LES DONNEES PERSONNELLES
1. Les principes fondamentaux et le périmètre légal Le cadre législatif et réglementaire établi au niveau national par la loi du 6 janvier 1978 modifiée le 6 août 2004, s'inscrit dans un mouvement européen, celui de la directive du 24 octobre 19951. Il en résulte que le champ d'application de la loi française est très semblable à celui de la directive européenne. Avant d'aborder les différentes obligations que la législation relative à l'Informatique, aux Fichiers et aux Libertés impose afin de préserver les libertés, il convient de poser quelques principes généraux.
1.1 – La notion de traitement et de donnée à caractère personnel 1.1.1 Les données à caractère personnel Les informations protégées par la loi sont les données à caractère personnel. Selon la loi : « Constitue une donnée à caractère personnel toute information relative à une personne physique identifiée ou qui peut être identifiée, directement ou indirectement, par référence à un numéro d'identification ou à un ou plusieurs éléments qui lui sont propres. Pour déterminer si une personne est identifiable, il convient de considérer l'ensemble des moyens en vue de permettre son identification dont dispose ou auxquels peut avoir accès le responsable du traitement ou toute autre personne » (L. du 6-1-1978 art. 2).
Selon la CNIL, les données à caractère personnel sont constituées de « toutes les informations anonymes dont le recoupement permet d’identifier une personne précise (par exemple une emprunte digitale, l’ADN ou encore la mention « le fils du médecin résidant au 11 boulevard Belleville à Montpellier est un mauvais élève ») ». Ainsi, il peut s'agir, soit du patronyme, soit du numéro de sécurité sociale, soit du numéro d'immatriculation d'un véhicule automobile et plus généralement de toutes données qui, sans avoir un rapport direct (nom, prénom, adresse...), permettent d'établir un lien avec la personne physique concernée2.
1.1.2 La notion de traitement à caractère automatisé ou non La loi Informatique et libertés se préoccupe avant tout de la notion de « traitement de données à caractère personnel » qui va bien au-delà de celle de fichier. Le champ d'application de la loi de 1978 recouvre tout traitement automatisé de données à caractère personnel, ainsi que les traitements non automatisés de données à caractère personnel contenues ou appelées à figurer dans des fichiers (L. du 6-1-1978 art. 2). Le caractère automatisé du traitement de données à caractère personnel n’est pas une condition essentielle d'application de la loi.
Un traitement automatisé de données à caractère personnel recouvre : « toute opération ou tout ensemble d'opérations portant sur des données à caractère personnel, quel que soit le procédé utilisé, relatif notamment à la collecte, l'enregistrement, l'organisation, la conservation, l'adaptation ou la modification, l'extraction, la consultation, l’utilisation, la communication par transmission, diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, ainsi que le verrouillage, l’effacement ou la destruction » (L. du 6-1-1978 art. 2). Ainsi, un traitement automatisé peut n'être constitué que par l'un des éléments décrits à l'article 2, par la seule collecte et l'enregistrement des informations nominatives3. En outre, la loi n'a pas prévu de distinction entre les données à caractère personnel, selon qu'elles sont ou non accessoires par rapport à la finalité principale du traitement, pour la définition de son champ d'application.
Si la loi Informatique et libertés régit l'informatique elle ne s'y limite pas. La définition extensive de la notion de traitement de données à caractère personnel permet d'appliquer la loi à tout nouveau procédé automatisé, quelle que soit la nature du support ou la technique utilisée, dès lors que les données recueillies sont destinées à être contenues ou appelées à figurer dans des fichiers. Seuls les traitements automatisés de données à caractère personnel mis en œuvre pour l’exercice d’activités « exclusivement personnelles » ou domestiques sont exclus de la loi (agendas et autres carnets d'adresses personnels) sous réserve de respecter l’article 5 (L. du 6-1-1978). Un carnet d'adresses utilisé pour des besoins « professionnels » retombe dans le champ d'application de la loi, indépendamment du fait qu'il soit utilisé au domicile et en dehors des horaires du travail.
1.2 - La notion de collecte loyale 1.2.1 Principes et limitations Les données doivent être collectées et traitées de manière loyale et licite (L. du 6-1-1978 art. 6, 1°). En l'absence de définition légale d'un moyen frauduleux déloyal ou illicite, c'est à la jurisprudence qu'il revient d'en déterminer les critères. La jurisprudence considère que la collecte d'informations auprès de tiers à l'insu des intéressés constitue une manœuvre déloyale dans la mesure où ces derniers n'ont pas la possibilité de faire jouer leur droit d'opposition à la collecte, tel que prévu par l'article 38 de la loi du 6 janvier 1978 modifiée. Toutefois, les sanctions pénales ne s'appliquent qu'en cas d'enregistrement et de conservation d'informations collectées de façon illicite, et non à la collecte en elle-même.
