|
|
|
|
|
Un décret impose de nouvelles obligations contraignantes pour
les fichiers
15-05-2007 • Le décret du 25 mars 2007 qui précise certaines
dispositions de la loi « informatique et libertés » impose de
nouvelles contraintes pour les responsables des traitements
informatiques de données à caractère personnel.
|
Constat >
|
|
 |
Normalisation
des adresses
postales |
|
149€ |
|
 |
|
|
Le décret signé par le Premier ministre fin mars est passé
relativement inaperçu. Pourtant, ce décret modifie et complète le
décret du 6 janvier 1978 relatif à l’informatique, aux fichiers et
aux libertés, modifié à plusieurs reprises, en août 2004 et en
octobre 2005.
Ce texte apporte des précisions pratiques pour toute personne qui
souhaite faire jouer son droit d’opposition dans un fichier
informatique. En conséquence, les organisations possédant des
fichiers de personnes sont tenues d’appliquer ces règles, même si la
base de données ne contient que les noms et adresses des contacts.
Le décret du 25 mars concerne principalement deux sujets :
- les procédures et l’organisation interne de la CNIL,
- les obligations incombant aux responsables de traitements de
données personnelles.
Nous ne nous étendrons pas sur les procédures internes à la
CNIL, par contre, il convient de s’intéresser aux nouvelles
dispositions modifiant le traitement des données dans les
entreprises.
Répondre aux demandes de rectification
Lorsqu’une personne demande à une entreprise de modifier ou
supprimer les données qui la concernent, le responsable des
traitements doit répondre à l’intéressé dans un délai de deux
mois. La réponse peut être faite par courrier ou par
voie électronique.
Néanmoins, il peut arriver que la demande ne soit pas formulée de
façon suffisamment précise. Dans ce cas, ce décret ajoute : « si la
demande est imprécise ou ne comporte pas tous les éléments
permettant au responsable du traitement de procéder aux opérations
qui lui sont demandées, celui-ci invite le demandeur à les lui
fournir avant l’expiration du délai » de deux mois.
Si le demandeur se présente physiquement devant l’entreprise pour
faire exercer son droit, et si « la demande ne peut être satisfaite
immédiatement, il est délivré à son auteur un avis de réception,
daté et signé ».
Le décret précise : « le silence gardé pendant plus de deux mois par
le responsable du traitement sur une demande vaut décision de
refus. » La personne qui émet la demande, pourra alors saisir la
CNIL faisant valoir que l’entreprise responsable des traitements
n’a pas appliqué la loi (la CNIL avait demandé un délai d’un mois
mais le texte voté ajoute trente jours supplémentaires ce qui porte
le délai à deux mois).
Transmission de fichiers à des tiers
Ce décret implique d’autres aménagements dans les procédures,
précisées à l’article 99 : « lorsque des données à caractère
personnel ont été transmises à un tiers, le responsable du
traitement qui a procédé à leur rectification en informe sans délai
ce tiers. »
Ce texte implique donc aux tiers de mettre en place la même
procédure. Ainsi, une modification sur le fichier de l’entreprise A
devra être précisée à l’entreprise B qui utilise le même fichier.
L’entreprise B devra faire de même avec l’entreprise C, etc. Selon
une procédure en escalade, chacune de ces entreprises sera donc
tenue d’informer ses tiers et de réaliser la ou les modifications
souhaitées.
Lorsque le transfert concerne d’autres pays que la France, le
responsable des traitements doit informer les personnes concernées
sur :
- le ou les pays d’établissement du destinataire des données
dans les cas où ce ou ces pays sont déterminés lors de la collecte
des données,
- la nature des données transférées,
- la finalité du transfert envisagé,
- la ou les catégories de destinataires des données,
- le niveau de protection offert par le ou les pays tiers.
Des modalités différentes sont appliquées selon que le pays est
membre de l’Union Européenne ou non.
|
Objectif >
|
|
|
Adapter ses processus et sa base de données aux
nouvelles contraintes du décret du 25 mars 2007 modifiant la loi
Informatique et Libertés du 6 janvier 1978. |
|
Méthode >
|
|
|
| Structuration |
Mises à jour
groupées
de données |
Mettez de l'ordre
dans vos données |
|
à partir de |
|
79€ |
|
|
|
|
Mettre en place un processus de contrôle et
d’application d’une demande de rectification.
La loi impose au responsable de notifier au demandeur
la prise en compte de sa demande de rectification dans un délai de
deux mois. Pour cela, il convient d’enregistrer la date de demande
de rectification dans le système, puis la date de réponse par
l’entreprise. Le cas échéant, on pourra proposer un système
automatique d’envoi, par email ou courrier.
De cette manière, on s’assurera du respect des délais
de mise en application en comparant trois dates :
-
La date de mise à jour de la donnée liée à la
personne (si cette date n’a pas bougé, la modification demandée n’a
probablement pas été entreprise),
-
La date de réception de la demande de
modification (date d’arrivée du courrier),
-
La date de confirmation (date à laquelle un
courrier de confirmation a été envoyé au demandeur).
