Correspondant CNIL - AFRC · 1 Correspondant CNIL et traitement des données personnelles Etienne Drouard, Avocat à la Cour [email protected] - 01 40 75 29 41 Département Propriété

1

Correspondant CNILet traitement des données personnelles

Etienne Drouard, Avocat à la [email protected] - 01 40 75 29 41Département Propriété Intellectuelle,

Technologies et Communications Électroniques

Paris, le 6 mars 2006

2

Loi modifiant la loi « Informatique et Libertés »

Sources communautaires :Directive 95/46 du 24/10/1995 « Protection des données personnelles »(JOCE L281 du 23/11/1995). Limite de transposition : octobre 1998Directive 97/66 du 15/12/97 « Protection des données & Télécommunications »(JOCE L 024 du 31/01/1998)Directive 2002/58 du 12/07/02 « Protection des données & Communications électroniques »(JOCE L 201 du 31/07/2000)

Loi 2004-801 du 6 août 2004

Décret 2005-1309 du 20 octobre 2005

2

Les principes de protection des données personnelles

4

Au début était « Le Monde »

1974 : « SAFARI » et le projet « GAMIN »

1978 : Article 1er de la loi du 6 janvier 1978: L'informatique doit être au service de chaque citoyen. Son développement doit s'opérer dans le cadre de la coopération internationale. Elle ne doit porter atteinte ni à l'identité humaine, ni aux droits de l'homme, ni à la vie privée, ni aux libertés individuelles ou publiques.

1978 et 2004 : Article 10 de la loi du 6 janvier 1978 modifiée:Aucune décision de justice impliquant une appréciation sur le comportement d’une personne ne peut avoir pour fondement un traitement automatisé de données à caractère personnel destiné à évaluer certains aspects de sa personnalité.Aucune autre décision produisant des effets juridiques à l’égard d’une personne ne peut être prise sur le seul fondement d’un traitement automatisé de données destiné à définir le profil de l’intéressé ou à évaluer certains aspects de sa personnalité.

3

5

La notion de "donnée personnelle"

« Toute information relative à une personne physique identifiée ou qui peut être identifiée, directement ou indirectement, par référence à un numéro d'identification ou à un ou plusieurs éléments qui lui sont propres. Pour déterminer si une personne est identifiable, il convient de considérer l'ensemble des moyens en vue de permettre son identification dont dispose ou auxquels peut avoir accès le responsable du traitement ou toute autre personne. »

Nom, prénom, adresse postale, adresse e-mail, numéro de téléphone, références bancaires, numéro de sécurité sociale, numéro de plaques minéralogiques, adresse électronique, adresse I.P (internet protocol) d’un ordinateur connecté à Internet, ...

6

Le champ d'application de la loi

Traitement de données à caractère personnel:Toute opération portant sur de telles données et notamment la collecte, l'enregistrement, l'organisation, la conservation, la modification, l'extraction, la consultation, l'utilisation, la communication par transmission, diffusion ou toute autre forme de mise à disposition, le rapprochement ou l'interconnexion, ainsi que leverrouillage, l'effacement ou la destruction.

Fichier de données à caractère personnel:Tout ensemble structuré et stable de données à caractère personnel accessibles selon des critères déterminés.La loi s'applique aux fichiers informatisés et aux fichiers manuels

4

7

La notion de "responsable de traitement"

"Le responsable d'un traitement est la personne qui détermine ses finalités et ses moyens."

8

La notion de "sous-traitant"

Il s'agit de toute personne traitant des données à caractère personnel pour le compte du responsable du traitement (article 35).

Le sous-traitant doit présenter des garanties suffisantes pour assurer la sécurité et la confidentialité des données.Le responsable du traitement reste responsable du respect de ces obligations.

Le contrat liant le sous-traitant au responsable du traitement:comporte l'indication des obligations du sous-traitant relatives à la sécuritéet la confidentialité des donnéesprévoit que le sous-traitant ne peut agir que sur instruction du responsable du traitement.

5

9

La collecte loyale des données etle respect des droits des personnes,

La sécurité des traitements

Le droit à l’oubli

La notification à la CNIL :Exonérée par la loi ou par la CNILLa déclaration simplifiéeLa déclaration ordinaireLa demande d'avis (deux régimes réservés aux acteurs publics)La demande d'autorisation

Les obligations des responsables de traitement

10

Le droit à l’information (collecte loyale) : (art. 32.I)

« Les personnes […] doivent être informées :1. de l'identité du responsable de traitement2. de la finalité (principale) du traitement de leurs données3. du caractère obligatoire ou facultatif des réponses;4. des conséquences à leur égard d'un défaut de réponse;5. des catégories de destinataires de leurs données;6. des droits dont elles disposent (accès, modification, suppression, opposition);7. des éventuels transferts de leurs données hors de la Communauté européenne.

