NetPME.fr, la référence de l’entrepreneur
<< Retour

Les données personnelles à l’heure de la société numérique


Le projet de loi relatif à la protection des données à caractère personnel et modifiant la loi « informatique et liberté » du 6 janvier 1978 a été adopté en première lecture au Sénat le 1er avril dernier.

Cette réforme a pour objectif de transposer la directive européenne du 24 octobre 1995 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et d’adapter notre législation à la société de l’information.

Actuellement les responsables de fichiers sont soumis à un système d’autorisation (demande d’avis) pour les fichiers publics et un système de simple déclaration préalable pour les fichiers privés, étant précisé que pour les catégories les plus courantes de traitements qui ne comportent manifestement pas d'atteinte à la vie privée1, une déclaration simplifiée à la CNIL suffit, même si le responsable du traitement est une personne publique.

Pour les autres catégories de fichiers, les collectivités locales doivent présenter une demande d'avis auprès de la CNIL. Ces traitements ne peuvent donc être mis en œuvre après avis favorable de la CNIL que sur décision du maire, du président de la collectivité, du conseil d'administration du CCAS (Centre Communal d'Action Sociale) ou délibération de l'EPCI (Établissement Public de Coopération Intercommunale).

Cette dichotomie entre fichiers publics et privés, basée sur le sentiment que le danger pour la vie privée se situait du côté des ordinateurs de l’Etat, n’est plus justifiée au regard du développement de la micro-informatique privée, qui « a substitué au risque d'un Etat Léviathan celui de milliers de Big brother privés potentiels2 ».

Ainsi, conformément à la directive européenne, les traitements de données à caractère personnel, qu'ils soient privés ou publics, seront désormais soumis à une obligation de déclaration préalable ou d’autorisation auprès de la CNIL en fonction de la nature des données collectées et de la finalité du traitement (critère de distinction matériel).

Parallèlement les pouvoirs de contrôle a posteriori de la CNIL seront accrus par la mise en œuvre de moyens d’investigation plus efficaces, des pouvoirs de sanction administrative (avertissements, mises en demeure, injonctions de cesser le traitement, sanctions pécuniaires), et la possibilité de saisir le président du tribunal d'instance en référé.

Le projet de loi pose également le principe selon lequel le consentement des personnes concernées par un traitement de données à caractère personnel est nécessaire.

Cependant, conformément à la directive, cette exigence est écartée lorsque le traitement est nécessaire (article 7) :

  • au respect d'une obligation légale à laquelle le responsable du traitement est soumis, par exemple les traitements imposés par les obligations déclaratives pesant sur les employeurs en matière fiscale et sociale ;
  • à la sauvegarde de la vie de la personne concernée (traitements de données dans le domaine de la santé) ;
  • à l'exécution d'une mission de service public, par exemple les fichiers de police ou de justice, sous réserve qu'ils ne comprennent pas de données sensibles, ce qui les soumettrait au régime dérogatoire prévu par l'article 8 du projet de loi ;
  • à l'exécution soit d'un contrat auquel la personne concernée est partie, soit de mesures précontractuelles prises à sa demande ;
  • à la réalisation de l'intérêt légitime poursuivi par le responsable du traitement ou par le destinataire « sous réserve de ne pas méconnaître l'intérêt ou les droits et libertés fondamentaux de la personne concernée »

Le rapport du sénat, souligne à juste titre que cette dernière clause est exceptionnellement générale et pourrait donc à terme concerner la majorité des traitements du secteur privé.

La CNIL devra par conséquent « veiller au respect d'un équilibre, par son contrôle a priori ou a posteriori, sans préjudice de l'éventuelle appréciation ultérieure du juge en cas de contentieux ».

> Seront soumises au régime d’autorisation :

- En raison de la nature des données (article 8)

Les données dites sensibles (collecte et traitement en principe interdit sauf accord exprès de l'intéressé) qui font apparaître directement ou indirectement les origines raciales ou ethniques, les opinions politiques, philosophiques ou religieuses ou l’appartenance syndicale des personnes ou qui sont relatives à la santé ou la vie sexuelle de celle-ci ; lorsqu’elles sont justifiées par l’intérêt public et sous réserve que l'autorisation en soit donnée sur proposition ou avis conforme de la CNIL et par décret en Conseil d'Etat (procédure particulière des articles 26 et 27 du projet de loi).

