Collecte et traitement des données à

COLLECTE ET TRAITEMENT DES DONNEES
A CARACTERE PERSONNEL
Hélène Lebon
Avocat Associé
PROGRAMME




Champ d’application de la loi I&L
Principales obligations imposées par la loi Informatique et libertés
Pouvoirs de la CNIL
Enjeux et risques
2
1. CHAMPS D’APPLICATION DE LA LOI
INFORMATIQUE ET LIBERTES
Champs d’application de la loi I&L
Champ d’application de la loi informatique et libertés (article
2) :
« La présente loi s'applique aux traitements automatisés de
données à caractère personnel, ainsi qu'aux traitements non
automatisés de données à caractère personnel contenues ou
appelées à figurer dans des fichiers, à l'exception des traitements
mis en œuvre pour l'exercice d'activités exclusivement personnelles,
lorsque leur responsable remplit les conditions prévues à l'article
5. »
S’applique aux fichiers informatiques comme aux fichiers papiers
 Si le responsable de traitement est établi en France ou si le
responsable est établi hors de l’Union Européenne mais que celui-ci
met en œuvre en France des moyens de traitements (i.e. ne
s’applique pas si le responsable de traitement est établi dans un
autre pays de l’UE)

Champ d’application de la loi I&L
Les données à caractère personnel : art.2 al.2
informations permettant, sous quelque forme que ce soit, directement ou
non, l’identification des personnes physiques
Champs d’application de la loi I&L
 Le destinataire
Toute personne habilitée à recevoir communication des données traitées
autre que le responsable de traitement, la personne concernée et le soustraitant
 Le sous-traitant
La personne qui traite les données pour le compte et sur instructions du
responsable de traitement - article 35
N’est pas un destinataire au sens de la loi I&L
Est responsable contractuellement vis-à-vis du responsable de traitement
mais le responsable de traitement demeure responsable civilement,
pénalement et administrativement en cas de violation de la loi I&L due au
sous-traitant
2. OBLIGATIONS RESULTANT DE LA LOI I&L
Obligations résultant de la loi I&L




Respect des conditions de licéité des traitements
1. Collecte loyale
2. Données adéquates, pertinentes et non excessives
3. Droit à l’oubli
4. Absence de détournement de finalité
5. Principe de légitimité
Obligation d’effectuer les formalités préalables appropriées auprès
de la CNIL préalablement à la mise en œuvre du traitement
Obligation d’informer les personnes
Obligation de prendre toutes les « précautions utiles » en termes de
sécurité et de confidentialité
PRINCIPES LIES AUX FORMALITES PREALABLES





PRINCIPE - Déclaration préalable auprès de la CNIL qui doit en
délivrer récépissé
Toute modification substantielle aux traitements déclarés doit être
déclarée à la CNIL « sans délai »
Certains traitements peuvent être exonérés de déclaration (de plein
droit ou suite à la désignation d’un « CIL ») ou la déclaration peut
être simplifiée
Attention au contenu des « normes » simplifiées ou d’exonération et
des « Autorisations Uniques »
Traitements à risques soumis à autorisation expresse préalable ou
avis préalable (tacite ou exprès) de la CNIL
QUE FAUT-IL DÉCLARER?
Article 30 de la loi Informatique et libertés
TRAITEMENTS SOUMIS À AUTORISATION PRÉALABLE DE LA CNIL

Traitements automatisés ou non





Données sensibles sans consentement exprès pour des
raisons d’intérêt public
Infractions, condamnations…
Utilisation du NIR ou consultation du Répertoire de l’INSEE par le secteur privé
Transferts de données hors de l’U.E.
Autres traitements automatisés




Traitements d’exclusion (scores, « whistleblowing », etc.)
Traitements comportant des appréciations sur les difficultés sociales
Traitements comportant des données biométriques pour le contrôle de l’identité
Traitements automatisés ayant pour objet :


l’interconnexion de fichiers relevant d’une ou de plusieurs personnes
morales gérant un service public et dont les finalités correspondent à des
intérêts publics différents
l’interconnexion de fichiers relevant d’une ou plusieurs personnes du
secteur privé et dont les finalités principales sont différentes
L’INFORMATION DES PERSONNES



Collecte directe ou
indirecte
Questionnaires papier ou
en ligne

Collecte orale







Responsable du
traitement
Finalité du traitement
Destinataires
Réponses obligatoires
ou facultatives
Défaut de réponse
Droit d’accès +
rectification
Flux transfrontières de
données
Droit d’opposition en cas
de prospection
INFORMATION COMPLEMENTAIRE EN CAS DE TRANSFERTS
INTERNATIONAUX DE DONNÉES






Le ou les pays d’établissement du destinataire
des données
La nature des données transférées
La finalité du transfert envisagé
La ou les catégories de destinataires des données
Le niveau de protection offert par le ou les pays tiers (niveau de
protection adéquate reconnu par la Commission européenne?)
Si le ou les pays tiers concernés n’offre pas une protection suffisante, il
est fait mention de l’exception prévue à l’article 69 (consentement …) ou
de la décision de la CNIL autorisant ce transfert en raisons des clauses
contractuelles ou des règles internes
Obligations résultant de la loi I&L
Sécurité et confidentialité des données traitées

