L'éventail des sanctions prononcées par la CNIL ou prévues par les articles 226-16 à 226-24 du code pénal et la possibilité d'un contrôle sur place (de 6h à 21h) renforcent l'efficacité des mesures. La CNIL dispose - outre l'avertissement, l'injonction de cesser le traitement, le retrait de l'autorisation - d'un pouvoir nouveau de sanction pécuniaire pouvant aller, en cas de manquement réitéré, jusqu'à 300 000 €.
Un champ d'application plus étendu
Toutes les entreprises qui utilisent des informations identifiant des individus sont concernées par ces dispositions.
En effet, sous le vocable peu engageant de " traitement ", le législateur a entendu viser tous types d'opérations portant sur des données, et notamment le fait de collecter, enregistrer, organiser, conserver, adapter, modifier, extraire, consulter, utiliser, communiquer par transmission, diffusion ou toute autre forme de mise à disposition, rapprocher, interconnecter, verrouiller, effacer ou détruire des données.
Sauf activités expressément exclues (activités artistiques notamment), a priori, n'importe quelle opération visant une donnée qui rend une personne identifiée ou identifiable est susceptible de tomber dans le champ de la loi : nom, prénom, photographie, adresse mais aussi, nous le savons, adresse IP, numéro de téléphone, numéro d'identification, etc. Selon la lettre de l'article 2, " l'ensemble des moyens en vue de permettre son identification " est à prendre en considération. Cependant, toutes les opérations n'obéissent pas aux mêmes formalités ; la loi tend précisément à la simplification.
Des formalités simplifiées
La loi maintient un régime déclaratif et un régime d'autorisation mais cette distinction ne dépend plus de la nature publique ou privée du traitement concerné mais seulement de la finalité du fichier et de la nature des données.
Dans le cadre de l'entreprise, voici l'application qui peut être faite des nouvelles règles :
1. Hypothèse des traitements régulièrement réalisés avant l'entrée en vigueur de la loi : régime transitoire
La mise en conformité avec les règles de fond, notamment chapitre II et chapitre V de la loi, doit être réalisée dans les trois années à venir par le responsable du traitement. Sauf dispositions contraires, celui-ci est la personne, autorité publique, service ou organisme (article 3) qui initie le traitement et en choisit les modalités d'exécution ainsi que la finalité.
On notera par exemple que le droit à l'information a été développé : les personnes concernées peuvent exiger plus de renseignements, que le responsable est tenu de fournir (article 39).
Le principe de finalité, qui existait en filigrane dans le précédent texte, est clairement exprimé : le but de la collecte est déterminé, explicite et légitime. Le droit de rectification des héritiers d'une personne décédée est créé. Le droit d'opposition en matière commerciale est consacré. Autant de nouveautés dont le responsable doit tenir compte.
2. Hypothèse des nouveaux traitements : toutes les dispositions sont applicables
Les conditions de licéité des traitements (chapitre II)
Résumées (article 6) en quelques principes, les conditions de licéité s'appliquent à tous les traitements de données à caractère personnel : loyauté et licéité, finalité et réutilisation, proportionnalité, actualité et enfin durée de conservation des données.
Les chefs d'entreprises, en qualité de responsables, doivent également (article 7) s'assurer que le traitement a été réalisé avec le consentement de la personne concernée ou opéré dans le cadre d'une obligation légale, d'une opération de sauvegarde de la vie de l'intéressé, d'une mission de service public, de l'exécution d'un contrat ou de la réalisation d'un intérêt légitime du responsable.
En revanche, le principe - maintenu - d'interdiction du traitement des données sensibles (relatives aux origines raciales ou ethniques, aux opinions politiques, philosophiques ou religieuses, à l'appartenance syndicale, à la santé et à la vie sexuelle) ne connaît d'exceptions que légales, énumérées à l'article 8, parmi lesquelles le consentement " exprès " de la personne concernée. Les entreprises doivent donc, en la matière, redoubler de vigilance ; on pense notamment aux indications contenues dans le dossier de chaque salarié.
Les formalités préalables à la mise en œuvre des traitements (chapitre IV)
Le principe est la déclaration, dont la longue liste des mentions obligatoires figure à l'article 30. Effectuée par le responsable, préalablement à la mise en œuvre du traitement, son récépissé autorise les opérations déclarées. Quant à la déclaration d'un site web, un formulaire différent est nécessaire et disponible en ligne.
La déclaration simplifiée de conformité peut-être utilisée si le traitement considéré est strictement conforme aux normes établies par la CNIL pour les traitements les plus courants : norme 46 pour la gestion des ressources humaines, norme 42 pour la gestion des contrôles d'accès aux locaux, horaires et restauration sur les lieux de travail, norme 40 pour la mise en place d'autocommutateurs téléphoniques sur les lieux de travail …
Quant à la dispense de formalité (qui ne dispense pas au demeurant du respect de l'ensemble des règles de protection), elle est utilisée lorsque le traitement n'est pas susceptible de porter atteinte à la vie privée ou aux libertés.
Sont ainsi dispensés de formalités préalables les traitements (i) qui ont "pour seul objet la tenue d'un registre qui, en vertu de dispositions législatives ou réglementaires, est destiné exclusivement à l'information du public " et est ouvert à la consultation de celui-ci ou de toute personne justifiant d'un intérêt légitime, (ii) ceux dont la finalité se limite à assurer la conservation à long terme de documents d'archive, (iii) ceux pour lesquels le responsable a désigné un correspondant à la protection des données dénommé Correspondant Informatique et Libertés (CIL) dont la mission consiste à tenir le registre des traitements mis en œuvre par l'entreprise, l'association ou l'administration, à la disposition de toute personne en faisant la demande et, plus généralement, à veiller au respect des obligations prescrites par la loi ".
