JURIDIQUE - Loi informatique et liberté (6 janvier 1978)

Transcription

1 FICHE PRATIQUE JURIDIQUE - Loi informatique et liberté (6 janvier 1978) DROIT La loi Droits des personnes liés à la saisie de données personnelles Obligations des sociétés qui constituent des fichiers nominatifs COLLECTE DE DONNEES Conseils en cas d achat ou de location de fichiers Conditions de collecte des données L information aux personnes Les mentions informant les personnes à faire figurer UTILISATION DES DONNEES ET PROTECTIONS LEGALES DROIT La loi Le traitement des données Les flux transfrontaliers de données Les principaux fichiers repoussoirs en «stop publicité» La Commission Nationale de l Informatique et des Libertés en bref La directive européenne du 24 octobre 1995 en bref Sanctions en cas de manquement à la loi Glissements d articles dans la loi du 06 août 2004 La loi n du 6 août 2004 relative à la protection des personnes physiques à l'égard des traitements de données à caractère personnel et modifiant la loi n du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés a été publiée au JO du 07 août Elle est immédiatement applicable, sauf pour ces dispositions nécessitant des précisions par décret. La loi du 6 août 2004 intègre l ensemble des textes modifiant la loi initiale datant du 6 janvier et porte le nombre d articles la concernant de 48 à 72. Il convient de prendre connaissance de ces modification et d être vigilant à toute modification que cela peut induire, tant en terme de modification de déclaration qu en terme de référence aux différents articles de la loi dans les communications qui sont réalisées auprès des différentes populations concernées (A titre d exemple l article 27 de la loi initiale est repris pour l essentiel dans l article 32 mais également à d autres endroits). La loi «Informatique et Liberté» (dont la CNIL veille au respect des dispositions) n interdit pas la vente, la cession et la location de fichiers de clientèle et de prospects à des fins d utilisation commerciale par des sociétés tierces mais en réglemente les règles d application en précisant des droits et obligations. Les éléments indiqués ci-après en constituent une synthèse et n ont pas vocation à constituer une synthèse de l ensemble des dispositions qui ont été prises.

2 Droits des personnes liés à la saisie de données personnelles Les personnes figurant dans des fichiers disposent de droits : - droit à l information préalable : toute personne a le droit de savoir si elle est fichée et dans quel fichier elle est recensée. Ce droit est essentiel car il conditionne les autres droits : caractère obligatoire ou facultatif des réponses, conséquences à leur égard d un défaut de réponse, personnes physiques ou morales destinataires des informations, existence d un droit d accès et de rectification et du lieu où ce droit peut s exercer. (Les questionnaires de collecte doivent mentionner ces droits). - droit d accès : Le droit d'accès donne à toute personne la possibilité de prendre connaissance de données la concernant dans un fichier automatisé ou manuel et, si elle le désire, d'en obtenir communication (et notamment l obtention «de toute information disponible sur l origine des données : article 39). L'exercice de ce droit permet à l'individu de contrôler l'exactitude des données stockées sur son compte et, au besoin, de les faire rectifier ou effacer. Ce droit peut être direct ou indirect (exercé par la CNIL quand ils touchent aux Renseignements Généraux). - droit de rectification : toute personne a le droit de faire mettre à jour les données (erronées, incomplètes, équivoques, périmées) la concernant ou leur effacement (si les données ont été transmises à des tiers, ceuxci doivent aussi les rectifier ou les effacer après notification). - droit d opposition : toute personne peut décider elle-même de l'utilisation de données la concernant et a donc la possibilité de s'opposer à figurer dans certains fichiers (Il est conseillé de toper en informatique la personne en stop promotion général pour éviter que des locations externes fassent réapparaître son nom) ou de refuser la communication des informations qui la concernent à des tiers (la CNIL recommande une case à cocher : «les données vous concernant peuvent être transmises à des tiers à des fins de prospection commerciale. Si vous ne le souhaitez pas, cochez la case ci-contre») dans ce cas, il convient