Tout traitement automatisé d'informations nominatives doit, avant sa mise en œuvre, être déclaré ou soumis à l'avis de la CNIL. Introduction I : les formalités préalables Ces formalités préalables sont prévues par la loi du 6 janvier 1978 et ont pour objectifs : - de responsabiliser les utilisateurs de données nominatives; - de permettre à la CNIL de contrôler et d'influencer les choix effectués; - d'assurer, grâce à la publicité à laquelle elles donnent lieu, la transparence nécessaire à l'exercice des droits des personnes concernées par les traitements.

A : nature de ces formalités : - Les déclarations de conformité (ou déclaration simplifiées) Ce sont des formulaires allégés qui permettent de certifier qu’un fichier ou un traitement de données personnelles est conforme à un modèle déjà défini La déclaration normale C’est le formulaire à utiliser dans tous les autres cas, y compris pour les demandes d’autorisation applicables aux fichiers sensibles ou à risques. En cas d’hésitation, c’est le formulaire à choisir. Le non-accomplissement de ces formalités est sanctionné pénalement (art. 226-16 du code pénal) : trois ans d'emprisonnement et 45 700 euros d'amende.

B : les modalités de la collecte des données La loi condamne la collecte déloyale, frauduleuse ou illicite d'informations nominatives (art. 25 de la loi et art. 226-18 du code pénal 5 ans d'emprisonnement et 304 898 euros d'amende). Ce principe se traduit par l'obligation d'informer préalablement les personnes auprès desquelles sont recueillies des données

- du caractère obligatoire ou facultatif des réponses, - des conséquences d'un défaut de réponse, - des destinataires des informations, - ainsi que de l'existence d'un droit d'accès. Les questionnaires doivent mentionner ces prescriptions (art. 27).

Les interdits : - Infractions, condamnations, mesures de sûreté : la loi réserve aux seules autorités publiques agissant dans le cadre de leurs attributions légales et sous réserve d'un avis conforme de la CNIL, l'enregistrement de ces données (art. 30). Le non-respect de cette interdiction est sanctionné pénalement (art. 226-19) : 5 ans d'emprisonnement et 304 898 euros d'amende.

- Origines raciales, opinions politiques, philosophiques ou religieuses, appartenances syndicales ou mœurs des personnes : la loi interdit l'enregistrement de ces informations aux potentialités discriminatoires évidentes (art. 31) (sauf en cas de consentement exprès, c'est-à-dire écrit, des intéressés).

Le non-respect de cette interdiction est sanctionné pénalement (art Le non-respect de cette interdiction est sanctionné pénalement (art. 226-19) : 5 ans d'emprisonnement et 304 898 euros d'amende.

II Le droit des personnes fichées La loi reconnaît des droits aux personnes figurant dans des traitements. Les responsables des fichiers doivent permettre à ces personnes d'exercer pleinement ces droits : A : droit d’opposition Il existe différentes formes d'expression de ce droit d'opposition : - le refus de répondre lors de la collecte non obligatoire de données ; - la nécessité de donner son accord écrit pour le traitement de données sensibles telles que les opinions politiques ou les convictions religieuses (art. 31 de la loi) ;

- la faculté de demander la radiation des données contenues dans les fichiers commerciaux ou de vente par correspondance ; - la possibilité d'exiger la non-cession ou la non-commercialisation des informations. Le droit d'opposition comporte deux limites : - son exercice est subordonné à l'existence de raisons légitimes ; - il n'existe pas pour de nombreux traitements du secteur public.

B : droit d’accès 1 : accès direct Le droit d'accès donne à toute personne la possibilité de connaître l'existence ou non de données la concernant dans un fichier automatisé ou manuel et, si elle le désire, d'en obtenir communication. L'exercice de ce droit permet à l'individu de contrôler l'exactitude des données stockées sur son compte et, au besoin, de les faire rectifier ou effacer (art. 34 à 38 de la loi).

Le droit d'accès s'exerce directement par l'individu auprès de l'organisme détenteur d'informations le concernant. La communication des données doit être fidèle au contenu des enregistrements et effectuée en langage clair.

2 : accès indirect Certaines données nominatives ne sont pas directement accessibles par les personnes concernées mais sont néanmoins soumises à un contrôle indirect : l'accès aux informations utilisées dans les traitements intéressant la sûreté de l'Etat, la défense et la sécurité publique est médiatisé par un commissaire de la CNIL, membre du Conseil d'Etat, de la Cour de cassation ou de la Cour des comptes.

