Plan du site | Mentions légales | Crédits | Espace rédacteur

Membre du comité de rédaction de la lettre du CEJEM

Nos mots-clefs

Brevet   Noms de domaine   Consommateurs   Droit d’auteur   Au jour le jour   Marques   Conférences et colloques   Bases de données   Signes distinctifs   Régulation   Contrats   Vie privée   Lettre du Cejem   Contenu illicite   Professions  

Cliquez sur un mot pour afficher la liste des articles correspondant

A Noter

Les contrats informatiques par Jérôme Huet et Nicolas Bouche

Présentation de l’éditeur L’ouvrage Les contrats informatiques vise à donner au lecteur, étudiant ou praticien, sous (...)

Droit de la communication numérique de Jérôme Huet et Emmanuel Dreyer

Présentation de l’éditeur : Le droit de la communication numérique est une discipline récente mais en pleine (...)

Les innovations majeures de la nouvelle loi Informatique et libertés

Mots-clefs :

par Vanessa Younès, le dimanche 5 décembre 2004

La loi n°78-17 du 6 janvier 1978 relative à l’Informatique, aux fichiers et aux libertés dite Informatique et libertés a été modifiée par la loi du 6 août 2004 qui a également transposé la directive communautaire 95/46 du 24 octobre 1995 relative à la protection des données personnelles.

3 innovations majeures seront examinées dans cette étude à savoir les formalités applicables à la mise en œuvre d’un traitement automatisé de données à caractère personnel (I), les obligations incombant au responsable de traitements (II), les nouveaux pouvoirs et sanctions de la CNIL (III).

1. LA PROCEDURE DES FORMALITES APPLICABLES A LA MISE EN OEUVRE D’UN TRAITEMENT AUTOMATISE DE DONNEES PERSONNELLES

La nouvelle loi Informatique et libertés effectue une refonte des formalités obligatoires à la mise en œuvre d’un traitement automatisé de données personnelles.

La loi assouplit la procédure des formalités auprès de la CNIL pour certains traitements et l’alourdit pour d’autres dits « à risque ».

1.1 UN ASSOUPLISSEMENT DES FORMALITES

La nouvelle loi Informatique et libertés ne prend désormais plus en compte le statut privé ou public du responsable du traitement (c’est-à-dire celui qui détermine les finalités et moyens du traitement) aux fins de déterminer le régime des formalités applicables à la mise en œuvre d’un traitement automatisé de données personnelles.

En effet, le régime des formalités ne distingue plus entre la déclaration (secteur privé) et la demande d’avis à la CNIL (secteur public).

Désormais, ce régime diffère selon la nature des données traitées et de la finalité du traitement à mettre en œuvre par le responsable de traitement.

L’article 22 de la loi prévoit donc un régime de déclaration sous réserve des cas d’autorisation.

Outre la déclaration ordinaire relative à un traitement, existe le cas de la déclaration simplifiée.

En effet, si le traitement rentre dans le champ d’application d’une des normes simplifiées édictées par la CNIL, alors la déclaration à établir est une déclaration simplifiée.

Ce régime des déclarations simplifiées existe pour déclarer les traitements qui ne portent pas atteinte à la vie privée d’où la possibilité d’alléger la procédure.

De plus, la loi donne la possibilité à la CNIL de dispenser de déclaration certains traitements simplifiés compte tenu de leurs finalités, de leurs destinataires, des données personnelles traitées, de la durée de conservation et des catégories de personnes traitées. Par exemple, les traitements automatisés relatifs à la paie, qui entrent dans le champ d’application des normes simplifiées n°28 (secteur privé) ou n°36 (secteur public), sont dispensés de déclaration auprès de la CNIL (cf. communiqué du 10 juin 2004 de la CNIL sur son site « www.cnil.fr »).

La CNIL a indiqué sur son site internet www.cnil.fr, les nouveaux formulaires relatifs à une déclaration ordinaire ou de modification, à une déclaration simplifiée (cf. guide pratique « comment déclarer » édition octobre 2004).

Par ailleurs, une nouvelle fonction à été créée par la nouvelle loi : celle du correspondant à la protection des données personnelles dit correspondant "Informatique et libertés" (CIL).

Cette fonction existe déjà dans d’autres Etats tels que en Suède, aux Pays-Bas et en Allemagne.

Comme il est précisé dans le communiqué du 23 novembre 2004 de la CNIL, le CIL est l’interlocuteur privilégié de la CNIL au sein de l’entreprise et également des personnes concernées par les traitements informatiques.