Lorsque de telles informations sont recueillies par voie de questionnaires, ceux-ci doivent porter mention des prescriptions 1, 2, 3 et 6.

Les droits des personnes (1)

6

11

Le consentement au traitement des données sensibles (art.8) :Il est interdit de collecter ou de traiter des données à caractère personnel qui font apparaître, directement ou indirectement, les origines raciales ou ethniques, les opinions politiques, philosophiques ou religieuses ou l’appartenance syndicale des personnes, ou qui sont relatives à la santé ou à la vie sexuelle de celles-ci.

Toutefois, les Églises ou les groupements à caractère religieux, philosophique, politique ou syndical peuvent tenir registre de leurs membres ou de leurs correspondants. Aucun contrôle ne peut être exercé, de ce chef, à leur encontre.


12

Le droit d’accès, de rectification et de suppression (art. 39 et 40)

Le titulaire du droit d'accès peut obtenir communication des informations le concernant. La communication, en langage clair, doit être conforme au contenu des enregistrements.Le titulaire du droit d'accès peut exiger que soient rectifiées, complétées, clarifiées, mises à jour ou effacées les informations le concernant.Il peut également demander à accéder aux éléments qui ont abouti à une décision le concernant (scoring, gestion des fraudes, sanction des salariés)

Le droit d’accès indirect aux fichiers de police (art. 41)Les fichiers intéressant la sûreté de l'État, la défense et la sécuritépublique, le cas particulier du fichier « STIC » et les enquêtes de moralité.Le cas particulier des fichiers de renseignements généraux


7

13

Le droit d’opposition (art. 38) :"Toute personne physique a le droit de s’opposer, pour des motifs légitimes, à ce que des données à caractère personnel la concernant fassent l’objet d’un traitement. Elle a le droit de s’opposer, sans frais, à ce que les données la concernant soient utilisées à des fins de prospection, notamment commerciale, par le responsable actuel du traitement ou celui d’un traitement ultérieur."


14

La prospection électronique soumise au consentement (5)

Principe : la prospection par (ou pour) un tiers = "opt-in"(loi 2004-575 du 21 juin 2004 "pour la confiance ans l'économie numérique")

Consentement des personnes physiques pour la prospection :

par automate d'appels (dir. 97/66 du 15 décembre 1997)par télécopieur (dir. 97/66 du 15 décembre 1997)par courrier électronique (e-mail, SMS, MMS, instant messenger):

Définition du courrier électronique"Tout message, sous forme de texte, de voix, de son ou d'image, envoyé par un réseau public de communication, stocké sur un serveur du réseau ou dans l'équipement terminal du destinataire, jusqu'à ce que ce dernier le récupère."

8

15

La définition du consentement

La définition du consentement au sens de la LCEN* :

5 critères :"Toute manifestation de volonté, libre, spécifique et informée, par laquelle la personne concernée accepte que des données àcaractère personnel la concernant fassent l’objet d’un traitement."

* Loi 2004-575 du 21 juin 2004 pour la Confiance dans l'Économie Numérique

16

La prospection électronique soumise au refus

Dérogation : la prospection pour soi-même = opt-out.Un droit d'opposition a priori et a posteriori et le respect de 4 conditions cumulatives.

La prospection est soumise à un droit d'opposition dès la collecte des données personnelles puis à chaque envoi, si :

1. le destinataire a fourni directement ses coordonnées à une entreprise,2. dans le cadre d'une vente ou d'une prestation de service, et si3. la prospection porte sur des produits ou services fournis par cette entreprise,4. « analogues » à ceux préalablement fournis à cette personne par cette même

entreprise.

9

17

Une transition rétroactive

Le régime transitoire jusqu'au 21 décembre 2004 :

Pour les coordonnées recueillies avant le 21 juin 2004 dans le respect de la loi "informatique et libertés" (de l'époque), le consentement des personnes à recevoir des prospections pouvait, lorsqu'il était exigé par la loi, être sollicité et obtenu :

1. Par courrier électronique uniquement,

2. Jusqu'au 21 décembre 2004.

18

Depuis la fin du régime transitoire

Depuis le 22 décembre 2004 :

A défaut d'avoir "consenti", les personnes dont les données ont étécollectées avant le 22 décembre 2004 sont réputées avoir refusé d'être prospectées par courrier électronique.