Un système d’alerte automatique ou un tableau de bord
pourra être mis en place pour prévenir le responsable des données
qu’il n’a plus que – par exemple – 10 jours pour répondre à la
demande d’une personne.
Assurer une traçabilité et des alertes permettant à
des tiers d’appliquer les modifications demandées.
Le décret de mars ajoute que si vous avez transféré,
tout ou partie de votre fichier d’entreprise à des tiers et qu’une
personne souhaite réaliser une modification, vous devez signaler aux
tiers la dite modification. Pour appliquer ce texte, il sera
recommandé de mettre en place des procédures permettant d’alerter
les tiers.
Autre exemple, si M. Dupond vous indique sa nouvelle adresse, vous
devez signaler ses nouvelles coordonnées au(x) tiers à qui vous
avez remis ce fichier. Cette contrainte nécessite la mise en place
d’un processus en trois étapes :
-
Assurer une traçabilité précise des données
transmises à des tiers (une procédure devra être mise en place),
-
Réaliser les traitements sur les fichiers,
permettant de mettre en œuvre la rectification du demandeur (a
priori, cette contrainte n’est pas nouvelle, une procédure devrait
déjà exister),
-
Signaler aux tiers les modifications signalées
par les demandeurs.
Concernant ce dernier point, plusieurs modes
opératoires pourront être envisagés, selon la complexité des modes
de diffusion des fichiers. Le plus simple sera d’envoyer un courrier
au tiers pour notifier la modification. Le plus élaboré consistera à
transmettre par voie électronique un fichier correcteur à
destination du tiers. Dans ce cas, la base de données concernée
générera une alerte automatique sous forme d’une instruction auprès
des tiers à qui la donnée concernée à été transmise.
Par exemple, voici les instructions qui pourront être précisées au
tiers, dans le cas d’une jeune femme née Leduc venant de se marier à
un monsieur Fontaine et inscrite dans un fichier de bibliothèque :
Champ
|
Données
|
| Nom du fichier |
Bibliothèque Dijon |
| Emetteur |
Datalgo |
| Récepteur |
Lasociété Sarl |
| Identifiant |
n° 13432 |
| Ancien nom |
Leduc |
| Ancien prénom |
Julie |
| Ancien statut |
Célibataire |
| Ancien autorisation courrier |
Oui |
| Nouveau nom |
Fontaine |
| Nouveau prénom |
Julie |
| Nouveau statut |
Marié |
| Nouveau autorisation courrier |
Oui |
| Nombre de modifications |
2/4 |
| Date demande |
10/05/07 |
| Date confirmation |
12/05/07 |
| Date transmission |
14/05/07 |
Une automatisation de cette procédure permettra de
réduire les risques d’erreur ou de retard. Dans ce cas, et si les
partenaires utilisent les mêmes procédures, ce fichier correctif
pourra automatiquement appliquer les modifications dans les bases de
données concernées.
Flash Datalgo :
Les associations
sont désormais dispensées de déclaration à la CNIL 15-06-2006
La déclaration d'un fichier de membres ou donateurs d'une association ne fait
plus partie des formalités à mettre en œuvre auprès de la Commission Nationale
Informatique et Libertés.
La
CNIL recommande de nommer un correspondant informatique et libertés 15-12-2005
Annoncée depuis plusieurs mois, la publication du
décret d’application de la nouvelle loi Informatique et Libertés
recommande la nomination d’un correspondant informatique et libertés. Quels
sont les impacts pour votre société ou votre organisation ? Faut-il nommer
un correspondant ? Quelle est sa mission et quelles sont ses compétences ?
La
CNIL simplifie la déclaration des fichiers de clients et de prospects mais
complique la gestion des contacts 15-07-2005
Afin de simplifier les démarches des entreprises, la CNIL a adopté le 7 juin
2005 une nouvelle norme relative à la gestion des fichiers de clients et de
prospects. Mais cette norme implique quelques transformations sur les bases de
données pour respecter les spécificités de conservation des données
nominatives.
Courrier électronique,
le virage à 180° de la CNIL 15-03-2005
Après avoir interdit l’envoi d’emails sans
consentement préalable des personnes prospectées, la CNIL redessine la Loi
de Confiance en l’Économie Numérique (LCEN) et autorise sous certaines
conditions l’opt-out.
Quels sont les impacts
de la nouvelle loi « informatique et libertés » sur vos bases de
données ? 15-10-2004 (actualisé le 29-11-2004)
Depuis le 8 août 2004, la loi sur les fichiers
informatiques apporte de nouvelles contraintes mais offre d’intéressantes
opportunités pour se mettre en règle. Qui, quand, comment… tout savoir sur
les différentes typologies de données nécessitant une déclaration.
|
Solutions
Datalgo >
|
|
Faites réaliser les traitements nécessaires pour vos fichiers
Consultez-nous pour vos demandes plus
précises ou complexes.
|
|
|
|
|
Tous droits réservés
Le contenu de cette lettre d'information
ne saurait engager la responsabilité de Datalgo.
|
|
|
