Les données à caractère personnel
PC-NTIC est membre de l’ AFCDP. ... en savoir plus ...
La loi n°78-17 du 6 janvier 1978, relative à l'informatique, aux fichiers et aux libertés a fait l'objet d'une refonte complète au terme de la loi du 6 août 2004, pour prendre notamment en compte la directive européenne sur le sujet. C'est cette directive qui donne la nouvelle terminologie au domaine. On est ainsi passé des "données nominatives de personnes physiques" de l'ancienne loi aux "données à caractère personnel" aujourd'hui consacrées par la loi.
La loi de 1978 demeure formellement, mais seul son article 1er d'origine a été conservé. Tous les autres articles sont issus de la loi du 6 août 2004.
Cf. la loi en vigueur sur Légifrance : http://www.legifrance.gouv.fr/texteconsolide/PPEAU.htm
Décret d'application : Décret n°2005-1309 du 20 octobre 2005 pris pour l'application de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, modifiée par la loi n° 2004-801 du 6 août 2004.
Texte consolidé sur Légifrance : http://www.legifrance.gouv.fr/texteconsolide/PRHWE.htm
La présente fiche décrit les principales dispositions de la loi utiles aux pratiques des professions de l'ID.
La loi de 1978 a institué la première autorité administrative indépendante (AAI) de France : la Commission nationale de l'informatique et des libertés (CNIL) — http://www.cnil.fr
NB : une partie des dispositions de la loi s'applique à tout traitement de données, même non automatisé, ce qui est trop souvent oublié. Une seconde série de dispositions s'applique en cas de traitement automatisé.
Régles communes à tout traitement de données
Notions définies par la loi
Personnes protégées par la loi : toute personne physique (art.1er)
Type de traitement : Automatisé ou non automatisé (art.2 al. 1er)
Donnée à caractère personnel : élément qui permet d'identifier une personne, directement ou non : celle-ci doit être identifiée ou simplement identifiable (art. 2 al. 2)
Personne identifiée : par tout élément d'identification directe d'une personne (ex. prénom, nom).
Personne identifiable : par tout élément permettant d'identifier la personne (sa photo, son numéro de téléphone...)
Traitement : toute « manipulation » de donnée (création, transmission, publication, suppression... - art.2 al.3)
Responsable du traitement : personne physique ou morale, autorité publique, service ou organisme, qui détermine les finalités et les moyens du traitement (art. 3-I)
Information obligatoire
Information des intéressés lors de la collecte d'informations nominatives (mentions de l'art. 32) :
- Responsable du traitement
- Finalité des traitements
- Caractère facultatif ou obligatoire de la réponse (sauf si déduit des faits ou de la loi)
- Conséquences du défaut de réponse (sauf si déduit des faits ou de la loi)
- Droits détenus par la personne fichée (droits d'accès et de rectification, lieu et conditions d'exercice de ceux-ci, droit d'opposition)
Données sensibles
Données interdites de collecte (art. 8-I) :
Toute donnée qui directement ou indirectement, fait apparaître
-les origines raciales
-les opinions politiques
-philosophiques
-religieuses
-les appartenances syndicales
-la santé
-la « vie sexuelle » des personnes
-Principales exceptions à l'interdiction (art. 8-II) :
-accord exprès (signé) de l'intéressé
-les associations ou organismes à caractère religieux, philosophique, politique ou syndical, pour la tenue du registre de leurs membres
-les données rendues publiques par la personne concernée
Règles concernant le traitement
Finalité du fichier (art. 6)
-Respecter le but de la collecte, annoncé lors de celle-ci
-Le fichier doit être purgé des informations dès qu'elles ne sont plus utiles (délai de conservation limité)
-Droit d'opposition : droit pour une personne de s'opposer au traitement de données la concernant pour des motifs légitimes (art. 38)
Droit d'accès
Droit d'accès direct : droit de demander à connaître les informations collectées à son sujet (art. 39-1)
Droit d'accès indirect obligatoire (sûreté de l'État, sécurité publique, défense - art.41) :
La demande transite par un commissaire de la CNIL, magistrat ou ancien magistrat
Le contrôle est exercé par ce dernier qui rend compte à l'intéressé de ses investigations (conformité de la collecte aux déclarations ou pas, rectifications demandées...)