1. Les prospecter est interdit si la prospection concernée est soumise à la règle du consentement.

2. Les prospecter reste permis si la prospection concernée est soumise au simple droit d'opposition.

10

19

Apprécier et réduire les risques théoriques

Quels risques théoriques ?Prospecter sans avoir eu le consentement, lorsque le consentement est exigé,

ou Prospecter sans respecter l'opposition qui a été exprimée = 750 € par message illicite (art. R 10-1 du code des P&CE), et300.000 € d'amende et 5 ans de prison (art. 226-18-1 nouveau du C. pénal).

Quelles mesures pratiques de réduction des risques ?Quelles mentions d'information pour les nouveaux prospects ?Quels formulaires de collecte pour les nouveaux prospects ?

Case pré-cochée ?Case à cocher ?Oui / Non ?Menu déroulant ?

20

La vidéosurveillance dans les lieux privés

Les badges d’accès et de contrôle horaire

Les autocommutateurs téléphoniques

L’intranet

L’accès au Web

La messagerie électronique

L’écoute téléphonique

Intranet et cyber-surveillance des personnels (1)

11

21

L'article L. 432-2-1 du code du travail et ses conséquences :consultation du comité d'établissement et information des personnels sur les moyens de contrôle de leur activité.

Coûts : outre les conséquences pénales (lourdes), l'impossibilité de faire valoir devant les tribunaux les preuves d'un mésusage de l'outil informatique ou téléphonique.

Avantages : dissuasion et efficacité des contrôles

Intranet et cyber-surveillance des personnels (2)

22

L’information émanant du secteur publicJournal Officiel et décrets de naturalisationBases de données jurisprudentiellesLe cadastre, etc.

L’administration électroniqueLes portails multi-accès ("monservicepublic.fr")Les échanges inter-administrationsLa carte de vie quotidienneLa Carte Nationale d'Identité ÉlectroniqueLes échanges d'état civil

L’État et la société de l’information

12

23

Tiers autorisés et conservation des données de communicationUn enjeu pour les libertés publiques : la traçabilité des personnes et la durée de conservation des données de communication

La « loi sur la sécurité quotidienne » du 15/11/2001Une durée de conservation maximale d'un an des données de connexion

L’annexe de la « LOPSI » du 29/08/02Un futur accès direct et permanent par les services de police judiciaire et/ou administrative aux données de connexion

La loi "sécurité intérieure" 2003-467 du 13/03/03Le STIC légalisé

La loi "anti-terrorisme" 2006-64 du 23/01/06Vidéosurveillance, usage administrative des fichiers de police, généralisation des interceptions des données de communication

La sécurité et la société de l’information

La nouvelle loi"Informatique et Libertés"

Loi 2004-801 du 6 août 2004Décret 2005-1309 du 20 octobre 2005

13

25

La collecte loyale et le respect des droits des personnes,

La sécurité du traitement

Le droit à l’oubli

La notification à la CNIL

Les obligations des responsables de traitement

26

Les fausses nouveautés :

Les définitions (art. 2 à 4)

Les principes de protection (art. 6 à 8 & 34 à 36)

L’information des personnes & le droit d’opposition (art. 32 & 38)

Les pouvoirs d’investigation de la CNIL (art. 44 & 49)

La composition de la CNIL (art. 13)

La nouvelle loi « informatique & libertés »

14

27

Les grands changements :

7 régimes distincts de déclaration & d’autorisation

Le pouvoir de sanction administrative de la CNIL

Les transferts de données hors de l'Union européenne

La création du "correspondant informatique et libertés"

La nouvelle loi « informatique & libertés »

28

1. L’autorisation par la CNIL des traitements (art. 25) …comportant des données sensibles, à l’exclusion des fichiers de police et de justice (cf 2)portant sur des condamnations, si ils sont mis en œuvre par d'autres entités que la police ou la justice.portant sur des données génétiques ou biométriquessusceptibles d'exclure des personnes du bénéfice d'un droit, d'une prestation ou d'un contrat (ex : listes noires, scoring)comportant des appréciations sur les difficultés sociales des personnesd’interconnexion entre fichiers publics ou entre fichiers privés ayant des finalités principales différentes, sauf si ils comportent le NIR (cf 2).

Le silence de la CNIL vaut refus

7 régimes de déclaration & d’autorisation (1)

15

29


2. L’autorisation par le Conseil d’Etat (art. 26.II & 27.I) …

des traitements mis en œuvre par l'Etat comportant des données sensibles (fichiers de police et de justice)des traitements mis en œuvre par l'Etat comportant le NIR (le numéro sécurité sociale)des interconnexions de traitements de cette nature

Le silence ou l’avis de la CNIL valent…Ce que le Conseil d’Etat voudra bienJuridiquement, rien.

