• Données personnelles

    par Martine Ricouart Maillet

    CNIL : mode d’emploi

    « La loi du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés opérait une distinction entre les fichiers publics soumis à un régime d’autorisation et les fichiers privés soumis à un simple régime de déclaration auprès de la CNIL.
    Depuis la réforme du 6 août 2004, le régime applicable à la collecte des données personnelles ne dépend plus de la nature privée ou publique du traitement mais de la finalité des fichiers ainsi que de la nature des données collectées, conformément à la directive européenne du 24 octobre 1995 relative à la protection des personnes physiques selon laquelle «  » les traitements susceptibles de présenter des risques particuliers au regard des droits et libertés des personnes concernées «  » doivent faire l’objet d’un contrôle préalable de la part des autorités compétentes des Etats membres.


    I- Régime de déclaration ou d’autorisation préalable

    Le régime de droit commun est celui de la déclaration, tandis que huit catégories de fichiers seront soumises à autorisation de la CNIL (article 25) selon la nature des données collectées ou la finalité du traitement :
    Selon la nature des données collectées :

    • données dites sensibles (article 8 : origines raciales ou ethniques, opinions politiques, philosophiques ou religieuses, appartenances syndicales, vie sexuelle, la santé) ;
    • données génétiques ;
    • données relatives aux infractions ou aux condamnations ;
    • numéro d’inscription au répertoire national d’identification des personnes physiques ;
    • appréciations sur les difficultés sociales des personnes ;
    • données biométriques nécessaires au contrôle de l’identité des personnes.

    Selon la finalité du traitement :

    • utilisation à des fins d’exclusion du bénéfice d’un droit, d’une prestation ou d’un contrat, dès lors que cette exclusion ne repose pas sur une condition légale ou réglementaire ;
    • interconnexion entre des fichiers de nature différente.

    Seuls les fichiers dits de souveraineté (sûreté de l’Etat, défense, sécurité publique, répression pénale, et les fichiers utilisant le numéro d’inscription au répertoire national d’identification des personnes physiques ou portant sur la quasi totalité de la population) seront autorisés par un acte réglementaire après avis simple de la CNIL, alors que la loi de 1978 prévoyait un avis conforme. Cette nouvelle disposition constitue un recul pour les libertés individuelles et collectives des citoyens.


    II- Constituer un fichier

    Les fichiers à déclarer
    La loi Informatique et Libertés s’applique aux traitements automatisés et manuels relatifs à des données à caractère personnel, à l’exception des traitements mis en œuvre pour l’exercice d’activités exclusivement personnelles.
    Constitue une donnée à caractère personnel toute information relative à une personne physique identifiée ou qui peut être identifiée, directement ou indirectement, par référence à un numéro d’identification ou à un ou plusieurs éléments qui lui sont propres. Pour déterminer si une personne est identifiable, il convient de considérer l’ensemble des moyens en vue de permettre son identification dont dispose ou auxquels peut avoir accès le responsable du traitement ou toute autre personne.
    Le traitement est à déclarer, qu’il soit effectué par une personne physique ou une personne morale dès lors qu’il vise des données à caractère personnel.
    A noter que Les traitements mis en oeuvre par une association ou tout autre organisme à but non lucratif et à caractère religieux, philosophique, politique ou syndical ne sont soumis à aucune des formalités préalables :

    • pour les seules données sensibles correspondant à l’objet de ladite association ou dudit organisme ;
    • sous réserve qu’ils ne concernent que les membres de cette association ou de cet organisme et, le cas échéant, les personnes qui entretiennent avec celui-ci des contacts réguliers dans le cadre de son activité ;
    • et qu’ils ne portent que sur des données non communiquées à des tiers, à moins que les personnes concernées n’y consentent expressément.

    Sont également dispensés de déclaration par décision de la CNIL :

    • Traitements relatifs à la gestion des fichiers de fournisseurs comportant des personnes physiques (Délibération n° 2005-005 du 18 janvier 2005) ;
    • Traitements mis en œuvre par les organismes publics dans le cadre de la dématérialisation des marchés publics (Délibération n° 2005-003 du 13 janvier 2005) ;
    • Traitements de gestion des rémunérations mis en œuvre par l’Etat, les collectivités locales, les établissements publics et les personnes morales de droit privé gérant un service public (Délibération n°2004-096 du 9 décembre 2004) ;
    • Traitements de gestion des rémunérations mis en œuvre par les personnes morales de droit privé autres que celles gérant un service public (Délibération n°2004-097 du 9 décembre 2004).

    Les déclarations à effectuer
    Les formulaires de déclaration sont disponibles auprès de la CNIL.