Pour sa part, la Commission nationale de l’informatique et des libertés (Cnil) s'est prononcée à plusieurs reprises sur le caractère déloyal et illicite de la collecte d'informations. Elle considère notamment que l'obtention de numéros d'abonnés par sélection aléatoire ou par fabrication de séquences à partir d'un indicatif doit être considérée comme une collected'informations opérée par un moyen déloyal ou frauduleux au sens de l'article 25 de la loi précitée.
La loi du 6 janvier 1978 modifiée fixe un certain nombre d'exceptions à l'illicéité de la collecte, de l'enregistrement et de la conservation des informations dites « sensibles ». Ces exceptions sont contenues pour l'essentiel à l’article 8-II de cette même loi. Il s’agit des données à caractère personnel qui font apparaître, directement ou indirectement, les origines raciales ou ethniques, les opinions politiques, philosophiques ou religieuses ou l'appartenance syndicale des personnes, ou qui sont relatives à la santé ou à la vie sexuelle de celles-ci5.
La mise en mémoire et la conservation de ces données est néanmoins possible lorsque : - le responsable du traitement a obtenu l'accord exprès de l'intéressé (sous la forme d'un écrit) ; - le traitement est nécessaire à la sauvegarde de la vie humaine mais auquel la personne concernée ne peut donner son consentement par suite d’une incapacité juridique ou d’une impossibilité matérielle ; - un groupement religieux, philosophique, politique ou syndical tient la liste de ses membres - il existe un motif d'intérêt public (traitements mis en oeuvre par le ministère de la Défense et de l'Intérieur, par exemple) ; - le traitement est nécessaire à la constatation, l’exercice ou à la défense d’un droit en justice.
La violation des dispositions relatives à la collecte illicite de données à caractère personnel est sanctionnée d'une peine d'emprisonnement de cinq ans et d'une amende de 300 000 euros (C. pén. art. 226-18). Pour les personnes morales, la peine d'amende encourue est quintuplée, soit 1 500 000 euros, et s'accompagne des peines prévues à l'article 131-38 du Code pénal.
Caractéristiques fondamentales La loi impose le respect de six caractéristiques fondamentales pour gérer des données à caractère personnel : l’exactitude : Cette notion correspond à la conformité à la réalité informationnelle propre à l’individu concerné et ce, dans l’espace et dans le temps ; l’adéquation : L’information doit, non seulement, être exacte lors de la collecte, mais également garder cette caractéristique lors de l’utilisation. Pour ce faire, il faut que le traitement respecte cette exactitude. Une telle option suppose que le traitement soit adéquate, c’est-à-dire qu’il ne dénature pas cette information lors de l’agrégation et la restitution de cette information ; la pertinence : Cette notion implique le respect de la conformité entre la donnée et sa mise en œuvre.
la légitimité : Toutes les justifications du traitement ne sont pas forcément acceptables. Le principe de proportionnalité entre les intérêts des personnes concernées et le responsable des traitements impose que les données collectées ne dépassent pas un seuil raisonnable ; non excessive : Cette notion est difficile à apprécier. Elle est définie par la CNIL de manière pragmatique en fonction de la nature des données à caractère personnel et de la sensibilité des traitements initiaux et des traitements ultérieurs ; la complétude : Afin d’éviter des erreurs, il est obligatoire que le responsable s’assure qu’il dispose de toutes les informations nécessaires à la qualité des résultats des traitements ;
le maintien en condition opérationnelle : Toutes les caractéristiques adéquates, pertinentes, non excessives et complètes doivent être maintenues dans le temps pendant toute la période de mise en œuvre. À cet effet, le responsable des traitements doit mettre à jour les données, les effacer et corriger ou compléter d’éventuelles lacunes
Les droits des personnes concernées La protection de la vie privée de chacun doit être respectée à travers la préservation de certains droits parmi lesquels on trouve principalement : - le droit à l'information préalable ; - le droit d'accès (droit d'interrogation et droit de communication) ; - le droit de rectification
1.3.1Le droit à l'information préalable La loi du 6 janvier 1978 institue un droit à l'information au profit de la personne fichée. L'article 32-I dispose à ce titre que toute personne doit être informée lorsque l'information est recueillie directement auprès de cette dernière : - de l'identité du responsable du traitement et le cas échéant de celle de son représentant ; - de la finalité poursuivie par le traitement auquel les données sont destinées ; - du caractère obligatoire ou facultatif des réponses ; - des conséquences éventuelles d'un défaut de réponse ; - des destinataires ou catégories de destinataires de données ; - du droit d'opposition et de rectification ; - des transferts de données à caractère personnel envisagées à destination d'un non- membre de la Communauté européenne ; - de l'existence d'un droit d'accès ou de rectification
Il appartient au responsable de la collecte de prendre toutes les mesures pour mettre en oeuvre cette obligation, en particulier lorsque les informations sont collectées sous forme de questionnaires. En cas de collecte indirecte (cookies sur internet) l’internaute doit être informé de manière claire et complète par le responsable du traitement ou son représentant
- de la finalité de toute action tendant à accéder par voie de transmission électronique, à des informations stockées dans son équipement terminal de connexion ou à inscrire par la même voie, des informations dans son équipement terminal de connexion ; - des moyens dont elle dispose pour s'y opposer (L. du 6-1-1978 art. 32-II). Le non-respect de ces dispositions est sanctionné par les peines prévues pour les contraventions de la 5e classe, en application du décret n°81-1142 du 23 Décembre 1981.
