Data Protection Act 1998

Loi générale publique du Parlement du Royaume-Uni

La loi de 1998 sur la protection des données (DPA, ch. 29) était une loi du Parlement du Royaume-Uni conçue pour protéger les données personnelles stockées sur des ordinateurs ou dans un système de classement papier organisé. Il a promulgué les dispositions de la directive de 1995 sur la protection des données de l'Union européenne (UE) concernant la protection, le traitement et la circulation des données.

En vertu de la DPA de 1998, les individus avaient le droit légal de contrôler les informations les concernant. La majeure partie de la loi ne s'appliquait pas à l'usage domestique, comme la tenue d'un carnet d'adresses personnel. Toute personne détenant des données personnelles à d'autres fins était légalement tenue de se conformer à cette loi, sous réserve de certaines exceptions. La loi définit huit principes de protection des données pour garantir que les informations sont traitées licitement.

Il a été remplacé par le Data Protection Act 2018 (DPA 2018) le 23 mai 2018. Le DPA 2018 complète le Règlement général sur la protection des données (RGPD) de l'UE, entré en vigueur le 25 mai 2018. Le GDPR réglemente la collecte, le stockage et l'utilisation des données personnelles de manière beaucoup plus stricte[1].

Contexte historique

modifier

La loi de 1998 a remplacé le Data Protection Act of 1984 et la loi de 1987 sur l'accès aux fichiers personnels (Access to Personal Files ACT of 1987). En outre, la loi de 1998 a mis en œuvre la directive européenne sur la protection des données de 1995.

Le règlement de 2003 sur la confidentialité et les communications électroniques (directive CE) a modifié l'exigence de consentement pour la plupart des activités de marketing électronique en un « consentement positif », tel qu'une boîte d'inscription. Des exemptions subsistent pour la commercialisation de »produits et services similaires » aux clients et demandeurs existants, qui peuvent toujours être autorisées sur une base de non-participation.

La loi de Jersey sur la protection des données a été calquée sur la loi du Royaume-Uni.

Contenu

modifier

Étendue de la protection

modifier

L'article 1 de la DPA 1998 définit les « données personnelles » comme toute donnée qui aurait pu être utilisée pour identifier un individu vivant. Les données anonymisées ou agrégées étaient moins réglementées par la loi, à condition que l'anonymisation ou l'agrégation n'ait pas été effectuée de manière réversible. Les individus peuvent avoir été identifiés par divers moyens, y compris le nom et l'adresse, le numéro de téléphone ou l'adresse e-mail. La loi ne s'appliquait qu'aux données détenues ou destinées à être détenues sur des ordinateurs (« équipement fonctionnant automatiquement en réponse à des instructions données à cette fin »), ou détenues dans un « système de classement pertinent »[2].

Dans certains cas, les documents papier auraient pu être classés comme un système de classement pertinent, comme un carnet d'adresses ou le journal d'un vendeur utilisé pour soutenir les activités commerciales[3].

La loi Freedom of Information Act 2000 modifie la loi pour les organismes et autorités publics, et l'affaire Durant a modifié l'interprétation de la loi en fournissant une jurisprudence et des précédents[4].

Une personne dont les données ont été traitées avait les droits suivants[5] :

  • En vertu de l'article 7, pour consulter les données les concernant détenues par une organisation moyennant des frais raisonnables : les frais maximum étaient de 2 £ pour les demandes adressées aux agences de référence de crédit, de 50 £ pour les demandes de santé et d'éducation, et de 10 £ par personne dans le cas contraire[6],
  • En vertu de l'article 14, de demander que des renseignements inexacts soient corrigés. Si l'entreprise avait ignoré la demande, un tribunal aurait pu ordonner la correction ou la destruction des données et, dans certains cas, une indemnisation aurait pu être accordée[7].
  • En vertu de l'article 10, d'exiger que leurs données ne soient pas utilisées d'une manière susceptible d'avoir causé des dommages ou une détresse.
  • En vertu de l'article 11, d'exiger que leurs données ne soient pas utilisées à des fins de marketing direct.

