Les apports de la nouvelle loi " Informatique et Libertés "
La loi du 6 août 2004 qui transpose la directive européenne du 24 octobre 1995 relative à l'informatique, aux fichiers et aux libertés modifie sensiblement le dispositif légal applicable au traitement des données dites sensibles. La nouvelle loi prend en compte les risques liés à l'utilisation des nouvelles technologies dans le cadre du traitement, de l'échange et de la circulation des données.Dans ces conditions, la loi s'applique à l'ensemble des traitements de données à caractère personnel, c'est-à-dire à toute opération, quel que soit le procédé utilisé (la collecte, l'enregistrement, l'organisation, la conservation, l'utilisation, etc.) portant sur toute information relative à une personne physique identifiée ou pouvant être identifiée par référence à un numéro d'identification ou à un ou plusieurs éléments qui lui sont propres.
Trois points majeurs se dégagent de la loi du 6 août 2004 : la modification du régime de déclaration (1), la création d'un correspondant à la protection des données (2), les nouveaux pouvoirs attribués à la CNIL (3).
1. La modification du régime de déclaration
La loi du 6 août 2004 vise à harmoniser les régimes mis en place antérieurement fondés sur une distinction entre les traitements mis en œuvre par le secteur public et ceux mis en œuvre par le secteur privé.
En effet, antérieurement, les traitements mis en œuvre par le secteur public devaient systématiquement faire l'objet d'un avis préalable de la CNIL alors que les traitements mis en œuvre par le secteur privé ne devaient faire l'objet que d'une déclaration auprès de la CNIL.
Désormais, le principe est celui d'une déclaration préalable du traitement auprès de la CNIL que le traitement soit mis en œuvre par le secteur privé ou par le secteur public.
Par exception, la loi prévoit des cas dans lesquels, le traitement devra faire l'objet d'une déclaration simplifiée. Il en est ainsi pour les catégories les plus courantes de traitements de données à caractère personnel dont la mise en œuvre n'est pas susceptible de porter atteinte à la vie privée et aux libertés. Une liste des traitements pouvant bénéficier d'une déclaration simplifiée sera établie au fur et à mesure par la CNIL.
Dans d'autres cas, la loi prévoit une procédure d'autorisation du traitement par la CNIL (traitements portant sur des données parmi lesquelles figure le numéro d'inscription des personnes au répertoire national d'identification des personnes physiques, etc.), par arrêté du ministre compétent sur avis de la CNIL, par décret en Conseil d'Etat (traitements de données à caractère personnel mis en œuvre pour le compte de l'État portant sur des données biométriques nécessaires à l'authentification et au contrôle de l'identité des personnes, etc.).
2. Le rôle du correspondant à la protection des données
Chaque organisme (secteur privé ou public) peut désigner une personne en tant que correspondant à la protection des données afin de bénéficier d'une exemption de formalités de déclaration.
Désigné par le responsable du traitement, le correspondant est chargé d'assurer au sein de l'organisme, d'une manière indépendante, le respect des obligations prévues dans la loi informatique et libertés modifiée.
A ce titre, il peut être choisi parmi les membres de l'organisme qu'il soit public ou privé (salarié ou fonctionnaire) ou parmi des tiers. En tout état de cause, il doit pouvoir assurer sa mission en toute indépendance.
Ainsi, le correspondant ne peut faire l'objet d'aucune sanction de l'employeur du fait de l'accomplissement de ses missions.
En cas de difficultés dans l'accomplissement de ses missions, il a la possibilité de saisir la CNIL par tout moyen.
Concrètement, lors de sa prise de fonction, le correspondant est chargé d'établir un inventaire de la situation dans l'entreprise (audit de la situation, mise en place de procédures de régulation, définition des points de contrôle et organisation de la communication avec les autres services). Ensuite, tout au long de sa mission, il doit tenir et mettre à jour une liste exhaustive des traitements de données à caractère personnel existants au sein de l'entreprise.
La fonction de correspondant à la protection des données existe dans différents pays membres de la communauté européenne tels que l'Allemagne, les Pays Bas ou encore la Suède dans lesquels il bénéficie d'un rôle plus ou moins étendu selon le cas.
3. Les nouvelles prérogatives de la CNIL
La CNIL se voit désormais dotée de pouvoirs renforcés.
Ainsi, la CNIL dispose d'un pouvoir de perquisition qui lui permet d'accéder aux locaux ou installations de l'organisme, servant à la mise en œuvre d'un traitement de données de 6 à 21 heures.
Dans ce cadre, les agents de la CNIL pourront demander communication de tous les documents nécessaires à l'accomplissement de leur mission, quel que soit le support, en prendre copie, recueillir, sur place ou sur convocation, tout renseignement ou justification utile et enfin, accéder aux programmes informatiques, aux données et en demander la transcription par tout traitement approprié.
En complément, la CNIL peut infliger des sanctions allant du simple avertissement au paiement d'une amende proportionnée à la gravité du manquement commis et aux avantages tirés de ce manquement d'un montant de 150.000 € ou 300.000 € en cas de récidive dans les cinq ans.
En conclusion : Près de neuf ans après l'adoption de la directive sur la protection des données à caractère personnel, la France a enfin modifié le régime juridique applicable au traitement des données à caractère personnel. Il appartient désormais aux entreprises de prendre en compte les nouvelles obligations qui s'imposent à elles.
- Fiche point de vue : novembre 2004 -
© Mascré Heguy Associés - novembre 2004