1.3.2 Le droit d'accès (droit d'interrogation et droit De communication) Le droit d'accès est le droit, pour les personnes fichées, de savoir si, d'une part, des données à caractère personnel les concernant figurent dans un traitement et d'autre part, de prendre connaissance desdites informations (L. du 6-1-1978 art. 39). C'est un droit essentiel qui met en avant le citoyen par rapport à l'administré. Ce droit de regard permet en effet, d'éviter les dérapages et d'encourager la transparence dans l'exploitation des données à caractère personnel fichées. Il permet principalement à une personne de questionner l'entité responsable d'un traitement automatisé afin de savoir si le traitement contient ou non des informations la concernant. Il offre accessoirement, la possibilité au demandeur de se voir communiquer lesdites informations pour le cas où des données à caractère personnel seraient effectivement contenues dans le fichier.
Il ne peut être, effectivement, mis en oeuvre que par la personne concernée et ne peut porter que sur les informations qui lui sont relatives. La personne qui décide d'exercer son droit d'accès n'a aucune justification à donner pour ce faire. De même, qu'elle n'a pas à justifier d'un contentieux quelconque. Ce droit n'a pas besoin d'être motivé. Cependant, afin de limiter l'usage abusif de ce droit qui peut apparaître dans certains cas comme un acte visant délibérément à gêner l'entreprise détentrice du fichier, la Cnil a le pouvoir de délier l'entreprise concernée de ses obligations en matière de droit d'accès.
La Cnil se réserve le droit, lorsqu'elle est saisie par l'intéressé, d'exiger communication des informations dans des délais très courts, sans pour autant justifier d'une urgence. Pour limiter les demandes de droits d'accès abusives et répétées, le législateur a retenu le principe du paiement d'une redevance pour obtenir la copie des informations. Le montant ce cette redevance est fixé par arrêté ministériel.
Enfin, pour les données « sensibles », la loi prévoit un droit d'accès « indirect » défini par les articles 40 à 42 de la loi du 6 janvier 1978. Ainsi, l'accès aux informations médicales s'exerce par l'intermédiaire d'un médecin. Le non-respect du droit d'accès est sanctionnées par des contraventions de police de la 5e classe dont le montant actuel est une amende de 1 500 euros au plus, montant pouvant être porté à 3 000 euros en cas de récidive6.
1.3.3 Le droit de rectification Le droit de rectification est un droit complémentaire au droit d'accès. Il n'est, cependant, pas soumis aux mêmes conditions d'exercice, lesquelles sont fixées par l'article 40 de la loi du 6 janvier 1978. La personne qui a demandé le droit d'accès n'a pas tous pouvoirs sur les informations qui la concerne. Elle peut seulement les compléter, les mettre à jour, les clarifier ou en demander l'effacement. Contrairement au droit à l'information et au droit à la communication pour lesquels la personne n'a pas besoin de se justifier ou de motiver sa démarche, l'exercice effectif de rectification est soumis à des conditions précises7. Le non-respect du droit de rectification est sanctionné par des contraventions de police de la 5e classe, ainsi qu'éventuellement la publication du jugement aux frais du condamné.
– Le maître du fichier et ses obligations 1.4.1Le responsable du traitement La loi définit expressément le responsable du traitement de données à caractère personnel comme la personne, l’autorité publique, le service ou l’organisme qui détermine les finalités du traitement et ses moyens (L. du 6-1-1978 art 3, I). La jurisprudence a considéré que possède la qualité de déclarant toute personne physique ou morale qui a le pouvoir de décider la création d'un fichier informatisé même si l'exploitation du traitement informatisé est confiée à une société de services8. Les formalités de déclarations réalisées auprès de la Cnil impliquent que le dossier constitué soit signé par la personne physique ou le représentant de la personne physique ou le représentant de la personne morale qui a le pouvoir de décider de la mise en œuvre du traitement.