Les membres de la CNIL chargés de ce droit d'accès indirect effectuent les investigations utiles, font procéder aux modifications nécessaires et notifient au requérant qu'il a été procédé aux vérifications (art. 39 de la loi).

C : droit de rectification Le droit de rectification constitue un complément du droit d'accès. Toute personne peut faire corriger les erreurs qu'elle a pu déceler à l'occasion de la communication des informations la concernant. Ainsi, en cas d'inexactitude, elle peut exiger que ces informations soient rectifiées, complétées, clarifiées, mises à jour ou effacées (art. 36 de la loi).

Indépendamment de toute demande, la loi met à la charge des détenteurs de fichiers une obligation de rectification d'office dès lors qu'une inexactitude est détectée (art. 38 de la loi). Le non-respect du droit de rectification est sanctionné pénalement (Décret 81-1142 ).

III : la CNIL A : le statut de la CNIL La Commission Nationale de l' Informatique et des Libertés a été instituée par la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés qui la qualifie « d’autorité administrative indépendante ». Loi modifiée en 2004. http://www.cnil.fr/la-cnil/qui-sommes-nous/ La CNIL c’est un collège pluraliste de 17 personnalités :

La Commission nationale de l’informatique et des libertés est chargée de veiller à ce que l’informatique soit au service du citoyen et qu’elle ne porte atteinte ni à l’identité humaine, ni aux droits de l’homme, ni à la vie privée, ni aux libertés individuelles ou publiques

B : les attributions de la C.N.I.L. 1 : recenser les fichiers La CNIL donne un avis sur toutes les créations de traitements du secteur public et les déclarations de traitements du secteur privé (art. 15 et 16). Le non-respect de ces formalités par les responsables de traitements est pénalement sanctionné (art.226-16 ) La CNIL tient à la disposition du public le "fichier des fichiers", c'est-à-dire la liste des traitements qu'elle a recensés et leurs principales caractéristiques (art.22).

2 : contrôler Dans sa mission générale de contrôle des applications informatiques, la CNIL dispose de pouvoirs d'investigation qui lui permettent de vérifier que la loi est respectée (art21). La Commission use de ces pouvoirs : Pour instruire les plaintes ; Pour disposer d'une meilleure connaissance de certains fichiers ou mieux apprécier les conséquences du recours à l'informatique dans certains secteurs ;

Pour assurer un suivi de ses délibérations. La CNIL surveille par ailleurs la sécurité des systèmes d'information en s'assurant que toutes les précautions sont prises pour empêcher que les données ne soient déformées ou communiquées à des tiers non autorisés

3 : réglementer La Commission dispose d'un pouvoir réglementaire, qui est notamment utilisé pour l'élaboration de normes-types concernant les traitements les plus courants qui ne comportent manifestement pas de risques d'atteintes à la vie privée ou aux libertés (41 normes avaient été adoptées au 31.12.1997) (art.17).

4 : garantir le droit d’accès La CNIL veille à ce que les modalités de mise en œuvre du droit d'accès aux données contenues dans les traitements n'entravent pas le libre exercice de ce droit (art.21, 5). Elle exerce, pour le compte des citoyens qui le souhaitent, l'accès aux fichiers intéressant la sûreté de l'Etat, la défense et la sécurité publique, notamment ceux des Renseignements généraux (art. 39).

5 : instruire les plaintes La CNIL reçoit et instruit les plaintes, réclamations et pétitions dont peut la saisir, par simple lettre, tout citoyen (art.21, 6°). Elle apprécie la suite à leur réserver : classement, avertissement, saisine du Parquet. 6 : informer La CNIL doit informer toutes les personnes concernées de leurs droits et obligations et conseiller les organismes qui ont recours au traitement automatisé de données ou envisagent de le faire (art.6).

Elle répond aux consultations des pouvoirs publics et des juridictions (décret n°78-774, art.1, al.4). Elle publie chaque année un rapport d'activité , remis au Président de la République et au Parlement (art.23).

Elle est investie d'une mission générale de réflexion prospective dans le cadre de laquelle elle se tient informée de l'évolution des technologies et analyse les effets de leur utilisation sur le droit à la protection de la vie privée, l'exercice des libertés et le fonctionnement des institutions (art.21, 7°). La Commission peut proposer au gouvernement toutes mesures législatives ou réglementaires de nature à adapter la protection des libertés et de la vie privée à l'évolution des techniques (décret N°78- 774, art.1, al 5).