6, boulevard des Capucines - 75009 Paris - t. + 33 (0)1 42 61 77 44 - f. + 33 (0)1 42 61 06 21 - contact@cnajmj.fr - www.cnajmj.fr (Article 56 de la Loi n°90-1259 du 31 décembre 1990)

Circulaire relative à la mise en conformité des professionnels à la loi n°78-17 « Informatique et Libertés » du 6 janvier 1978 modifiée sur le traitement des données à caractère personnel Paris, le 06 décembre 2017

Chère Consœur, Cher Confrère, Vous collectez, enregistrez, conservez, transmettez, autrement dit, vous « traitez », dans le cadre de vos activités quotidiennes, des données à caractère personnel appartenant par exemple à vos clients, aux créanciers et débiteurs d’une procédure collective, aux salariés d’une entreprise que vous représentez etc.

Vous êtes donc, au sens la loi n°78-17 « Informatique et Libertés » du 6 janvier 1978 modifiée [1], des « responsables de traitement » tenus à certaines obligations légales, dont l’objectif est de protéger le droit des personnes dont les données sont traitées, en offrant des garanties notamment en termes de licéité et de loyauté des traitements, de sécurité des données, de proportionnalité concernant la finalité, le volume et la durée de conservation des données...

En outre, les dispositions de ladite loi imposent, pour être en conformité, l’accomplissement de formalités administratives préalables auprès de la Commission Nationale Informatique et Libertés (la « CNIL »), plus ou moins lourdes en fonction des traitements et des données concernés, allant de la simple déclaration à une procédure d’autorisation obligatoire.

Le non-respect de cette réglementation expose les responsables de traitement, à des sanctions administratives et pénales.

C’est dans ce contexte que le CNAJMJ a pris l’initiative, en 2015, de consulter la CNIL pour discuter des solutions « sur mesure » qui pourraient être offertes à l’ensemble des professionnels, de façon uniforme, pour leur permettre d’être conformes en la matière, tout en minimisant autant que possible, les formalités administratives à accomplir.

Vous trouverez, ci-dessous, le compte-rendu de ce processus de consultation qui s’est récemment dénoué de façon très satisfaisante pour l’ensemble de la profession.

[1] https://www.legifrance.gouv.fr/affichTexte.do?cidTexte=JORFTEXT000000886460

6, boulevard des Capucines - 75009 Paris - t. + 33 (0)1 42 61 77 44 - f. + 33 (0)1 42 61 06 21 - contact@cnajmj.fr - www.cnajmj.fr (Article 56 de la Loi n°90-1259 du 31 décembre 1990)

Compte-rendu du processus de consultation entre le CNAJMJ et la CNIL Un cadre uniformisé applicable à tous les professionnels concernant les données les plus courantes.Le CNAJMJ et la CNIL ont mené de concert, pendant plus de deux années, un travail de fond pour trouver le cadre juridique adéquat aux traitements de données à caractère personnel réalisés par les professionnels, en conciliant les spécificités de la profession avec les contraintes inhérentes à la réglementation applicable.

Ainsi, après plusieurs réunions de travail, de nombreux échanges écrits et oraux avec la CNIL, le CNAJMJ a proposé un projet de texte, amendé ensuite au fur et à mesure des itérations avec la CNIL, pour :

• Recenser, le plus largement possible, les données traitées et les modalités dans lesquelles ces données sont traitées par les professionnels,

• Soumettre ces traitements au régime de la norme simplifiée prévue par l’article 24 de la Loi « Informatique et Libertés », correspondant à la formalité la plus simple et rapide proposée par le texte pour « les catégories les plus courantes de traitements de données à caractère personnel, dont la mise en œuvre n’est pas susceptible de porter atteinte à la vie privée ou aux libertés ».

C’est ainsi que, par délibération n°2017-291 du 16 novembre 2017, la CNIL a adopté, sur la base du projet de texte susvisé, une « norme simplifiée » n°060 relative « aux traitements mis en œuvre par les administrateurs judiciaires et les mandataires judiciaires » pour faciliter les démarches des professionnels au niveau national.

Les suites de la norme simplifiée n°060 du 16 novembre 2017 Par conséquent, tous les professionnels opérant les mêmes traitements de données et dans les mêmes conditions que ceux objets de ladite norme simplifiée, sont réputés conformes à la Loi « Informatique et Libertés ».