Principes de protection des données

modifier

L'annexe 1 énumère huit « principes de protection des données » :

  1. Les données personnelles seront traitées loyalement et licitement et, en particulier, ne seront traitées que si :
    1. au moins une des conditions de l'annexe 2 est remplie, et
    2. dans le cas de données personnelles sensibles, au moins une des conditions de l'annexe 3 est également remplie.
  2. Les données personnelles ne seront obtenues que pour une ou plusieurs finalités déterminées et licites, et ne seront pas traitées ultérieurement d'une manière incompatible avec cette ou ces finalités.
  3. Les données à caractère personnel doivent être adéquates, pertinentes et non excessives au regard de la ou des finalités pour lesquelles elles sont traitées.
  4. Les données personnelles doivent être exactes et, si nécessaire, mises à jour.
  5. Les données personnelles traitées à quelque fin ou à quelque fin que ce soit ne doivent pas être conservées plus longtemps que nécessaire à cette fin ou à ces fins.
  6. À propos des droits des individus, par exemple [8] les données personnelles doivent être traitées conformément aux droits des personnes concernées (individus).
  7. Des mesures techniques et organisationnelles appropriées doivent être prises contre le traitement non autorisé ou illégal des données personnelles et contre la perte ou la destruction accidentelle ou l'endommagement des données personnelles.
  8. Les données personnelles ne seront pas transférées vers un pays ou un territoire en dehors de l'Espace économique européen à moins que ce pays ou territoire n'assure un niveau adéquat de protection des droits et libertés des personnes concernées à l'égard du traitement des données personnelles.
Conditions relatives au premier principe

Les données personnelles ne doivent être traitées que loyalement et licitement. Pour que des données soient qualifiées de « traitées équitablement », au moins une de ces six conditions devait s'appliquer à ces données (annexe 2).

  1. La personne concernée (la personne dont les données sont stockées) a consenti (« donné son autorisation ») au traitement ;
  2. Le traitement est nécessaire à l'exécution ou au démarrage d'un contrat ;
  3. Le traitement est requis en vertu d'une obligation légale (autre que celle stipulée dans le contrat) ;
  4. Le traitement est nécessaire pour protéger les intérêts vitaux de la personne concernée ;
  5. Le traitement est nécessaire à l'exercice de toute fonction publique ;
  6. Le traitement est nécessaire à la poursuite des intérêts légitimes du « responsable du traitement » ou des « tiers » (à moins qu'il ne puisse porter atteinte de manière injustifiée aux intérêts de la personne concernée).
Consentement

Sauf dans les cas d'exception mentionnés ci-dessous, la personne devait consentir à la collecte de ses renseignements personnels [9] et à leur utilisation aux fins en question. La directive européenne sur la protection des données définit le consentement comme »... toute indication spécifique et informée librement donnée de sa volonté par laquelle la personne concernée signifie son accord au traitement des données à caractère personnel la concernant », ce qui signifie que la personne aurait pu signifier son accord autrement que par écrit.[réf. nécessaire] Cependant, la non-communication n'aurait pas dû être interprétée comme un consentement.

De plus, le consentement aurait dû être adapté à l'âge et à la capacité de l'individu et aux autres circonstances de l'affaire. Si une organisation « a l'intention de continuer à détenir ou à utiliser des données personnelles après la fin de la relation avec l'individu, le consentement doit couvrir cela ». Lorsque le consentement a été donné, il n'était pas supposé durer éternellement, bien que dans la plupart des cas, le consentement ait duré aussi longtemps que les données personnelles devaient être traitées et les individus auraient pu retirer leur consentement, selon la nature du consentement. Et les circonstances dans lesquelles les renseignements personnels ont été recueillis et utilisés[10].

La loi Informatique et Libertés précise également que les données personnelles sensibles doivent avoir été traitées selon un ensemble de conditions plus strictes, en particulier, tout consentement doit avoir été explicite[11].