    1. Déclaration ordinaire : (loi du 6 janvier 1978 article 30)
      Les traitements d’information à caractère personnel qui peuvent porter atteinte à la vie privée doivent faire l’objet d’une déclaration ordinaire auprès de la CNIL. Cette déclaration est effectuée préalablement à la mise en œuvre du traitement et comporte l’engagement que le traitement satisfait aux exigences de la loi.
      Exemples :
      • Fichier prospects pour les banques, assurances, organismes de santé et éducation (si ce dernier est obtenu auprès d’un professionnel de la location d’adresse, le responsable du traitement devra s’assurer que le fichier qu’il loue est en règle) ;
      • Fichier nominatif de recrutement ;

    2. Déclaration simplifiée
      La CNIL a publié des normes simplifiées pour les catégories les plus courantes de traitement dont la mise en oeuvre n’est pas susceptible de porter atteinte à la vie privée ou aux libertés (loi du 6 janvier 1978 article 24-I).
      Exemples :
      • Traitements automatisés de données à caractère personnel mis en oeuvre dans le cadre de l’utilisation de services de téléphonie fixe et mobile sur les lieux de travail (norme n° 47 du 3 février 2005) ;
      • Traitements mis en oeuvre par les organismes publics et privés pour la gestion de leurs personnels (norme simplifiée n° 46 du 13 janvier 2005) ;
      • Traitements automatisés d’informations nominatives mis en oeuvre sur les lieux de travail pour la gestion des contrôles d’accès aux locaux, des horaires et de la restauration, sauf identification biométrique (norme n° 42 du 8 janvier 2002) ;
      • Gestion des fichiers de clients et prospects, sauf : banques et assimilés, entreprises d’assurances, santé éducation (norme n° 11 du 30 juillet 1980, modifiée le 19 nov. 1996)
      • Fichiers de clients relatifs à la vente par correspondance et aux activités de presse ; (normes n° 17 du 12 mars 1981 modifiée le 19 nov. 1996 et n° 25 du 27 décembre 1981 modifiée le 19 nov. 1996).

    3. Déclaration d’un site Internet
      Un formulaire spécifique est téléchargeable sur le site de la CNIL qui permet également de rédiger la déclaration en ligne. Vous devrez ainsi déclarer la collecte d’e-mails, la création d’espace de discussion (forum) ou tout autre procédé de collecte de données telles que les cookies, applets java, logiciels espions ou encore l’exploitation des données de connexion au site.

    Qui doit établir la déclaration ?C’est le responsable de la mise en œuvre du traitement c’est-à-dire celui qui détermine les finalités et les moyens ou, si celui-ci n’est établi ni sur le territoire national ni sur celui d’un autre État membre de la Communauté européenne, son représentant et, le cas échéant, celle de la personne qui présente la demande.
    Contenu de la déclarationLe responsable du traitement doit déclarer à la CNIL (article 30 – I) :

    • La ou les finalités du traitement ;
    • Le cas échéant, les interconnexions ;
    • L’origine des données traitées et les catégories de personnes concernées ;
    • La durée de conservation des informations traitées ;
    • Les personnes qui y ont accès,
    • Le ou les services chargés de mettre en œuvre le traitement ;
    • Les destinataires ou catégories de destinataires habilités à recevoir communication des données ;
    • La fonction de la personne ou le service auprès duquel s’exerce le droit d’accès, ainsi que les mesures relatives à l’exercice de ce doit ;
    • Les dispositions prises pour assurer la sécurité des traitements et des données et garantir leur confidentialité ;
    • Le cas échéant le recours à un sous-taitant ;
    • Le cas échéant les transferts de données à destination d’un pays tiers (Etat non membres de la Communauté européenne)

    Il faut savoir que le traitement doit être déclaré préalablement à sa mise en œuvre et que le récépissé CNIL n’exonère pas pour autant le déclarant de toutes ses responsabilités telles qu’elles découlent de la loi du 6 janvier 1978.
    Enfin, il faut savoir que l’exploitation d’un traitement non déclaré constitue un délit sanctionné par un emprisonnement de 5 ans et/ou d’une amende de 300 000 Euros (article 226-16 du Code pénal).Pour les entreprises qui n’auraient pas effectué préalablement cette déclaration, la régularisation est à préconiser.