de toper en informatique la personne en stop promotion externe (voir ci-après les fichiers repoussoirs en «stop publicité»). - droit à l oubli : La loi reconnaît à l'individu un droit à l'oubli en limitant dans le temps la conservation des données nominatives stockées dans la mémoire des ordinateurs afin d'éviter d'attacher aux personnes des étiquettes définitives. Obligations des sociétés qui constituent des fichiers nominatifs Une organisation constituant des fichiers a différentes obligations : - déclaration des fichiers : tout fichier nominatif comportant des données à caractère personnel doit être déclaré à la CNIL par le propriétaire du fichier et préalablement à sa mise en œuvre. Il existe deux types de déclarations : simplifiée (40 normes différentes pour des finalités précises et limitées), ou ordinaire (quand des cas non prévues rendent ces déclarations nécessaires et qui imposent la rédaction d annexes (article 24). A noter que les fichiers de personnes morales renseignés avec des noms de personnes physiques doivent faire l objet d une déclaration à la CNIL. Des déclarations modificatives doivent être effectuées en cas de changement dans la déclaration initiale, notamment dans la nature des traitements prévus (Ex : constitution d une base unique suite à une fusion de sociétés, location du fichier à des tiers non prévue initialement ). - collecte d informations : celle-ci doit s effectuer de façon loyale et licite (cf. condition de collecte des données). - conservation des informations : les données nominatives ne doivent pas être conservées au-delà de la durée nécessaire aux finalités du traitement pour lequel elles ont été enregistrées. - sécurité des traitements : Toute personne en charge d'un traitement automatisé nominatif doit prendre toutes les précautions utiles afin de préserver l'intégrité des données et d'empêcher toute communication à des tiers non autorisés. - la communication d informations : Seuls sont destinataires des informations contenues dans un traitement automatisé les catégories de personnes désignées lors des formalités préalables auprès de la CNIL. Un nombre limité de personnes clairement identifiées est donc habilité à recevoir tout ou partie des informations. Pour les traitements les plus courants, les normes simplifiées désignent les destinataires des informations. - la commercialisation d informations : Les transactions commerciales d'informations nominatives doivent respecter la loi "informatique et liberté" dans son intégralité (déclaration, collecte; information préalable des personnes concernées en cas de cession de données; respect du droit d'opposition à la collecte ou à la cession d'informations, prise en compte des demandes de radiation).

3 - la finalité des traitements : constitue un des piliers de la protection des personnes. Un traitement d'informations nominatives est créé pour atteindre un certain objectif. Son contenu doit correspondre à cet objectif et ne pas servir à d'autres fins. Le choix des données que l'on décide d'enregistrer, la durée de leur conservation et les catégories de personnes qui peuvent en avoir communication doivent être déterminés en fonction de la finalité du traitement. - l aide à la décision : La loi du 6 janvier 1978 tend à éviter tout automatisme dans la prise de décision. Aucune décision impliquant une appréciation sur un comportement humain ne peut avoir pour seul fondement un traitement automatisé d'informations donnant une définition du profil ou de la personnalité de l'intéressé. Il n'est pas interdit de recourir à la méthode des profils qui consiste à classer des individus au regard de caractéristiques déterminées après des études statistiques, mais cette méthode ne peut être utilisée que comme une aide à la décision c'est-à-dire constituer un élément d'information parmi d'autres, laissant toute sa liberté d'appréciation au décideur humain. - le respect des droits des personnes : les responsables des fichiers doivent permettre aux personnes figurant dans des traitements d'exercer pleinement leurs droits (cf. droits des personnes) COLLECTE DES DONNEES Conseils en cas d achat ou de location de fichiers Une organisation qui désire louer ou acheter un fichier doit veiller : - à examiner avec vigilance l origine des fichiers - vérifier que le fichier a bien fait l objet d une déclaration à la CNIL en demandant au cédant la copie du récépissé qui