La cnil et le correspondant informatique et liberté

5 299 vues

Publié le

Présentation de la société Pyxis Avocat, lors du Salon du Numérique en Vaucluse 2013.

Publié dans : Business
0 commentaire
0 j’aime
Statistiques
Remarques
  • Soyez le premier à commenter

  • Soyez le premier à aimer ceci

Aucun téléchargement
Vues
Nombre de vues
5 299
Sur SlideShare
0
Issues des intégrations
0
Intégrations
3 269
Actions
Partages
0
Téléchargements
43
Commentaires
0
J’aime
0
Intégrations 0
Aucune incorporation

Aucune remarque pour cette diapositive

La cnil et le correspondant informatique et liberté

  1. 1. Le traitement des données personnelles La CNIL – Le CIL Salon du numérique en Vaucluse 7 mars 2013 Lionel FOUQUET avocat
  2. 2. PlanIntroductionI- La législation A- Les textes protecteurs de la vie privée B- La règlementation spécifique : la loi informatique et libertés du 6aout 2004II- Mise en œuvre A- Obligations de l’exploitant B- La CNIL C- Le correspondant informatique et libertés (CIL)
  3. 3. I- La législationA- Les textes protecteurs de la vie privée- Atteinte à la vie privée : - 226-1, le fait de porter volontairement atteinte, à la vie privéedautrui, « en captant, enregistrant, ou transmettant, sans leconsentement de leur auteur, des paroles prononcées à titre privé ouconfidentiel » ou « en fixant, enregistrant ou transmettant, sans leconsentement de celle-ci, limage dune personne se trouvant dans unlieu privé ». - Article 9 du code civil- Secret professionnel - 226-13 du Code pénal prévoit que « la révélation dune information à caractère secret par une personne qui en est dépositaire soit par état soit par profession, soit en raison dune fonction ou dune missiontemporaire, est punie dun an demprisonnement et de 15 000 eurosdamende ».
  4. 4. - Secret médical - C. pén., art. 226-14- Secret des correspondances - 226-15 : « Le fait, commis de mauvaise foi, douvrir, desupprimer, de retarder ou de détourner des correspondances arrivées ou non à destination et adressées à des tiers, ou den prendre frauduleusement connaissance, est puni dun andemprisonnement et de 45 000 euros damende.- Vidéosurveillance et vidéoprotection - Lieux privés : L.6 janvier 1978 - Lieux publics : L. 21 janvier 1995, 23.01.06, 14.03.2011
  5. 5. B- La règlementation spécifique :la loi informatique et libertés du 6 aout 20041- Les apports :- renforcement des droits fondamentaux des personnes dès lors que les données,de quelque nature quelles soient font lobjet dun traitement, automatisé ounon, qui saccompagne dun renforcement des obligations pesant sur lesresponsables de ces traitements.- élargissement important des pouvoirs de la CNIL qui peut contrôlersur pièces ou sur place la mise en œuvre des traitements, prononcer dessanctionsnotamment dordre pécuniaire, interrompre et faire cesser un traitement.- rationalisation des formalités préalables exigées pour la création duntraitement de données à caractère personnel- création du correspondant à la protection des données. : le CIL
  6. 6. 2- Champs d’application : données, informations, traitements soumis à la loi- Définition des donnéesart 2 = « toute information relative à une personne physique identifiée ou qui peutêtre identifiée, directement ou indirectement, par référence à un numérodidentification ou à un ou plusieurs éléments qui lui sont propres » : - Nom, prénom, âge, sexe, date et lieu de naissance… - Le nom seul n’est pas une donnée perso : « pour quil en soit ainsi, il aurait fallu que soit démontré le fait quune identification reste possible par le recoupement des fichiers noms et prénom » (TGI Paris, réf., 22 sept. 2008, M.Kalid O. c/Sté Notrefamille.com, RLDI 2008/42, n o 1388). - Email, photo, vidéo, voix - Régime mat, comportements de consommation, loisirs, diplômes - Origines ethniques, raciales, santé, opinions politiques, religion… - La jurisprudence n’est pas fixée concernant les adresses IP
  7. 7. - Les données sensibles Les nouvelles dispositions de larticle 8 de la loi Informatique et libertés incluent également dans la notion de données à caractère personnel desinformations plus spécifiques, comme celles faisant apparaître directement ou indirectement : - les origines raciales ; - les opinions politiques, philosophiques ou religieuses ; - les appartenances syndicales des personnes ; ou - la santé ou la vie sexuelle (L. n o 78-17, 6 janv. 1978, modifiée, art. 8). Ces données sont alors dites « sensibles », du fait de leur caractère éminemment intime. Pour cette même raison, il a été prévu que leur traitement est en principe interdit, sauf « dans la mesure où la finalité du traitement lexige ».
  8. 8. - Le traitement de données« toute opération ou tout ensemble dopérations portant sur de telles données, quel que soit le procédé utilisé » : extraction, modification, conservation, transfert, échange de données
  9. 9. II- Mise ne œuvreA- Obligations de l’exploitantObligation de mettre en œuvre un traitement de manière loyale et licite- Article 6, 1° = principe de transparence- Obligation dinformer les personnes dont les données sont traitées sur : - la finalité du traitement des données ; - les personnes physiques ou morales destinataires des données ; - lexistence du droit daccès et de rectification dont les personnes concernées par letraitement disposent.- Exceptions : - le respect dune obligation légale incombant au responsable du traitement, à linstar des traitements relatifs à létablissement des fiches de paie mis en œuvre par les employeurs ; - la sauvegarde de la vie de la personne concernée ; - lexécution dune mission de service public dont est investi le responsable ou ledestinataire du traitement