Pour la Cnil, un organisme qui met en œuvre un traitement et l'exploite lui-même est l'organisme déclarant. De même, un organisme qui met en œuvre un traitement, mais en sous-traite l'exploitation, conserve la qualité d'organisme déclarant. Si un organisme met en œuvre un traitement et cède une partie des données traitées à un autre organisme qui, à son tour, les exploite pour son propre compte, les deux organismes ont, dans ce cas, la qualité d'organisme déclarant. Chacun doit en conséquence procéder aux formalités, pour ce qui le concerne.
1.4.2 Les obligations déclaratives Bien que la loi du 6 janvier 1978 ne contienne pas de précisions sur la personne à qui revient l'obligation de déclarer le traitement auprès de la Cnil, il appartient au responsable du traitement d'effectuer les formalités préalables auprès de la Cnil, et ce, quel que soit le service ou l'organisme auquel l'exploitation du traitement est confiée. Le responsable de traitements de données à caractère personnel qui — sans être établi sur le territoire français ou dans un Etat membre de l’Union européenne — recourt à des moyens de traitement situés sur le territoire français, à l’exclusion des traitements utilisés uniquement à des fins de transit, doit désigner auprès de la Cnil un représentant qui se substitue à lui pour réaliser les formalités de déclaration (L. du 6-1-1978 art. 5).
La loi du 6 janvier 1978 distingue deux types de formalités préalables de déclaration, selon la nature et la finalité des traitements. Les traitements sont, selon le cas, soumis à la procédure de déclaration (loi du 6-1-1978 art. 23 et 24) ou d’autorisation (loi du 6-1-1978 art. 25, 26 et 27). Les formalités dites de déclaration constituent le régime général institué par la loi Informatique et libertés. Cette catégorie recouvre les traitements qui présentent un caractère courant, c’est-à-dire ne risquant pas de porter atteinte à la vie privée ou aux libertés et s’articule autour de trois procédures qui se manifestent par le niveau de complexité et de formalisme du dossier à remplir.
La procédure de déclaration normale nécessite de constituer un dossier complet décrivant l’environnement fonctionnel et juridique du traitement automatisé de données à caractère personnel mis en œuvre9. Cependant, la loi permet de déclarer les traitements les plus courants (loi du 6-1-1978 art. 24 I), par référence à des normes simplifiées adoptées par la Cnil. Elle permet également à la Cnil de définir des dispenses de déclaration parmi les catégories de traitements les plus courants (L. du 6 janvier 1978 art. 24 II).
En ce qui concerne les formalités dites d’autorisation, elles s’appliquent aux traitements qui sont susceptibles de porter atteinte à la vie privée et aux libertés compte tenu de leurs finalités et de leurs caractéristiques (loi du 6 janvier 1978 art. 25), ainsi qu’à certains traitements mis en œuvre pour le compte de l’Etat (L. du 6-1-1978 art. 26 et 27).
L’article 25 de la loi du 6 janvier 1978 vise huit catégories de traitements de données dites « sensibles »10 : - les traitements, automatisés ou non, de catégories particulières de données visées à l’article 8, lorsque ces derniers sont réalisés par l’INSEE ou certains services statistiques ministériels, ou sont appelés à faire l’objet d’un procédé d’anonymisation à bref délai reconnu conforme par la Cnil, ou sont justifiés par l’intérêt public ; - les traitements automatisés portant sur des données génétiques, à l’exception de ceux qui sont nécessaires à la médecine préventive, aux diagnostics médicaux ou à l’administration de soins ou de traitements ; - les traitements, automatisés ou non, portant sur des données relatives aux infractions, condamnations, mesures de sûreté, sauf dans les cas où ils sont mis en œuvre par des auxiliaires de justice pour les besoins de leurs missions de défense des personnes concernées ;
les traitements automatisés susceptibles, du fait de leur nature, de leur portée ou de leurs finalités, d’exclure des personnes du bénéfice d’un droit, d’une prestation ou d’un contrat en l’absence de toute disposition législative ou réglementaire ; - les traitements automatisés visant à l’interconnexion de fichiers d’une ou plusieurs personnes morales gérant un service public, ou d’autres personnes, et dont les finalités correspondent à des intérêts publics différents ; les traitements du numéro INSEE ou ceux qui requièrent la consultation du répertoire INSEE ; - les traitements automatisés comportant des appréciations sur les difficultés sociales des personnes ; - les traitements comportant des données biométriques nécessaires au contrôle de l’identité des personnes.
