This snapshot, taken on
12/04/2011
, shows web content acquired for preservation by The National Archives. External links, forms and search may not work in archived websites and contact details are likely to be out of date.
 
 
The UK Government Web Archive does not use cookies but some may be left in your browser from archived websites.

Résumé de la législation - Data Protection Act 1998

Présentation de la loi

  • Elle est entrée en vigueur le 1er mars 2000, remplaçant le Data Protection Act de 1984.
  • L’objectif n’est pas de garantir la confidentialité des données personnelles à tout prix mais de trouver un juste équilibre entre les droits des individus et les intérêts parfois en conflit de ceux souhaitant utiliser des informations personnelles pour des raisons légitimes.
  • Elle s’applique aux données sur papier comme aux données électroniques.
  • Elle est inspirée de la Directive européenne 95/46/EC qui demande aux « États membres de protéger les droits fondamentaux et les libertés des personnes physiques, en particulier leur droit à la confidentialité des données personnelles ».

Droits que confère la loi

  • Le droit d’accès
    Il permet aux individus de savoir quelles informations sont stockées à leur sujet sur ordinateur et dans certains registres imprimés. Ces informations incluent entre autres le dossier médical, les fiches détenues par les organismes publics et les informations financières que possèdent les agences de référence de crédit.
  • Le droit d’interdire l’utilisation à des fins de marketing direct
    Un contrôleur de données n’a pas le droit d’utiliser les informations sur un individu à des fins de marketing direct s’il a fait une demande allant dans ce sens. Les individus peuvent donc empêcher les offres marketing indésirables.
  • Le droit à la compensation
    Il permet aux individus de poursuivre en justice un contrôleur et de demander une compensation pour les dommages causés par le non-respect de la loi.
  • Le droit de corriger, bloquer, retirer ou détruire
    Il autorise les individus à poursuivre en justice un contrôleur pour qu’il corrige, bloque, retire ou détruise des informations personnelles si elles sont inexactes ou si elles contiennent des opinions fondées sur des informations inexactes.
  • Le droit de demander à l’ICO d’évaluer si la loi n’a pas été respectée
    Il permet aux individus de demander à l’ICO d’évaluer si un contrôleur de données a enfreint la loi.
  • Droits liés à la prise de décision automatisée
    Dans certains cas, les individus peuvent interdire aux contrôleurs de données de prendre des décisions importantes à leur sujet, comme leurs performances professionnelles ou leur solvabilité, si ces décisions sont complètement automatisées et qu’il n’y a pas d’intervention humaine.
  • Le droit d’empêcher l’utilisation
    Les individus peuvent demander à un contrôleur de données de ne pas utiliser des informations personnelles quand cela cause des dommages substantiels ou injustifiés. Le contrôleur de données n’est pas toujours tenu de se soumettre à la requête.

Les principes de protection des données (Data Protection Principles)

Les huit principes des bonnes pratiques : toute personne traitant des informations personnelles doit suivre les huit principes des bonnes pratiques d’utilisation des informations. Les données doivent être :

  • traitées de manière juste et légale ;
  • utilisées à certaines fins seulement ;
  • adéquates, utiles et non excessives ;
  • exactes et à jour ;
  • conservées seulement tant qu’elles sont nécessaires ;
  • utilisées conformément aux droits des individus ;
  • stockées en lieu sûr ;
  • conservées dans l’espace économique européen, à moins d’une protection adéquate.

Notification

Le Data Protection Act de 1998 demande à tous les contrôleurs de données qui utilisent des informations personnelles d’en informer l’ICO sauf s’ils en sont exemptés. La notification désigne l’ajout des détails d’un contrôleur de données dans le registre public de contrôleurs de données, tenu à jour par l’ICO.

Responsabilités et pouvoir d’exécution de l’ICO

  • Promouvoir une bonne utilisation des informations
  • Publier les informations sur la protection des données
  • Élaborer ou approuver les codes de pratique que doivent suivre les contrôleurs de données
  • Signifier des avis relatifs aux informations : demander à un contrôleur de données de fournir à l’ICO les informations spécifiées dans un certain délai
  • Évaluer la conformité
  • Signifier des avis d’exécution en cas de non-respect de la loi, obligeant un contrôleur de données à agir conformément à la loi
  • Poursuivre les contrevenants à la loi
  • Faire des rapports au Parlement

Il est possible de faire appel auprès du Information Tribunal, organisme indépendant mis en place pour traiter les affaires concernant les avis d’exécution ou les avis de décision signifiés par l’ICO.

Délits

Un contrôleur de données qui enfreint continuellement la loi et qui a reçu un avis d’exécution peut être poursuivi pour ne pas s’être conformé à l’avis. L’amende maximale est de 5000 £ au tribunal Magistrates' Court et est illimitée à la Crown Court.

Délit de notification : un contrôleur de données qui n’informe pas l’ICO de l’utilisation de données ou de toute modification de cette utilisation peut être poursuivi. Le fait de ne pas informer l’ICO est un délit de responsabilité. Une méconnaissance de la loi ne peut pas constituer une excuse.

Exemples

  • En octobre 2005, deux sociétés de recouvrement de dettes, situées dans la même région, ont été contraintes par la Cour de Manchester de verser une amende de 5000 £ (le montant maximum) et de payer 300 £ de frais de procès, parce qu’elles n’avaient pas informé l’ICO de l’utilisation de données personnelles.
  • En avril 2005, une société de recrutement a plaidé coupable pour ne pas avoir informé l’ICO de l’utilisation de données conformément à la section S17(1) du Data Protection Act 1998. Elle a dû payer une amende de 100 £ et des frais de procès de 700 £.

Obtention ou divulgation illégale d’informations personnelles : L’obtention, la divulgation ou l’autorisation de divulgation d’informations personnelles, effectuée sciemment ou non, sans le consentement du contrôleur de données, est un délit.

Exemples

  • Des détectives privés qui obtiennent des informations personnelles pour leurs clients par des moyens frauduleux se rendent coupables de ce délit.
  • Tout employé de banque qui communiquerait les détails d’un compte hors du contexte de son travail commet un délit.

Si une personne a obtenu des données personnelles de manière illégale, c’est un délit de les vendre ou de proposer de les vendre.

Escroqueries liées au Data Protection Act : il y a eu de nombreuses plaintes d’entreprises dénonçant des sociétés se faisant passer pour des « agences de notification » du Data Protection Act ou de contrôle par caméra et demandant aux entreprises de leur verser des sommes exagérées pour s’inscrire auprès de l’ICO, sous peine d’amende.

Exemple

  • Deux personnes ont été condamnées à six ans et demi de détention en décembre 2004 après avoir plaidé coupable dans une affaire d’escroquerie d’entreprises liée au Data Protection Act au Royaume-Uni et avoir gagné presque 700 000 £.

Related downloads