Langages
Pages
Légal
Le traitement des données personnelles
La CNIL – Le CILSalon du numérique en Vaucluse
7 mars 2013
Lionel FOUQUETavocat
Plan
Introduction
I- La législationA- Les textes protecteurs de la vie privéeB- La règlementation spécifique : la loi informatique et libertés du 6
aout 2004
II- Mise en œuvreA- Obligations de l’exploitantB- La CNILC- Le correspondant informatique et libertés (CIL)
I- La législation A- Les textes protecteurs de la vie privée
- Atteinte à la vie privée : - 226-1, le fait de porter volontairement atteinte, à la vie privée
d'autrui, « en captant, enregistrant, ou transmettant, sans le consentement de leur auteur, des paroles prononcées à titre privé ou confidentiel » ou « en fixant, enregistrant ou transmettant, sans le consentement de celle-ci, l'image d'une personne se trouvant dans un lieu privé ».
- Article 9 du code civil
- Secret professionnel- 226-13 du Code pénal prévoit que « la révélation d'une information à caractère secret par une personne qui en est dépositaire soit par état soit par profession, soit en raison d'une fonction ou d'une mission
temporaire, est punie d'un an d'emprisonnement et de 15 000 euros d'amende ».
- Secret médical - C. pén., art. 226-14
- Secret des correspondances- 226-15 : « Le fait, commis de mauvaise foi, d'ouvrir, de
supprimer, de retarder ou de détourner des correspondances arrivées ou non à destination et adressées à des tiers, ou d'en prendre frauduleusement connaissance, est puni d'un an
d'emprisonnement et de 45 000 euros d'amende.
- Vidéosurveillance et vidéoprotection- Lieux privés : L.6 janvier 1978- Lieux publics : L. 21 janvier 1995, 23.01.06, 14.03.2011
B- La règlementation spécifique : la loi informatique et libertés du 6 aout 2004
1- Les apports :
- renforcement des droits fondamentaux des personnes dès lors que les données, de quelque nature qu'elles soient font l'objet d'un traitement, automatisé ou non, qui s'accompagne d'un renforcement des obligations pesant sur les responsables de ces traitements.
- élargissement important des pouvoirs de la CNIL qui peut contrôler sur pièces ou sur place la mise en œuvre des traitements, prononcer des sanctions notamment d'ordre pécuniaire, interrompre et faire cesser un traitement.
- rationalisation des formalités préalables exigées pour la création d'un traitement de données à caractère personnel
- création du correspondant à la protection des données. : le CIL
2- Champs d’application : données, informations, traitements soumis à la loi
- Définition des données
art 2 = « toute information relative à une personne physique identifiée ou qui peut être identifiée, directement ou indirectement, par référence à un numéro d'identification ou à un ou plusieurs éléments qui lui sont propres » :
- Nom, prénom, âge, sexe, date et lieu de naissance…- Le nom seul n’est pas une donnée perso : « pour qu'il en soit ainsi, il aurait fallu que soit démontré le fait qu'une identification reste possible par le recoupement des fichiers noms et prénom » (TGI Paris, réf., 22 sept. 2008, M.Kalid O. c/Sté Notrefamille.com, RLDI 2008/42, no 1388).- Email, photo, vidéo, voix- Régime mat, comportements de consommation, loisirs, diplômes- Origines ethniques, raciales, santé, opinions politiques, religion…- La jurisprudence n’est pas fixée concernant les adresses IP
- Les données sensibles
Les nouvelles dispositions de l'article 8 de la loi Informatique et libertés incluent également dans la notion de données à caractère personnel des
informations plus spécifiques, comme celles faisant apparaître directement ou indirectement :
- les origines raciales ;
- les opinions politiques, philosophiques ou religieuses ;
- les appartenances syndicales des personnes ; ou
- la santé ou la vie sexuelle (L. no 78-17, 6 janv. 1978, modifiée, art. 8).
Ces données sont alors dites « sensibles », du fait de leur caractère éminemment intime. Pour cette même raison, il a été prévu que leur
traitement est en principe interdit, sauf « dans la mesure où la finalité du traitement l'exige ».
- Le traitement de données
« toute opération ou tout ensemble d'opérations portant sur de telles données, quel que soit le procédé utilisé » : extraction, modification,
conservation, transfert, échange de données
II- Mise ne œuvre
A- Obligations de l’exploitant
Obligation de mettre en œuvre un traitement de manière loyale et licite
- Article 6, 1° = principe de transparence
- Obligation d'informer les personnes dont les données sont traitées sur :- la finalité du traitement des données ;- les personnes physiques ou morales destinataires des données ;- l'existence du droit d'accès et de rectification dont les personnes concernées par le
traitement disposent.
