Les entreprises sont encore nombreuses à ignorer la loi Informatique, fichiers et libertés dans la mise en œuvre de leurs traitements de données à caractère personnel. Outre le fait qu’il s’agit d’une obligation pour protéger l’intimité et la vie privée des citoyens – ce qui constitue une de nos libertés publiques –, elles risquent gros puisque les sanctions pénales attachées à la loi sont très lourdes : jusqu’à 5 ans de prison et 300 000 euros d’amende (articles 226-16 à 226-24 du code pénal). Voici un petit aide-mémoire pour l’application de la loi.

→ Application de la loi n°78-17 du 6 janvier 1978, modifié, relative à l’informatique, aux fichiers et aux libertés et de son principal décret d'application.

Notion de donnée à caractères personnel

→ Toute donnée qui permet d’identifier directement ou indirectement une personne physique.

Article 2 al.2 de la loi : « Constitue une donnée à caractère personnel toute information relative à une personne physique identifiée ou qui peut être identifiée, directement ou indirectement, par référence à un numéro d’identification ou à un ou plusieurs éléments qui lui sont propres. Pour déterminer si une personne est identifiable, il convient de considérer l’ensemble des moyens en vue de permettre son identification dont dispose ou auxquels peut avoir accès le responsable du traitement ou toute autre personne. »

Dès lors que le nom d’une personne est directement traité (personne dite identifiée), la loi s’applique.

Dès lors que des informations permettent d’identifier indirectement une personne (numéro de téléphone, photo… — personne dite identifiable) la loi s’applique.

Notion de traitement de données

Toute manipulation de la donnée quelle qu’elle soit.

Article 2 al.3 de la loi : « Constitue un traitement de données à caractère personnel toute opération ou tout ensemble d’opérations portant sur de telles données, quel que soit le procédé utilisé, et notamment la collecte, l’enregistrement, l’organisation, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, ainsi que le verrouillage, l’effacement ou la destruction. »

Dès qu’une donnée est ainsi traitée, la loi s’applique.

Notion de durée de conservation

La loi institue un droit à l’oubli au bénéfice des personnes physiques. En conséquence, les données collectées ne peuvent être conservées indéfiniment : elles doivent être supprimées passé une durée justement proportionnée à la finalité poursuivie par le traitement.

Article 6 5° de la loi : « Un traitement ne peut porter que sur des données à caractère personnel qui satisfont aux conditions suivantes : (…)
5° Elles sont conservées sous une forme permettant l’identification des personnes concernées pendant une durée qui n’excède pas la durée nécessaire aux finalités pour lesquelles elles sont collectées et traitées
. »

En conséquence, les données doivent être supprimées des fichiers au bout d’une période qui fait partie des règles de traitement mises en place par le responsable des traitements et déclarées à la CNIL en cas de traitement automatisé. Ces règles doivent aussi pouvoir être portées à la connaissance des intéressés qui le demandent (voir ci-dessous Droit d’accès).

Prescriptions légales pour tout type de traitement de données

Information des intéressés

Les personnes concernées par un traitement de données à caractère personne doivent avant tout être informées de l’existence de ce traitement et d’un certain nombre d’informations sur celui-ci exigées par la loi.

Ces informations sont portées à la connaissance des intéressés, par exemple sur le formulaire d’inscription qu’ils remplissent ou par tout autre canal. Les obligations d’information sont les suivantes (article 32-I de la loi — cité ci-dessous).

Identité du responsable des traitements

Il importe de préciser l’entité qui fait procéder au traitement et plus précisément son représentant légal, responsable du traitement.

Finalité et destination des informations collectées

Il est obligatoire de porter à la connaissance des intéressés les finalités poursuivies à l’issue de la collecte des informations ainsi que les destinataires ou catégories de destinataires.

Caractère facultatif ou obligatoire des réponses

Dans le cadre de la collecte des informations nominatives, il doit être indiqué, champ par champ, le caractère obligatoire ou facultatif de la réponse.

Conséquences du défaut de réponse

Il importe de porter à la connaissance des intéressés les conséquences du défaut de réponse (sanction prévue ou autre) sauf lorsque c’est évident (non abonnement à une revue si adresse pas remplie) ou connu par ailleurs (sanctions légales, nul n’étant censé ignorer la loi).