Les articles 26 et 27 visent des catégories de traitements mis en œuvre pour le compte de l’Etat. Bien que ces catégories de traitements entrent expressément dans le domaine des autorisations, la loi leur confère la dénomination de demande d’avis. Ces traitements sont, selon le cas, autorisés par arrêté ministériel, par décret en Conseil d’Etat, ou par décision de l’organe délibérant concerné11 : - les traitements intéressant la sûreté de l’Etat, la défense ou la sécurité publique ; - les traitements ayant pour objet la prévention, la recherche, la constatation ou la poursuite des infractions pénales ou l’exécution des condamnations pénales ou des mesures de sûreté ; - les traitements portant sur des catégories particulières de données visées à l’article 8 de la loi ; -
les traitements portant sur des données parmi lesquelles figure le numéro INSEE ou qui requièrent une consultation du répertoire INSEE sans inclure ce numéro et mis en œuvre pour le compte de l’Etat, d’une personne morale de droit public ou une personne morale de droit privé gérant un service public ; - les traitements portant sur des données biométriques nécessaires à l’authentification et au contrôle de l’identité des personnes et réalisés pour le compte de l’Etat ; - les traitements mis en œuvre par des services ayant pour mission de déterminer les conditions d’ouverture ou l’étendue d’un droit des administrés, ou portant sur l’établissement de l’assiette, le contrôle ou le recouvrement des impositions ou taxes de toute nature ou d’établir des statistiques
Le fait de procéder à des traitements automatisés de données à caractère personnel sans les avoir déclarés est sanctionné de cinq ans d'emprisonnement et 300 000 euros d'amende. Le délit de non-déclaration est constitué par le fait de procéder ou faire procéder à la mise en œuvre d'un traitement non déclaré, y compris par négligence, en violation des dispositions légales établies par les articles 24 et 25 de la loi du 6 janvier 1978
1.4.3 Les autres obligations Outre les formalités déclaratives, la loi du 6 janvier 1978 met à la charge de toute personne qui traite des données à caractère personnel certaines obligations liées à : - la licéité12 ; - la sécurité ; - la cession d'informations à des tiers ; - les prises de décisions à partir de profils types. La loi pose le principe selon lequel le responsable du traitement de données à caractère personnel est tenu de prendre toutes précautions, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données, et notamment d'empêcher qu'elles soient déformées, endommagées ou que des tiers non autorisés y aient accès (L. du 6-1-1978 art. 34).
L'obligation s'applique aux traitements automatisés ou non automatisés couverts par le champ d’application de la loi13. Lorsque les données font l’objet d’une opération de traitement de la part d’un sous-traitant, ce dernier doit présenter des garanties suffisantes pour assurer la mise en œuvre de l’obligation de sécurité (L. du 6-1-1978 art. 35 al. 3).
La violation de l'obligation de sécurité est assortie de sanctions pénales : cinq ans d'emprisonnement et 300 000 euros d'amende (C. pén. art. 226-17). Pour les personnes morales, la peine d'amende encourue est quintuplée, soit 1 500 000 euros, et s'accompagne des peines prévues à l'article 131-39 du Code pénal. Concernant les cessions de données à caractère personnel à des tiers, elles sont licites dès lors qu'elles sont prévues dans la déclaration, demande d’autorisation ou demande d’avis initiale. Cette dernière doit préciser les rapprochements, interconnexions ou toute forme de mise en relation du traitement concerné avec d’autres traitements.
Dans l'hypothèse où de telles opérations ne seraient pas prévues dans la déclaration initiale, l'entreprise qui serait amenée à prêter, louer ou céder son fichier devrait informer sans délai la Cnil en procédant à déclaration de modification, faute de quoi elle risque d'encourir la sanction prévue en matière de détournement de finalité. Enfin, concernant les prises de décisions à partir de profils types, la loi du 6 janvier 1978 n'interdit pas les opérations de tri et de sélection qui peuvent être effectuées à partir d'un traitement automatisé de données à caractère personnel mais elle encadre les opérations de segmentation de la clientèle et le ciblage permettant d'élaborer des profils types de consommateurs par exemple.
Elle pose un principe général selon lequel aucune décision de justice impliquant une appréciation sur le comportement d’une personne ne peut avoir pour fondement un traitement automatisé de données à caractère personnel destiné à évaluer certains aspects de sa personnalité, tandis qu’aucune autre décision produisant des effets juridiques à l’égard d’une personne ne peut être prise sur le seul fondement d’un traitement automatisé de données destiné à définir le profil de l’intéressé ou à évaluer certains aspects de sa personnalité (L. du 6-1-1978 art. 10 al. 1 et 2)14.
1.5– Le rôle du Correspondant informatique et libertés 1.5.1 L’allègement des formalités En cas de désignation d’un correspondant Informatique et libertés, aucune formalité déclarative ne doit être réalisée, sauf lorsqu'un transfert de données à caractère personnel à destination d'un état non membre de la Communauté européenne est envisagé (L. du 6-1-1978 art. 22). Les formalités qui entrent dans le cadre de cette dispense de déclaration concernent les traitements les plus courants relevant des articles 23 et 24 de la loi du 6 janvier 1978.