- Exceptions :- le respect d'une obligation légale incombant au responsable du traitement, à l'instar des traitements relatifs à l'établissement des fiches de paie mis en œuvre par les employeurs ;- la sauvegarde de la vie de la personne concernée ;- l'exécution d'une mission de service public dont est investi le responsable ou le
destinataire du traitement
Obligation de déterminer des finalités explicites et légitimes
Chaque traitement est créé initialement pour une certaine finalité, qui conditionne :
- les données traitées, qui doivent être pertinentes par rapport à la finalité choisie ;
- la qualité des destinataires, qui doit être adaptée à cette finalité ;- la durée de conservation des informations
Obligation du caractère proportionné du traitement mis en œuvre (article 6, 3°)
Obligation de restreindre le type de données à collecter aux catégories nécessaires à la mise en œuvre du traitement et d'éviter la collecte de données sans rapport avec les finalités du traitement.
Obligation de traiter des données exactes et complètes (L. art. 6, 4°)
- Pb = durée de conservation et … droit à l’oubli
- Principe : ne doivent pas être conservées pour une durée supérieure à celle nécessaire aux finalités du traitement, à moins que leur conservation ne soit
autorisée par la CNIL
- Le fait de conserver des données personnelles au-delà de la durée prévue est puni de 5 ans d'emprisonnement et de 300 000 euros d'amende (C. pén.,
art. 226-20), voire 1 500 000 euros si le contrevenant est une personne morale (C. pén., art. 226-24)
- Comment faire : se référer aux délibérations de la CNIL, aux pratiques du secteur concerné…
Ex : fichiers clients : 10 ans
B- La CNIL
- Les traitements doivent faire l'objet des formalités prévues par la loi Informatique et libertés préalablement à leur mise en œuvre. Le demandeur pourra mettre en œuvre le traitement dès qu'il aura reçu le récépissé de la part de la Commission.
- Sanction : 150.000 € d’amende + éventuellement sanctions pénales (226-16 CP).
Plusieurs régimes différents
- Dispense de déclaration : traitement non automatisés (manuscrits..., sauf exceptions : traitement des infractions …) ; traitement à long terme d’archives, traitement mis à œuvre par une asso, à caractère religieux, politique ou syndical, sites internet perso
- Déclaration simplifiée : données perso ne comportant pas d’atteintes à la vie privée : fichiers clients, gestion des membres d’un asso, gestion de biens immo
- Déclaration normale : traitement automatisés de données à caractère perso
- Demande d’autorisation : situations considérées comme attentatoires à la vie privée et aux libertés fondamentales (origines raciales, ethniques, religieuses, données
relatives à la santé, données génétiques
- Demande d’avis : sûreté, la défense ou la sécurité publique, données biométriques…
- Cas spécifiques : professionnels de santé…
C- Le CIL - décret n°2005-1309 du 20 octobre 2005 (art. 42 à 56).
1- Rôle du CIL
- dispense des obligations déclaratives auprès de la CNIL : déclarations normales ou simplifiées prévues aux articles 23 et 24 de la loi
- Mais sa présence ne dispense pas l’organisation des procédures de demandes d’autorisation (art. 22-III)
- Il tient registre et met à jour la liste des traitements effectués dans l’entreprise et la met à disposition de toute personne (décret, art. 47 & 48)
- Il est également chargé de veiller à l’application de la loi par voie de conseil, médiation en interne et alerte, au besoin auprès de la CNIL (décret, art. 49, al.1er à 5, art. 51).
2- Désignation du CIL
- Nommé par le responsable du traitement de fichier (gérant)
- Désignation est portée tout d’abord à la connaissance des instances représentatives du personnel, notifiée à la CNIL (télé-déclaration sur le site de
la CNIL). La désignation du CIL prend effet un mois après la date de la notification à la CNIL (décret, art. 43).
- Le CIL doit bénéficier « des qualifications requises pour exercer ses missions ». Compétences juridiques et informatiques. Rien d’autre n’est
spécifié dans la loi ni dans le décret.
- Possibilité de recourir à un CIL externe pour les entreprises de -50 salariés. CIL interne si + 50 salariés
- Le responsable des traitements ou son représentant légal ne peut être CIL
3- Statut protecteur du CIL
- Statut proche du représentant du personnel : « ne peut faire l’objet d’aucune sanction de la part de l’employeur du fait de l’accomplissement de
ses missions ». De même, « Il peut saisir la Commission nationale de l’informatique et des libertés des difficultés qu’il rencontre dans l’exercice de
ses missions ».
- Le CIL exerce sa mission directement auprès (et non sous les ordres) du responsable des traitements (décret, art. 46, al.1er). Il ne reçoit « aucune
instruction pour l'exercice de sa mission » (idem, al.2), ce qui renforce encore son indépendance.
- Ne peut exercer d’autres fonctions qui entreraient en conflit d’intérêts avec sa mission (directeur informatique…)
4- Missions du CIL
- Dresse un inventaire de tous les traitements de données à caractère personnel existants : liste actualisée « en cas de modification substantielle
des traitements en cause » et tenue à la disposition de toutes personne qui en fait la demande.
- Rend compte de son action au responsable des traitements par un bilan annuel tenu à disposition de la CNIL
5- Manquements
la CNIL peut demander au responsable des traitements de le relever de ses fonctions, ou le responsable du traitement avec accord de la CNIL
Top Related