Article 34

Article 35 – obligation d’un contrat avec les sous-traitants

Article 226-17 du code pénal
« Le fait de procéder ou de faire procéder à un traitement de données à caractère personnel
sans mettre en œuvre les mesures prescrites à l’article 34 de la loi n° 78-17 du 6 janvier
1978 précitée est puni de cinq ans d’emprisonnement et de 300 000 € d’amende ».
14
3. LES ENJEUX ET RISQUES
LES ENJEUX: L’ADDITION DES RISQUES

Le risque pénal

Le risque civil et prud’homal

Le risque administratif

Le risque d’image
RISQUE PENAL
TEXTES:
articles
226-16 à 226-24 du code pénal
articles R625-10 à R625-13 du code pénal (défaut d’information des personnes
ou non respect du droit d’accès)
A
SAVOIR :
Le
défaut de déclaration est une infraction continue
SUR
Le
QUI PORTE LE RISQUE
responsable de traitement (la personne morale, le représentant légal de la
société ou la personne qui a décidé de la mise en œuvre du traitement )
Exemple: TGI Paris 16 décembre 1994 EDF
Exemples de violations
sanctionnables pénalement
Défaut
de déclaration
Non respect des formalités
déposées et des engagements de
conformité à des normes
simplifiées
Traitement de données sensibles
hors des cas prévus par la loi
Détournement de finalité
Absence de mesures de sécurité
et de confidentialité
Collecte par un moyen frauduleux,
déloyal ou illicite
RISQUE PENAL
Violations passibles d’une
peine d’emprisonnement
de cinq ans et de € 300
000 d’amende
Pour les personnes
morales, l’amende est
multipliée par cinq et des
peines complémentaires
peuvent être prononcées
18
4. POUVOIRS DE LA CNIL ET SANCTIONS
LES POUVOIRS DE LA CNIL
Pouvoir
d’autorisation (ou de retrait d’autorisation)
Pouvoir de conduire des contrôles sur place / sur pièces
Mise en demeure du responsable de cesser un manquement /
avertissement / injonction d’arrêter ou de détruire le traitement
Sanctions pécuniaires (150 000 € ou 300 000 € en cas de récidive - sauf
traitements de l’Etat)
Peut porter plainte pour délit d’entrave
Peut dénoncer des violations de la loi I&L au parquet
Label sur les produits et procédures (formations / audits)
Avis sur les codes professionnels
Avis sur la cessation des fonctions du correspondant CNIL
SANCTIONS DE LA CNIL – UNE PALETTE LARGE
La Formation Restreinte de la CNIL peut notamment prononcer
les sanctions suivantes:





Un avertissement
Une sanction pécuniaire (150 000 € maximum et 300 000€ en cas de
récidive ou 5 % du chiffre d’affaire)
Une injonction de cesser le traitement ou le retrait de
l’autorisation
Une interruption du traitement pour une durée maximale de trois
mois (procédure d’urgence)
Le verrouillage de certaines données traitées pour une durée
maximale de trois mois (procédure d’urgence)
EXEMPLE DE SANCTION A L’ENCONTRE D’AGENTS DE
RECHERCHES PRIVEES

Délibération du 25 octobre 2007 – amende de € 10 000 contre la
société B&M

Défaut de déclaration du traitement automatisé utilisé
Caractère déloyal de la collecte de données (usurpation de titre pour
obtenir des infos auprès de certaines administrations ou organismes
soumis à des obligations de secret professionnel CAF, assedic,
mairies, CPAM, EDF, banques)
Traitement du NIR sans autorisation préalable de la CNIL et traitement
des références bancaires
Absence de durées de conservation
Défaut de sécurisation des données (dans les applications et les
transmissions des rapports)




EXEMPLE DE SANCTION POUR NON PRISE EN COMPTE DU DROIT
D’OPPOSITION

Sanction à l’encontre d’une société commercialisant des coffrets
cadeaux du 3 février 2011– 50 000 € d’amende
Collecte de données sur les personnes souhaitant utiliser leur
chèque-cadeau, sans qu'elles puissent s'y opposer (identité, date de
naissance, coordonnées, etc.). Les informations ainsi recueillies ont
permis à la société de constituer, sans frais, un fichier de prospects.

L’achat d’un bien ou d’un service n’est pas suffisant pour
justifier la collecte de données sur les acheteurs alors que celle-ci
n’est pas nécessaire pour fournir le bien ou la prestation achetée.

Montant de la sanction lié à l’avantage commercial tiré par le
responsable de traitement au manquement au droit d’opposition
EXEMPLE DE SANCTION EN RAISON DE MANQUEMENTS LIES A
LA CONSERVATION DE DONNEES BANCAIRES DE CLIENTS

Avertissement public à l’encontre de la société Fnac Direct
Suite à un contrôle sur place, la CNIL a découvert que les données
bancaires des clients du site www.fnac.com étaient conservées, en
clair sans que ces données ne fassent l’objet de purge ou
d’archivage, sans le consentement préalable des clients.



Nécessité de mesures de sécurité renforcées eu égard à la
sensibilité des données traitées (cryptage)
Nécessité de déterminer des durées de conservation et de
purger /archiver les données en conséquence
Sanction relativement peu importante eu égard aux violations
constatées
MERCI
[email protected]
www.pdgb.com
25