La Loi et la CNIL

La Loi

La loi n°78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés a été modifiée par la loi du 6 août 2004.

Cette loi a été instauré suite aux  directives :

  • Directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données ;
  • Directive 2002/58/CE du Parlement européen et du Conseil du 12 juillet 2002 concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques.

Nouvelle terminologie depuis 2004 : « données nominatives de personnes physiques » devient « données à caractère personnel »

Le régime applicable à la collecte des données personnelles ne dépend plus de la nature privée ou publique du traitement mais de la finalité des fichiers ainsi que de la nature des données collectées,

La loi de 1978 demeure formellement applicable, mais seul son article 1er a été conservé d’origine. Tout le reste est issu de la loi de 2004.

Loi n°78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés

art.1 [extrait]

« L’informatique est au service de chaque citoyen […]. Elle ne doit pas porter atteinte ni à l’identité humaine, ni aux droits de l’homme, ni à la vie privée, ni aux libertés individuelles ou publiques »

Art. 2 modifié par la Loi n°2004-801 du 6 août 2004 [extrait]

"La présente loi s’applique aux traitements automatisés de données à caractère personnel, ainsi qu’aux traitements non automatisés de données à caractère personnel contenues ou appelées à figurer dans des fichiers, à l’exception des traitements mis en œuvre pour l’exercice d’activités exclusivement personnelles, lorsque leur responsable remplit les conditions prévues à l’article 5."

Ce que dit la loi

   La loi « Informatique et Libertés » du 6 janvier 1978 modifiée par la loi 6 août 2004 encadre la mise en œuvre des fichiers ou des traitements de données à caractère personnel  automatisés ou manuels, qu’ils soient publics ou privés.

 Les responsables de ces fichiers ou traitements ont des obligations à respecter, notamment en les déclarant auprès de la CNIL.

A Noter

Ne sont pas soumis à la loi « les traitements mis en œuvre pour l’exercice d’activités exclusivement personnelles » tels que par exemple les agendas électroniques, les répertoires d’adresses, les sites internet familiaux en accès restreint.

Définition

  • Donnée à caractère personnel : 

"constitue une donnée à caractère personnel toute information relative à une personne physique identifiée ou qui peut être identifiée, directement ou indirectement, par référence à un numéro d'identification ou à un ou plusieurs éléments qui lui sont propres. Pour déterminer si une personne est identifiable, il convient de considérer l'ensemble des moyens en vue de permettre son identification dont dispose ou auxquels peut avoir accès le responsable du traitement ou toute autre personne." ( Article 2 alinéa 2 de la loi informatique et liberté) .

 

Exemples de données à caractère personnel :

- le nom,

- le numéro de téléphone,

- l'adresse postale et électronique,

- le numéro de carte de sécurité sociale,

- les empruntes génétiques,

- la photographie d'une personne ... .

 

  • Traitement de données à caractère personnel : 

  "constitue un traitement à caractère personnel toute opération ou tout ensemble d'opérations portant sur de telles données, que que soit le procédé utilisé, et notamment la collecte, l'enregistrement, l'organisation, la conservation, l'adaptation ou la modification, l'extraction, la consultation, l'utilisation, la communication par transmission, diffusion ou toute autre forme de mise à disposition, le rapprochement ou l'interconnexion, ainsi que le verrouillage, l'effacement ou la destruction." ( Article 2 alinéa 3 de la loi informatique et liberté). 

Ex: Traitement de la gestion scolaire

 

  • Fichier 

 Un fichier est un ensemble structuré et stable de données à caractère personnel accessibles. 

 

Ex : fichier du personnel 

 

  • Responsable du traitement 

 L'autorité, l'organisme, le service au niveau national qui détermine les finalités du traitement et les moyens nécessaires à sa mise en oeuvre.  

 

 

 

Rôle de la CNIL

Un collège de 17 membres, des parlementaires et magistrats.

Un effectif en augmentation progressive : 40, 80, 120 et actuellement 160 salariés.

En 2012 la CNIL a reçu 6017 plaintes soit une augmentation de 4.9% par rapport à 2011. 

Les missions de la CNIL

 

Informer sur et autour de la protection des données personnelles

Garantir le droit d’accès un des droits fondamentaux de la loi

Recenser les fichiers soumis à un régime de déclaration, autorisation

Contrôler le respect de la Loi Informatique et Libertés

Et Sanctionner toute infraction constatée

Le montant des sanctions pécuniaires peut atteindre 300 000 euros. Ces sanctions pécuniaires peuvent être rendues publiques.