30


3. L’autorisation "par soi-même" (art. 26.I & 27.II) …

des traitements publics de police et de justice ne comportant pas de

données sensibles

des traitements qui intéressent la sûreté de l'Etat et la défense

des traitements publics qui nécessitent la consultation du RNIPP

des interconnexions entre fichiers publics ayant pour finalité :

l’appréciation de l'ouverture d'un droit ou l'assiette d'un impôt

le contrôle ou le recouvrement des impôts de toutes natures

l’établissement de statistiques.

Le silence ou l’avis de la CNIL ne valent rien

16

31


4. La déclaration ordinaire (art. 22.I)

5. La déclaration simplifiée (art. 24)

6. L’exonération légale de déclaration des traitements...relatifs aux membres et correspondants d'associations ou de partis politiques.ayant pour objet la tenue d'un registre public destiné à l'information du public (ex : listes électorales, RCS)

7. L’exonération de déclaration par la CNIL (art. 24.II)Les traitements de la paie anciennement soumis à déclaration simplifiée (n° 28 pour le secteur privé ou n° 36 pour le secteur public) sont exonérés de déclaration depuis le 7 janvier 2005

32

Qui détermine le régime de notification ?

La loi et le décret d'application

Le responsable de traitement, ouLa CNIL délibérant en séance plénière :

pour décider de l'application du régime de l'autorisation, etpour l'octroi ou le refus (partiel ou total) d'autorisation

La CNIL, via les normes d'exonération (paie, … ?)

Le juge administratif pour les recours contre les refus tacites ou exprès d'autorisation ou de délivrance de récépissé de déclaration

Le juge judiciaire dans les autres cas de silence de la CNIL

17

33

Le principe (article 25-1 de la directive 95/46) :« Le transfert de données […] vers un pays tiers ne peut avoir lieu que si […] le pays tiers en question assure un niveau de protection adéquat. »

Ses conséquences (article 25-4) :« Lorsque la Commission constate qu'un pays tiers n'assure pas un niveau de protection adéquat, […] les États membres prennent les mesures nécessaires en vue d'empêcher tout transfert vers ce pays tiers. »

Les solutions (article 25-5) :« La Commission engage, au moment opportun, des négociations en vue de remédier à la situation résultant de la constatation faite en application du paragraphe 4.

Les transferts de données hors d’Europe (1)

34

Le « Safe harbor » et les transferts vers les USA« La Commission peut constater […] qu'un pays tiers assure un niveau de protection adéquat […] en raison de sa législation interne ou de ses engagements internationaux, souscrits notamment à l'issue des négociations en vue de la protection de la vie privée et des libertés et droits fondamentaux des personnes. »« Les Etats membres prennent les mesures nécessaires pour se conformer àla décision de la Commission ».

Le contrat de transfert de données personnellesIl doit être approuvés par l’autorité nationale contrôlant l’expéditeur des donnéesIl comporte des dispositions contraignantes pour le destinataire sur :

- Le respect de la finalité- La non transmission des données à des tiers sans l’accord de l’expéditeur- La désignation d’un représentant en charge de la protection des données


18

35

Les transferts libres de données (art. 26-1)

L’internaute a donné sans ambiguïté son consentement au transfert. Ex : il remplit un formulaire ou fournit son e-mail à un site américain (sur la notion de consentement, voir l’article 2h)

Le transfert est nécessaire à la réalisation d’un contrat ou de mesures pré-contractuelles. Ex : un internaute achetant un livre sur un site U.S.

Conséquences :le flux transfrontières est immédiat, n’est soumis à aucune condition de forme ou de fond et ne peut être interrompu.


36

Le principe d'interdiction des flux (art. 68)

Le transfert ne peut avoir lieu que si l'État tiers assure un niveau de protection suffisant.

Le caractère suffisant du niveau de protection assuré par un État s'apprécie en fonction, notamment :

des dispositions en vigueur dans cet Etat,des mesures de sécurité qui y sont appliquées,des caractéristiques propres du traitement, telles que ses fins et sa durée, ainsi quede la nature, de l'origine et de la destination des données traitées.

