http://www.senat.fr/questions/base/2014/qSEQ140310708.html
Question écrite n° 10708 de M. Jean-Claude Leroy (sénateur du Pas-de-Calais)
Jean-Claude Leroy attire l'attention de M. le ministre délégué auprès du ministre de l'économie et des finances, chargé de l'économie sociale et solidaire et de la consommation, sur la mauvaise information et le défaut de protection des données personnelles des consommateurs qui souscrivent des cartes de fidélité.
En effet, une enquête réalisée au second semestre 2013 par une association de consommateurs montre que le consommateur est peu ou pas du tout informé de l'utilisation qui sera faite des informations qu'il fournit (mail, téléphone, âge...).
Par ailleurs, l'enquête indique que le droit de s'opposer est mal respecté, les consommateurs étant bien souvent dans l'incapacité de s'opposer à la divulgation de leurs données personnelles.
Enfin, alors que la loi permet normalement à chacun de pouvoir consulter les informations le concernant détenues par un professionnel, cela se révèle souvent impossible dans les faits.
Aussi, il lui demande de bien vouloir lui indiquer les mesures qu'il compte prendre afin de faire évoluer cette situation et assurer une meilleure protection des consommateurs détenteurs de cartes de fidélité.
Réponse du Secrétariat d'État, auprès du ministère de l'économie, de l'industrie et du numérique, chargé du commerce, de l'artisanat, de la consommation et de l'économie sociale et solidaire publiée dans le JO Sénat du 21/04/2016 p. 1690
Actuellement, la protection des données personnelles des citoyens est régie par la loi n° 78-17 du 6 janvier 1978 relative à l'informatique et aux libertés qui pose, concernant le recueil et le traitement de leurs données à caractère personnel, plusieurs principes :
- le principe de finalité selon lequel ne doivent être recueillies et traitées des données destinées à un usage déterminé et légitime ;
- le principe de proportionnalité imposant que seules doivent être enregistrées les informations pertinentes et nécessaires pour leur finalité ;
- le principe de pertinence des données qui doivent être adéquates, pertinentes et non excessives au regard des objectifs poursuivis ;
- le principe de durée limitée de conservation des données. C'est ce que l'on appelle le droit à l'oubli. Les informations ne peuvent être conservées de façon indéfinie dans les fichiers informatiques. Une durée de conservation doit être établie en fonction de la finalité de chaque fichier ;
- le principe de sécurité et de confidentialité pèse sur le responsable du traitement, astreint à une obligation de sécurité pour garantir la confidentialité des données et éviter leur divulgation ;
- le principe de transparence à l'égard des citoyens concernant le traitement des données les concernant ;
- et enfin le principe du droit des personnes qui comprend un droit d'accès et de rectification permettant à toute personne de faire rectifier ou supprimer les informations erronées la concernant et un droit d'opposition permettant à toute personne de s'opposer, pour des motifs légitimes, à ce que des données la concernant soient enregistrées dans un fichier informatique, sauf si celui-ci présente un caractère obligatoire.
Sur le sujet des données personnelles, la France et les Etats membres, en général, ne disposent pas de latitude pour légiférer de manière indépendante. En effet, la loi de 1978, modifiée, intégrait déjà les principes d'une directive européenne de 1995 sur les données à caractère personnel et, à terme, les États de l'Union européenne (UE) devront appliquer le futur règlement relatif à la protection des données personnelles. Fin 2015, l'UE a trouvé un accord sur ce règlement en négociation depuis quatre ans. Ce texte entrera en vigueur début 2018 et mettra fin à la fragmentation juridique actuelle entre les États membres sur le sujet. Les principes essentiels de la loi 78-17, tels que le principe de proportionnalité, le droit à l'oubli, le droit d'opposition, sont maintenus dans le futur règlement.