Il suffit simplement pour chaque étude d’en informer la CNIL par l’envoi d’un « engagement de conformité » à ladite norme n°060.Cette formalité devra se faire en ligne, en quelques clics, sur le site Internet de la CNIL, dès que ladite norme simplifiée y sera publiée, en cliquant par principe sur ce lien : https://www.cnil.fr/fr/liste-des-normes-et-des-dispenses.

Le CNAJMJ diffusera une note d’information dès que l’accomplissement de cette formalité sera disponible en ligne.

6, boulevard des Capucines - 75009 Paris - t. + 33 (0)1 42 61 77 44 - f. + 33 (0)1 42 61 06 21 - contact@cnajmj.fr - www.cnajmj.fr (Article 56 de la Loi n°90-1259 du 31 décembre 1990)

Le cas particulier du traitement du numéro de sécurité sociale par les professionnels

Nous avions exposé à la CNIL, dans le cadre des travaux de normalisation ci-dessus, que les professionnels sont aussi amenés à traiter les numéros de sécurité sociale (le « NIR »), lors des paiements des créances salariales en particulier.

Cette donnée, en tant qu’identifiant de santé, est toutefois considérée comme particulièrement sensible. Dès lors, son traitement est par principe soumis à autorisation préalable de la CNIL selon l’article 25-6° de la Loi « Informatique et Libertés ».

Pour les professionnels, en ce qu’ils sont investis d’une mission de service public, ce traitement du NIR est même soumis à une autorisation préalable par Décret en Conseil d’Etat, conformément à l’article 27 de la Loi « Informatique et Libertés ».

Or cette autorisation n’est quasiment jamais donnée et la norme simplifiée ainsi édictée n’était pas suffisante pour couvrir ce traitement.

Pourtant, ce traitement correspond à une réalité incontournable pour certains professionnels.C’est en poursuivant les discussions avec la CNIL et exposant les réalités du métier qu’une solution a été trouvée : le traitement du NIR par les professionnels agissant pour le compte des employeurs privés ou publics pour la gestion des rémunérations, bénéficient d’une dispense de formalité dans les conditions prévues par le Décret n°91-1404 du 27 décembre 1991 [2] et des dispenses de la CNIL « DI-001 » [3] et « DI-002 » [4] du 9 décembre 2004.

Ce point sera détaillé dans le guide pratique à venir, évoqué ci-dessous.

Les autres cas qui ne seraient pas visés par la norme simplifiée n°060 ni par les dispenses relatives aux NIR

Le CNAJMJ s’est efforcé de présenter à la CNIL une cartographie la plus complète possible des traitements de données personnelles réalisés par les professionnels. Les textes applicables ayant par définition une portée générale, il n’est pas exclu que certaines catégories de données, ou certains traitements spécifiques, moins récurrents, ne soient pas envisagés par la norme simplifiée n°060 ou par les dispenses concernant le NIR.

Le CNAJMJ a prévu de mettre en place une cellule d’information pour les professionnels qui auraient identifié ces traitements « hors cadre » et pour lesquels les formalités administratives devront être certainement adaptées. [2] https://www.legifrance.gouv.fr/affichTexte.do?cidTexte=LEGITEXT000006078505&dateTexte=20110831

[3] https://www.cnil.fr/fr/dispense/di-001-paie-des-personnels-du-secteur-public

[4] https://www.cnil.fr/fr/dispense/di-002-paie-des-personnels-du-secteur-prive

6, boulevard des Capucines - 75009 Paris - t. + 33 (0)1 42 61 77 44 - f. + 33 (0)1 42 61 06 21 - contact@cnajmj.fr - www.cnajmj.fr (Article 56 de la Loi n°90-1259 du 31 décembre 1990)

Actions d’information et d’accompagnement envisagées à l’égard des professionnels, des collaborateurs et salariés des études Le CNAJMJ diffusera prochainement un « guide pratique » à destination des professionnels, des collaborateurs et salariés des études, pour synthétiser la réglementation qui leur est applicable en matière de protection des données personnelles, et émettre des conseils et recommandations pratiques à l’aune desdits norme simplifiée n°060 et textes régissant l’utilisation du NIR. Sur la base de ce guide pratique, et en fonction des demandes des professionnels, des formations pour accompagner la profession dans sa démarche de mise en conformité seront proposées.

Votre bien dévoué Président.

Bernard Baujet