Les démarches préalables auprès de la CNIL

Internet responsable – Le mot du juriste
Les démarches préalables auprès de la CNIL
Pierre PEREZ
Délégation aux Usages de l'Internet (DUI)
Jean DUCHAINE
École supérieure de l'éducation nationale,
de l'enseignement supérieur et de la recherche (ESENESR)
2009 – actualisation : 2013
La loi relative à l'informatique, aux fichiers et aux libertés du 6 janvier 1978 constitue le fondement de la protection des
données à caractère personnel dans les traitements informatiques mis en œuvre sur le territoire français. Elle a été
modifiée par la loi du 6 août 2004 qui a simplifié les formalités administratives déclaratives. Elle a abandonné la
distinction entre les fichiers du secteur public soumis à un régime d'autorisation après avis de la Commission
Nationale de l'Informatique et des Libertés (CNIL) et les fichiers du secteur privé soumis à un simple régime de
déclaration.
Désormais, c'est la finalité du traitement et la nature des données collectées qui déterminent le régime
applicable au traitement (déclaration pour les données les plus courantes, autorisation pour les données sensibles).
Pour les données courantes, le régime de la déclaration préalable
Le principe est celui de la déclaration préalable. Par conséquent, tous les traitements de données à caractère
personnel doivent être déclarés préalablement à la CNIL avant leur mise en œuvre. Les traitements les plus courants
peuvent être dispensés de déclaration ou faire l’objet d’une déclaration simplifiée s’ils respectent l’une des normes
établies par la CNIL.

La dispense de déclaration préalable
La CNIL peut dispenser de déclaration les traitements les plus courants, lorsque des traitements ne présentent aucun
danger pour la vie privée :





les traitements ayant pour objet la tenue d'un registre destiné à l'information du public et ouvert à la
consultation. Il en est ainsi par exemple des "blogs diffusant ou collectant des données à caractère personnel
mis en œuvre par des particuliers dans le cadre d’une activité exclusivement personnelle, du registre du
personnel d’une entreprise, des fichiers de fournisseurs, …" ;
les traitements mis en œuvre par une association ou tout autre organisme à but non lucratif dont l’objet social
concerne des questions à caractère religieux, philosophique, politique ou syndical ;
les traitements de données à caractère personnel mis en œuvre dans le seul but de l'expression littéraire et
artistique ou dans le cadre de l'exercice de l'activité de journaliste ;
les traitements réalisés au sein d’organismes qui auraient désigné un Correspondant Informatique et Libertés
(CIL). Le CIL est la personne chargée d’assurer le respect des obligations prévues dans la loi Informatique et
libertés, et en particulier de veiller au respect du droit des personnes (droits d’accès, de rectification,
d’opposition…) en leur assurant une information suffisante sur les traitements mis en œuvre. Il veille ainsi au
respect de la vie privée, à la sécurité et à la confidentialité des données traitées. Le CIL doit exercer sa
mission en toute indépendance, et ne peut recevoir aucune instruction du responsable du traitement ou de
son entreprise. En cas de manquement, le CIL sera déchargé de ses fonctions sur demande, ou après
consultation de la CNIL ;
les traitements mis en œuvre pour l'exercice d'activités exclusivement personnelles. Le traitement de données
au sein d'un groupe restreint, proche de la notion de "cercle familial", limite tout danger pour la vie privée. La
tenue d'un répertoire téléphonique, les correspondances privées, le carnet d'adresses professionnel n'entrent
cependant pas dans cette catégorie.
La dispense de déclaration n’exonère pas le maître du fichier de respecter les principes de la loi Informatique et
libertés dans la mise en œuvre du traitement et de garantir les droits des personnes.
La liste des traitements dispensés de déclaration est donnée sur le site de la CNIL : www.cnil.fr