Cette exception vise à titre principal les traitements mis en oeuvre par les ministères de la défense ou de l'intérieur.

- En raison de la finalité du traitement (article 25)

Les traitements :

- susceptibles du fait de leur nature, de leur portée ou de leur finalités, d’exclure des personnes du bénéfice d’un droit, d’une prestation ou d’un contrat en l’absence de toute disposition législative ou réglementaire les habilitant ;

- ayant pour objet l’interconnexion de fichiers relevant d’une ou plusieurs personnes morales gérant un service public et dont les finalités correspondent à des intérêts publics différents ;

- portant sur des données parmi lesquelles figure le numéro d’inscription des personnes au répertoire national d’indentification des personnes physiques et ceux qui requièrent une consultation de ce répertoire sans inclure le numéro d’inscription à celui-ci des personnes ;

- de données comportant des appréciations sur les difficultés sociales des personnes ;

- comportant des données biométriques nécessaires au contrôle de l’identité des personnes.

Les fichiers soumis à autorisation, tels qu’évoqué ci-dessus, dès lors qu’ils répondent à une même finalité, portent sur des catégories de données identiques et ont les mêmes destinataires ou catégories de destinataires, peuvent être autorisés par une décision unique de la CNIL. Dans ce cas, le responsable de chaque traitement adresse à la CNIL un engagement de conformité de celui-ci à la description figurant dans l’autorisation.

A compter de la demande d’autorisation, la CNIL se prononce dans un délai de 2 mois, renouvelable une fois sur décision motivée de son président, son silence vaut décision de rejet.

> Les autres traitements de données feront l’objet d’une simple déclaration préalable auprès de la CNIL.

* * * * * *

Le projet de loi, reprend une disposition de la directive, qui offre la possibilité aux organismes ayant désigné un délégué à la protection des données, d’être dispensé de déclaration de traitements, s’il n’est pas envisagé de transférer les données collectées à destination d’un Etat non membre de l’Union européenne.

Ce délégué est chargé de tenir un registre des traitements, accessible à toute personne en faisant la demande, et doit effectuer un contrôle interne de l'application des dispositions de la loi du 6 janvier 1978 (article 22, II, 3° du projet).

La désignation du délégué doit être notifiée à la CNIL et porté à la connaissance des instances représentatives du personnel.

Il ne peut faire l’objet d’aucune sanction de la part de son employeur du fait de l’accomplissement de ses missions, et peut saisir la CNIL en cas de difficultés dans l’exercice de ses attributions.

En cas de manquement à ses devoirs, il peut être révoqué sur demande ou après consultation de la CNIL.

Un décret en Conseil d’Etat devra définir les modalités d’application.

---------------------------

1Gestion interne de la collectivité (paie des personnels, gestion des personnels, autocommutateurs téléphoniques, fournisseurs, gestion des accès, des horaires ou de la restauration).
Gestion des administrés de la commune (fichiers de population pour les communes de moins de 2000 habitants, gestion de la population pour les communes ou syndicats de communes de moins de 10.000 habitants, listes électorales, taxes et redevances locales, fichier d'élèves, facturation des services, prêts d'ouvrages et archives, liste d'adresses)

2Rapport du 19 mars 2003 du sénateur Alex TÜRK.

Nicole BONDOIS, Avocat et Nicolas SAMARCQ, Juriste (4 juin 2003)
www.brmavocats.com


Modèles de contrats

NetPME a fait appel à des avocats et des experts reconnus pour rédiger des contrats et des kits directement opérationnels et répondant aux besoins de sécurité juridique des dirigeants d'entreprises

Lire aussi
Modèles de contrats

NetPME a fait appel à des avocats et des experts reconnus pour rédiger des contrats et des kits directement opérationnels et répondant aux besoins de sécurité juridique des dirigeants d'entreprises

Sondage / Enquête
Sondage(s) en cours Enquête(s) en cours

Tous les sondages
Toutes les enquêtes
 
© NetPME 2001 - 2008 Accueil | Qui sommes nous ? | Espace presse | Publicité | Partenaires | Informations légales | Confidentialité |
Sites partenaires : Modèle de contrat | Modèle de lettre | Convention collective | Bilan entreprise | Certificat de non gage | Cession entreprise
Location vacances Bretagne | Référencement Google | Séjour linguistique usa | Conseil télécoms | Câbles et adaptateurs informatiques | Assurances entreprise | Cession reprise entreprise