porte le numéro de déclaration. Conditions de collecte des données - les personnes concernées par la collecte de données personnelles doivent être informées en amont de leurs droits - les données doivent être collectées et traitées de manière loyale et licite (consentement de la personne concernée ou absence d opposition). En cas de constitution de fichiers à l insu des personnes (Ex : parrainage), celles-ci doivent être informées de leurs droits dès la première utilisation - les données doivent être collectées pour des finalités déterminées, explicites, légitimes et adéquates, pertinentes et non excessives au regard des finalités de leur collecte et traitement - elles ne doivent pas être traitées ultérieurement de manière incompatible avec ces finalités (il convient donc d être particulièrement vigilant sur la façon dont les «finalités» sont rédigées dans une déclaration de fichiers afin de se donner une souplesse) - les données doivent être exactes et complètes et des mesures doivent être prévues pour leur mise à jour si les données sont inexactes ou incomplètes - elles sont conservées pendant une durée nécessaire aux finalités prévues - il est interdit de collecter ou de traiter des données (données sensibles) qui font apparaître les origines raciales ou ethniques, les opinions politiques, philosophiques ou religieuses, les appartenances syndicales, les informations relatives à la santé ou à la vie sexuelle sans le consentement express des personnes concernées (pour la CNIL, express signifie accord écrit et peut sous-entendre une signature de l intéressé). Attention toutefois car la loi prévoit que certaines informations ne peuvent être communiquées même avec consentement des personnes concernées - il est interdit d utiliser comme source d'information des fichiers constitués à d'autres fins (Ex : annuaires ) - il est interdit de collecter les condamnations pénales et d utiliser les numéros d identification nationale (type NIR, INSEE, Sécurité Sociale) sauf cas très spécifiques et réglementés. L information aux personnes L article 32 de la loi (complété de la section II du même chapitre : articles 38 à 43) impose que la personne auprès de laquelle sont recueillies des données à caractère personnel soit informée pour l essentiel : - de l identité du responsable du traitement (ou de son représentant) - de la finalité poursuivie par le traitement auquel les données sont destinées - du caractère obligatoire ou facultatif des réponses. Ex : «* champs obligatoire»

4 - des conséquences du défaut de réponse. Ex : «à défaut de réponse de votre part, votre commande / demande d information ne pourra pas être traitée par nos services» - des destinataires qui exploitent ces données. Ex : «ces informations sont destinées uniquement au traitement de votre commande» «ces informations sont destinées à notre société, à ses filiales et à ses partenaires commerciaux» - le cas échéant, du transfert de données à caractère personnel vers un Etat non membre de la Communauté Européenne - pour les utilisateurs de réseaux de communication électronique, de la finalité de toute action tentant à accéder, par voie électronique, à des informations stockées dans son terminal, ou à y inscrire des informations (non applicable qui vise à faciliter la communication ou si rendu indispensable pour la fourniture d un service demandé expressément par l utilisateur - de son droit d accès et de rectification. Les mentions informant les personnes à faire figurer Différentes mentions sont possibles : - cas où les données ne sont pas louées : «conformément à la loi informatique et liberté du 6 janvier 1978, vous disposez d un droit d accès et de rectification aux données personnelles vous concernant en nous écrivant à. Seule notre société (ou association) est destinataire des informations que vous lui communiquez» - cas où les données peuvent être louées : «conformément à la loi informatique et liberté du 6 janvier 1978, vous disposez d un droit d accès et de rectification aux données personnelles vous concernant en nous écrivant à. Par notre intermédiaire, vous pouvez être amené à recevoir des propositions d autres sociétés (ou associations). Si vous ne le souhaitez pas, cochez la case ci-contre» Cas spécifique d informations collectées par questionnaires (Ex : questionnaire de crédit, questionnaire de santé ) : - «Les informations demandées sont indispensables