  10. 10. Obligation de déterminer des finalités explicites et légitimesChaque traitement est créé initialement pour une certaine finalité, quiconditionne : - les données traitées, qui doivent être pertinentes par rapport à lafinalité choisie ; - la qualité des destinataires, qui doit être adaptée à cette finalité ; - la durée de conservation des informationsObligation du caractère proportionné du traitement mis en œuvre (article 6, 3°)Obligation de restreindre le type de données à collecter aux catégoriesnécessaires à la mise en œuvre du traitement et déviter la collecte de donnéessans rapport avec les finalités du traitement.
  11. 11. Obligation de traiter des données exactes et complètes (L. art. 6, 4°) - Pb = durée de conservation et … droit à l’oubli- Principe : ne doivent pas être conservées pour une durée supérieure à cellenécessaire aux finalités du traitement, à moins que leur conservation ne soit autorisée par la CNIL - Le fait de conserver des données personnelles au-delà de la durée prévueest puni de 5 ans demprisonnement et de 300 000 euros damende (C. pén., art. 226-20), voire 1 500 000 euros si le contrevenant est une personne morale (C. pén., art. 226-24) - Comment faire : se référer aux délibérations de la CNIL, aux pratiques du secteur concerné… Ex : fichiers clients : 10 ans
  12. 12. B- La CNIL- Les traitements doivent faire lobjet des formalités prévues par la loiInformatique et libertés préalablement à leur mise en œuvre. Le demandeurpourra mettre en œuvre le traitement dès quil aura reçu le récépissé de la partde la Commission.- Sanction : 150.000 € d’amende + éventuellement sanctions pénales (226-16 CP).
  13. 13. Plusieurs régimes différents- Dispense de déclaration : traitement non automatisés (manuscrits..., sauf exceptions : traitement des infractions …) ; traitement à long terme d’archives, traitement mis à œuvre par une asso, à caractère religieux, politique ou syndical, sites internet perso- Déclaration simplifiée : données perso ne comportant pas d’atteintes à la vie privée : fichiers clients, gestion des membres d’un asso, gestion de biens immo - Déclaration normale : traitement automatisés de données à caractère perso- Demande d’autorisation : situations considérées comme attentatoires à la vie privée et aux libertés fondamentales (origines raciales, ethniques, religieuses, données relatives à la santé, données génétiques- Demande d’avis : sûreté, la défense ou la sécurité publique, données biométriques… - Cas spécifiques : professionnels de santé…
  14. 14. C- Le CIL - décret n°2005-1309 du 20 octobre 2005 (art. 42 à 56).1- Rôle du CIL- dispense des obligations déclaratives auprès de la CNIL : déclarations normalesou simplifiées prévues aux articles 23 et 24 de la loi- Mais sa présence ne dispense pas l’organisation des procédures de demandesd’autorisation (art. 22-III)- Il tient registre et met à jour la liste des traitements effectués dans l’entrepriseet la met à disposition de toute personne (décret, art. 47 & 48)- Il est également chargé de veiller à l’application de la loi par voie de conseil,médiation en interne et alerte, au besoin auprès de la CNIL (décret, art. 49, al.1erà 5, art. 51).
  15. 15. 2- Désignation du CIL - Nommé par le responsable du traitement de fichier (gérant) - Désignation est portée tout d’abord à la connaissance des instancesreprésentatives du personnel, notifiée à la CNIL (télé-déclaration sur le site de la CNIL). La désignation du CIL prend effet un mois après la date de la notification à la CNIL (décret, art. 43). - Le CIL doit bénéficier « des qualifications requises pour exercer ses missions ». Compétences juridiques et informatiques. Rien d’autre n’est spécifié dans la loi ni dans le décret. - Possibilité de recourir à un CIL externe pour les entreprises de -50 salariés. CIL interne si + 50 salariés - Le responsable des traitements ou son représentant légal ne peut être CIL
  16. 16. 3- Statut protecteur du CIL - Statut proche du représentant du personnel : « ne peut faire l’objetd’aucune sanction de la part de l’employeur du fait de l’accomplissement de ses missions ». De même, « Il peut saisir la Commission nationale del’informatique et des libertés des difficultés qu’il rencontre dans l’exercice de ses missions ». - Le CIL exerce sa mission directement auprès (et non sous les ordres) du responsable des traitements (décret, art. 46, al.1er). Il ne reçoit « aucuneinstruction pour lexercice de sa mission » (idem, al.2), ce qui renforce encore son indépendance.- Ne peut exercer d’autres fonctions qui entreraient en conflit d’intérêts avec sa mission (directeur informatique…)
  17. 17. 4- Missions du CIL - Dresse un inventaire de tous les traitements de données à caractère personnel existants : liste actualisée « en cas de modification substantielledes traitements en cause » et tenue à la disposition de toutes personne qui en fait la demande. - Rend compte de son action au responsable des traitements par un bilan annuel tenu à disposition de la CNIL 5- Manquementsla CNIL peut demander au responsable des traitements de le relever de ses fonctions, ou le responsable du traitement avec accord de la CNIL
  18. 18. Lionel FOUQUET contact@pyxis-avocats.fr 27, Bd Denis Soulier 84000 AVIGNON 04.84.51.00.00

×