La déclaration simplifiée préalable
Des normes ont été établies pour les traitements que la CNIL considère comme n’étant pas susceptibles de porter
atteinte aux droits et libertés des personnes. Si le traitement de données à caractère personnel est strictement
conforme à l’une des normes établies par la CNIL, une déclaration simplifiée peut être mise en œuvre.
Page 1 sur 2
Internet responsable – Le mot du juriste
Dans le cas contraire, le traitement de données à caractère personnel doit faire l’objet d’une déclaration normale
auprès de la CNIL.
Peuvent par exemple faire l’objet d’une déclaration simplifiée les traitements de données à caractère personnel mis en
œuvre :



par les organismes publics et privés pour la gestion de leurs personnels ;
sur les lieux de travail, pour la gestion des contrôles d'accès aux locaux, des horaires, et de la restauration ;
dans le cadre de l’utilisation de services de téléphonie fixe et mobile sur les lieux de travail.
La liste des normes simplifiées et le formulaire de déclaration simplifiée sont disponibles sur le site de la CNIL :
www.cnil.fr

La déclaration normale préalable
Le principe est celui de la déclaration normale préalable si le traitement n’est pas conforme aux normes simplifiées
établies par la CNIL ou s’il ne relève pas d’un autre régime (autorisation de la CNIL pour les données sensibles, par
exemple). Les traitements de données à caractère personnel doivent être déclarés préalablement à la CNIL
avant leur mise en œuvre. Les formulaires de déclaration sont disponibles sur le site de la CNIL. À la réception de la
déclaration, la CNIL délivre un récépissé, assorti d’un numéro d’enregistrement, au responsable du traitement. La
réception du récépissé conditionne la mise en œuvre du traitement.
- Le cas des sites internet
Les traitements mis en œuvre à partir d’un site internet peuvent relever selon leur finalité et la nature des données
d’une dispense de déclaration, pour les sites vitrines ou institutionnels collectant ou diffusant des données
personnelles dans un but de communication ou d’information (abonnement à une lettre d’information, diffusion
d’organigrammes, d’annuaires), d’une déclaration simplifiée, pour les sites marchands et dans les autres cas, d’une
déclaration normale, voire d’une demande d’autorisation.
- Le cas des environnements numériques de travail
Dans le cas de traitements organisés via un ENT du monde éducatif, il suffit de renvoyer à la CNIL un engagement
de conformité, voté par le conseil d’administration ou le conseil d’école. Cela signifie que le responsable du
traitement s’engage à respecter l’arrêté produit par le ministère pour l’ensemble des environnements numériques de
travail.
Pour les données sensibles, le régime de l’autorisation préalable
Si les données sont sensibles parce qu’elles font apparaître, directement ou indirectement, les origines raciales ou
ethniques, les opinions politiques, philosophiques ou religieuses, l'appartenance syndicale, des informations relatives
à la santé ou à la vie sexuelle des personnes, leur collecte et leur traitement sont interdits.
Le même interdit
concerne les traitements qui comprennent des données génétiques, des données pénales ou comportent des
appréciations sur les difficultés sociales des personnes. Les données biométriques qui permettent d’identifier un
individu à partir de ses caractéristiques physiques, biologiques ou physiologiques (l’ADN, la rétine, l’iris, les
empreintes digitales, le contour de la main) sont également soumises au même régime.
Cependant, ne sont pas soumis à cette interdiction :


les traitements pour lesquels la personne concernée a donné son consentement exprès ;
les traitements justifiés par un intérêt public après autorisation de la CNIL.
La collecte et le traitement de ces données doivent dans ces hypothèses être justifiés, au cas par cas, au regard des
objectifs recherchés. Dans tous ces cas, le traitement doit faire l’objet d’une autorisation formelle de la CNIL.
La commission se prononce dans un délai de 2 mois à compter de la réception de la demande. Toutefois, ce délai
peut être renouvelé une fois, sur décision motivée de son président. Lorsque la CNIL ne s’est pas prononcée dans ces
délais, la demande d’autorisation est réputée rejetée.
Page 2 sur 2