Les transferts de données vus par la loi nouvelle (1)

19

37

Les dérogations issues de la Directive 95/46 : (art. 69)Toutefois, le transfert est possible si la personne concernée a consenti expressément au transfert de ses données ou si le transfert est nécessaire à l'une des conditions suivantes :1. La sauvegarde de la vie de cette personne ;2. La sauvegarde de l'intérêt public ;3. Le respect d'obligations permettant d'assurer la constatation, l'exercice ou

la défense d'un droit en justice ;4. La consultation d'un registre public qui, en vertu de dispositions

législatives ou réglementaires, est destiné à l'information du public et est ouvert à la consultation de celui-ci ou de toute personne justifiant d'un intérêt légitime ;

5. L'exécution d'un contrat entre le responsable du traitement et l'intéressé, ou de mesures précontractuelles prises à la demande de celui-ci ;

6. La conclusion ou à l'exécution d'un contrat, dans l'intérêt de la personne concernée, entre le responsable du traitement et un tiers.


38

Les dérogations soumises à décision en France : (art. 69)Le transfert vers un État tiers "non adéquat" reste possible, sous réserve :

d'une décision de la CNIL ou,d'un décret en Conseil d'État, pour les traitements soumis à demande d'avis

lorsque le traitement garantit un niveau de protection suffisant en raison des clauses contractuelles ou règles internes dont il fait l'objet.

La CNIL informe la Commission européenne et les autres "CNIL" de ses décisions d'autorisation de transfert.


20

39

L'enjeu :

Quelle est la voie procédurale des "décisions" de la CNIL ?Une autorisation par la CNIL réunie en séance plénière ?Une décision du Président ?

Tous les transferts seront-ils soumis à autorisation ?Quid des transferts basés sur un contrat-type européen ?


40

L'impact en France des décisions européennes de blocage : (art. 70)

Si la Commission européenne a constaté qu'un État tiers n'assure pas un niveau de protection suffisant, la CNIL, saisie d'une déclaration ordinaire ou simplifiée faisant apparaître un transfert de données vers cet État, délivre un récépissémentionnant l'interdiction de procéder à un tel transfert.

La notification des transferts devra-t-elle être distincte de celle des traitements ?


21

41

Les sanctions pénales (1)

Ces sanctions sont visées aux articles 226-16 à 226-24 du code pénalet dans le décret n°81-1142 du 23 décembre 1981

Sont punis de cinq ans d'emprisonnement et de 300.000 euros d'amende…

L’absence de notification préalable d’un traitement (article 226-16) ;

Le non respect des conditions de traitement posées par la CNIL dans une norme simplifiée ou d’exonération de déclaration (article 226-16-1 A) ;

Le fait de traiter le numéro de sécurité sociale sans autorisation de la CNIL ou sans autorisation législative (article 226-16-1) ;

Le fait de ne pas prendre toutes mesures utiles pour préserver la sécurité, l’intégrité et la confidentialité des données à l’égard de tiers non autorisés à y accéder (article 226-17) ;

42


Le fait de collecter des données par un moyen frauduleux, déloyal ou illicite, par exemple, sans information complète des personnes ou sans avoir effectué les formalités obligatoires (article 226-18) ;

Le fait de traiter des données malgré l’opposition des personnes exercée pour des motifs légitimes ou en matière de prospection commerciale (article 226-18-1) ;

Le fait de traiter des données dites « sensibles » sans le consentement explicite, préalable et informé des personnes, ou sans autorisation législative, ainsi que le fait de traiter sans autorisation législative des données concernant des infractions, des condamnations ou des mesures de sûreté (article 226-19), y compris lorsque ces traitements sont non automatisés ou « manuels » (article 226-23) ;

22

43


Le fait d’effectuer des traitements à des fins de recherche médicale sans informer les personnes concernées de leurs droits d’accès et d’opposition, de la nature des données traitées ainsi que des destinataire de ces données, ou malgré l’opposition ou en l’absence de consentement de ces personnes, ou, pour les personnes décédées, malgré leur refus exprimé de leur vivant (226-19-1) ;

Le fait de conserver des données au-delà de la durée prévue par la loi, le règlement, la demande d'autorisation ou d'avis, ou la déclaration préalable àla CNIL (article 226-20).

44


Le fait pour quiconque de détourner un traitement de données de sa finalitéinitiale telle qu’elle résulte de la loi, du règlement, de l’autorisation de la CNIL ou de la déclaration relative à ce traitement (article 226-21) ;

Le fait pour quiconque de détenir, sans le consentement de la personne concernée, des données personnelles dont la divulgation porterait atteinte àla considération ou à l'intimité de la vie privée de cette dernière, ainsi que le fait de porter de telles données à la connaissance d’un tiers non autorisésans le consentement de la personne concernée (article 226-22) ;

Le fait, hors les cas prévus par la loi ou sans autorisation de la Commission européenne ou de la CNIL, de permettre un transfert de données personnelles vers un État non membre de l’Union européenne et qui ne garantirait pas une protection de ces données équivalente à celle offerte dans l’Union européenne (article 226-22-1) ;

