La loi Informatique et Libertés prévoit des garde-fous pour protéger les personnes des dangers liés aux fichiers et à l'exploitation de données personnelles. Entretien avec Xavier Leclerc, consultant, Vice Président et Administrateur de l’Association Française des Correspondants à la protection des Données à caractère Personnel (AFCDP) et lui-même correspondant à la protection des données (CIL) de divers organismes.
Tout responsable de traitement informatique de données concernant les personnes a un certain nombre de responsabilités. Il doit notamment adopter des mesures de sécurité physiques (les locaux), logiques (les systèmes d’information) et adaptées (selon la nature des risques). Le fait de procéder ou de faire procéder à un traitement de données à caractère personnel sans mettre en œuvre un certain nombre de mesures est puni de cinq années d’emprisonnement et de 300 000 euros d’amende (Source Legifrance). De la même façon, les traitements informatiques de données personnelles qui présentent des risques particuliers d’atteinte aux droits et aux libertés doivent, avant leur mise en œuvre, être soumis à l’autorisation de la CNIL.
« Toutes les entreprises ont une problématique Informatique et Libertés » explique Xavier Leclerc. « La loi Informatique et Libertés existe depuis 1978, mais il est vrai que peu d’entreprises l’appliquent. Il faut bien comprendre que n’importe quel traitement de données personnelles est soumis à formalités déclaratives, étant entendu que les données personnelles sont celles qui permettent d’identifier directement ou indirectement une personne ».
Un n° de téléphone, de sécurité sociale, de carte bancaire, un nom et un prénom, une donnée biométrique… toutes les entreprises sont donc concernées. « Il y a de véritables risques, même si la loi est appliquée avec un certain discernement. Mon point de vue, c’est qu’il y a de toute façon deux risques majeurs : le risque d’image et le risque social. Je vous donne un exemple de jurisprudence pour illustrer mon propos : une personne refuse de “badger” alors même que cette pratique est inscrite dans le règlement intérieur de l’entreprise. Elle est licenciée pour faute : le non respect du règlement intérieur et du contrat de travail. Ce salarié a gagné pour licenciement abusif car le fichier n’avait pas été déclaré. On ne peut pas reprocher à quelqu’un de faire quelque chose d’illégal… ». Une simple omission de déclaration qui coûte très cher à l’entreprise ! « Il faut donc déclarer son fichier client, mais aussi tous les fichiers internes à l’entreprise ! Gestion du personnel, téléphonie… peu de gens le savent ».
Que peut-on mettre dans un fichier ?
« On a –presque- tous les droits à partir du moment où l’on respecte deux choses fondamentales : l’information de la CNIL et/ou la nomination d’un correspondant et l’autorisation des personnes auprès de qui vous collectez les données », continue Xavier Leclerc, « par ailleurs, l’information doit être complète et éclairée : la finalité du fichier, pourquoi on collecte les données, combien de temps elles vont être conservées… Ce sont les fameuses clauses, que l’on trouve heureusement de plus en plus qui informent le citoyen de ses droits. A partir de là vous pouvez presque tout faire, excepté bien entendu des données collectées sans le consentement express de la personne : données médicales, mœurs, le numéro de sécurité sociale, qui est strictement interdit en dehors de la paye et du monde de la santé, les données génétiques, biométriques, les commentaires sur les données sociales, les données sur les infractions et condamnations, les opinions politiques et religieuses… cela dit, sous certaines conditions, le monde de la santé a le droit de collecter des données de santé ».
Et les entreprises qui font du scoring ? « Il faut avant tout savoir s’il est discriminatoire, comme l’obtention d’un prêt ou non. Si le scoring permet d’exclure la personne d’un bien ou d’un service, alors on bascule dans une catégorie de traitement qui n’est plus soumise à simple formalité déclarative mais à demande d’autorisation préalable de la CNIL, avec des lourdes sanctions en cas de manquement ».