    III- Obligations des responsables de traitement

    Conservation des informationsPour la stricte durée nécessaire à la finalité du traitement, telle qu’elle a été déclarée.
    Mise à jour des informations Sécurité des traitementsLe responsable du traitement doit prendre toutes les précautions utiles afin de préserver la sécurité des données, notamment empêcher qu’elles soient déformées ou endommagées ou que des tiers non autorisés y aient accès (article 34).En cas de sous-traitance, le contrat liant le sous-traitant au responsable du traitement doit indiquer les obligations incombant au sous-traitant en matière de sécurité et confidentialité des données.Le responsable du traitement demeure le responsable de plein droit.
    Droit à l’oubliLa durée de conservation des informations est recommandée par la CNIL dans des normes simplifiées qu’elle a publiées.Au delà du délai, les informations doivent être détruites.Le non respect des obligations de durée de conservation et de sécurité des traitements est sanctionné pénalement.
    Finalité du traitementLes logiciels ou systèmes experts utilisant des méthodes automatisées doivent rester des aides à la décision, laissant au décideur sa liberté d’appréciation et de jugement. La loi Informatique et Libertés dispose que toute décision impliquant une appréciation sur un comportement humain ne peut avoir par fondement une décision automatisée.
    Les flux transfrontièresIls doivent faire l’objet d’une mention précise dans la déclaration. La CNIL peut les soumettre à une autorisation préalable car elle vérifie si les données transférées bénéficient sur le territoire de l’état qui les reçoit d’une protection équivalente à celle offerte par la voie française.


    IV- Le droit des personnes fichées

    Droit d’information (article 32-I)La collecte ne peut se faire à l’insu de la personne fichée qui doit être avertie :

    • De l’identité du responsable du traitement ;
    • De la finalité poursuivie par le traitement ;
    • Du caractère obligatoire ou facultatif de ses réponses et des conséquences d’un défaut de réponse ;
    • Des destinataires ou catégories de destinataires des données
    • De l’existence d’un droit d’opposition, d’accès, de rectification et de suppression.
    • Le cas échéant, des transferts de données à caractère personnel envisagés à destination d’un État non membre de la Communauté européenne.

    Tout questionnaire ou formulaire doit comporter un avertissement mentionnant ces prescriptions (article 32-I).
    Droit d’accès (article 39-I)Il est strictement personnel et réservé aux personnes physiques ou aux personnes physiques représentants légaux d’entreprise dès lors que le nom de ces personnes figure dans le fichier en tant que dirigeant ou actionnaire.
    Le responsable du traitement doit informer les personnes de la dénomination et de l’adresse du service chargé de répondre à ce droit, sinon la personne peut s’adresser directement à la CNIL.
    L’absence d’avertissement des personnes fichées sur leurs droits ou le refus de répondre à la demande de renseignements constitue une contravention de 5ème classe.
    Enfin, en cas de collecte de données interdites (données sensibles ou réservées aux autorités publiques telles que condamnation, mesure de sûreté), la sanction de ce délit est une peine de 5 ans d’emprisonnement et de 300 000 Euros d’amende.
    A noter que le numéro national d’identification numéro INSEE ne peut être utilisé qu’après autorisation prise par décret en Conseil d’Etat après avis de la CNIL.
    Droit de communication des informations (article 39-I)C’est le prolongement du droit d’accès.
    La communication peut être écrite ou non mais doit être suffisante.
    Le responsable du traitement peut subordonner la délivrance de cette copie au paiement d’une somme qui ne peut excéder le coût de la reproduction.
    Droit de rectification (article 40)Il permet d’exiger que soient rectifiées, complétées, mises à jour, verrouillées ou effacées les données personnelles inexactes, incomplètes, équivoques, périmées ou dont la collecte, l’utilisation, la communication ou la conservation est interdite.Lorsque la modification à faire est justifiée, le responsable du fichier doit y procéder sans délai.
    Droit d’opposition (article 38)Toute personne peut s’opposer au fichage et solliciter la radiation des données contenues dans les fichiers commerciaux.