23

45


La responsabilité pénale des personnes morales : le quintuple de l’amendeLes personnes morales peuvent être déclarées responsables pénalement des infractions précitées commises par leurs organes ou représentants (article 121-2 du code pénal) et encourent les peines maximales suivantes (articles 131-38 et 131-39 du code pénal) :

le quintuple de l’amende prévue pour les personnes physiques, soit 1.500.000 euros ;l'interdiction définitive ou pour une durée maximale de 5 ans, d’exercer l’activité dans le cadre de laquelle l’infraction a été commise ;le placement sous contrôle judiciaire pour une durée maximale de 5 ans ;la fermeture définitive ou pour une durée maximale de cinq ans des établissements ayant servi à commettre les faits incriminés ;l'exclusion des marchés publics à titre définitif ou pour une durée maximale de 5 ans;l'interdiction, pour une durée maximale de cinq ans, d'émettre des chèques ou d'utiliser des cartes de paiement ;la confiscation des matériels, logiciels, bases de données ou données ayant permis la commission de l’infraction, ou qui sont le produit de l’infraction ;l'affichage de la condamnation sur tous supports.

46


Les peines contraventionnelles pour défaut d’information des personnes

Sont punis d’une amende de 1.500 euros par infraction constatée (7500 euros pour les entreprises), qui peut être portée à 3.000 euros par infraction en cas de récidive (ou 15000 euros pour les entreprises) (1) :

Le fait de collecter ou de faire collecter des données personnelles sans avoir informé la personne concernée sur les éléments prévus par la loi.

Le fait de s’opposer à l'exercice du droit d'accès par la personne concernée, soit en refusant de lui répondre, soit en dissimulant ou en faisant disparaître ses données personnelles.

(1) Décret 81-1142 du 23 décembre 1981 et article 131-13 du code pénal.

24

47


Dans tous les cas qui précèdent, l'effacement de tout ou partie des données traitées en infraction à ces règles peut être ordonné par l’autorité judiciaire et constaté par la CNIL (article 226-22-2).

48

Les pouvoirs de la CNIL (1)

Les contrôles

La CNIL dispose d’un pouvoir d’investigation, notamment de contrôle sur place, qui oblige tout responsable de traitement (sous peine de commettre un délit d’entrave) à lui permettre d’exercer ses missions de vérification du respect de la loi.

NB: Sauf étude particulière dans un secteur d'activités particulier, la CNIL effectuait généralement ses contrôles à la suite des plaintes qu’elle recevait.

Et demain ?

25

49


Les dénonciations au Parquet

La CNIL peut dénoncer au Procureur de la République les infractions à la loi « informatique et libertés » qu’elle constate, à charge pour ce dernier de décider de l’opportunité des poursuites à entamer.

50


Les sanctions administratives

En cas de violation de la loi, la CNIL peut, après une procédure contradictoire, mais sans préjudice des sanctions pénales encourues :

ordonner la cessation d’un traitement ou retirer son autorisation ;prononcer des amendes administratives jusqu’à un montant de 300.000 euros,

à l’encontre des responsables de traitement établis en France ou dans tout autre État membre de l’Union européenne.

26

Le correspondant "informatique et libertés":

Les clés de la décision

52

Les textes en vigueur (1)

(Loi "Informatique et Libertés" (LIL) n° 78-17 du 6 janvier 1978 modifiée par la loi 2004-801 du 6 août 2004)

Le Correspondant à la Protection des Données (CPD)(Article 22 de la LIL)

Sa nomination dispense le responsable du traitement des formalités de déclarations ordinaires ou simplifiéesSa nomination doit être notifiée à la CNILIl doit disposer des qualités et moyens nécessaires pour mener sa mission à bienIl est révocable par la CNIL

27

53

Les textes en vigueur (2)

(Décret d'application n° 2005-1309 du 20 octobre 2005)

La CNILLes formalités préalables à la mise en œuvre d'un traitement de données à caractère personnelLe correspondant à la protection des données (CPD)Les pouvoirs de la CNILLes dispositions particulières relatives aux traitements intéressant la Défense nationaleLes dispositions pénales sanctionnant la non application de la LIL et du Décret

54

Le correspondant "informatique et libertés"

Un poste « alibi » ?Les entreprises et collectivités qui disposent d’un déléguésont exonérées de déclaration ordinaireLe délégué n'est pas responsable des infractions commises dans l’entreprise

Questions :Faut-il en nommer un ?Quels pouvoirs ?Quelle indépendance ?Quelles responsabilités ?

