Quels sont les impacts de la nouvelle loi « informatique et libertés » sur vos bases de données ? 

15-10-2004 (actualisé le 29-11-2004) • Depuis le 8 août 2004, la loi sur les fichiers informatiques apporte de nouvelles contraintes mais offre d’intéressantes opportunités pour se mettre en règle. Qui, quand, comment… tout savoir sur les différentes typologies de données nécessitant une déclaration.

 Constat > 

Quelles sont les nouvelles dispositions de la loi ?

Elles s’articulent autour de deux grands sujets la simplification des procédures et le renforcement des droits et protection des personnes.

Simplification des procédures

• La déclaration des données remplace l’autorisation préalable de création de fichier. Ainsi, vous pouvez plus rapidement mettre en œuvre une base de données recueillant des données personnelles. Attention aux exceptions si les données sont de types religieuses, philosophiques, raciales, syndicales, politiques… vous devez demander une autorisation avant la mise en œuvre (sauf dans le cas de la santé, pour les analyses et dossiers médicaux ou pour des besoins journalistiques).
  
  
• La CNIL met en place des déclarations simplifiées, tout particulièrement pour les bases de données des sites Web.
  
  
• Bientôt, la CNIL proposera aux organismes qui gèrent de nombreux fichiers de faire appel – au sein de leur organisation ou à l'extérieur – à un Correspondant Informatique et Libertés (CIL) dont l'une des missions sera de tenir une liste des données à caractère personnel.

numéro de TVA Intracommunautaire conversion depuis le SIREN à partir de 119€

Le renforcement des droits de protection

• La loi élargit son domaine d’action. Le terme « données personnelles » remplace celui de « données à caractère nominatif ». Désormais, la loi concerne aussi toutes les informations qui ne donnent pas directement le nom d’une personne mais qui permettent de le deviner. On trouve par exemple la voix, l’image, les adresses IP (numéro de connexion du serveur internet), les empruntes digitales, etc.
  
  
• Les personnes concernées dans un fichier ont un droit renforcé. De nouvelles protections s’ajoutent au droit d’accès, d’opposition et de rectification : les personnes doivent être informées à l'avance des conséquences d’une radiation d’un fichier, du nom du responsable des traitements informatisés et ne doivent rien payer pour une telle procédure.
  
  
• La CNIL renforce son pouvoir désormais, cette commission peut sanctionner les contrevenants. Les amendes varient de 150 000 à 300 000 euros. En outre, la CNIL peut faire intervenir ses agents dans des locaux servant aux traitements informatiques, de 6h à 21h ! Elle peut également punir d’emprisonnement et d’une amende de 15 000 euros toute personne faisant entrave à son action.

Une nouvelle loi qui suscite quelques interrogations et fait parfois grincer des dents

Voici les réserves émises sur cette loi

• Le Conseil Constitutionnel a admis que, dans certains cas, le secret professionnel pouvait être opposable à la CNIL lors de ses vérifications.
  
  
• Il n’y a plus de différence entre les fichiers publics et les fichiers privés. Certaines associations s’élèvent contre ce principe qui facilite la mise en œuvre de fichiers administratifs policiers et leur diffusion auprès d’une large population initiée.
  
  
• Un certain flou juridique entoure les responsabilités et les conditions de mise en place du « correspondant à la protection des données » dans les entreprises. Un décret devrait être publié ultérieurement pour préciser le cadre de sa mission.

 Objectif > 

 Méthode > 

Normalisation des adresses postales 149€

QUOI quelles sont les données concernées par cette déclaration ?

Toutes les données personnelles sont concernées, de façon nominative ou « déductive ». L’article 2 de la loi précise que : « toute information relative à une personne physique identifiée ou qui peut être identifiée, directement ou indirectement, par référence à un numéro d’identification ou à un ou plusieurs éléments qui lui sont propres [...] constitue une donnée à caractère personnel ». Voici des exemples concrets de données personnelles pour lesquels une déclaration est obligatoire

• Nom et prénom
• Numéro de sécurité sociale (NIR)
• Photo d’identité
• Adresse email (courriel)
• Adresse IP (numéro de connexion de votre ordinateur)
• Numéro de compte bancaire (RIB, IBAN)
• Numéro de carte de crédit
• Numéro de téléphone
• Titre précis dans une société identifiée
• Date, heure et lieu de naissance
• Mot de passe associé à une personne

Si l’une de ces données est enregistrée dans votre base de données, vous devez effectuer une déclaration à la CNIL. Si vous avez des adresses emails, vous devez appliquer la loi LCEN.

QUI – qui se charge de la déclaration ?