    V- Les nouveaux pouvoir de la CNIL

    Le pouvoir d’investigation de la CNIL (article 44)
    Les membres de la CNIL ainsi que les agents de ses services habilités ont accès, de 6 heures à 21 heures, pour l’exercice de leurs missions, aux lieux, locaux, enceintes, installations ou établissements professionnels servant à la mise en oeuvre d’un traitement de données à caractère personnel, à l’exclusion des parties de ceux-ci affectées au domicile privé.
    Il peuvent demander communication de tous documents nécessaires à l’accomplissement de leur mission, quel qu’en soit le support, et en prendre copie.
    Ils peuvent recueillir, sur place ou sur convocation, tout renseignement et toute justification utiles.
    Ils peuvent accéder aux programmes informatiques et aux données, ainsi qu’en demander la transcription par tout traitement approprié dans des documents directement utilisables pour les besoins du contrôle.
    Ils peuvent, à la demande du président de la commission, être assistés par des experts désignés par l’autorité dont ceux-ci dépendent.
    Le procureur de la République territorialement compétent en est préalablement informé.
    En cas d’opposition du responsable des lieux, la visite ne peut se dérouler que sur ordonnance du président du tribunal de grande instance (articles 493 à 498 du nouveau code de procédure civile).Sachant que les responsables de traitements ou de fichiers de données à caractère personnel ne peuvent s’opposer à l’action de la commission ou de ses membres et doivent au contraire prendre toutes mesures utiles afin de faciliter sa tâche, sauf dans les cas où ils sont astreints au secret professionnel (article 21).
    Le fait d’entraver l’action de la CNIL est puni d’un an d’emprisonnement et de 15 000 € d’amende (article 51).
    Le pouvoir de sanction pécuniaire et d’injonction de la CNILLa CNIL peut prononcer un avertissement à l’égard du responsable d’un traitement qui ne respecte pas les obligations découlant de la loi Informatique et Libertés.
    Elle peut également mettre en demeure ce responsable de faire cesser le manquement constaté dans un délai qu’elle fixe.
    Si le responsable d’un traitement ne se conforme pas à la mise en demeure qui lui est adressée, la CNIL peut prononcer à son encontre, après une procédure contradictoire :

    • Une sanction pécuniaire (à l’exception des cas où le traitement est mis en oeuvre par l’État) de 150 000 € maximum. En cas de manquement réitéré dans les cinq ans : 300 000 € ou 5 % du chiffre d’affaires hors taxes du dernier exercice clos dans la limite de 300 000 €.
    • Une injonction de cesser le traitement lorsque celui-ci relève du régime de la déclaration, ou un retrait de l’autorisation accordée.

    En cas d’urgence, lorsque la mise en oeuvre d’un traitement ou l’exploitation des données traitées entraîne une violation des droits et libertés mentionnés la CNIL peut, après une procédure contradictoire :

    • Décider l’interruption de la mise en oeuvre du traitement pour une durée maximale de trois mois, à l’exception des traitement mis en oeuvre par l’État qui concernent la sûreté de l’Etat, la défense ou la sécurité publique, la prévention, la recherche, la constatation ou la poursuite d’infractions pénales ou l’exécution de condamnations pénales ou de mesures de sûreté. Ceux qui portent sur des données dites sensibles, le numéro d’inscription des personnes au répertoire national d’identification des personnes physiques ou sur des données biométriques nécessaires à l’authentification ou au contrôle de l’identité des personnes.
    • Décider le verrouillage de certaines des données à caractère personnel traitées, pour une durée maximale de trois mois, à l’exception des traitement mis en oeuvre par l’État qui concernent la sûreté de l’Etat, la défense ou la sécurité publique, la prévention, la recherche, la constatation ou la poursuite d’infractions pénales ou l’exécution de condamnations pénales ou de mesures de sûreté.
    • Informer le Premier ministre pour qu’il prenne, le cas échéant, les mesures permettant de faire cesser la violation constatée, si le traitement en cause est au nombre de ceux concernant la sûreté de l’Etat, la défense ou la sécurité publique, la prévention, la recherche, la constatation ou la poursuite d’infractions pénales ou l’exécution de condamnations pénales ou de mesures de sûreté. Le Premier ministre fait alors connaître à la commission les suites qu’il a données à cette information au plus tard quinze jours après l’avoir reçue.

    En cas d’atteinte grave et immédiate aux droits et libertés le président de la CNIL peut demander, par la voie du référé, à la juridiction compétente d’ordonner, le cas échéant sous astreinte, toute mesure de sécurité nécessaire à la sauvegarde de ces droits et libertés.
    Enfin, la CNIL peut rendre publics les avertissements qu’elle prononce. Elle peut également, en cas de mauvaise foi du responsable du traitement, ordonner l’insertion des autres sanctions qu’elle prononce dans des publications, journaux et supports qu’elle désigne. Les frais sont alors supportés par les personnes sanctionnées.
    Les décisions de la CNIL prononçant une sanction peuvent faire l’objet d’un recours de pleine juridiction devant le Conseil d’État.