28

1. Le Correspondant à la Protection des Données :

Statut et missions

56

Le statut du CPD

(Article 22 de la LIL; articles 46, 52 et 53 du Décret)

Il est indépendant du responsable du traitementIl ne reçoit aucune instruction pour exercer sa missionSes autres missions ne doivent pas être susceptibles de créer un conflit d'intérêts avec sa fonction de CPDIl dispose des qualifications nécessaires à l'accomplissement de sa missionIl est révocable par la CNIL en cas de manquement Son licenciement pour manquement à sa mission ne peut être prononcé qu'après avis de la CNIL

29

57

Les missions du CPD (1)

(Article 22 de la LIL; articles 47, 48 et 49 du Décret)

Veiller au respect de la LIL par le responsable du traitement

Dresser et tenir à jour une liste des traitements mis en œuvre par le responsableCette liste doit être transmise à la CNIL dans les trois mois de sa désignationTenir à la disposition de tout intéressé la liste des traitements mis en œuvre

58

Les missions du CPD (2)

(Article 49 du Décret)

Il peut faire toute remarque au responsable des traitements en vue d'assurer le respect de la LILIl est consulté préalablement à la mise en œuvre de tout traitement entrant dans sa sphère de compétenceIl reçoit les demandes et les réclamations des personnes concernées par un traitement figurant sur la liste qu'il dresseIl informe le responsable des traitements des manquements constatésIl peut, suite à cette information, saisir la CNIL de ces manquementsIl tient un bilan annuel de son activité

30

59

Le "CPD" vu par la CNIL (1)

1. Le responsable de traitement peut-il désigner un correspondant extérieur à l’organisme ?

La CNIL considère que la loi permet de désigner un correspondant qui n’appartient pas au personnel de l’organisme.

Elle estime cependant qu’une désignation extérieure ne devrait être possible qu’en deçà d’un seuil à définir et devrait répondre au souci d’une "mutualisation" des fonctions de correspondant permettant à plusieurs responsables de traitement de se regrouper afin de désigner le même correspondant.

60


2. Quelles sont les qualifications requises pour être « CPD » ?

Il n’est pas possible de déterminer a priori la nature et le niveau des qualifications requises qui dépendent de la taille et de l’activité du responsable de traitement.

Il est évident que le CPD devra avoir une connaissance de la loi informatique et libertés et des technologies informatiques qu’elles soient courantes ou spécifiques à l’activité de l’organisme l’ayant désigné.

31

61


3. Comment assurer l’indépendance du correspondant ?

Le législateur a mis le correspondant à l'abri des sanctions de l'employeur du fait de l'accomplissement de ses missions et l'a doté de la faculté de saisir la CNIL des difficultés rencontrées.

Il apparaît à la CNIL qu’au-delà de ces dispositions, c’est la position hiérarchique du CPD, caractérisée par la possibilité de communiquer directement avec la direction de l’organisme, l’interdiction pour le responsable de traitement d’interférer dans l’accomplissement des missions du CPD et l’absence de conflit d’intérêt avec les fonctions exercées en même temps qui sont de nature à apporter les garanties de l’indépendance.

Ainsi, à l’évidence, le directeur de l’organisme ne devrait pas pouvoir être désigné comme correspondant.

62


4. Quelles seront les missions du correspondant ?

Au-delà de la tenue de la liste des traitements (à l’instar du « fichier des fichiers » tenu par la CNIL),

- le correspondant aura un rôle essentiel dans la diffusion de la culture "informatique et libertés" au sein de l'organisme l'ayant désigné, et

- sera l'interlocuteur privilégié non seulement de la CNIL mais également des personnes concernées par les traitements soumis à la loi du 6 janvier 1978.

Conseil en amont, pédagogie, audit et médiation devront ainsi accompagner un rôle d'alerte du responsable de traitement sur les irrégularités constatées.

32

2. Quand désigner un Correspondant à la Protection des Données ?

Avantages et contraintes

64

Les avantages liés à la désignation d'un CPD

Exonérer des formalités de déclaration ordinaire ou simplifiée

Centraliser la gestion des fichiers, mieux cerner les risques liés à leur mise en œuvre

Diffuser une culture "informatique et libertés"

Identifier un interlocuteur unique pour les personnes dont les données sont traitées

Le symbole d'une éthique "CNIL"

33

65

Les contraintes liées à la désignation du CPD

Un poste dédié au sein de l'organisation qui ouvre largement la porte à la CNIL…

Notification à la CNIL de la désignation du CPDSaisine de la CNIL par le CPDAvis de la CNIL en cas de licenciement du CPD

… et qui soulève de nombreuses questionsFaut-il opérer une délégation de pouvoirs au CPD ?La saisine de la CNIL par le CPD constitue-t-elle une faute grave ou lourde pouvant justifier un licenciement ?L'avis de la CNIL en cas de licenciement lie-t-il l'organisation ?Un avis contraire de la CNIL pourra-t-il être invoqué par l'ex-CPD devant le Conseil des Prud'hommes ?

