Principes et définitions Déclarer un fichier auprès de la CNIL
Transcription
Principes et définitions Déclarer un fichier auprès de la CNIL
Déclarer un fichier auprès de la CNIL Principes et définitions La loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, (modifiée par la loi n° 2004-801 du 6 août 2004) dispose en son article 1 er « L’informatique doit être au service de chaque citoyen. Son développement doit s’opérer dans le cadre de la coopération internationale. Elle ne doit porter atteinte ni à l’identité humaine, ni aux droits de l’homme, ni à la vie privée, ni aux libertés individuelles ou publiques » Le champ d’application de la loi La loi s'applique : aux traitements automatisés de données à caractère personnel, aux traitements non automatisés de données à caractère personnel contenues ou appelées à figurer dans des fichiers. Ne sont pas concernés les traitements mis en oeuvre pour l'exercice d'activités exclusivement personnelles, lorsque leur responsable est établi sur le territoire français, ou recourt à des moyens de traitement situés sur le territoire français (cf art. 5). La donnée à caractère personnel Constitue une donnée à caractère personnel, toute information relative à une personne physique identifiée ou qui peut être identifiée, directement ou indirectement, par référence à un numéro d'identification ou à un ou plusieurs éléments qui lui sont propres. Pour déterminer si une personne est identifiable, il convient de considérer l'ensemble des moyens en vue de permettre son identification dont dispose ou auxquels peut avoir accès le responsable du traitement ou toute autre personne. Le traitement de données à caractère personnel Le traitement de données à caractère personnel concerne toute opération ou tout ensemble d'opérations portant sur des données à caractère personnel, quel que soit le procédé utilisé, et notamment la collecte, l'enregistrement, l'organisation, la conservation, l'adaptation ou la modification, l'extraction, la consultation, l'utilisation, la communication par transmission, diffusion ou toute autre forme de mise à disposition, le rapprochement ou l'interconnexion, ainsi que le verrouillage, l'effacement ou la destruction. Le fichier de données à caractère personnel Un fichier de données à caractère personnel représente tout ensemble structuré et stable de données à caractère personnel accessibles selon des critères déterminés. La personne concernée par un traitement de données à caractère personnel est celle à laquelle se rapportent les données qui font l'objet du traitement. Conditions de légalité des traitements Pour qu’un traitement soit licite il doit répondre à certaines conditions : Les données doivent être collectées et traitées de manière loyale et licite exactes, complètes et mises à jour adéquates, pertinentes et non excessives au regard des finalités conservées pour une durée qui n’excède pas la durée nécessaire aux finalités pour lesquelles elles ont été collectées et traitées Les finalités du traitement doivent être déterminées, légitimes et explicites Le consentement de la personne concernée est nécessaire, sauf cas particuliers La Commission Nationale de l’Informatique et des Libertés (CNIL) La Commission Nationale de l’Informatique et des Libertés (CNIL), autorité administrative indépendante, est chargée de veiller à la protection de la vie privée et des données personnelles A cet effet, elle dispose d’un pouvoir de contrôle et de sanction. Elle joue également un rôle d’alerte et de conseil. Elle assure les missions suivantes : Informer les personnes et les responsables de traitements sur leurs droits et leurs obligations, et les aides dans l’exercice de leurs droits Droit d’information Droit d’accès Droit de rectification et de radiation Droit d’opposition Droit d’accès indirect Recenser les fichiers et autoriser les traitements Contrôler les fichiers et le respect de la loi par les responsables de traitements Sanctionner le non respect de leurs obligations par les responsables de traitements. Le non respect des obligations peut entraîner des sanctions pénales pouvant aller jusqu’à 5 ans d’emprisonnement et 300 000 € d’amende. Réglementer et anticiper les développements technologiques Qui doit déclarer ? Le responsable du traitement est l’organisme ou la personne qui détermine ses finalités et ses moyens. C’est généralement la personne habilitée à engager la responsabilité juridique de l'organisme concerné : président – directeur général gérant d’une SARL… Il doit remplir certaines obligations : Notifier la mise en œuvre du fichier et de ses caractéristiques à la CNIL, sauf dispense Permettre aux personnes concernées d’exercer leurs droits en les informant Assurer la sécurité et la confidentialité des informations afin qu’elles ne soient pas déformées ou communiquées à des tiers Se soumettre aux contrôles et vérifications sur place de la CNIL et répondre à toute demande de renseignements qu’elle formule dans le cadre de ses missions Les formalités préalables Principe : tout fichier ou traitement de données personnelles doit faire l’objet d’une déclaration auprès de la CNIL. Toutefois, outre les différentes procédures existantes, certains fichiers font l’objet de dispenses de formalités. Les dispenses de formalités Les dispenses concernent des fichiers qui ne portent pas atteinte à la vie privée et aux libertés. La CNIL identifie les fichiers exonérés selon le secteur d’activité du déclarant : collectivité territoriale – Etablissement financier – organisme d’assurances – entreprise privée - …. Pour les entreprises privées, les dispenses sont classées selon 3 thèmes : Gestion du personnel, ressources