La désignation du CIL par l’organisme responsable de traitement, dispensera de déclarer ses traitements automatisés de données personnelles à la CNIL. Ceci étant, cette dispense ne vaut que pour les traitements devant faire l’objet de déclaration. Ainsi, les traitements faisant l’objet de demandes d’autorisation ou ceux qui font l’objet de flux transfrontières de données vers un Etat non membre de l’Union Européenne, devront suivre la procédure auprès de la CNIL.

Le CIL, tel que décrit par l’article 22 de la loi, devra disposer des qualifications requises pour exercer ses missions. Les caractéristiques de cette fonction seront indiquées par décret en Conseil d’Etat.

En tout état de cause, le CIL tient une liste des traitements effectués qui est accessible par toute personne qui en fait la demande.

Sa spécificité est qu’il est indépendant dans la mesure où il ne peut faire l’objet d’aucune sanction de la part de son employeur du fait de l’accomplissement de ses missions. A cet égard, son statut s’apparente à celui d’un salarié protégé.

Ceci étant, en cas de manquement constaté à ses devoirs, le CIL sera déchargé de ses fonctions sur demande, ou après consultation de la CNIL.

1.2 UN RENFORCEMENT DES FORMALITES EN CAS DE DONNEES « A RISQUE »

Les traitements de données dites « à risque » ont un régime particulier et font l’objet d’une procédure plus lourde auprès de la CNIL.

En effet, des cas d’autorisation sont prévus par la loi. Ceci étant, ces cas d’autorisations diffèrent selon que le responsable de traitement relève du secteur privé ou du secteur public (Etat, personne morale de droit public, personne morale de droit privé ayant des missions de service public).

En effet, dans le secteur privé, sont mis en oeuvre après autorisation de la CNIL (article 25 de la loi) un certain nombre de traitements notamment ceux relatifs aux données sensibles (tels que relatifs à la religion, à la race, aux origines, au sexe, à la santé..), ou portant sur des données relatives aux infractions, condamnations ou mesures de sûreté, ou encore ceux parmi lesquelles figurent le numéro de sécurité sociale.

Bon nombre de traitements notamment de paie et de gestion du personnel contenant le numéro de sécurité sociale devront faire l’objet d’une demande d’autorisation à la CNIL.

Ce renforcement de la procédure s’effectue donc pour encadrer le plus possible l’utilisation de certaines données personnelles dans des traitements automatisés.

Dans le secteur public, selon la nature des données, il peut s’agir d’une autorisation par arrêté du ou des ministres compétents après avis motivé et publié de la CNIL, ou d’une autorisation par décret en Conseil d’Etat pris après avis motivé et publié de la CNIL (articles 26 et 27).

Le non respect de ces formalités est sanctionné pénalement.

Ceci étant, les responsables de traitement disposent d’un délai de 3 ans pour mettre leurs traitements en conformité avec les nouvelles dispositions de la loi Informatique et libertés.

2. LES OBLIGATIONS INCOMBANT AU RESPONSABLE DE TRAITEMENTS

2.1 OBLIGATION D’INFORMATION

L’obligation d’information est renforcée par la nouvelle loi Informatique et libertés.

La nouvelle loi Informatique et libertés distingue entre la collecte directe et la collecte indirecte de données personnelles.

En cas de collecte directe des données personnelles, l’article 32-I de la nouvelle loi prévoit que la personne auprès de laquelle sont recueillies des données personnelles la concernant est informée, sauf si elle l’a été au préalable, par le responsable du traitement ou son représentant de l’identité du responsable du traitement et, le cas échéant, de celle de son représentant, de la finalité poursuivie par le traitement auquel les données sont destinées, du caractère obligatoire ou facultatif des réponses, des conséquences éventuelles, à son égard, d’un défaut de réponse, des destinataires ou catégories de destinataires de données, des droits d’accès, de rectification, d’opposition, le cas échéant, des transferts de données à caractère personnel envisagés à destination d’un Etat non membre de la Communauté européenne.

Lorsque de telles données sont recueillies par voie de questionnaires ou formulaires, ceux-ci doivent porter mention de l’identité du responsable de traitement, de la finalité du traitement, du caractère obligatoire ou facultatif des réponses et des droits d’accès, de rectification et d’opposition.

En cas de collecte indirecte des données personnelles, par exemple par le biais de cookies, toute personne utilisatrice des réseaux de communications électroniques doit être informée de la finalité de cette collecte et des moyens de s’y opposer. La CNIL recommande à cet égard des exemples de mentions d’information sur son site internet « www.cnil.fr ».