Dans ce cadre, la CNIL a rendu quelques décisions qui emportent économie d'une déclaration : fichiers de paie, déclarations sociales, registre unique du personnel...
L'ensemble des normes simplifiées et des dispenses est disponible sur le site de la CNIL.
Les autorisations concernent des domaines très particuliers énumérés aux articles 25, 26 et 27 de la loi. Mentionnons les traitements automatisés de données génétiques, les interconnexions de fichiers, les données biométriques… Ces autorisations sont délivrées par la CNIL, par décret en Conseil d'Etat ou arrêté ou décision de l'organe délibérant.
Au chapitre des précautions, relevons enfin que la possibilité de procéder à une déclaration unique ne doit pas aboutir à une absence de déclaration (vérifier, en ce cas, que les traitements relèvent d'un même organisme et répondent à des finalités similaires ou liées).
En ce qui concerne les obligations du responsable, relevons également l'obligation de prendre " toutes les précautions utiles " à la sécurisation et la sécurité des données. Prudence donc.
Un nouvel outil pour l'entreprise : le correspondant informatique et libertés (article 22) 1
Gain de temps, réduction des risques, le correspondant informatique et libertés est une innovation de la loi. Il assure de manière indépendante le respect des obligations prévues, ce qui dispense, par-là même, l'entreprise de toute démarche mais uniquement pour ce qui concerne les traitements courants. En effet, pour les traitements soumis à avis ou autorisation préalable de la CNIL, la déclaration continue à être requise.
La nomination du correspondant informatique et libertés, à la fois expert dans le domaine de la protection des données personnelles et médiateur, est facultative. En effet, si l'entreprise décide de ne pas nommer un tel correspondant, elle reste soumise au régime déclaratif existant.
Son rôle est, d'une part, d'alléger les formalités déclaratives auprès de la CNIL et, d'autre part, de seconder et conseiller le responsable du traitement des données personnelles. Il est donc une véritable interface entre la CNIL et l'entreprise. A ce titre, il doit répondre à toutes les questions internes relatives à la loi informatique et libertés.
Si la nomination d'un correspondant informatique et libertés allège grandement les obligations déclaratives, le travail en interne se trouve, lui, renforcé. En effet, là où il suffisait auparavant de déclarer la constitution d'un fichier et sa finalité, il faut désormais que le correspondant dispose de tous les fichiers relevés dans l'entreprise, mais aussi de tous les traitements effectués dessus.
Avec un an de recul2, on note que ce sont surtout les grandes entreprises et administrations qui ont procédé à la nomination d'un tel correspondant. Les procédures engendrées et compétences nécessaires seraient-elles finalement trop lourdes pour que le correspondant informatique et libertés trouve sa place dans une structure plus petite ?
Tableaux récapitulatifs
- Les régimes de déclaration
|
DONNEES PERSONNELLES |
DONNEES SENSIBLES |
CAS PARTICULIERS |
|
Régime de déclaration à la CNIL c/ récépissé sauf si désignation d'un correspondant informatique et libertés
Art.23 |
Régime de déclaration simplifiée de conformité sauf si désignation d'un correspondant informatique et libertés
(normes)
Art.24 |
Régime de dispense de déclaration
Art.22 + décisions |
Principe : interdiction de traitement
Exceptions légales
Art.8 |
Régime d'autorisation (CNIL, par décret en CE, par décret ministériel ou organe de délibération)
Art.25 à 29 |
- Application au monde de l’entreprise des principes régissant la protection des données personnelles
| FINALITE |
Seul un usage déterminé et légitime peut justifier le traitement et la collecte de données personnelles. |
| PROPORTIONNALITE |
Les restrictions apportées aux droits et libertés des personnes faisant l'objet d'un traitement de données personnelles doivent être proportionnelles au but recherché. |
| PERTINENCE DES DONNEES |
Les données recueillies doivent être adéquates, pertinentes et non excessives au regard des objectifs poursuivis. |
| LIMITATION DE LA DUREE DE CONSERVATION |
Une durée de conservation des données doit être établie en fonction de l'utilité et de la finalité de chaque fichier. |
| SECURISATION DES DONNEES |
Une obligation de sécurité pèse sur l'employeur : il doit mettre en place un protocole de sécurité pour veiller au respect de la confidentialité des données récoltées. |
| TRANSPARENCE |
Toute collecte de données personnelles doit faire l'objet d'une campagne d'information au sein de l'entreprise. |
| RESPECT DES DROITS DES EMPLOYES ET DES CANDIDATS A UN EMPLOI |
Toute personne peut, sur motifs légitimes, s'opposer ce que des données personnelles la concernant soient collectées. De plus, elle peut demander au détenteur d'un fichier de lui communiquer les informations qui la concernent et même de faire rectifier ou détruire les informations erronées. |
1. Pour plus d’informations sur le rôle du correspondant informatiques et libertés, voir la tribune d’expert de Me Caporal : Une réduction des obligations de déclaration à la CNIL au sein de l’entreprise : la nomination d’un correspondant ‘informatique et libertés’. (retour au texte)
2. Le décret d’application relatif au correspondant informatique et libertés a été adopté le 22 octobre 2005. (retour au texte)
contact
|