pour la prise en compte de votre demande. Elles pourront être communiquées aux sociétés liées pour l exécution du contrat. Ces informations peuvent donner lieu à l exercice du droit d accès et de rectification en nous écrivant à» (+ le cas échéant en cas où les coordonnées peuvent être louées : Par notre intermédiaire, vous pouvez être amené à recevoir des propositions d autres sociétés (ou associations). Si vous ne le souhaitez pas, cochez la case ci-contre») UTILISATION DES DONNEES ET PROTECTIONS LEGALES Le traitement des données La désignation d un correspondant doit être notifié à la CNIL et porté à la connaissance des instances représentatives du personnel. Ce correspondant est une personne bénéficiant des qualités requises pour exercer ses missions et doit tenir à la disposition de toute personne qui en fait la demande, la liste des traitements effectués (article 22). (Les données qui sont enregistrées doivent l être pour des finalités déterminées et légitimes). Si le responsable d un fichier peut mettre en œuvre le traitement de son fichier dès réception du récépissé de déclaration à la CNIL, il n est exonéré d aucune de ses responsabilités. La CNIL se prononce dans un délai de 2 mois (renouvelable sur décision motivée) à compter de la date de réception, en cas de non réponse dans les délais, la demande d autorisation est réputée rejetée pour une société privée (article 25 III) et acceptée pour l Etat (article 28 II). Les déclarations adressées à la CNIL doivent notamment prévoir : - l identité et l adresse du responsable du traitement - la dénomination et la finalité des traitements - le service auprès duquel s exerce le droit d accès et de rectification - les destinataires ou catégories de destinataires habilités à recevoir communication de ces données - la durée de conservation des informations traitées (qui ne doit être ni disproportionnée, ni incompatible avec les finalités du traitement) : La CNIL préconise que les données prospects soient supprimées au maximum un an après le dernier contact de leur part où lorsqu ils n ont pas répondu à deux sollicitations successives. Pour les clients, il convient d apprécier la durée de conservation en fonction du cycle d achat (le cas est par exemple différent entre la vente d une voiture et la vente de couches pour bébé) - les dispositions prises pour assurer la sécurité des traitements et des données, et notamment empêcher qu elles soient déformées, endommagées ou que des tiers non autorisés y aient accès

5 A noter qu aucune décision ne peut être prise à l égard d une personne sur le seul fondement d un traitement informatique destiné à évaluer statistiquement le profil ou la personnalité supposée de l intéressé (article 10 de la nouvelle loi). Par ailleurs, les données ne peuvent faire l objet d un traitement par un sous-traitant que sur instructions du responsable du traitement. Si les données sont modifiées et en cas de transmission à un tiers, la rectification ou l'annulation d'une information nominative doit être notifiée à ce tiers (le responsable du traitement doit accomplir les diligences utiles afin de lui notifier les opérations effectuées). Les flux transfrontaliers de données Ni la loi française de 1978, ni la directive européenne ne s opposent à la transmission de données vers l étranger si la protection de la vie privée est équivalente dans les pays où les données sont transférées (notamment au sein de l UE) La loi modifiée (chapitre XII) prévoit que tout transfert de données hors de l Union Européenne ne peut avoir lieu si le pays tiers n assure pas «un niveau de protection adéquat» à celui qui existe en France ou dans les pays de l UE (article 68), sauf à ce que la personne ait «indubitablement» donné son consentement, si le transfert est indispensable à l exécution d un contrat, à la sauvegarde de la vie de la personne concernée, à la sauvegarde de l intérêt public ou si le «responsable du traitement» donne des garanties suffisantes, via des clauses contractuelles. Dans tous les cas, si on envisage des transferts de données à l étranger, ce point doit être précisé dans la déclaration de fichier qui est faite à la CNIL Liste Robinson : les professionnels de la VAD et du Marketing Direct (dans le cadre de l UFMD) donnent la possibilité à tout individu de recevoir moins de publicités adressées. Cet engagement a été formalisé dans le code de déontologie des