2.2 DROIT D’ACCES, DE RECTIFICATION, D’OPPOSITION

Le droit d’accès et de rectification des données contenues dans un traitement automatisé de données personnelles est renforcé puisque désormais ce droit peut être également exercé par les ayants-droits de la personne concernée (articles 39 et 40).

Le droit d’opposition pour motifs légitimes peut s’exercer par la personne concernée par le traitement utilisant ses données à des fins de prospection notamment commerciale (article 38).

La CNIL recommande d’indiquer dans la mention d’information insérée dans les questionnaires de collecte de données, une information sur le droit d’opposition par l’indication d’une case à cocher en cas d’opposition à la prospection.

Rappelons que la prospection commerciale est également traitée par l’article 22 de la loi n°2004-575 du 21 juin 2004 pour la confiance dans l’économie numérique. En effet, cet article dispose qu’est interdite la prospection directe au moyen d’un automate d’appel, d’un télécopieur ou d’un courrier électronique, utilisant les coordonnées d’une personne qui n’a pas exprimé son consentement préalable à recevoir ces prospections.

2.3 OBLIGATION DE SECURITE

La sécurité et la confidentialité des données traitées occupent une place importante dans la nouvelle loi Informatique et libertés.

En effet, le responsable de traitement est tenu de prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données, et, notamment, empêcher qu’elles ne soient déformées, endommagées, ou que des tiers non autorisés y aient accès.

Ceci étant, le responsable de traitement peut être amené à faire appel à un sous-traitant qui agira pour son compte et sur ses instructions.

Ce sous-traitant doit également prendre des garanties suffisantes pour assurer la mise en œuvre des mesures de sécurité et de confidentialité.

A cette fin et c’est la nouveauté apportée par la loi Informatique et libertés modifiée, la conclusion d’un contrat entre le sous-traitant et le responsable de traitement s’impose aux fins de déterminer les obligations incombant à chacune des parties en matière de sécurité et de confidentialité des données.

Rappelons que le Code pénal sanctionne le non respect des dispositions relatives à la sécurité de 5 ans d’emprisonnement et de 300 000 euros d’amende.

Compte tenu du renforcement des mesures de sécurité devant être prises, il est tout de même surprenant que dans les nouvelles annexes de la déclaration telles que présentées à titre d’exemple par la CNIL sur son site « www.cnil.fr », les annexes de sécurité n’y figurent pas.

En effet, figure uniquement sur le nouveau formulaire CNIL une rubrique relative à la sécurité. Ceci étant, la CNIL peut toujours demander des compléments d’information et nul doute qu’elle le fera pour le cas de traitements contenant des données dites « à risque », tel que le numéro de sécurité sociale, qui doivent être bien sécurisées.

3. LES NOUVEAUX POUVOIRS ET SANCTIONS DE LA CNIL

La nouvelle loi Informatique et libertés renforce les pouvoirs de la CNIL. En effet, la CNIL peut désormais prendre des sanctions pécuniaires à l’encontre d’un responsable de traitement qui ne se conforme pas à une mise en demeure de la CNIL de faire cesser un manquement constaté aux obligations de la loi Informatique et libertés modifiée (article 45).

Le montant de la sanction pécuniaire est proportionné à la gravité des manquements commis et aux avantages tirés de ce manquement.

Lors du premier manquement, la CNIL peut sanctionner le responsable de traitement de 150 000 euros maximum. En cas de récidive dans les 5 ans de la dernière sanction pécuniaire, le montant de cette sanction peut s’élever jusqu’à 300 00 euros et dans le cas d’une entreprise, la sanction peut aller jusqu’à 5% du chiffre d’affaires hors taxes sans pouvoir dépasser 300 000 euros.

L’entrave aux actions de la CNIL par le responsable de traitement est également sanctionnée de 1 an d’emprisonnement et de 15 000 euros d’amende.

Par ailleurs, les sanctions pénales prévues par les articles 226-16 et suivants du Nouveau Code Pénal, en cas de manquement par le responsable de traitement à ses obligations Informatique et libertés, ont beaucoup augmenté.

Par exemple, l’absence de formalités préalables à la CNIL est désormais sanctionnée de 5 ans d’emprisonnement au lieu de 3 ans et de 300 000 euros d’amende au lieu de 45 000 euros.

Par conséquent, même si cette nouvelle loi Informatique et libertés semble faire confiance au responsable de traitement notamment par la mise en place du CIL et l’assouplissement de certaines formalités, il n’en demeure pas moins qu’elle demeure répressive.