Sécurité informatique : parlons des sanctions
Seules les personnes autorisées peuvent accéder aux données personnelles contenues dans les fichiers. Il s’agit des destinataires et des tiers autorisés (police, fisc…). La divulgation d’informations commise par imprudence ou négligence est punie de 5 ans d'emprisonnement et de 300 000 € d’amende. Par ailleurs, la durée de conservation des informations est limitée et doit être fixée de manière raisonnable. Le responsable d’un fichier doit permettre aux personnes concernées par des informations qu’il détient d’exercer pleinement leurs droits. Il doit donc impérativement leur communiquer son identité, la finalité de son traitement, le caractère facultatif ou obligatoire des réponses, les destinataires des informations, l’existence de droits et les transmissions envisagées (1 500 Euros par infraction constatée, 3000 euros en cas de récidive).
Un fichier doit avoir un objectif précis
Les informations exploitées doivent être cohérentes par rapport à son objectif et les informations ne peuvent pas être réutilisées de manière incompatible avec la finalité pour laquelle elles ont été collectées.
Depuis le 31 mars 2010, un formulaire spécifique est proposé sur le site de la CNIL pour chacune des procédures prévues par la loi "informatique et libertés". La démarche est entièrement dématérialisée et offre la possibilité d'adresser des pièces jointes.
Six formulaires en ligne sont désormais disponibles :
déclaration simplifiée, déclaration normale, demande d'autorisation, demande d'avis, demande d'autorisation "recherche médicale", demande d'autorisation "évaluation des pratiques de soin".
La démarche permet d’obtenir l’obtention d’un avis ou d’une autorisation plus rapidement : 48 heures pour une déclaration simplifiée, 4 semaines pour une déclaration normale et 8 semaines pour l’obtention d’un avis ou d’une autorisation.
Faut-il vraiment déclarer ?
Beaucoup de fichiers ou de traitements contenant des données personnelles sont dispensés de formalités déclaratives auprès de la CNIL, le plus souvent parce qu’ils ne portent pas atteinte à la vie privée ou aux libertés. En dehors des cas d’exonération prévus, déclarer un fichier ou un traitement de données personnelles est une obligation légale. La CNIL a mis en place un système d’information très pratique, en quelques clics vous pouvez vérifier si votre fichier doit être déclaré ou non et le modèle de déclaration qu’il vous faut.
Le plus simple peut être de désigner un Correspondant Informatique et Libertés qui contribue à un allégement des formalités et à mettre en œuvre des traitements de données conformes, tant sur le plan de l’organisation que sur celui de la sécurité. Les coûts restent raisonnables car les correspondants sont mutualisés et en matière d’informatique et liberté… mieux vaut prévenir que guérir.
Propos recueillis par Laurent Marinot
Agence Plus que les mots
A PROPOS DE XAVIER LECLERC
Xavier Leclerc est l'un des tous premiers délégués à la protection des données en France. De formation commerciale et marketing (ESC Marseille), il complète son cursus par un DESS Droit et pratique du Commerce Electronique International de l'Université de Nice Sophia-Antipolis. Combinant ainsi expertise en management de données et maîtrise du cadre juridique lié aux données à caractère personnel, il inaugure, au sein d'Experian (leader mondial en systèmes décisionnels) le poste de Délégué à la protection des données pour la France, fonction qu'il occupe de 2001 à 2006.
Délégué général et co-fondateur de l'AFCDP (Association Française des Correspondants à la protection des Données à caractère Personnel).
Depuis 2006, il agit en qualité de Correspondant Informatique & Libertés mutualisé pour l'ensemble d'une profession réglementée et ses instances. Xavier Leclerc intervient fréquemment lors de colloques, conférences et séminaires et dispense des formations diplômantes dans le cadre du Mastère spécialisé Management et protection des données à caractère personnel de l'ISEP.
Il est également à l’initiative d’un outil informatique dédié à la conformité Informatique et Libertés : www.privacil.com
Dans le cadre de ses missions, il est en relation suivie avec la CNIL et avec ses homologues étrangers.