Réglementer par des avis et des acceptations/refus d’autorisation de traitements

Au titre de son expertise, la CNIL propose au gouvernement les mesures législatives ou réglementaires de nature à adapter la protection des libertés et de la vie privée à l'évolution des techniques. Le gouvernement consulte la CNIL avant de transmettre au Parlement un projet de loi relatif à la protection des données.  

La CNIL recense les fichiers, simplifie les procédures, autorise ou donne son avis sur des traitements de données sensibles.

La CNIL tient à la disposition du public la liste des traitements qui lui ont été déclarés (article 31 de la loi de 1978) et leurs principales caractéristiques.

Pour les traitements ou fichiers de données personnelles les plus courants et les moins dangereux, la CNIL élabore des textes-cadres auxquels les responsables de données personnelles doivent se référer pour accomplir des formalités déclaratives allégées ou en être exonérés. 

La CNIL a désormais la possibilité de délivrer des labels, à des produits ou à des procédures ayant trait à la protection des personnes à l'égard du traitement des données à caractère personnel.

Les contrôles peuvent également être décidés en réponse à des besoins ponctuels, dans le cadre de l'instruction de plaintes, ou de demandes de conseil.

Pour contrôler les applications informatiques, la CNIL peut :

  • accéder à tous les locaux professionnels,
  • demander communication de tout document nécessaire et d’en prendre copie,
  • recueillir tout renseignement utile,
  • accéder aux programmes informatiques et aux données.    

Dans le cadre de ces contrôles, la CNIL surveille la sécurité des systèmes d'information en s'assurant que toutes les précautions sont prises pour empêcher que les données ne soient déformées ou communiquées à des personnes non-autorisées.

 

Anticiper

 

La CNIL dispose depuis 2011 d’une Direction des Études, de l’Innovation et de la Prospective qui incarne cette orientation stratégique. Elle éclaire la CNIL dans ses décisions et ses modes d’intervention futurs et lui permet ainsi d’être au cœur des débats de société.

 

La CNIL dispose d'un pouvoir de contrôle physique : lorsqu'elle suspecte de graves manquements, elle est habilitée à contrôler les locaux d'entreprise. Jusqu'à présent, elle pouvait le faire directement, sans saisir un juge et sans prévenir au préalable les responsables de l'entreprise, qui avaient toutefois le droit de s'opposer à la visite des agents de la Commission. Dans ce cas, c'est le tribunal qui tranchait pour savoir si le contrôle était justifié.

La Commission nationale informatique et libertés (CNIL), l'organisme chargé de vérifier qu'entreprises et administrations respectent le droit à la vie privée des citoyens, vient de voir ses pouvoirs de contrôle limités par décision du Conseil d'Etat.

Le Conseil d’Etat estime que les contrôles doivent être "préalablement autorisés par un juge", à moins que le responsable de l'entreprise ait été "préalablement informée de son droit de s'opposer" au contrôle.

 

Les nouvelles compétences de la CNIL 

 

 

La loi du 17 mars 2014 relative à la consommation élargie les compétences de la CNIL

La loi du 6 août 2004, a attribué à la CNIL différentes compétence en matière de contrôle du respect de la loi informatique et libertés de 1978.

Les agents de la CNIL peuvent donc procéder à des contrôles sur pièces ou d’audition, mais également sur place dans les locaux professionnels afin de vérifier la conformité du matériel servant à la collecte des données à caractère professionnel.  

En 2013, la CNIL a ainsi effectué 414 missions de vérifications.

En effet, elle est à présent habilitée à vérifier les « données librement accessibles ou rendues accessibles » en ligne.

La CNIL peut donc directement enquêter et les contrôler les manquements à la loi Informatique et libertés sur les sites internet des entreprises et administration. 

Elle pourra ainsi émettre des sanctions aux sites internet ne respectant pas la loi sur les formulaires en ligne ou les modalités de recueil de données à caractère personnel.

Article 44 « En dehors des contrôles sur place et sur convocation, ils peuvent procéder à toute constatation utile ; ils peuvent notamment, à partir d'un service de communication au public en ligne, consulter les données librement accessibles ou rendues accessibles, y compris par imprudence, par négligence ou par le fait d'un tiers, le cas échéant en accédant et en se maintenant dans des systèmes de traitement automatisé de données le temps nécessaire aux constatations ; ils peuvent retranscrire les données par tout traitement approprié dans des documents directement utilisables pour les besoins du contrôle.

Il est dressé procès-verbal des vérifications et visites menées en application du présent article. Ce procès-verbal est dressé contradictoirement lorsque les vérifications et visites sont effectuées sur place ou sur convocation. »