Le traitement des données personnelles est strictement encadré, cela sexplique par le fait que ces données concernent la vie privée des personnes et, par conséquent, leur utilisation pourrait porter atteinte aux libertés des personnes. Sur internet, de nombreuses techniques permettent de collecter les informations relatives aux personnes. Par exemple, un internaute se verra souvent proposé de remplir des questionnaires où on lui demandera, entres autres, ses noms, prénoms, adresses électroniques ou encore son adresse postale. Une autre source dinformation réside dans les cookies, ces logiciels sinstallent directement sur les disques durs et ils enregistrent les visites de linternaute lorsquil est connecté et quil navigue sur lInternet. Ces logiciels recueillent des informations sur ses habitudes, ses centres dintérêts, etc. Laction de collecter des données personnelles nest pas en soi interdite, cependant, cette collecte ne doit pas être effectuée à linsu de linternaute. Il est nécessaire quil ait donné son accord en toute connaissance de cause. Il doit nécessairement avoir la possibilité daccepter ou de sopposer à celle-ci. Les personnes doivent donc être informées que des données les concernant sont susceptibles dêtre collectées et utilisées. Néanmoins, le consentement préalable de la personne nest plus requis lorsque ses coordonnées ont été recueillies directement auprès de lui à loccasion dune vente précédente ou de la fourniture dune prestation de service portant sur des biens ou des services identiques. On lui proposera, en revanche, la possibilité de sopposer à lutilisation de ses coordonnées personnelles.
Les traitements informatiques des données personnelles qui présentent des risques particuliers datteinte aux droits et aux libertés doivent, avant leur mise en oeuvre, être soumis à l'autorisation de la Commission nationale de l'informatique et des libertés (CNIL). Le non-respect des règles relatives au traitement des données personnes est sanctionné pénalement, celui qui sy risque sera sanctionné dune peine de cinq ans d'emprisonnement et de 300.000 euros damende. Ainsi, celui qui procède ou fait procéder, même par négligence, à des traitements des données à caractère personnel sans quaient été respectées les formalités préalables à leur mise en uvre, celui qui collecte des données à caractère personnel par un moyen frauduleux, déloyal ou illicite, celui qui procède à un traitement de données à caractère personnel concernant une personne physique malgré l'opposition de cette personne, lorsque ce traitement répond à des fins de prospection, notamment commerciale, ou lorsque cette opposition est fondée sur des motifs légitimes, se risquent tous à cinq ans d'emprisonnement et à 300.000 euros damende. En outre, le fait de mettre ou de conserver en mémoire informatisée, sans le consentement exprès de lintéressé, des données à caractère personnel qui, directement ou indirectement, font apparaître les origines raciales ou ethniques, les opinions politiques, philosophiques ou religieuses, ou les appartenances syndicales des personnes, ou qui sont relatives à la santé ou à l'orientation sexuelle de celles-ci, ou encore de mettre ou de conserver en mémoire informatisée des données à caractère personnel concernant des infractions, des condamnations ou des mesures de sûreté sera puni des mêmes peines.
Les personnes dont les informations sont détenues dans un fichier, doivent être en mesure dy avoir accès. Cest au responsable du fichier quil incombera de leur donner la possibilité de faire valoir leur droit. Pour cela, avant même de recueillir les données personnelles, il devra les informer des diverses informations le concernant : son identité, la finalité de son traitement, le caractère obligatoire ou facultatif des réponses, les destinataires des informations, lexistence de droits et les transmissions envisagées. Le refus ou lentrave au bon exercice des droits des personnes est sanctionné pénalement. De plus, une fois obtenues, les informations recueillies dans le fichier devront être cohérentes par rapport à lobjectif de celui-ci. Elles ne peuvent pas être réutilisées de manière incompatible avec la finalité pour laquelle elles ont été collectées. La finalité doit être déterminée, explicite et légitime. La personne a autorisé la collecte et lutilisation des données dans un objectif déterminé, lequel pose les limites de lutilisation des informations par le responsable du fichier. Tout détournement de finalité est passible de cinq ans d'emprisonnement et de 300.000 euros d'amende. En outre, le responsable du traitement informatique de données personnelles doit adopter toutes les précautions utiles, adaptée à la nature des données et des risques présentés par le traitement, afin de sécuriser au maximum les données et, notamment, dempêcher qu'elles subissent des déformations, dommages ou encore que des tiers non autorisés y accèdent. Une obligation de sécurité lui incombe. Les précautions peuvent être par exemple dassurer la sécurité des locaux ou encore celle des systèmes dinformation afin déviter lintrusion de tiers. Le non-respect de lobligation de sécurité est passible dune peine de cinq ans demprisonnement et dune amende de 300.000 euros.
Les personnes en donnant leur accord pour lutilisation de leurs données personnelles ne les ont pas rendues publiques pour autant, bien au contraire, elles les ont confiées au responsable du traitement informatique qui doit alors en assurer la sécurité et la confidentialité. Elles ne doivent ni être divulguées, ni être transférées. Ces données doivent absolument rester confidentielles, et ce seront uniquement les personnes autorisées qui pourront accéder aux données personnelles comprises dans le fichier. Ces personnes autorisées sont les destinataires précisément désignés pour en obtenir la communication et les « tiers autorisés » qui ont qualité pour les recevoir de façon ponctuelle et motivée tel, par exemple, le Trésor Public. La communication dinformations à des personnes qui ny ont pas été autorisé sera punie dune peine de cinq ans de prison et dune amende dun montant de 300.000 euros, tandis que la divulgation dinformations commise par imprudence ou négligence sera punie de trois ans d'emprisonnement et dune amende de 100.000 euros.
La conservation des informations à caractère personnel recueillies est limitée dans le temps, cest au responsable du fichier quil revient de fixer une durée de conservation raisonnable en fonction de lobjectif du fichier. Il lui est interdit de les conserver au-delà de la durée initialement prévue sous peine de sanction, sauf si cette conservation est effectuée à des fins historiques, statistiques ou encore scientifiques.
Enfin, les personnes gardent un droit de rectification sur les données personnelles quelles ont transmises. Elles peuvent donc exiger la mise à jour de leurs données, voire leur suppression lorsquelles se révèlent inexactes, incomplètes ou désuètes ou lorsque leur collecte, leur utilisation, leur communication ou leur conservation était interdite. Et, les héritiers peuvent agir en lieu et place dune personne décédée pour actualiser ou supprimer ces informations.