Des exceptions

modifier

La loi était structurée de telle sorte que tout traitement de données à caractère personnel était couvert par la loi tout en prévoyant un certain nombre d'exceptions dans la partie IV. Les exceptions notables étaient :

  • Article 28 – Sécurité nationale. Tout traitement aux fins de la sauvegarde de la sécurité nationale est exempté de tous les principes de protection des données, ainsi que de la partie II (droits d'accès du sujet), de la partie III (notification), de la partie V (application) et de la section 55 (obtention illégale de données personnelles ).
  • Article 29 – Criminalité et fiscalité. Les données traitées pour la prévention ou la détection d'infractions, l'arrestation ou la poursuite des contrevenants, ou l'évaluation ou le recouvrement des impôts sont exemptées du premier principe de protection des données.
  • Article 36 – Fins domestiques. Le traitement par une personne uniquement aux fins des affaires personnelles, familiales ou domestiques de cette personne est exempté de tous les principes de protection des données, ainsi que de la partie II (droits d'accès du sujet) et de la partie III (notification).

Pouvoirs de la police et des tribunaux

modifier

La loi accordait ou reconnaissait divers pouvoirs à la police et aux tribunaux.

  • Article 29 - Le consentement de la personne concernée n'est pas requis lors du traitement de données à caractère personnel pour prévenir ou détecter des délits, appréhender ou poursuivre des contrevenants, évaluer et percevoir des impôts et taxes et s'acquitter d'une fonction statutaire.
  • Article 35 – Divulgations requises par la loi ou faites dans le cadre d'une procédure judiciaire. Cela comprenait le respect des ordonnances des tribunaux et d'autres lois et faisait partie des procédures judiciaires.

Infractions

modifier

La loi détaille un certain nombre d'infractions civiles et pénales pour lesquelles les responsables du traitement peuvent être tenus responsables s'ils n'ont pas obtenu le consentement approprié d'une personne concernée. Cependant, le consentement n'était pas spécifiquement défini dans la Loi et était donc une question de common law.

  • Le paragraphe 21(1) érige en infraction le traitement de renseignements personnels sans enregistrement.
  • L'article 21(2) érige en infraction le non-respect des règlements de notification établis par le secrétaire d'État [12] (proposés par le commissaire à l'information en vertu de l'article 25 de la loi).
  • L'article 55 a rendu illégale l'acquisition de données personnelles et a fait de l'acquisition d'un accès non autorisé à des données personnelles une infraction pour les personnes (autres parties), telles que les pirates informatiques et les imitateurs, extérieures à l'organisation.
  • L'article 56 érige en infraction pénale le fait d'exiger d'une personne qu'elle fasse une demande d'accès au sujet concernant des avertissements ou des condamnations à des fins de recrutement, de maintien de l'emploi ou de prestation de services. Cet article est entré en vigueur le 10 mars 2015[13].

Complexité

modifier

La loi britannique sur la protection des données était une loi volumineuse qui avait la réputation d'être complexe [14]. Alors que les principes de base ont été honorés pour la protection de la vie privée, l'interprétation de la loi n'a pas toujours été simple. De nombreuses entreprises, organisations et particuliers semblaient très incertains des objectifs, du contenu et des principes de la loi. Certains ont refusé de fournir même des documents très basiques et accessibles au public, citant la loi comme une restriction[15]. La loi a également eu un impact sur la manière dont les organisations menaient leurs activités en termes de qui aurait dû être contacté à des fins de marketing, non seulement par téléphone et par courrier direct, mais également par voie électronique. Cela a conduit au développement de stratégies de marketing basées sur la permission[16].

Définition des données personnelles

modifier

La définition des données personnelles était des données relatives à un individu vivant qui peut être identifié

  • à partir de ces données ; ou
  • à partir de ces données ainsi que d'autres informations qui étaient en possession ou susceptibles d'être en possession du responsable du traitement.

Les données personnelles sensibles concernaient la race, l'origine ethnique, la politique, la religion, le statut syndical, la santé, les antécédents sexuels ou le casier judiciaire du sujet[17].