humaines Activité des comités d'entreprise et d'établissement – dispense N°10 Plans de continuité d’activité (pandémie grippale) - dispense N°14 Traitements des sous-traitants français pour le compte de clients établis hors U.E - dispense N°15 Paie des personnels du secteur privé - dispense N°2 (ancienne norme 28) Fichiers de communication non commerciale - dispense N°7 (ancienne norme simplifiée N°15) Listes d'initiés - dispense de déclaration N°9 (personnes ayant accès à des informations privilégiées) Relation client Traitements des sous-traitants français pour le compte de clients établis hors U.E - dispense N°15 Journalisme, expression littéraire ou artistique Administration et finances Comptabilité générale Traitements des sous-traitants français pour le compte de clients établis hors U.E - dispense N°15 Paie des personnels du secteur privé - dispense N°2 (ancienne norme 28) Fournisseurs - dispense de déclaration N°4 (ancienne norme 14) Fichiers de communication non commerciale - dispense N°7 (ancienne norme simplifiée N°15) Listes d'initiés - dispense de déclaration N°9 Conservation d'archives Les différents types de déclarations Les fichiers ne bénéficiant pas de dispense, doivent faire l’objet d’une déclaration. La déclaration de traitement s’effectue directement sur le site de la CNIL en sélectionnant le formulaire adapté à la nature du traitement. Plusieurs déclarations sont répertoriées selon le type de données traitées. Déclarations simplifiées La déclaration simplifiée est possible dès lors que le traitement correspond à une des 33 normes définies par la CNIL. (articles 24-I, 25-II, 26-IV et 27-III de la loi du 6/01/78 modifiée) http://www.cnil.fr/en-savoir-plus/deliberations/normes-simplifiees/ Cas particulier d’un site internet Depuis 2006 la déclaration de site internet a été supprimée. Toutefois, les traitements de données utilisant un site internet doivent faire l’objet d’une déclaration. Les sites marchands, ou de e-commerce, relèvent dans la majorité des cas de la norme simplifiée N° 48 applicable à la gestion des fichiers de clients et de prospects. Ils font l’objet d’une déclaration simplifiée Autres procédures Lorsqu’aucune norme simplifiée ne correspond au traitement concerné, il convient de sélectionner une des procédures suivantes Déclarations normales (article 23 de la loi du 6/01/78 modifiée) Cette procédure s’applique à la majorité des traitements qui ne présentent pas de difficultés en matière de protection des libertés. Autorisation préalable (Articles 25, 54, et 64 de la loi du 6 janvier 1978 modifiée) Cette procédure s’applique dans les trois cas suivants Les données sensibles : origines raciales ou ethniques, opinions données biométriques (empreintes digitales, contour de la main,…) génétiques - les infractions, condamnations et mesures de sûreté - les appréciations sur les difficultés sociales des personnes. Les finalités spécifiques : traitements statistiques de l’INSEE – traitements susceptibles d’exclure du bénéfice d’un droit, d’une prestation ou d’un contrat – l’interconnexion de fichiers à finalités distinctes – traitements de recherche médicale – traitements ayant pour finalité l’évaluation des pratiques de soins. Les transferts de données hors de l’Union Européenne : vers un organisme basé dans un pays non membre de l’Union Européenne et dont le niveau de protection n’est pas suffisant Demande d’avis La demande d’avis ne concerne que les organismes publics ou privés gérant un service public et dont les finalités sont clairement définies : défense – sûreté - … Etablissement hors de France Pour mémoire, il existe deux autres procédures : demande d’autorisation recherche médicale – demande d’autorisation évaluation des pratiques de soins Le formulaire en ligne Une fois identifiée la procédure adaptée à la nature du traitement, le responsable doit sélectionner le formulaire correspondant et le compléter directement en ligne sur le site de la CNIL, puis le valider. Un accusé de réception par message électronique est adressé dans la journée avec le formulaire complété en pièce jointe au format PDF. Selon le type de procédure effectuée (déclaration, demande d'autorisation ou demande d'avis), la CNIL adresse un courrier au déclarant donnant son accord dans un délai variable : 1 semaine maximum pour une déclaration normale, 2 mois pour une demande d'autorisation ou demande d'avis. Le traitement peut alors être mis en œuvre. Si le dossier est incomplet, la CNIL adresse une demande de complément. Tout responsable de traitement informatique de données personnelles doit adopter des mesures de sécurité physiques (sécurité des locaux), logiques (sécurité des systèmes d’information) et adaptées à la nature des données Le Correspondant Informatique et Libertés (CIL) (Article 22 III de la loi du 6 janvier 1978 modifiée) La loi permet aux organismes privés et publics de désigner un correspondant informatique et libertés, ou «CIL». Dans ce cas, les obligations de déclaration du responsable de traitement auprès de la CNIL sont allégées. Au sein de son entreprise, ou de son organisme ( ou en externe pour les petites structures ), le responsable désigne une personne qui sera chargée : de tenir un registre des traitements mis en œuvre au sein de l’organisme de veiller au respect des dispositions de la loi « informatique et libertés » au sein de l’organisme. En contrepartie, l’organisme qui a désigné un CIL n'a plus à effectuer les formalités pour les traitements qui relèvent du régime de la déclaration. Seules les demandes d’autorisation ou demandes d’avis devront être effectuées auprès de la CNIL. La désignation du CIL est facultative.