Droit de rectification ou de suppression : droit d'obtenir rectification ou suppression des informations personnelles (art. 40)
Obligations en cas de traitement automatisé
NB : Automatisé : plus large qu'informatisé
Formalités préalables aux traitements
Divers cas de figure :
1. Régime allégé - pas de déclaration (nouveauté 2004) :
Tenue d'un registre simplement destiné à l'information du public (art. 22-II)
Désignation d'un correspondant à la protection des données à caractère personnel qui exerce toutes les obligations en interne (art. 22-III - cf. ci-dessous)
2. Déclaration normale (art. 22-I - art. 23) :
Déclaration complète de conformité du traitement prévu à la loi
Possibilité de grouper les traitements ayant une même finalité
Début du traitement à réception du récépissé de déclaration
3. Déclaration simplifiée (art. 24) :
Élaboration de normes simplifiées par la CNIL pour les traitements les plus courants
Déclaration en conformité avec une de ces normes
Début du traitement à réception du récépissé de déclaration
4. Autorisation par la CNIL (art. 25)
5. Autorisation par arrêté ministériel et avis de la CNIL (art. 26 et 27)
6. Autorisation par décret en Conseil d'État et avis de la CNIL (art. 26 et 27)
Déclaration spécifique de site internet supprimée
Supprimée en tant que telle le 10 juillet 2006 par la CNIL (cf. sur leur site :
http://www.cnil.fr/index.php?id=1946)
La norme simplifiée n°15 (envoi d'informations) ayant été supprimée le 9 mai 2006 (voir la délibération de la CNIL :
http://www.cnil.fr/index.php?id=2016)
NB : Seule subsiste l'obligation de déclarer des traitements à but de sollicitation commerciale (norme simplifiée n°48) lorsqu'ils sont réalisés à partir de sites web.
Le nouveau correspondant informatique et libertés (CIL)
Le « correspondant à la protection des données à caractère personnel », en raccourci : correspondant informatique et libertés, est issu de la loi de 2004, en vue d'alléger les procédures et d'éviter leur centralisation auprès de la CNIL. C'est une sorte de Monsieur CNIL dans l'entreprise, également considéré comme un vecteur de diffusion de la culture de la protection des données à caractères personnel dans les entreprises.
Rôle et missions du CIL
Se substitue aux déclarations normales et simplifiées, mais ne dispense pas l'entreprise des procédures de demandes d'autorisation (art. 22-III)
Tient à jour la liste des traitements effectués dans l'entreprise et la met à disposition de toute personne (décret, art. 47 & 48)
Veille à l'application de la loi par voie de conseil, médiation en interne et alerte, au besoin auprès de la CNIL (décret, art. 49 al.1er à 5, art. 51)
Rend compte de son action au responsable des traitements par un bilan annuel tenu à disposition de la CNIL (décret, art. 49 al.6)
Statut et responsabilités
Issu de l'art. 22-III et du décret :
Désigné par le responsable du traitement (al.1er)
Désignation portée à la connaissance des institutions représentatives du personnel (décret, art.45) et notifiée à la CNIL (al.2)
Ne peut être sanctionné par l'employeur du fait de sa mission (al.3)
Doit être qualifié en matière de droit et de technologie, mais aucun agrément ni exigence de diplômes ne sont prévus (idem)
Ne peut exercer d'autres fonctions qui entreraient en conflit d'intérêt avec sa mission (décret, art. 46 al.4)
Répond de sa mission devant la CNIL qui peut le faire décharger de ses fonctions (al.4 et décret, art. 52)
Personne interne ou externe à l'entreprise
Décret, art. 44 :
Lorsque moins de 50 personnes sont chargées des traitements ou y ont directement accès : faculté de choix entre correspondant extérieur ou interne
Au-delà des 50 personnes : correspondant forcément interne à la structure.
Voir, pour une présentation synthétique du CIL : http://www.cnil.fr/index.php?id=1911
En savoir plus Par e-mail : webmaster@pc-ntic.fr
Le site de la CNIL (www.cnil.fr) propose toutes sortes de documents de synthèse sur l'application de la loi, les obligations déclaratives, le CIL, et bien sûr, toutes les normes simplifiées à jour. Il permet aussi de procéder à toutes les télé-déclarations possibles (déclarations normales, simplifiées). Il propose aussi des dossiers thématiques sur l'application de la loi selon les secteurs d'acitivté.
PC-NTIC
"Un consultant NTIC à vos côtés !"
Vous ne souhaitez plus bénéficier de ces informations ?
Indiquez-le simplement ici : webmaster@pc-ntic.fr
Aucun commentaire:
Enregistrer un commentaire