Demandes d'accès au sujet

modifier

Le site Web du Bureau du commissaire à l'information a déclaré concernant les demandes d'accès au sujet [18]: « Vous avez le droit de savoir si une organisation utilise ou stocke vos données personnelles. C'est ce qu'on appelle le droit d'accès. Vous exercez ce droit en demandant une copie des données, ce qui est communément appelé « demande d'accès au sujet ». »

Avant l'entrée en vigueur du Règlement général sur la protection des données (RGPD) le 25 mai 2018, les organisations pouvaient facturer des frais spécifiques pour répondre à un SAR pouvant atteindre 10 £ pour la plupart des demandes. Suivant GDPR : « Une copie de vos données personnelles doit être fournie gratuitement. Une organisation peut facturer des copies supplémentaires. Il ne peut facturer des frais que s'il estime que la demande est « manifestement infondée ou excessive ». Si tel est le cas, il peut demander des frais raisonnables pour les frais administratifs associés à la demande. » [18]

Commissaire à l'information

modifier

Le respect de la loi était réglementé et appliqué par une autorité indépendante, le Bureau du commissaire à l'information, qui maintenait les directives relatives à la loi[19],[20].

Groupe de travail de l'article 29 de l'UE

modifier

En janvier 2017, le Bureau du Commissaire à l'information a invité le public à commenter les modifications proposées par le groupe de travail de l'article 29 de l'UE à la législation sur la protection des données et l'introduction prévue d'extensions de l'interprétation de la loi, le Guide du règlement général sur la protection des données[21].

Articles connexes

modifier

Références

modifier
  1. Ford, « Recent legislation. The Data Protection Act 1998. », Industrial Law Journal, vol. 28,‎ , p. 57–60 (DOI 10.1093/ilj/28.1.57)
  2. « Data Protection Act 1998, Basic interpretative provisions » [archive du ], Office of Public Sector Information (consulté le )
  3. « Determining what information is 'data' for the purposes of the DPA » [archive du ], Information Commissioner's Office, (consulté le )
  4. « What is personal data? Information Commissioner updates guidance » [archive du ], Pinsent Masons, (consulté le ) : « In the case involving Michael Durant he sought information held on him by the Financial Services Authority. The Court of Appeal ruled that just because a document contained his name it was not necessarily defined as personal data. This changed the perception of how wide a definition of personal data could be. »
  5. http://www.ico.org.uk/what_we_cover/data_protection/your_rights.aspx
  6. https://ico.org.uk/Global/faqs/data-protection-for-the-public.aspx
  7. « Claiming compensation » [archive du ], Information Commissioner's Office (consulté le )
  8. The rights of individuals (Principle 6), ICO.org.uk, accessed 14 April 2011
  9. Sarah, « How to Comply with GDPR »,
  10. « Conditions for Processing – Guide to Data Protection – ICO » [archive du ], Information Commissioner's Office (consulté le )
  11. « Conditions for Processing – Guide to Data Protection – ICO » [archive du ], Information Commissioner's Office (consulté le )
  12. Data Protection Act 1998, Part III (Notification by Data Controllers), Section 21 « https://web.archive.org/web/20091207131721/http://www.opsi.gov.uk/acts/acts1998/ukpga_19980029_en_4#pt3-l1g21 »(Archive.orgWikiwixArchive.isGoogleQue faire ?), , Office of Public Sector Information).
  13. « Forced data subject access requests are now a criminal offence » [archive du ], Lewis Silkin (consulté le )
  14. Bainbridge, D: "Introduction to Computer Law – Fifth Edition", p. 430. Pearson Education Limited, 2005
  15. https://ico.org.uk/upload/documents/library/data-protection/introductory/data-protection-myths-and-realities.pdf
  16. (en) Iversen, Liddell, Fear et Hotopf, « Consent, confidentiality, and the Data Protection Act », BMJ, vol. 332, no 7534,‎ , p. 165–169 (ISSN 0959-8138, PMID 16424496, PMCID 1336771, DOI 10.1136/bmj.332.7534.165)
  17. « Data Protection Act 1998 » [archive du ], UK Statute Law Database (consulté le )
  18. a et b « Your right of access » [archive du ], Information Commissioner's Office (consulté le )
  19. « The Guide to Data Protection », Information Commissioner's Office (consulté le )
  20. https://ico.org.uk/what-we-cover/data-protection/guidance.aspx
  21. (en) « Guide to the General Data Protection Regulation (GDPR) » [archive du ], ico.org.uk, (consulté le )

Liens externes

modifier

Législation britannique

modifier