Le responsable de la base de données ou des fichiers. Si votre société ou association gère un grand nombre de fichiers, vous pourrez bientôt faire appel à un Correspondant Informatique et Libertés (CIL). Ce dernier pourra être un membre de votre organisation ou dans certains cas une personne externe. Son rôle consistera à tenir un registre des données de l’entreprise afin d'éviter de multiples déclarations. « Il devra par ailleurs [tenir le] rôle essentiel dans la diffusion de la culture "informatique et libertés" au sein de l'organisme ». Dans son communiqué du 23 novembre 2004, la CNIL apporte une première contribution aux réflexions en cours sur la définition du correspondant. Cependant, « le statut et les missions du correspondant seront précisées dans un décret d’application » qui devrait être publié prochainement, après concertation.

QUAND – à quelle date doit-on être en règle ?

La loi de 1978 et les modifications du 8 août 2004 sont déjà effectives et applicables immédiatement ! Vous ne devez donc pas attendre pour envoyer vos déclarations si vous ne l’avez pas déjà fait. Si vous avez déjà effectué vos déclarations, vous avez trois ans pour vous mettre en conformité avec la nouvelle loi. Il est possible que des fichiers n’ayant pas obligation d’être déclarés avant août 2004 doivent désormais être notifiés à la CNIL.

COMMENT – quelles méthodes pour déclarer rapidement ?

Les nouvelles procédures mises en place par la CNIL simplifient grandement la déclaration. En particulier, le site internet de la CNIL (www.cnil.fr) permet d’effectuer des télédéclarations. La procédure est rapide, et la CNIL est tenue d’envoyer un récépissé sans délais. A titre d’exemple, la procédure simplifiée pour déclarer un site Web enregistrant des données personnelles comme des adresses e-mails ne prend pas plus de 5 minutes sur le site de la CNIL. Cette dernière envoie par la poste un récépissé dans la semaine.

QUOI – voici les cinq types d’informations que vous devez transmettre à la CNIL lorsque vous remplissez le formulaire en ligne :

1. Finalité du fichier,
2. Types de données personnelles,
3. Catégorie des personnes concernées,
4. Destinataires des données,
5. Durée de conservation.

POURQUOI – la déclaration auprès de la CNIL apporte de nombreux avantages

• Vous vous mettez en règle vis-à-vis de la loi et évitez des contrôles de la CNIL et donc des sanctions coûteuses,
  
  
• Lorsque vous avez de nombreux fichiers dans votre entreprise, la démarche de création d’un registre des données vous permet en même temps de mener un audit de vos contenus et de « faire le ménage » entre les informations pertinentes, redondantes ou obsolètes.
  
  
• En notifiant à vos clients ou à vos contacts votre numéro de déclaration CNIL, vous les rassurez sur le sérieux de votre entreprise ou organisation.

En savoir plus: Loi n° 2004-801 du 6 août 2004 relative à la protection des personnes physiques à l'égard des traitements de données à caractère personnel et modifiant la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés.

Flash Datalgo : Un décret impose de nouvelles obligations contraignantes pour les fichiers 15-05-2007
Le décret du 25 mars 2007 qui précise certaines dispositions de la loi « informatique et libertés » impose de nouvelles contraintes pour les responsables des traitements informatiques de données à caractère personnel.

Les associations sont désormais dispensées de déclaration à la CNIL 15-06-2006
La déclaration d'un fichier de membres ou donateurs d'une association ne fait plus partie des formalités à mettre en œuvre auprès de la Commission Nationale Informatique et Libertés.

La CNIL recommande de nommer un correspondant informatique et libertés 15-12-2005
Annoncée depuis plusieurs mois, la publication du décret d’application de la nouvelle loi Informatique et Libertés recommande la nomination d’un correspondant informatique et libertés. Quels sont les impacts pour votre société ou votre organisation ? Faut-il nommer un correspondant ? Quelle est sa mission et quelles sont ses compétences ?

La CNIL simplifie la déclaration des fichiers de clients et de prospects mais complique la gestion des contacts 15-07-2005
Afin de simplifier les démarches des entreprises, la CNIL a adopté le 7 juin 2005 une nouvelle norme relative à la gestion des fichiers de clients et de prospects. Mais cette norme implique quelques transformations sur les bases de données pour respecter les spécificités de conservation des données nominatives.

Courrier électronique, le virage à 180° de la CNIL 15-03-2005
Après avoir interdit l’envoi d’emails sans consentement préalable des personnes prospectées, la CNIL redessine la Loi de Confiance en l’Économie Numérique (LCEN) et autorise sous certaines conditions l’opt-out.

 Solutions 
 Datalgo > 

• Abonnez-vous pour recevoir régulièrement les flashs conseils Datalgo.

• Consultez les anciens flashs Datalgo.

• Insérez les flashs Datalgo sur votre site au format .

Tous droits réservés
Le contenu de cette lettre d'information
ne saurait engager la responsabilité de Datalgo.