導入
個人データは、自然人を直接的または間接的に特定できる情報です。これらは、特に 1978 年のデータ保護法、地域レベルの指令 95/46/EC、および個人データ保護に関する評議会の条約第 108 号など、プライバシーの権利に関するさまざまな法的文書によって保護されています。ヨーロッパ。フランスのCNILと同様に、今日多くの国には個人データの保護を担当する当局があり、多くの場合、独立した行政当局 (またはそれに相当する当局) です。
個人 (または名義) データは、姓、名、住所 (物理的および電子的)、電話番号、場所と生年月日、社会保障番号、支払いカード番号、車両登録プレート、写真、指紋、DNA などに対応します。実際、今日では、検索エンジンを使用して 1 つ以上のデータベースを検索し、これらのデータのほんの一部を組み合わせて検索することで、あらゆる個人を正確に識別し、見つけることが可能になります。これらのデータの一部 (特に社会保障番号や NIR、生体認証データ (指紋、DNAサンプルなど) など) は、さまざまなファイルを接続できる「ユニバーサル識別子」として機能するため、特に機密性が高くなります。一緒に、そして相互に接続します。
欧州評議会の閣僚理事会による 1997 年の宣言によると、これらには、指紋および一般にあらゆる生体認証の特徴だけでなく、医療および遺伝データも含まれます。
このデータに関しては、保存期間、目的、個人データの収集に関する本人の同意、情報提供の義務、会社の一部としての代表機関との協議など、いくつかの重要な要素が考慮されます。 、恩恵を受ける(または受けない)技術的保護のレベルなど。
フランスにおける個人データ
1978 年のデータ保護法によれば、民間部門に関しては、これらの業務を担当する個人またはサービスが事前に宣言を行った場合にのみ、このデータを収集、処理、および保存できるのは組織または会社です。 CNIL。登録番号の割り当てによって検証する必要があります。この番号は、個人データファイルを管理するサービスの連絡先アドレスに加えて、 Web サイトに表示する必要があります。
2001 年の日常安全法、およびテロとの戦いに関連する 2006 年の法律によって改正されて以来、ISP と通信事業者はユーザーの接続データを保管し、希望に応じて当局の警察官がデータを利用できるようにすることが義務付けられています。
個人データのファイルまたは処理の責任者は、データ保護法第 32 条および第 38 条に従って、この処理の目的、この情報の受信者の身元、およびその受信者が持つ権利を関係者に通知する必要があります。 1978年。
政党、教会、労働組合、協会は、そのメンバーのファイルを CNIL に申告する必要はありません。 CNIL の申告免除第 6 号に規定されているように、個人が専ら個人的な活動の一環として実装した Web サイトも申告から免除されます。
フランスの法律では、個人の人種的、民族的出自、政治的、哲学的、宗教的見解、労働組合への加入を明らかにするもの、あるいは健康や性生活に関連する個人データを「機密データ」とみなしています。このデータを収集および記録することは先験的に禁止されており、特定の条件下でこの規則から逸脱できるのは州ファイル (警察、RG など) のみです。
企業に関しては、企業法務ソリューションの発行者である LEGAL SUITE が開発し、 Village de la Justice で主催された 2008 年 6 月の調査では、個人データに関して企業が抱えている欠点が明らかになりました。回答者のほぼ半数 (企業のうち)合計300 人の専門家)が個人データの管理をマスターしていないと述べており、CNIL から課せられる罰金は最大 30 万ユーロに達する可能性があるため、一部の管理者にとってはその欠点が冷や汗をかく可能性があります。 「しかし、大多数(60%)は、個人データの概念と問題についてよく、あるいはむしろよく知っていると主張しています。」この調査によると、「これは、企業がCNILに対する法的義務について知らされているにもかかわらず、法律に従ってすべての申告と処理を厳密に管理していないことを示している」としている。 ITRmanager.com によると、「それでも、CNIL は 2 年間フランス企業と意識向上活動を行ってきたため、状況は徐々に変化するはずです。」
