Guide des droits et des démarches administratives
Obligations en matière de protection des données personnellesFiche pratique
La création et le traitement de données personnelles (numéro d'identifiant, nom, adresse, numéro de téléphone...) sont soumis à des obligations destinées à protéger la vie privée des personnes fichées et les libertés individuelles. Elles varient selon la nature du fichier et la finalité des informations recueillies : déclaration normale ou simplifiée ou demande d'autorisation. Il existe aussi des obligations de sécurité, de confidentialité et d'information.
Tout fichier ou traitement automatisé contenant des informations à caractère personnel doit être déclaré avant sa création, en ligne ou par courrier adressé à la Commission nationale de l'informatique et des libertés (Cnil) sous forme d'une :
-
déclaration normale pour les fichiers qui concernent la vie privée ou les libertés individuelles des personnes : fichiers de clients, gestion des horaires des salariés, contrôle des accès aux locaux faisant l'objet d'une restriction de circulation, gestion de carrière et de la mobilité des salariés (organisation du travail, formations, annuaire interne, élections professionnelles, etc.), géolocalisation des véhicules utilisés par les salariés (ayant pour finalité le suivi et la facturation d'une prestation de transport, la sécurité des salariés ou des marchandises, le suivi du temps de travail, etc.),
-
déclaration simplifiée valant engagement de conformité, pour les fichiers qui ne portent pas atteinte à la vie privée et aux libertés individuelles des personnes.
Par exemple, les sites commerciaux de vente en ligne de biens ou de services, qui collectent des informations nominatives (nom, courriel) et constituent des fichiers de clients et de prospects, doivent effectuer une déclaration simplifiée. En revanche, les traitements de données mis en œuvre à partir d'un site web, qui ne bénéficient ni d'une dispense, ni d'une procédure allégée, doivent faire l'objet d'une déclaration normale.
Pour savoir si un fichier doit être ou non déclaré et quelle procédure appliquer, il existe un service d' aide à la déclaration sur le site de la Cnil.
À savoir
les formalités déclaratives doivent être effectuées par la personne responsable du fichier ou du traitement, celle qui en décide de la création et en détermine les finalités, avant la création du fichier.Ne sont pas soumises à l'obligation de déclaration à la Cnil, les données concernant notamment :
-
des activités exclusivement personnelles (rédaction d'un blog par exemple),
-
les membres et contacts d'une association à caractère politique, syndical ou religieux,
-
l'activité professionnelle d'un artiste (écrivain, cinéaste, éditeur…),
-
les opérations courantes de l'entreprise (comptabilité, fichiers de fournisseurs, gestion des paies, registre unique du personnel, déclarations sociales obligatoires, etc.).
Une autorisation préalable de la Cnil est obligatoire pour les fichiers qui présentent des risques particuliers d'atteinte aux droits et aux libertés :
-
les données enregistrées portant sur des informations sensibles (origine, opinions politiques, religieuses, syndicales, etc.), biométriques ou génétiques, etc.
-
les fichiers ayant une finalité particulière (études statistiques de l'Insee, traitements de recherche médicale, etc.)
-
les transferts de données hors de l'Union européenne.
La demande d'autorisation fait l'objet d'un examen approfondi de la part de la Cnil, qui a 2 mois pour se prononcer. Une fois la délibération prise, la Cnil doit la notifier dans les 8 jours au responsable de traitement.
Si le responsable des données n'effectue par les déclarations auprès de la Cnil, il peut être condamné à 5 ans d'emprisonnement et 300 000 € d'amende.
L'entreprise qui détient des données personnelles doit informer la personne concernée de :
-
l'identité du responsable du fichier,
-
la finalité du traitement des données,
-
le caractère obligatoire ou facultatif des réponses,
-
les droits d'accès, de rectification, d'interrogation et d'opposition.
-
les transmissions des données.
L'exploitant de données personnelles (un commerçant en ligne par exemple) doit respecter certaines obligations et notamment : recueillir l'accord des clients, les informer de leur droit d'accès, de modification et de suppression des informations collectées, veiller à la sécurité des systèmes d'information, assurer la confidentialité des données, indiquer une durée de conservation des données.
L'objectif de la collecte d'informations doit être précis et les données en accord avec cette finalité.
Le non-respect du droit des personnes est puni de 1 500 € par infraction (3 000 € en cas de récidive).
Le responsable du traitement des données doit mettre en œuvre les mesures de sécurité des locaux et des systèmes d'information pour empêcher que les fichiers soient déformés, endommagés, ou que des tiers non autorisés y aient accès.
L'accès aux données est réservé uniquement aux personnes désignées ou à des tiers qui détiennent une autorisation spéciale et ponctuelle (service des impôts, police, etc.).
Le responsable des données est aussi tenu de fixer une durée raisonnable de conservation des informations personnelles.
Si l'entreprise ne respecte pas ces obligations, elle encourt 5 ans d'emprisonnement et de 300 000 € d'amende.
Outre les sanctions pénales (amende, emprisonnement), le manquement de l'entreprise aux obligations de protection des données personnelles peut entraîner de la part de la Cnil :
-
un avertissement,
-
une amende,
-
le verrouillage des données pendant 3 mois,
-
une injonction d'arrêter le traitement des données,
-
un retrait de l’autorisation de la Cnil.
Services en ligne et formulaires
- Déclaration simplifiée de traitement de données personnelles : engagement de conformité Commission nationale de l'informatique et des libertés (Cnil) CERFA 13810*02
- Aide à la déclaration des fichiers nominatifs Commission nationale de l'informatique et des libertés (Cnil)
- Déclaration normale de traitement de données personnelles Commission nationale de l'informatique et des libertés (Cnil) CERFA 13809*05
- Demandes en ligne d'autorisation ou d'avis à la Cnil Commission nationale de l'informatique et des libertés (Cnil)
- Demande d'avis préalable à la mise en œuvre de traitements automatisés de données à caractère personnel Commission nationale de l'informatique et des libertés (Cnil) CERFA 13891*03
- Demande d'autorisation préalable à la mise en œuvre de traitements automatisés de données à caractère personnel Commission nationale de l'informatique et des libertés (Cnil) Dispositifs biométriques Transfert de données hors de l'Union européenne CERFA 13786*02
- Demande d'autorisation d'un traitement de recherche dans le domaine de la santé Commission nationale de l'informatique et des libertés (Cnil) CERFA 10769*02
- Demande d'autorisation d'un traitement ayant pour finalité l'évaluation ou l'analyse des pratiques ou des activités de soins et de prévention Commission nationale de l'informatique et des libertés (Cnil)Renseignements pratiques sur la déclaration de traitements de données à caractère personnel de santé CERFA 13890*02
- Désignation d'un correspondant Informatique et libertés (CIL) à la protection des données à caractère personnel Commission nationale de l'informatique et des libertés (Cnil) CERFA 14748*01
- Désignation d'un correspondant Informatique et libertés (CIL) à la protection des données à caractère personnel - Presse Commission nationale de l'informatique et des libertés (Cnil) CERFA 14749*01
Références
-
Code pénal : articles 226-16 à 226-24
Articles 226-16, 226-17, 226-20, 226-21, 226-22 -
Code pénal : articles 131-12 à 131-18
Article 131-13 - Loi n°78-17 du 6 janvier 1978 - Informatique et libertés