Xavier.leclerc@axil-consultants.fr
www.axil-consultants.fr/accueil/index.html
L’association Française des correspondants à la Protection des Données à Caractère Personnel
www.afcdp.net/
Le site de la CNIL
www.cnil.fr
La Loi pour la Confiance dans l’Economie Numérique
Un cadre juridique pour Internet
www.foruminternet.org/telechargement/documents/doss-lcen-20040615.pdf
A SAVOIR AUSSI…
Dispense pour les fichiers relations presse ou aux fins d’information
Afin de faciliter les démarches des responsables de fichiers, la CNIL a décidé de les dispenser de certaines déclarations. N’ont plus désormais à lui être déclarées les listes d’adresses de contacts et correspondants constituées par des organismes publics ou privés à des fins d’information ou de communication externe. La dispense de déclaration ne s'applique pas à un fichier ayant pour objet l'envoi de sollicitations commerciales ou encore le démarchage politique et électoral. Elle ne s'applique pas non plus si le responsable du traitement envisage de commercialiser sa base de contacts à des fins de prospection.
Transférer son fichier à l’étranger
Lorsque tout ou partie d'un fichier contenant des données sur des personnes est transféré vers un pays étranger, le responsable du transfert doit s'assurer que la législation de l'Etat vers lequel il envoie ses données garantit un niveau protection des données personnelles équivalent au pays d'origine. C'est le cas de tous les pays de l'Union Européenne. Par principe, les transferts en dehors de l’Union européenne sont interdits sauf si le pays ou l’entreprise destinataire assure un niveau de protection adéquat aux données transférées.
Quelques exceptions tout de même :
- Si la personne a consenti au transfert de ses données personnelles ;
- Si le transfert de données participe à la sauvegarde de la vie de cette personne (assurance rapatriement, par exemple) ou à la sauvegarde de l’intérêt public, à l’exercice de la justice, à la consultation d’un registre destiné à l’information du public et ouvert à la consultation de celui-ci, à l’exécution d’un contrat entre le responsable du traitement et la personne intéressée (une agence de voyage par exemple)ou d’un contrat conclu ou à conclure dans l’intérêt de la personne concernée
Des guides téléchargeables pour vous aider à vous y retrouver
Je monte un site Internet
www.cnil.fr/fileadmin/documents/declarer/mode_d-emploi/declarer_internet.pdf
Déclarer à la CNIL
www.cnil.fr/fileadmin/documents/declarer/mode_d-emploi/declarer-CNIL.pdf
Le guide du correspondant Informatique et Liberté
www.cnil.fr/fileadmin/documents/Guides_pratiques/CNIL_Guide_correspondants.pdf
Guide La pub, si je veux !
www.cnil.fr/fileadmin/documents/Guides_pratiques/CNIL_Guide_pub.pdf
Guide Droit d’accès
www.cnil.fr/fileadmin/documents/Guides_pratiques/CNIL_Droit_d_acces.pdf
LES POUVOIRS DE LA CNIL
La CNIL a le pouvoir d’effectuer des contrôles auprès de l’ensemble des responsables de traitement. Ces missions d'investigation sont un moyen d’action indispensable pour vérifier l'application de la loi informatique et libertés sur le terrain, cela permet aussi d'apprécier concrètement les enjeux émergeant en matière de protection des données à caractère personnel.
Les missions de contrôle sont encadrées par les articles 11-2°- f et 44 de la loi du 6 janvier 1978 modifiée le 6 août 2004, et par les articles 61 à 69 du décret du 20 octobre 2005 modifié par le décret du 25 mars 2007. L’article 21 de la loi précise que les ministres, autorités publiques, dirigeants d’entreprises publiques ou privées, responsables de groupements divers et plus généralement les détenteurs ou utilisateurs de traitements ou de fichiers de données à caractère personnel ne peuvent s’opposer à l’action de la commission ou de ses membres et doivent au contraire prendre toutes mesures utiles afin de faciliter sa tâche.
La CNIL, le contrôle, les sanctions :
www.cnil.fr/la-cnil/qui-sommes-nous/pouvoirs/