Les traitements relevant du régime d’autorisation (L. du 6-1-1978 art Les traitements relevant du régime d’autorisation (L. du 6-1-1978 art. 25, 26 et 27) ainsi que ceux qui mettent en œuvre un transfert de données à destination d’un Etat non membre de la Communauté européenne ne peuvent pas bénéficier de la dispense. La fonction de correspondant peut être mise en œuvre dans le secteur privé comme dans le secteur public.
1.5.2 La désignation du correspondant Le décret d’application du 20 octobre 2005 modifiée par le décret du 25 mars 2007 apporte des précisions quant aux procédures de désignation et de révocation du correspondant à la protection des données à caractère personnel. Le décret apporte également des précisions sur la personne du correspondant, sa mission, ses attributions et ses obligations15. La forme et le contenu de la notification de la désignation du correspondant auprès de la CNIL doit être précédée d’une autre notification auprès de l’instance représentative du personnel compétente, par lettre recommandée avec demande d’avis de réception par le responsable du traitement. Le correspondant peut-être externe à l’entreprise uniquement si moins de 50 personnes sont chargées de la mise en œuvre ou ont accès au traitement automatisé.
Un correspondant unique peut être désigné dans le cadre de sociétés soumises à un même contrôle, d’un GIE ou encore d’organismes professionnels au sein d’un même secteur d’activité. Le responsable du traitement automatisé ou son représentant légal ne peut-être lui-même désigné correspondant à la protection des données ; Les fonctions du correspondant au sein de l’entreprise ne doivent « pas être susceptibles de provoquer un conflit d’intérêt avec sa mission » et le correspondant ne doit recevoir « aucune instruction pour l’exercice de sa mission ».
1.5.3 Les missions du correspondant Dans les trois mois de sa désignation, il dresse une liste des traitements automatisés dont il devra délivrer une copie à toute personne qui en fait la demande. Il veille au respect des obligations prévues par la loi Informatique et libertés et, pour ce faire : il peut faire des recommandations au responsable des traitements ; il est consulté avant la mise en œuvre de tout traitement ; il reçoit les demandes et réclamations des personnes concernées par le traitement ; il informe le responsable des traitements de tout manquement avant, le cas échéant, de saisir la CNIL ; il réalise un bilan annuel de ses activités qu’il présente au responsable des traitements et qu’il tient à la disposition de la CNIL.
Le responsable des traitements a l’obligation de fournir au correspondant tous les éléments lui permettant d’établir et d’actualiser régulièrement la liste des traitements automatisés mis en œuvre au sein de l’établissement, du service ou de l’organisme au sein duquel il a été désigné. Le correspondant a la faculté de saisir la CNIL concernant toute difficulté rencontrée dans l’exercice de ses missions.
Les différents systèmes d’informations au sein des entreprises Il existe de nombreux systèmes d’information qui peuvent être exploités par un organisme ou une entreprise, qu’il s’agisse du secteur privé ou public. Ils peuvent être transversaux (achat, RH, facturation, comptabilité, archivage, etc.) ou sectoriels (assurance et risques, social et santé, banque et bourse, etc.).
2.1 – Les principaux systèmes d’informations Parmi les principaux systèmes on trouve celui relatif à la gestion des ressources humaines, aux relations clients, aux achats, ou encore à l’archivage
2.1.1 Les systèmes d’information ressources humaines Le domaine des ressources humaines concerne de nombreuses activités au sein d’une entreprise, depuis le recrutement, la paie, la gestion et la formation du personnel, aux annuaires et intranets, en passant par la gestion des contrôles d’accès aux locaux, la gestion de la restauration ou encore les relations avec les instances représentatives du personnel. Les systèmes d’information ressources humaines sont encadrés par la Cnil, de manière très similaire pour le secteur privé comme pour le secteur public
. Ils sont principalement réglementés par les textes suivants : - la recommandation n° 89 du Conseil de l’Europe (Re commandation 89 du 18-1-1989 sur la protection des données à caractère personnel utilisées à des fins d’emploi) ; - le code du travail, notamment les articles relatifs aux libertés individuelles et collectives, à la collecte d’informations et la transparence sur les dispositifs de collecte, l’égalité professionnelle entre les hommes et les femmes et l’égalité professionnelle entre les hommes et les femmes, ou encore l’information des instances représentatives du personnel.
Trois principes sont mis en œuvre de manière particulière au sein des systèmes d’information : - le principe de transparence ; - le principe de proportionnalité ; -le principe de finalité.