professionnels du marketing direct vis-à-vis de la protection des données à caractère personnel, adopté en décembre Toute personne ne souhaitant pas recevoir de publicités adressées peut s inscrire gartuitement sur cette liste (demande à adressée à l UFMD 60 rue de la boétie Paris). Cette liste est utilisée en repoussoir par les professionnels qui contractent un abonnement à l UFMD Liste Orange : liste des personnes ayant demandé que leur nom et adresse, bien que figurant dans les annuaires de France Telecom, ne soient pas utilisées à des fins de prospection commerciale (service gratuit) Liste Rouge : non parution (service payant) sur les supports d information de France Telecom (annuaires, services de renseignement) Liste Safran : liste des personnes ayant demandé à ne pas recevoir de prospection par télécopie ou télex (service gratuit) La Commission Nationale de l Informatique et des Libertés en bref La CNIL, autorité administrative indépendante, est chargée de veiller au respect des dispositions de la loi du 6 janvier A ce titre, elle intervient à différents niveaux (article 11 de la nouvelle loi): - information aux particuliers et aux responsables de traitements dans l exercice de leurs droits et obligations (environ plaintes ou demandes de conseil réceptionnées par an) - veille à ce que les traitements de données à caractère personnel soient conformes aux dispositions de la loi - mission de conseil et de concertation. Elle incite notamment à l adoption de règles professionnelles de bonne conduite ou de codes de déontologie - mission d expertise et de veille technologique : elle propose au gouvernement des mesures législatives ou réglementaires pour adopter la protection des droits et libertés à l évolution des technologies La CNIL dispose de pouvoirs pour faire respecter la loi (articles 44 et 45) : - enregistrement des déclarations de mise en œuvre de fichiers (plus d un million de déclarations à ce jour) - mission de contrôle et de vérification sur place (environ 50 par an) - en cas de manquements à la loi, adresse des avertissements et / ou mise en demeure aux responsables de fichiers. En cas de non-exécution de la mise en demeure et après procédure contradictoire, peut prononcer

6 des sanctions pécuniaires, des injonctions à cesser les traitements ou retirer les autorisations accordées. Des procédures en cas d urgence (violation des droits et libertés) peuvent également être prises (action en référé). La directive européenne du 24 octobre 1995 en bref L Union Européenne a adopté le 24 octobre 1995 une directive destinée à assurer un niveau de protection harmonisé entre Etats membres permetttant le libre commerce de données personnelles au sein de l Union sous les mêmes garanties de droits et de libertés, quelque soit le pays membre. A ce jour tous les pays de l Union Européenne disposent d une loi " informatique et libertés " et d un autorité de contrôle indépendante. Sanctions en cas de manquement à la loi Les infractions à la loi de 1978 sont pénalement sanctionnées, en particulier le non-respect des droits de la personne et des obligations à respecter. Les sanctions prévues sont particulièrement lourdes (Ex : absence de déclaration : 3 ans de prison et 45K, saisie de données sensibles sans accord de la personne : 5 ans de prison et 300 K ). A noter cependant qu il y a eu très peu de condamnations en 20 ans. Glissements d articles dans la loi du 06 août 2004 Certains articles présents dans les mentions CNIL de certaines entreprises ne renvoient plus au même contenu et que ces mentions deviennent erronées et suggèrent un non professionnalisme. Notons pour l essentiel : Contenu visé Articles dans ancienne loi Contenu dans nouvelle loi Où trouver l équivalent Information des personnes Article 27 Traitements autorisés par l Etat Chapitre V Droit des personnes, article 32 à 43 Droit d accès Article 34 Sécurité des données Article 39 Droit de rectification Article 36 Durée de conservation des données Article 40 Droit d opposition à utilisation à des fins de prospection Article 26 (droit d opposition à traitement) précisée par Directive Européenne Autorisation de mise en œuvre de traitements spécifiques pour l Etat : sûreté et infractions pénales) Article 38 alinéa 2 Merci de revenir vers nous si les informations contenues dans cette fiche pratique n étaient pas suffisantes ou si vous aviez des suggestions d amélioration.