Collecte et traitement des données à
Transcription
Collecte et traitement des données à
COLLECTE ET TRAITEMENT DES DONNEES A CARACTERE PERSONNEL Hélène Lebon Avocat Associé PROGRAMME Champ d’application de la loi I&L Principales obligations imposées par la loi Informatique et libertés Pouvoirs de la CNIL Enjeux et risques 2 1. CHAMPS D’APPLICATION DE LA LOI INFORMATIQUE ET LIBERTES Champs d’application de la loi I&L Champ d’application de la loi informatique et libertés (article 2) : « La présente loi s'applique aux traitements automatisés de données à caractère personnel, ainsi qu'aux traitements non automatisés de données à caractère personnel contenues ou appelées à figurer dans des fichiers, à l'exception des traitements mis en œuvre pour l'exercice d'activités exclusivement personnelles, lorsque leur responsable remplit les conditions prévues à l'article 5. » S’applique aux fichiers informatiques comme aux fichiers papiers Si le responsable de traitement est établi en France ou si le responsable est établi hors de l’Union Européenne mais que celui-ci met en œuvre en France des moyens de traitements (i.e. ne s’applique pas si le responsable de traitement est établi dans un autre pays de l’UE) Champ d’application de la loi I&L Les données à caractère personnel : art.2 al.2 informations permettant, sous quelque forme que ce soit, directement ou non, l’identification des personnes physiques Champs d’application de la loi I&L Le destinataire Toute personne habilitée à recevoir communication des données traitées autre que le responsable de traitement, la personne concernée et le soustraitant Le sous-traitant La personne qui traite les données pour le compte et sur instructions du responsable de traitement - article 35 N’est pas un destinataire au sens de la loi I&L Est responsable contractuellement vis-à-vis du responsable de traitement mais le responsable de traitement demeure responsable civilement, pénalement et administrativement en cas de violation de la loi I&L due au sous-traitant 2. OBLIGATIONS RESULTANT DE LA LOI I&L Obligations résultant de la loi I&L Respect des conditions de licéité des traitements 1. Collecte loyale 2. Données adéquates, pertinentes et non excessives 3. Droit à l’oubli 4. Absence de détournement de finalité 5. Principe de légitimité Obligation d’effectuer les formalités préalables appropriées auprès de la CNIL préalablement à la mise en œuvre du traitement Obligation d’informer les personnes Obligation de prendre toutes les « précautions utiles » en termes de sécurité et de confidentialité PRINCIPES LIES AUX FORMALITES PREALABLES PRINCIPE - Déclaration préalable auprès de la CNIL qui doit en délivrer récépissé Toute modification substantielle aux traitements déclarés doit être déclarée à la CNIL « sans délai » Certains traitements peuvent être exonérés de déclaration (de plein droit ou suite à la désignation d’un « CIL ») ou la déclaration peut être simplifiée Attention au contenu des « normes » simplifiées ou d’exonération et des « Autorisations Uniques » Traitements à risques soumis à autorisation expresse préalable ou avis préalable (tacite ou exprès) de la CNIL QUE FAUT-IL DÉCLARER? Article 30 de la loi Informatique et libertés TRAITEMENTS SOUMIS À AUTORISATION PRÉALABLE DE LA CNIL Traitements automatisés ou non Données sensibles sans consentement exprès pour des raisons d’intérêt public Infractions, condamnations… Utilisation du NIR ou consultation du Répertoire de l’INSEE par le secteur privé Transferts de données hors de l’U.E. Autres traitements automatisés Traitements d’exclusion (scores, « whistleblowing », etc.) Traitements comportant des appréciations sur les difficultés sociales Traitements comportant des données biométriques pour le contrôle de l’identité Traitements automatisés ayant pour objet : l’interconnexion de fichiers relevant d’une ou de plusieurs personnes morales gérant un service public et dont les finalités correspondent à des intérêts publics différents l’interconnexion de fichiers relevant d’une ou plusieurs personnes du secteur privé et dont les finalités principales sont différentes L’INFORMATION DES PERSONNES Collecte directe ou indirecte Questionnaires papier ou en ligne Collecte orale Responsable du traitement Finalité du traitement Destinataires Réponses obligatoires ou facultatives Défaut de réponse Droit d’accès + rectification Flux transfrontières de données Droit d’opposition en cas de prospection INFORMATION COMPLEMENTAIRE EN CAS DE TRANSFERTS INTERNATIONAUX DE DONNÉES Le ou les pays d’établissement du destinataire des données La nature des données transférées La finalité du transfert envisagé La ou les catégories de destinataires des données Le niveau de protection offert par le ou les pays tiers (niveau de protection adéquate reconnu par la Commission européenne?) Si le ou les pays tiers concernés n’offre pas une protection suffisante, il est fait mention de l’exception prévue à l’article 69 (consentement …) ou de la décision de la CNIL autorisant ce transfert en raisons des clauses contractuelles ou des règles internes Obligations résultant de la loi I&L Sécurité et confidentialité des données traitées Article 34 Article 35 – obligation d’un contrat avec les sous-traitants Article 226-17 du code pénal « Le fait de procéder ou de faire procéder à un traitement de données à caractère personnel sans mettre en œuvre les mesures prescrites à l’article 34 de la loi n° 78-17 du 6 janvier 1978 précitée est puni de cinq ans d’emprisonnement et de 300 000 € d’amende ». 