La géolocalisation à  des fins publicitaires

III. UNE CONSERVATION ADAPTEE

La conservation des données doit être adaptée au fait que ces données sont des données à caractère personnel. A ce titre, pèse sur le responsable de traitement une obligation de sécurité des fichiers (A) et une obligation de conservation limitée dans le temps (B).

A. LA SECURITE DES FICHIERS

Le responsable de traitement est tenu à une obligation de sécurité (1) encadrée par les pouvoirs règlementaires (2) et pouvant être étendue aux données traitées par ses sous-traitants (3).

1. L'OBLIGATION DE SECURITE

72. L'obligation de sécurité - L'article 34 de la loi n°78-17 prévoit que « le responsable du traitement est tenu de prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu'elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès ». Le responsable de traitement doit donc prendre, de manière opérationnelle, toutes les précautions utiles pour assurer la sécurité des données personnelles sous peine de voir sa responsabilité pénale engagée en vertu de l'article 226-17 du Code pénal (5 ans d'emprisonnement et 300.000 euros d'amende).

73. Moyens mis en oeuvre - Pour se faire il appartient au responsable de traitement de mener les études et les analyses techniques nécessaires. Une fois les risques délimités et analysés par ses soins il pourra définir l'ensemble des précautions utiles pour assurer la protection des données. Les mesures de sécurité adoptées doivent être tant des mesures de sécurité physique relatives à la sécurité des locaux que des mesures de sécurité logiques relatives à la sécurité des systèmes d'informations. Elles doivent être adaptées à la nature des données et aux risques présentés par le traitement. Au visa de cet article, les mesures doivent tendre a minima à ce que les données ne puissent pas être déformées, altérées ou que des tiers non autorisés y aient accès. Le responsable de traitement doit non seulement mettre en place ces mesures au moment de la création du traitement mais également durant toute sa durée de vie, ce qui lui impose de faire des audits de sécurité réguliers.

74. Une obligation de moyen - Cette obligation de sécurité est une obligation de moyen et non de résultat. En cas de manquement à son obligation de sécurité, le responsable de traitement devra prouver qu'il a pris « toutes les mesures utiles » pour sécuriser son système. La jurisprudence en la matière^36(*) révèle que ce qui importe pour déterminer la responsabilité pénale du responsable de traitement est de savoir s'il a accompli les diligences normales compte tenu de sa fonction, sa mission, ses compétences et les moyens dont il disposait.

* ³⁶TGI de Versailles, 4 mars 2002 et Cassation, chambre criminelle, 19 déc. 1995, n°94-81.431