    VI- Le correspondant CNIL

    La loi Informatique et Libertés permet dorénavant aux organismes privés ou publics d’être exemptés de déclaration pour les fichiers soumis à cette obligation préalable dès lors qu’un correspondant à la protection des données à caractère personnel aura été désigné par le responsable du traitement.
    La désignation du correspondant à la protection des données devra également être notifiée à la Commission Nationale Informatique et Libertés (CNIL) et portée à la connaissance des instances représentatives du personnel.
    Ne rentrent pas dans le champ d’application de cet assouplissement les traitements de données à caractère personnel soumis à autorisation, à l’exception des traitements de données sensibles ou relatives aux condamnations mis en œuvre par les entreprises de presse afin de respecter la liberté de la presse.
    Sont également exclus de ce régime, d’exonération les fichiers dont les données sont transférées à destination d’un Etat non membre de l’Union européenne.
    Le correspondant à la protection des données est défini comme la personne «  » chargée d’assurer, d’une manière indépendante, le respect des obligations prévues par la présente loi «  ».
    Son indépendance suppose donc que sa fonction au sein de l’entreprise n’entre pas en conflit avec sa mission, de sorte que le dirigeant d’une entreprise ne pourra jamais être désigné comme correspondant. En est il de même pour le responsable du traitement, le directeur marketing ou le directeur des systèmes informatiques ? Un décret d’application devrait répondre à ces questions en précisant le statut et les missions du correspondant au cours du premier semestre 2005. Le décret permettra aussi aux PME et PMI, en dessous d’un certains seuil de salariés, d’externaliser leur futur correspondant dans un souci de mutualisation et donc de maîtrise des coûts.
    Pour garantir son indépendance, la loi précise actuellement que le correspondant ne peut faire l’objet d’aucune sanction de la part de l’employeur du fait de l’accomplissement de ses missions. Dans ce cadre il sera rappelé que le correspondant doit tenir une liste des traitements effectués, immédiatement accessible à toute personne en faisant la demande. En pratique, son rôle sera bien plus important, il devra superviser les traitements mis en œuvre, détecter les problèmes éventuels et prendre contact avec la CNIL en cas de doute sur la création ou la gestion de certains fichiers.
    A cet égard le correspondant a la faculté de saisir la CNIL des difficultés qu’il rencontrerait dans l’exercice de ses missions. Dans ce cas l’autorité de contrôle a le pouvoir d’enjoindre le responsable du traitement de procéder aux formalités de déclaration de ses fichiers.
    Si le correspondant manque à ses devoirs, le responsable du traitement peut le décharger de ses fonctions sur demande, ou après consultation, de la CNIL.
    Selon le Président Alex TÜRK, l’instauration d’un correspondant au sein des entreprises devrait permettre la diffusion de la culture «  » informatique et libertés «  » au sein de celles-ci et, en conséquence, garantir au mieux le respect des droits des personnes !


    VII- Repères

    La loi informatique et Libertés s’applique aux traitements automatisés de données à caractère personnel, ainsi qu’aux traitements non automatisés de données à caractère personnel contenues ou appelées à figurer dans des fichiers, à l’exception des traitements mis en oeuvre pour l’exercice d’activités exclusivement personnelles
    Donnée à caractère personnel : «  » toute information relative à une personne physique identifiée ou qui peut être identifiée, directement ou indirectement, par référence à un numéro d’identification ou à un ou plusieurs éléments qui lui sont propres. Pour déterminer si une personne est identifiable, il convient de considérer l’ensemble des moyens en vue de permettre son identification dont dispose ou auxquels peut avoir accès le responsable du traitement ou toute autre personne «  ».
    Traitement de données à caractère personnel : «  » toute opération ou tout ensemble d’opérations portant sur de telles données, quel que soit le procédé utilisé, et notamment la collecte, l’enregistrement, l’organisation, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, ainsi que le verrouillage, l’effacement ou la destruction «  ».
    Fichier de données à caractère personnel : «  » tout ensemble structuré et stable de données à caractère personnel accessibles selon des critères déterminés «  ».
    Personne concernée par un traitement de données à caractère personnel : «  » celle à laquelle se rapportent les données qui font l’objet du traitement «  ».
    Responsable d’un traitement de données à caractère personnel: «  » sauf désignation expresse par les dispositions législatives ou réglementaires relatives à ce traitement, la personne, l’autorité publique, le service ou l’organisme qui détermine ses finalités et ses moyens «  ».
    Destinataire d’un traitement de données à caractère personnel : «  » toute personne habilitée à recevoir communication de ces données autre que la personne concernée, le responsable du traitement, le sous-traitant et les personnes qui, en raison de leurs fonctions, sont chargées de traiter les données. Toutefois, les autorités légalement habilitées, dans le cadre d’une mission particulière ou de l’exercice d’un droit de communication, à demander au responsable du traitement de leur communiquer des données à caractère personnel ne constituent pas des destinataires «  ».
     »