ?

De manière générale, la loi indique que les droits mentionnés ci-dessus s'exercent pour les données concernant la personne qui exerce ces droits.

Ces données sont celles qui ne concernent que la personne elle-même : son âge, sa profession, sa nationalité, son revenu personnel, etc.. Le cas des données "communes" à plusieurs personnes doit être traité dans la note d'objectifs de sécurité, dans laquelle on précisera si l'accord de toutes les personnes concernées par cette variable est nécessaire à sa communication.

Ces règles doivent être interprétées strictement, y compris à l'intérieur d'un couple. Par exemple, un mari ne peut pas exercer un droit d'accès sur des données concernant exclusivement son épouse. Bien entendu, comme nous l'avons vu plus haut, un parent a le droit d'accéder aux données concernant son enfant mineur, puisqu'il agit comme représentant légal de son enfant, l'enfant, lui, ne pouvant pas exercer ces droits.

Dans le cadre de la collecte par un " proxy ", ce " proxy " ne peut exercer un droit d'accès ou de rectification sur les données ne le concernant pas. En revanche, une personne concernée peut exercer le droit d'accès, éventuellement, de rectification sur des données la concernant et pour lesquelles un proxy a répondu.

4°) Comment la personne concernée peut-elle exercer ces droits ?

Le décret du 25 mars 2007 prévoit deux modalités d'exercice de ces droits : par courrier ou sur place. Un paragraphe spécifique traitera d'un exercice par courriel électronique.

4.1 L'exercice par courrier

Les dispositions du décret du 25 mars 2007 encadrent les modalités d'exercice des droits lorsque la personne les exerce par courrier. La personne doit alors nécessairement signer les demandes et joindre une photocopie d'un titre d'identité portant sa signature. La réponse se fait par courrier. Elle se fera sous pli recommandé quand il existe un doute sur l'adresse indiquée (notamment dans le cas où l'adresse sur le titre d'identité n'est pas l'adresse mentionnée sur la demande ou l'adresse de retour) ou un doute sur l'identité du demandeur.

4.2 L'exercice sur place

Dans ce cas, l'identité peut être prouvée par tout moyen (y compris donc par une pièce officielle avec photo comme un permis de conduire). La personne peut se faire accompagner de la personne de son choix.

Dans le cas où le droit ne peut pas être exercé immédiatement, il est délivré à son auteur un accusé de réception daté et signé qui sera le point de départ du délai de réponse (voir plus bas). Il conviendra aussi de déterminer avec le demandeur comment le droit sera exercé ultérieurement soit par courrier, soit sur place.

4.3 L'envoi d'un courriel électronique

L'ordonnance du 8 décembre 2005 relative aux échanges électroniques entre les usagers et les autorités administratives et entre les autorités administratives ouvre la possibilité à une administration, quand elle est saisie par voie électronique, de répondre par voie électronique. L'ordonnance prévoit aussi la mise en place d'un référentiel de sécurité permettant d'assurer la sécurité des échanges.

En l'attente de la mise en place d'un tel référentiel (qui doit notamment inclure la mise en place d'un certificat chez le demandeur), les demandes d'exercice des droits reçues par courriel électronique donneront lieu à une réponse électronique indiquant soit que le dossier est complet (s'il comporte une pièce jointe avec une photocopie d'un titre d'identité) et qu'une réponse se fera par courrier, soit demandant des précisions si le dossier est incomplet.

L'envoi des données confidentielles se fera obligatoirement par lettre avec accusé de réception.

4.4 Où peut-elle exercer ses droits ?

De manière standard, l'exercice des droits d'accès et de rectification a lieu dans les directions régionales de l'Insee pour les enquêtes et à la Direction Générale pour les traitements de fichiers administratifs.

L'application de ces règles à l'Insee a été assouplie dans le cas des transferts de charge entre directions régionales de l'Insee. C'est ainsi que la personne peut se présenter dans sa direction régionale, même si l'enquête ou le recensement est traité dans une direction régionale voisine. Il appartient à l'Insee de s'organiser pour pouvoir satisfaire ces demandes.

L'exercice par courrier des droits sus mentionnés va modifier ce circuit puisque le décret prévoit expressément que le courrier peut être adressé au siège de l'organisme. Il va donc s'agir de mettre en place un circuit permettant de répondre dans le délai adéquat (voir plus bas).

5°) Les délais de réponse de l'Insee

L'Insee a deux mois pour répondre à la demande formulée. Toute absence de réponse dans ce délai vaut décision de refus et pourra donc faire l'objet d'une plainte auprès de la Cnil ou d'un recours pour excès de pouvoir devant le Conseil d'État.

Toutefois, l'Insee peut demander des renseignements complémentaires si " la demande est imprécise ou ne comporte pas tous les éléments permettant au responsable de traitement de procéder aux opérations qui lui sont demandées " (décret du 27 Mars 2007). Cette demande d'information suspend le délai de deux mois et doit être adressée au demandeur par lettre recommandée ou par voie électronique.

6°) Les réponses négatives de l'Insee

Le décret précise que toute réponse négative explicite doit être motivée, sauf demande " manifestement abusive " qu'il conviendra d'interpréter de manière stricte.

La lettre de refus précisera les voies de recours possibles : dépôt d'une plainte auprès de la Cnil et/ou recours pour excès de pouvoir devant le Conseil d'État.

7°) Les réponses à l'exercice des différents droits

7.1 Impossibilité d'identification de la personne

Dans un certain nombre de cas, notamment pour les enquêtes auprès des ménages ne comportant pas de réinterrogations, le lien entre les données et l'identité de la personne est détruit quelque temps après la collecte. Après cette destruction, il conviendra de répondre négativement à la demande d'accès en raison de l'impossibilité d'identification des données demandées.

Cette impossibilité d'identification doit prendre en compte la totalité des informations en possession par les différents services de l'Insee (division à la DG, service production dans les CNI et équipes ou pôles en direction régionale).

7.2 Le droit d'opposition

La possibilité de s'opposer à un traitement concerne principalement les enquêtes non obligatoires de l'Insee. Le droit d'opposition s'exerce principalement au moment de l'interrogation de la personne. Toutefois, la personne concernée peut exercer son droit d'opposition tant qu'il est possible d'identifier les données qui la concernent. Il conviendra donc, dans ce cas, de détruire les données correspondantes.

Pour les enquêtes obligatoires et pour la totalité (ou presque) des traitements de fichiers administratifs, le droit d'opposition ne peut s'exercer et il conviendra de faire une réponse négative au demandeur en s'appuyant sur l'acte réglementaire autorisant ou créant le traitement.

Le traitement de données à caractère personnel peut aussi prévoir des droits d'opposition partiels, qu'il s'agisse de réponses à certaines questions ou de refus d'utilisation des données collectées à des fins de prospection commerciale . Dans ce cas, tant que la possibilité d'identification existe, il conviendra de répondre favorablement à ce droit d'opposition. Le décret du 27 mars 2007 oblige le responsable du traitement à en informer l'ensemble des destinataires des données.

7.3 Le droit d'accès direct

Il convient de transmettre à la personne concernée, suivant les modalités qu'elle a choisies, une copie des données la concernant (voir le paragraphe 3 " Sur quelles données ? " ). De manière générale, la délivrance de la copie des données par les services de l'Insee ne s'accompagne pas de la perception d'une somme d'argent.

7.4 Le droit de rectification

Après la rectification des données, il est nécessaire de faire parvenir à la personne concernée et suivant les modalités qu'elle a choisies, une copie gratuite montrant que la rectification a été faite.