66

Paramètres du choix

Faire le bilan coût/avantages pour votre organisation

Affiner votre décision en répondant à quelques questions essentielles

34

Les questions à se poser

2. Quand désigner un Correspondant à la Protection des Données ?

68

Les questions à se poser

Déterminer le type de formalités à effectuer sans CPD :

Quels types de fichiers ou traitements mettez-vous en œuvre pour conduire vos activités ?

Quelles sont les finalités de ces traitements ?

Quel(s) serai(en)t leur(s) régime(s) de notification ?Autorisation par la CNIL ou par le Conseil d'État ?Déclaration ordinaire ou simplifiée ?Exonération légale de notification ?

35

69

Les traitements notifiés par la voie simplifiée

Quelques finalités parmi les plus courantes :

Le contrôle d'accès des personnels (DS 42)La gestion des Ressources Humaines (DS 46)La gestion de l'utilisation des téléphones (DS 47)Les fichiers clients ou prospects (DS 48)La gestion des comptes bancaires, des crédits et des instruments financiers (DS 12, 13 et 41)La gestion et la distribution des contrats d'assurances (DS 16)La gestion de biens immobiliers (DS 20 et 21)

70

Les traitements soumis à demande d'autorisation

(Article 25 de la LIL)

Les traitements de données sensibles(origines raciales ou ethniques, opinions politiques, philosophiques ou religieuses, appartenance syndicale, vie sexuelle)

Les traitements de données génétiques, biométriques ou médicales

Les traitements susceptibles d'exclure une personne du bénéfice d'une prestation ou d'un contrat

(scoring, listes noires…)

Les traitements utilisant le numéro de sécurité sociale

36

71

Pour les autres traitements…

La déclaration normaleSites InternetBases de données mutualisées et CRM

L'exonération de notification:La gestion de la paie (normes d'exonération du 13 janvier 2005)

Les membres et correspondants des associations et groupements religieuxLes fichiers de fournisseurs

72

Conséquences de la désignation d'un CPD

Seules les demandes d'autorisation doivent encore être accomplies malgré la désignation d'un CPD

L'organisation est exonérée des autres démarches, à charge pour son CPD de tenir la liste des traitements à jour

Gain de temps et réduction des formalités obligatoires

Réduction du risque juridique lié l'absence de déclaration

37

3. Un Correspondant interne ou externalisé ?

Ce choix est-il libre ?

74

Une désignation facultative mais encadrée

Le choix de désigner un CPD est facultatif :La désignation d'un CPD n'est pas obligatoireL'organisation reste libre de gérer ses relations avec la CNIL directement

Ce choix n'est pas libre (article 44 du Décret)

Si plus de 50 personnes mettent en œuvre ou accèdent directement aux traitements, le CPD devra être exclusivement au service de l'organisation

Dérogations : sociétés d'un même groupe, membres d'un GIE, organismes professionnels

38

75

La désignation d'un membre de l'organisation

L'organisation peut toujours désigner un CPD en son seinMais elle doit désigner un CPD en son sein si le seuil de l'article 44 du Décret est atteint

Questions :Comment assurer l'indépendance du CPD au sein de l'organisation (niveau hiérarchique, pouvoirs, etc.) ?Est-il nécessaire de dédier un poste à cette mission ?Quelles sont les autres fonctions compatibles avec celles du CPD : audit interne, déontologue, compliance/ethics officer ?

76

Le CPD externe à l'organisation (1)

Quelles sont les personnes aptes à remplir un tel rôle ?

Le CPD doit bénéficier des « qualifications requises pour exercer ses missions ».

Pour la CNIL, ces qualifications recouvrent notamment des compétences en :

Informatique et en droitConseil et managementMédiation et pédagogie

Cette option n'est ouverte que si le seuil de l'article 44 du Décret n'est pas atteint

39

77

Le CPD externe à l'organisation (2)

Concrètement, le CPD n'appartenant pas à l'organisation peut être :

Un consultant

Un avocat:Qui engage sa responsabilité professionnelleSoumis au secret professionnelRespectant une déontologie encadrée par la loi et contrôlée par un Ordre professionnel et par les juridictions

Documents

Correspondant CNIL - AFRC · 1 Correspondant CNIL et traitement des données personnelles Etienne Drouard, Avocat à la Cour [email protected] - 01 40 75 29 41 Département Propriété