b) Le principe de proportionnalité
Ce principe est à la fois distinct et connexe du principe de finalité. Ce principe général du droit ne figure pas littéralement dans la loi du 6 février 1978 modifiée. Mais il inspire sans ambiguïté son article 6 qui dispose que les données à caractère personnel doivent être « adéquates, pertinentes et non excessives au regard des finalités pour lesquelles elles sont collectées et de leurs traitements ultérieurs » et ne peuvent être conservées que « pendant une durée (n'excédant) pas la durée nécessaire aux finalités ».
c) Le principe de sécurité des données
L'article 34 de la loi du 6 février 1978 modifiée 41 ( * ) impose à tout responsable d'un traitement de « prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu'elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès ».
d) Le droit d'accès et de rectification
Le dernier principe est celui du droit d'accès et de rectification. Il fut affirmé explicitement dès 1978, l'article 3 disposant alors que « toute personne a le droit de connaître et de contester les informations et les raisonnements utilisés dans les traitements automatisés dont les résultats lui sont opposés ». Ces droits d'accès et de rectification, lorsque les données sont « inexactes, incomplètes, équivoques, périmées », ont été repris par les articles 39 à 43 de la loi du 6 février 1978 modifiée.
e) Les autres droits reconnus par la loi « informatique et libertés »
A ces quatre principes qui s'appliquent peu ou prou à l'ensemble des traitements de données à caractère personnel, il faut ajouter d'autres droits essentiels mais d'application circonscrite.
Il en va ainsi du droit à l'information défini à l'article 32 de la loi du 6 janvier 1978 modifiée. En cas de collecte de données personnelles directement auprès de la personne concernée, celle-ci doit être informée de l'utilisation qui peut en être faite. Ces dispositions ne s'appliquent pas aux traitements intéressant la sûreté de l'Etat ou la sécurité publique.
En cas de collecte indirecte de ces données, ce droit à l'information existe théoriquement. Mais le responsable du traitement peut s'en exonérer si cette information « se révèle impossible ou exige des efforts disproportionnés par rapport à l'intérêt de la démarche ».
Le droit d'opposition à l'utilisation de ses données personnelles est également primordial. Il est le corollaire du droit à l'information. Affirmé dès 1978 42 ( * ) , il figure désormais à l'article 38 de la loi qui précise que toute personne physique « a le droit de s'opposer, sans frais, à ce que les données la concernant soient utilisées à des fins de prospection, notamment commerciale, par le responsable actuel du traitement ou celui d'un traitement ultérieur ». Dans les autres cas, ce droit s'exerce sous réserve de « motifs légitimes ». Toutefois, ce droit d'opposition ne s'applique pas lorsque le traitement répond à une obligation légale.
La loi initiale du 6 janvier 1978 ne prévoyait pas un droit au consentement préalable . Ce nouveau droit n'a été affirmé qu'à la suite de la loi du 6 août 2004. L'article 7 de la loi du 6 janvier 1978 modifiée proclame désormais qu'« un traitement de données à caractère personnel doit avoir reçu le consentement de la personne concernée ». Ce principe est toutefois assorti de dérogations si nombreuses qu'en pratique, le régime applicable est essentiellement celui du droit d'opposition précité.
* 41 Article 29 du texte adopté en 1978.
* 42 Article 26 du texte de 1978.