Pour aller plus loin : les différents types de déclarations

Un des piliers de la loi

La déclaration est une obligation légale dont le non-respect est pénalement sanctionné. 

 

En effet, l'article 226-16 du Code pénal prévoit une peine de 5 ans d'emprisonnement et 300 000 euros d'amende en cas de traitement de données à caractère personnel sans ayant respecté les formalités préalables. 

Tout fichier ou traitement informatisé comportant des données personnelles doit être déclaré à la CNIL
Préalablement à sa mise en œuvre
 

Sauf s’il est expressément exonéré de déclaration

La Déclaration Normale

Le régime de droit commun est la déclaration normale

Le traitement peut être mis en œuvre dès réception du récépissé délivré par la CNIL.

Le récépissé atteste de l’accomplissement des formalités de déclaration mais n’exonère pas le responsable du traitement des autres obligations prévues par la loi (respect de la finalité du fichier, sécurité et confidentialité, respect des droits des personnes).

La déclaration comporte les éléments énumérés au I de l’article 30 de la loi, qu'il faudra renseigner :

  • Identité et adresse du responsable du traitement
  • Finalité du traitement
  • Interconnexion ou mise en relation avec d’autres traitements (le cas échéant)
  • Données à caractère personnel traitées
  • Catégories de personnes concernées par le traitement
  • Durée de conservation des informations traitées
  • Service(s) chargé(s) de la mise en œuvre du traitement
  • Destinataires des données
  • Personne ou service auprès duquel s’exerce le droit d’accès
  • Mesures prises pour l’exercice de ce droit
  • Dispositions prises pour assurer la sécurité des traitements et des données

 

Pour vous aider à remplir votre déclaration consultez notre pas à pas de la déclaration normale.

 

vers le haut

Déclaration Simplifiée

Déclaration de conformité à une norme simplifiée

 

La CNIL établit et publie des normes destinées à simplifier l’obligation de déclaration pour les catégories les plus courantes de traitements de données à caractère personnel, dont la mise en œuvre n’est pas susceptible de porter atteinte à la vie privée ou aux libertés.

Ces normes décrivent principalement : 

1 – La finalité du traitement

2 – Les données à caractère personnel ou catégories de données à caractère personnel traitées

3 – La ou les catégories de personnes concernées

4 – Les destinataires ou catégories de destinataires auxquels les données sont communiquées

5 – La durée de conservation des données

Pour chaque traitement répondant à l’une de ces normes, une déclaration simplifiée de conformité à ces normes est déposée auprès de la CNIL.

Les normes simplifiées : 55 normes

De nombreuses normes simplifiées ont vocation à régir les divers traitements automatisés mis en place par les administrations, pour leurs activités les plus courantes.

Normes utilisées par l'Education nationale

Norme simplifiée n° 33 - Délibération n° 91-038 du 28 mai 1991 relative aux traitements automatisés d'informations nominatives mis en œuvre par les communes, concernant la gestion des élèves inscrits dans les écoles maternelles et élémentaires

  • Gestion des contrôles d'accès aux locaux, des horaires et de la restauration

Norme simplifiée n° 42 - Délibération n° 02-001 du 8 janvier 2002 concernant les traitements automatisés d'informations nominatives mis en oeuvre sur les lieux de travail pour la gestion des contrôles d'accès aux locaux, des horaires et de la restauration.

A noter :
Cette norme ne concerne pas les traitements recourant à un procédé de reconnaissance biométrique, qui sont soumis à autorisation
  • Gestion des personnels des établissements d'enseignement privés (lié ou non à l'Etat par contrat)

Norme simplifiée n° 46 - Délibération n° 2005-002 du 13 janvier 2005 portant adoption d'une norme destinée à simplifier l'obligation de déclaration les traitements mis en oeuvre par les organismes publics et privés pour la gestion de leurs personnels.

  • ENT : Engagement de conformité à l'arrêté "ENT" RU-003

Acte Réglementaire Unique RU-003 : Délibération n°2006-104 du 27 avril 2006 portant avis sur le projet d'arrêté présenté par le ministère de l'éducation nationale, de l'enseignement supérieur et de la recherche, et créant un traitement de données à caractère personnel relatif aux espaces numériques de travail «ENT»

 La norme précise les catégories d’informations traitées, leur durée de conservation et les destinataires des informations.

De façon générale, dans le cadre des déclarations simplifiées, le chef d’établissement, responsable du traitement, peut en assurer sa mise en œuvre dès réception du récépissé de déclaration que lui aura délivré la CNIL.

 

Pour vous aider à remplir votre déclaration consultez notre pas à pas de la déclaration simplifiée (exemple d'une déclaration ENT). 

La Demande d'Avis

Art. 27 - la demande d’Avis, certains traitements mis en oeuvre par des organismes publics ou des organismes privés gérant un service public doivent recueillir l'Avis de la CNIL

Les traitements concernés :

  • Les traitements comportant le numéro de sécurité sociale (NIR)
  • Les traitements nécessitant une interrogation du répertoire national d’identification des personnes physiques (RNIPP)
  • Les téléservices de l’administration électronique comportant un identifiant.
La demande d’avis doit être accompagnée d’un projet d’arrêté ou de décision de l’organe délibérant, destiné à autoriser le traitement une fois l’avis de la CNIL rendu.

 

 

Pour vous aider à remplir votre déclaration consultez notre pas à pas de la demande d'avis

vers le haut

La Demande d'Autorisation

Art. 25 la demande d’Autorisation concerne 3 grandes catégories de traitement :

  • en raison des données enregistrées
  • parce qu'ils poursuivent des finalités spécifiques
  • parce qu'ils comportent des transferts de donnée hors de l'Union Européenne

Données enregistrées

  • Les données dites sensibles, elles sont celles qui font apparaitre, directement ou indirectement, les origines raciales ou ethniques, les opinions politiques, philosophiques ou religieuses ou l'appartenance syndicale des personnes, ou qui sont relatives à la santé ou la vie sexuelle des personnes
  • Les données génétiques (ADN)
  • Les traitements utilisant des données biométriques
  • Les traitements portant sur des données relatives aux infractions, ou condamnations ou mesures de sûreté
  • Les traitements portant sur les données parmi lesquelles figure le numéro d’inscription des personnes au répertoire national d’identification
  • Les traitements de données comportant des appréciations sur les difficultés sociales des personnes

Finalités spécifiques

  • Les traitements susceptibles, du fait de leur nature, de leur portée ou de leurs finalités, d’exclure des personnes du bénéfice d’un droit
  • Les traitements qui procèdent à l’interconnexion de fichiers dont les finalités  correspondent à des intérêts publics différents, ou dont les finalités principales sont différentes
  • Les traitements statistiques de l'INSEE
  • Les traitements de recherche médicale
  • Les traitements ayant pour finalité l'évaluation des pratiques de soins

Les transferts de données hors de l'Union Européenne

Si le traitement comporte des transferts vers un organisme basé dans un pays n'appartenant pas à l'union européenne et n'assurant pas un niveau de protection suffisant, ce transfert de données ne peut se faire qu'après autorisation de la CNIL

 

Pour vous aider à remplir votre déclaration consultez notre pas à pas de la demande d'autorisation. 

 

vers le haut