14 3. LES ENJEUX ET RISQUES LES ENJEUX: L’ADDITION DES RISQUES Le risque pénal Le risque civil et prud’homal Le risque administratif Le risque d’image RISQUE PENAL TEXTES: articles 226-16 à 226-24 du code pénal articles R625-10 à R625-13 du code pénal (défaut d’information des personnes ou non respect du droit d’accès) A SAVOIR : Le défaut de déclaration est une infraction continue SUR Le QUI PORTE LE RISQUE responsable de traitement (la personne morale, le représentant légal de la société ou la personne qui a décidé de la mise en œuvre du traitement ) Exemple: TGI Paris 16 décembre 1994 EDF Exemples de violations sanctionnables pénalement Défaut de déclaration Non respect des formalités déposées et des engagements de conformité à des normes simplifiées Traitement de données sensibles hors des cas prévus par la loi Détournement de finalité Absence de mesures de sécurité et de confidentialité Collecte par un moyen frauduleux, déloyal ou illicite RISQUE PENAL Violations passibles d’une peine d’emprisonnement de cinq ans et de € 300 000 d’amende Pour les personnes morales, l’amende est multipliée par cinq et des peines complémentaires peuvent être prononcées 18 4. POUVOIRS DE LA CNIL ET SANCTIONS LES POUVOIRS DE LA CNIL Pouvoir d’autorisation (ou de retrait d’autorisation) Pouvoir de conduire des contrôles sur place / sur pièces Mise en demeure du responsable de cesser un manquement / avertissement / injonction d’arrêter ou de détruire le traitement Sanctions pécuniaires (150 000 € ou 300 000 € en cas de récidive - sauf traitements de l’Etat) Peut porter plainte pour délit d’entrave Peut dénoncer des violations de la loi I&L au parquet Label sur les produits et procédures (formations / audits) Avis sur les codes professionnels Avis sur la cessation des fonctions du correspondant CNIL SANCTIONS DE LA CNIL – UNE PALETTE LARGE La Formation Restreinte de la CNIL peut notamment prononcer les sanctions suivantes: Un avertissement Une sanction pécuniaire (150 000 € maximum et 300 000€ en cas de récidive ou 5 % du chiffre d’affaire) Une injonction de cesser le traitement ou le retrait de l’autorisation Une interruption du traitement pour une durée maximale de trois mois (procédure d’urgence) Le verrouillage de certaines données traitées pour une durée maximale de trois mois (procédure d’urgence) EXEMPLE DE SANCTION A L’ENCONTRE D’AGENTS DE RECHERCHES PRIVEES Délibération du 25 octobre 2007 – amende de € 10 000 contre la société B&M Défaut de déclaration du traitement automatisé utilisé Caractère déloyal de la collecte de données (usurpation de titre pour obtenir des infos auprès de certaines administrations ou organismes soumis à des obligations de secret professionnel CAF, assedic, mairies, CPAM, EDF, banques) Traitement du NIR sans autorisation préalable de la CNIL et traitement des références bancaires Absence de durées de conservation Défaut de sécurisation des données (dans les applications et les transmissions des rapports) EXEMPLE DE SANCTION POUR NON PRISE EN COMPTE DU DROIT D’OPPOSITION Sanction à l’encontre d’une société commercialisant des coffrets cadeaux du 3 février 2011– 50 000 € d’amende Collecte de données sur les personnes souhaitant utiliser leur chèque-cadeau, sans qu'elles puissent s'y opposer (identité, date de naissance, coordonnées, etc.). Les informations ainsi recueillies ont permis à la société de constituer, sans frais, un fichier de prospects. L’achat d’un bien ou d’un service n’est pas suffisant pour justifier la collecte de données sur les acheteurs alors que celle-ci n’est pas nécessaire pour fournir le bien ou la prestation achetée. Montant de la sanction lié à l’avantage commercial tiré par le responsable de traitement au manquement au droit d’opposition EXEMPLE DE SANCTION EN RAISON DE MANQUEMENTS LIES A LA CONSERVATION DE DONNEES BANCAIRES DE CLIENTS Avertissement public à l’encontre de la société Fnac Direct Suite à un contrôle sur place, la CNIL a découvert que les données bancaires des clients du site www.fnac.com étaient conservées, en clair sans que ces données ne fassent l’objet de purge ou d’archivage, sans le consentement préalable des clients. Nécessité de mesures de sécurité renforcées eu égard à la sensibilité des données traitées (cryptage) Nécessité de déterminer des durées de conservation et de purger /archiver les données en conséquence Sanction relativement peu importante eu égard aux violations constatées MERCI [email protected] www.pdgb.com 25