Droits détenus par l’intéressé en vertu de la loi

La loi prévoit un droit d’opposition pour des motifs légitimes, un droit d’accès et de rectification, voire de suppression.

Texte

Article 32 de la loi : « I.-La personne auprès de laquelle sont recueillies des données à caractère personnel la concernant est informée, sauf si elle l’a été au préalable, par le responsable du traitement ou son représentant :
1° De l’identité du responsable du traitement et, le cas échéant, de celle de son représentant ;
2° De la finalité poursuivie par le traitement auquel les données sont destinées ;
3° Du caractère obligatoire ou facultatif des réponses ;
4° Des conséquences éventuelles, à son égard, d’un défaut de réponse ;
5° Des destinataires ou catégories de destinataires des données ;
6° Des droits qu’elle tient des dispositions de la section 2 du présent chapitre ;
7° Le cas échéant, des transferts de données à caractère personnel envisagés à destination d’un État non membre de la Communauté européenne.
»

Exercice des droits d’opposition, d’accès, de rectification et de suppression

Il importe d’informer l’intéressé sur les droits que la loi lui donne.

Il dispose en effet :

  • Du droit de s’opposer, pour des motifs légitimes, à la mise en œuvre d’un traitement le concernant (Droit d'oposition — article 38) ;
  • De vérifier les informations que l’organisme détient à son sujet (Droit d'accès — article 39) ;
  • De les faire rectifier en cas d’inexactitude ou supprimer (Droit de recitication et de suppression — article 40) notamment au cas où les données auraient été conservées au-delà de la durée nécessaire aux finalités poursuivies.

Cette information doit indiquer les modalités pratiques de l’exercice de ce droit (adresse du lieu d’accès, service, personne responsable, adresse courriel…)

Notion de traitement "automatisé"

Il s’agit d’un traitement réalisé mécaniquement ou électroniquement.
Règle : dès lors qu’un traitement de données à caractère personnel est automatisé, le 2ème corps de règles de la loi Informatique, fichiers et libertés s’applique.

Prescriptions légales pour tout traitement automatisé

Principe de la déclaration préalable

Sauf dans les cas où le traitement est autorisé par un acte réglementaire (voir ci-dessous), tout traitement automatisé de données doit être déclaré, préalablement à toute mise en œuvre à la CNIL (article 22-I de la loi).

On distingue entre :

  • Les traitements courants, pour lesquels la CNIL a édicté des normes simplifiées pour faciliter les déclarations, dites simplifiées, à condition de respecter à la lettre les normes de la CNIL. Il existe ainsi une quarantaine de normes pour toutes sortes de traitements courants (paye, fichier électoral... – article 24 de la loi) ;
  • Les traitements spécifiques, pour lesquels aucune norme de la CNIL n’existe. Il convient dans ce cas de procéder à une déclaration normale, plus lourde et plus circonstanciée.

Aujourd’hui, les deux types de déclarations peuvent se faire par télé-procédure sur le site de la CNIL.

Existence d’un CIL au sein de l’organisme

L’autre possibilité est avoir nommé un Correspondant à la protection des données à caractère personnel  (autrement appelé Correspondant informatique et libertés ou CIL) au sein de l’organisme. Cette nomination dispense des déclarations normales ou simplifiées à la CNIL : c’est le CIL qui tient registre de tous les traitements réalisés dans l’organisme (article 22-II de la loi — voir notre présentation du CIL dans notre fiche sur Les données à caractères personnel).

Les divers cas d’autorisation

Pour certains organismes, publics notamment, le traitement de données est autorisé par un acte réglementaire édicté par un ministère de tutelle, ou par une autorisation unique édictée par la CNIL.

Il appartient aux organismes de s’informer sur l’existence de ces éventuelles autorisations.

Sources

Loi Informatique, fichiers et libertés sur Légifrance :
www.legifrance.gouv.fr/affichTexte.do;?cidTexte=LEGITEXT000006068624

Le Décret n°2005-1309 du 20 octobre 2005 pris pour l'application de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés :
www.legifrance.gouv.fr/affichTexte.do?cidTexte=JORFTEXT000000241445

Site de la CNIL : www.cnil.fr

Notamment la rubrique "Vos obligations" : www.cnil.fr/vos-responsabilites/vos-obligations/

|cc| Didier Frochot — Mars 2011