2.1.2 Les systèmes d’information client Les systèmes d’information client comprennent généralement la prospection électronique, la gestion des relations avec les clients, les profils, la segmentation, la fidélisation, la gestion des difficultés contractuelles (impayés et réclamations) et les opérations de flux transfrontières. En ce qui concerne les formalités préalables particulières aux systèmes d’information client, la Cnil a édicté en 200516, une norme simplifiée « multisectorielles » portant création d’une norme simplifiée concernant les traitements automatisés de données à caractère personnel
relatifs à la gestion des fichiers de clients et de prospects, modifiée par la Délib. 2005-276 du 17-11-2005. Seuls les systèmes d’information client du secteur bancaire et du secteur assurance sont exclus de cette norme et doivent être déclarés selon la procédure ordinaire à tout traitement de données à caractère personnel.
Les systèmes d’information achat Les systèmes d’information achat recouvrent les données relatives à la gestion des fournisseurs. En ce qui concerne les formalités préalables particulières aux systèmes d’information achat, la Cnil a édicté une dispense de déclaration relative à la gestion des fichiers de fournisseurs comportant des personnes physiques (Dispense n° 4), dans la mesure où ces traitements ne présentent pas de risque apparent d’atteinte à la vie privée et aux libertés. Cependant, ces systèmes peuvent également recouvrir les données relatives à l’achat électronique (extranets achat et plates-formes d’achat électronique) qui ont une incidence sur les formalités déclaratives.
L’extranet entre dans le champ d’application de la dispense n° 4 lorsque la mise en œuvre est opérée dans la limite des critères fonctionnels définis par la norme d’exclusion des formalités préalables. En revanche, les activités de commerce électronique orientées vers les fournisseurs n’entrent pas dans le cadre de la dispense. Ces activités doivent faire l’objet d’une déclaration particulière ou intégrée dans une déclaration normale correspondant au système d’information achat.
2.1.4 Les systèmes d’information archivage Dans la majorité des organismes privés ou publics, l’archivage des données à caractère personnel n’est pas géré comme un système d’information à part entière. Très souvent, les pratiques de sauvegarde, de conservation et d’archivage sont entremêlées. Les systèmes d’information archivage sont des systèmes d’information transversaux à l’ensemble des autres systèmes d’information.
La Cnil a élaboré des recommandations propres à l’archivage de certaines données : - Délibération 88-52 du 10 mai 1988 portant adoption d’une recommandation sur la compatibilité entre les lois 78-17 du 6 janvier 1978 et 79-18 du 3 janvier 1979 sur les archives ; - Délibération 2005-213 du 11 octobre 2005 concernant les modalités d’archivage électronique, dans le secteur privé, de données à caractère personnel
2.2 – Les flux transfrontières de données à caractère personnel Les données à caractère personnel, compte tenu de leur nature, ne peuvent circuler dans des conditions qui ne respecteraient ni la vie privée des personnes concernées ni les libertés et droits fondamentaux auxquels elles peuvent prétendre. D’un autre côté, le développement des communications a entraîné la nécessité, pour la plupart des activités, de transférer des données concernant des personnes physiques.
2.2.1 La notion de flux transfrontières La notion de flux de données à caractère personnel vise les opérations d’exportation et d’importation. La loi ne définit pas cette notion pas plus que la directive 95/46, malgré l’importance de ce mécanisme, qui joue le rôle d’un processus d’universalité, tant juridique qu’éthique. Pour la Cnil, constitue un transfert de données vers un pays tiers toute communication, copie ou déplacement de données par l’intermédiaire d’un réseau, ou toute communication, copie ou déplacement de ces données d’un support à un autre, quel que soit le type de ce support, dans la mesure où ces données ont vocation à faire l’objet d’un traitement dans le pays destinataire. Il résulte de cette définition que sont considérés comme des flux, les échanges physiques (déplacements effectifs des données) et les échanges virtuels (accession aux données et traitements associés).
La. protection. des. personnes. à. travers. l’encadrement. des La protection des personnes à travers l’encadrement des flux transfrontières Compte tenu de leur nature, les données à caractère personnel ne peuvent circuler dans des conditions qui ne respecteraient ni la vie privée des personnes concernées ni les libertés et droits fondamentaux auxquels elles peuvent prétendre. D’un autre côté, le développement des communications entraîne la nécessité, pour la plu- part des activités, de transférer des données concernant des personnes physiques. Il existe en effet, de nombreuses situations susceptibles de générer des transferts internationaux de données et dont il faut tenir compte lors de la déclaration de traitement et surtout, de son exploitation.
