Les démarches préalables auprès de la CNIL
Transcription
Les démarches préalables auprès de la CNIL
Internet responsable – Le mot du juriste Les démarches préalables auprès de la CNIL Pierre PEREZ Délégation aux Usages de l'Internet (DUI) Jean DUCHAINE École supérieure de l'éducation nationale, de l'enseignement supérieur et de la recherche (ESENESR) 2009 – actualisation : 2013 La loi relative à l'informatique, aux fichiers et aux libertés du 6 janvier 1978 constitue le fondement de la protection des données à caractère personnel dans les traitements informatiques mis en œuvre sur le territoire français. Elle a été modifiée par la loi du 6 août 2004 qui a simplifié les formalités administratives déclaratives. Elle a abandonné la distinction entre les fichiers du secteur public soumis à un régime d'autorisation après avis de la Commission Nationale de l'Informatique et des Libertés (CNIL) et les fichiers du secteur privé soumis à un simple régime de déclaration. Désormais, c'est la finalité du traitement et la nature des données collectées qui déterminent le régime applicable au traitement (déclaration pour les données les plus courantes, autorisation pour les données sensibles). Pour les données courantes, le régime de la déclaration préalable Le principe est celui de la déclaration préalable. Par conséquent, tous les traitements de données à caractère personnel doivent être déclarés préalablement à la CNIL avant leur mise en œuvre. Les traitements les plus courants peuvent être dispensés de déclaration ou faire l’objet d’une déclaration simplifiée s’ils respectent l’une des normes établies par la CNIL. La dispense de déclaration préalable La CNIL peut dispenser de déclaration les traitements les plus courants, lorsque des traitements ne présentent aucun danger pour la vie privée : les traitements ayant pour objet la tenue d'un registre destiné à l'information du public et ouvert à la consultation. Il en est ainsi par exemple des "blogs diffusant ou collectant des données à caractère personnel mis en œuvre par des particuliers dans le cadre d’une activité exclusivement personnelle, du registre du personnel d’une entreprise, des fichiers de fournisseurs, …" ; les traitements mis en œuvre par une association ou tout autre organisme à but non lucratif dont l’objet social concerne des questions à caractère religieux, philosophique, politique ou syndical ; les traitements de données à caractère personnel mis en œuvre dans le seul but de l'expression littéraire et artistique ou dans le cadre de l'exercice de l'activité de journaliste ; les traitements réalisés au sein d’organismes qui auraient désigné un Correspondant Informatique et Libertés (CIL). Le CIL est la personne chargée d’assurer le respect des obligations prévues dans la loi Informatique et libertés, et en particulier de veiller au respect du droit des personnes (droits d’accès, de rectification, d’opposition…) en leur assurant une information suffisante sur les traitements mis en œuvre. Il veille ainsi au respect de la vie privée, à la sécurité et à la confidentialité des données traitées. Le CIL doit exercer sa mission en toute indépendance, et ne peut recevoir aucune instruction du responsable du traitement ou de son entreprise. En cas de manquement, le CIL sera déchargé de ses fonctions sur demande, ou après consultation de la CNIL ; les traitements mis en œuvre pour l'exercice d'activités exclusivement personnelles. Le traitement de données au sein d'un groupe restreint, proche de la notion de "cercle familial", limite tout danger pour la vie privée. La tenue d'un répertoire téléphonique, les correspondances privées, le carnet d'adresses professionnel n'entrent cependant pas dans cette catégorie. La dispense de déclaration n’exonère pas le maître du fichier de respecter les principes de la loi Informatique et libertés dans la mise en œuvre du traitement et de garantir les droits des personnes. La liste des traitements dispensés de déclaration est donnée sur le site de la CNIL : www.cnil.fr La déclaration simplifiée préalable Des normes ont été établies pour les traitements que la CNIL considère comme n’étant pas susceptibles de porter atteinte aux droits et libertés des personnes. Si le traitement de données à caractère personnel est strictement conforme à l’une des normes établies par la CNIL, une déclaration simplifiée peut être mise en œuvre. Page 1 sur 2 Internet responsable – Le mot du juriste Dans le cas contraire, le traitement de données à caractère personnel doit faire l’objet d’une déclaration normale auprès de la CNIL. Peuvent par exemple faire l’objet d’une déclaration simplifiée les traitements de données à caractère personnel mis en œuvre : par les organismes publics et privés pour la gestion de leurs personnels ; sur les lieux de travail, pour la gestion des contrôles d'accès aux locaux, des horaires, et de la restauration ; dans le cadre de l’utilisation de services de téléphonie fixe et mobile sur les lieux de travail. La liste des normes simplifiées et le formulaire de déclaration simplifiée sont disponibles sur le site de la CNIL : www.cnil.fr La déclaration normale préalable Le principe est celui de la déclaration normale préalable si le traitement n’est pas conforme aux normes simplifiées établies par la CNIL ou s’il ne relève pas d’un autre régime (autorisation de la CNIL pour les données sensibles, par exemple). Les traitements de données à caractère personnel doivent être déclarés préalablement à la CNIL avant leur mise en œuvre. Les formulaires de déclaration sont disponibles sur le site de la CNIL. À la réception de la déclaration, la CNIL délivre un récépissé, assorti d’un numéro d’enregistrement, au responsable du traitement. La réception du récépissé conditionne la mise en œuvre du traitement. - Le cas des sites internet Les traitements mis en œuvre à partir d’un site internet peuvent relever selon leur finalité et la nature des données d’une dispense de déclaration, pour les sites vitrines ou institutionnels collectant ou diffusant des données personnelles dans un but de communication ou d’information (abonnement à une lettre d’information, diffusion d’organigrammes, d’annuaires), d’une déclaration simplifiée, pour les sites marchands et dans les autres cas, d’une déclaration normale, voire d’une demande d’autorisation. - Le cas des environnements numériques de travail Dans le cas de traitements organisés via un ENT du monde éducatif, il suffit de renvoyer à la CNIL un engagement de conformité, voté par le conseil d’administration ou le conseil d’école. Cela signifie que le responsable du traitement s’engage à respecter l’arrêté produit par le ministère pour l’ensemble des environnements numériques de travail. Pour les données sensibles, le régime de l’autorisation préalable Si les données sont sensibles parce qu’elles font apparaître, directement ou indirectement, les origines raciales ou ethniques, les opinions politiques, philosophiques ou religieuses, l'appartenance syndicale, des informations relatives à la santé ou à la vie sexuelle des personnes, leur collecte et leur traitement sont interdits. Le même interdit concerne les traitements qui comprennent des données génétiques, des données pénales ou comportent des appréciations sur les difficultés sociales des personnes. Les données biométriques qui permettent d’identifier un individu à partir de ses caractéristiques physiques, biologiques ou physiologiques (l’ADN, la rétine, l’iris, les empreintes digitales, le contour de la main) sont également soumises au même régime. Cependant, ne sont pas soumis à cette interdiction : les traitements pour lesquels la personne concernée a donné son consentement exprès ; les traitements justifiés par un intérêt public après autorisation de la CNIL. La collecte et le traitement de ces données doivent dans ces hypothèses être justifiés, au cas par cas, au regard des objectifs recherchés. Dans tous ces cas, le traitement doit faire l’objet d’une autorisation formelle de la CNIL. La commission se prononce dans un délai de 2 mois à compter de la réception de la demande. Toutefois, ce délai peut être renouvelé une fois, sur décision motivée de son président. Lorsque la CNIL ne s’est pas prononcée dans ces délais, la demande d’autorisation est réputée rejetée. Page 2 sur 2