健康データ
医療データは、指令 95/46/ECおよびデータ保護法によって「機密データ」とみなされます。したがって、これらは、入院患者のコンピュータ化された医療ファイルなど、法律で規制されている特定の非常に特殊な場合にのみ収集できます。 2003 年のBabusiaux報告書は、匿名化を条件に、このデータを CPAM (一次医療保険基金) だけでなく相互組合や保険会社にも送信することを推奨しました。少数の医師は、 Carte Vitaleの実施中に、医療の機密性を保護する必要があると主張して、医療記録の電子化に反対しました。
1990年代後半、エイズを届出感染症に含めるか否かが議論になった。ジョスパン政権のバーナード・クシュナー保健国務長官は、HIV陽性者に病気の申告を強制し、このデータは匿名化することを提案していた。エイズと闘う団体は、データが匿名である限り、このプロジェクトに敵対的ではなかった。この提案は、欧州エイズ監視センター所長のジャン・バティスト・ブリュネ氏も支持した。しかし、国家エイズ評議会はこの計画に反対し、「個人の自由が攻撃されるリスク」と「患者の利益に直接ならない強制措置」の有効性の低さを強調した。規制に違反した場合の幻想的な制裁システム、さらには公衆衛生規範の法的調整さえも。しかし、1999 年 5 月、政令により、 1998 年の健康監視法を適用して、エイズの強制申告が課されました。 1999 年 5 月 6 日に公布された別の法令は、健康監視研究所が実施する自動処理に指名データが含まれる可能性と、これによって差別が引き起こされる可能性があるため、1999 年の夏にエイズと闘う団体の懸念を引き起こしました。 。その後、大臣はこの政令を修正すると発表し、一方CNILはIVSによる自動処理の実施を2009年9月まで延期した。
すべてのデータは個人的なものになったのでしょうか?
これはDavid Brinによる質問です。実際、個人データを一方に置き、個人ではないデータをもう一方に置くという二分法は誤りです。非常に多くの一見匿名に見えるデータが、処理後に個人的なものになる可能性があります。
たとえば、マサチューセッツ州職員の匿名化された医療データ (通院、医療相談) は、同じ都市の選挙人名簿と照合することで「再特定」されました。したがって、この州の知事を再特定するには、合計 54,000 人の住民と 7 つの郵便番号のうち、同じ生年月日を共有するのは 6 人だけで、そのうち 3 人が男性で、このうち同じ郵便番号を共有するのは 1 人だけでした。 。
デジタル追跡と行動ターゲティング:プライバシーと IT
デジタル追跡 (Cookie など) を個人データと見なすべきかどうかという問題は、今日でも生じています。実際、これらの追跡の一部は、インターネット ユーザーの閲覧習慣に関する情報を取得することを可能にし、特に使用されるプロファイル データベースの開発を目的として、関係者が知ることなく個人情報を収集することを可能にします。広告または商業的ターゲティング目的 (行動ターゲティング) だけでなく、法的調査の文脈でも使用することができます。たとえば、パリ控訴裁判所の 2 つの判決によれば、インターネット ユーザーの接続IP アドレスは個人データとみなされません。 。ただし、このビジョンは CNIL のビジョンではありません。CNIL は IP アドレスが個人データであると考えています。しかし、この問題は法律によってすぐに解決される可能性がある。実際、このデータを個人データの範囲内として考慮することを目的とした法案が現在議会で議論されています。
Tor、 I2P 、 Freenetなどの匿名ネットワーク、またはプロキシ サーバーを使用して、匿名でインターネットを閲覧することは引き続き可能です。
個人データの収集と使用
収集方法は、デジタル技術によって特に多様化しています。個人が自発的に記入するフォームから、痕跡 (閲覧習慣、接続アドレスの地理的位置) の記録までです。
悪用の方法は、検索エンジンやオンライン ソーシャル ネットワークを使用して情報を検索することによって個人が実行することも、組織が実行することもあります: ターゲットを絞ったマーケティング、州ごとの人口リスト、未承諾の商用電子メールの大量送信など。