La loi Informatique et libertés encadre de tels transferts lorsque les pays tiers n’ont pas un niveau suffisant de protection de la vie privée, des libertés et des droits fondamentaux. Des entreprises françaises qui communiquent avec des partenaires, des sociétés filiales ou mères ou qui ont des activités situées hors de l’Union européenne sont des situations dans lesquelles se produiront des transferts internationaux de données à caractère personnel
De même, la centralisation intra-groupe de la base de données de gestion des commandes, de la comptabilité clients, ou de la gestion des ressources humaines d’un groupe multinational, ou encore la délocalisation de centres d’appel constituent autant de situations qui entraîneront des transferts de données à caractère personnel hors des frontières communautaires. Les transferts de données à caractère personnel vers des pays non membres de l’Union européenne sont soumis à des formalités particulières issues de la directive européenne.
2.2.3 Le principe d’interdiction sauf niveau de protection suffisant Tout transfert vers un pays extérieur à la Communauté européenne est interdit si ce pays n'assure pas un niveau de protection suffisant de la vie privée et des libertés et droits fondamentaux des personnes à l’égard des traitements dont ces données font l’objet ou peuvent faire l’objet (L. du 6-1-1978 art. 68 al. 1). Les transferts ne peuvent être réalisés lorsque le pays tiers à l’Union européenne ne dispose pas d’une protection suffisante constatée par la Commission européenne. Dans ce cas, la Cnil peut interdire le transfert envisagé à l’égard de l’Etat concerné (L. du 6-1-1978 art. 70). Le niveau de protection suffisant s’apprécie en fonction notamment des dispositions en vigueur dans l’Etat de destination, ainsi qu’au regard des mesures de sécurité qui y sont appliquées, des caractéristiques propres du traitement telles que ses fins et sa durée, ainsi que la nature, l’origine et la destination des données (L. du 6-1-1978 art. 68 al. 2).
La Commission européenne peut déterminer si un pays tiers à la Communauté européenne dispose d’une protection adéquate correspondant aux exigences de la directive. Les transferts de données à destination des pays disposant, selon la Commission européenne, d’une protection suffisante ne nécessitent aucun encadrement juridique particulier. La Cnil doit toutefois être informée des transferts réalisés (Décr. du 20-10-2005, art. 101). La Cnil a élaboré un panorama des législations adoptées dans le monde en fonction du niveau des garanties qu’elles présentent au regard de la législation européenne (à jour au 2 juin 2008)17.
Pays accordant une protection adéquate La Commission européenne a établi une liste des pays accordant une protection adéquate. Il s’agit des : - vingt-cinq pays de l’Union européenne ; - pays membres de l’Espace Economique Européen : Islande, Liechtenstein, Norvège ; - pays ayant fait l’objet d’une reconnaissance de protection adéquate : Argentine, Canada, Guernesey, Ile de Man, Suisse, entreprises américaines adhérentes au Safe Harbor. En ce qui concerne les Etats-Unis, un accord au titre du Safe Harbor, a été négocié en2000. La Cnil n’a pas à autoriser les transferts vers les pays dont la protection est jugée adéquate. Cette situation est gérée lors des formalités déclaratives.
Pays n’accordant pas une protection suffisante Pour les pays tiers n’ayant pas une protection suffisante, l’opération de transfert n’est possible que si elle entre dans les dérogations définies de manière restrictive à l’article 69 de la loi de 1978, à défaut de quoi, une autorisation de la Cnil est nécessaire. Elle s’obtient en encadrant le flux d’échanges par une convention de flux transfrontières ou en élaborant des règles internes. Les règles internes (codes de bonne conduite, chartes) constituent pour les groupes de sociétés une alternative à la convention de flux. La Commission européenne a publié trois conventions types19. Adoptées de manière unilatérale par la direction du groupe, elles évitent de conclure autant de contrats qu’il existe de transferts de données en son sein.
Exceptions au principe d’interdiction des transferts internationaux de données Il peut être dérogé à l’interdiction de transfert avec le consentement exprès de l’intéressé ou lorsque le traitement est nécessaire pour (L. du 6-1-1978 art. 69) : - la sauvegarde de la vie de cette personne ; - la sauvegarde de l’intérêt public ; - le respect d’obligations permettant d’assurer la constatation, l’exercice ou la défense d’un droit en justice ; - la consultation d’un registre public dans les conditions prévues par la loi ; - l’exécution d’un contrat entre le responsable du traitement et l’intéressé, ou de mesures précontractuelles prises à la demande de celui-ci ; - la conclusion ou l’exécution d’un contrat conclu ou à conclure, dans l’intérêt de la personne concernée, entre le responsable du traitement ou un tiers.
Aussi, il peut être fait exception à l’interdiction de transfert par décision de la Cnil, par décret en Conseil d’Etat pour certains traitements relevant de la sphère publique, ainsi que dans le cas où le traitement garantit un niveau suffisant de protection de la vie privée et des libertés et droits fondamentaux des personnes. Les garanties peuvent notamment résulter de clauses contractuelles ou règles internes.