REPONSE CAS PRATIQUE 1.1 1) Ce progiciel est un traitement automatique de données à caractère personnel soumis à la loi «Informatique et liberté». Il est destiné à contenir des données sensibles : données relatives à la santé. Ce sont des données interdites, sauf si données recueillies à des fins statistiques. Il doit être possible de limiter les fonctionnalités du logiciel à des fins strictement statistiques ou d objectiver les informations : ne stocker que des performances objectivement mesurables (temps de course, vitesse, etc). 2) Pour s assurer de la légalité, il convient de faire une demande d autorisation à la CNIL car il s agit de données biométriques. REPONSE CAS PRATIQUE 1.2 : 1) Une donnée à caractère personnel est une information relative à une personne physique qui peut être identifiée, directement ou indirectement, par référence à un numéro d'identification ou grâce à un ou plusieurs éléments qui lui sont propres. Pour déterminer si une personne est identifiable, on relève l'ensemble des moyens permettant son identification dont dispose le responsable du traitement ou toute autre personne (loi 78-17 modifiée, art. 2). Sont visés par la loi du 06 août 2004, les traitements automatisés et non automatisés (fichiers manuels par exemple) de données à caractère personnel, dont le responsable est établi ou représenté sur le territoire français. Sont exclus, les traitements mis en oeuvre pour l'exercice d'activités strictement personnelles (répertoire par exemple) et les copies temporaires effectuées, en vue du stockage automatique, intermédiaire et transitoire des données pour permettre à d'autres destinataires du service le meilleur accès possible aux informations transmises (loi 78-17 modifiée, art. 4). 2) Il est interdit de collecter ou de traiter des données à caractère personnel qui font apparaître, directement ou indirectement, les origines raciales ou ethniques, les opinions politiques, philosophiques ou religieuses ou l'appartenance syndicale des personnes, ou qui sont relatives à la santé ou à la vie sexuelle de celles-ci (loi 78-17 modifiée, art. 8). Ce principe est assorti d'exceptions (loi 78-17 modifiée, art. 8). Dans la mesure où la finalité du traitement l'exige pour certaines catégories de données, ne sont notamment pas soumis à cette interdiction : - les traitements pour lesquels la personne concernée a donné son consentement exprès, sauf dans le cas où la loi prévoit que l'interdiction ne peut être levée par le consentement de la personne concernée, - les traitements mis en oeuvre par une association ou tout autre organisme à but non lucratif et à caractère religieux, philosophique, politique ou syndical, sous certaines conditions. - les traitements nécessaires à la constatation, l'exercice ou la défense d'un droit en justice, - les traitements nécessaires, notamment, pour les besoins de la médecine préventive ou de la gestion de services de santé et mis en oeuvre par un membre d'une profession de santé, ou par une autre personne à laquelle s'impose en raison de ses fonctions l'obligation de secret professionnel.
3) Les données doivent être collectées de manière loyale et licite pour des finalités déterminées et légitimes. Les traitements ultérieurs ne doivent pas être incompatibles avec ces finalités (un traitement ultérieur à des fins statistiques est généralement compatible avec les finalités initiales). Les données doivent être : - adéquates, pertinentes et non excessives au regard des finalités du traitement, exactes. Les données doivent être conservées pendant une durée qui n'excède pas la durée nécessaire aux finalités pour lesquelles elles sont collectées et traitées. 4) Dans la mesure où la finalité du traitement l'exige, certaines catégories de données, ne sont pas soumises à cette interdiction : - les traitements pour lesquels la personne concernée a donné son consentement exprès, - les traitements mis en oeuvre par une association ou tout autre organisme à but non lucratif et à caractère religieux, philosophique, politique ou syndical, sous certaines conditions, - les traitements portant sur des données à caractère personnel rendues publiques par la personne concernée, - les traitements nécessaires à la constatation, l'exercice ou la défense d'un droit en justice, - les traitements nécessaires pour les besoins de la médecine préventive ou de la gestion de services de santé et mis en oeuvre par un membre d'une profession de santé, ou par une autre personne à laquelle s'impose en raison de ses fonctions l'obligation de secret professionnel. REPONSE CAS PRATIQUE 1.3 : 1) L entreprise qui nomme un correspondant CNIL est dispensée des formalités courantes (déclaration par exemple). Ce correspondant est garant de la conformité des fichiers en matière de protection des données personnelles. 2) Certains fichiers sont soumis à l'autorisation de la CNIL et non plus à une simple déclaration, à partir du moment où leur finalité a pour conséquence d'exclure une personne du bénéfice d'un droit, d'une prestation ou d'un contrat. S il s'agit de fichiers de mauvais payeurs, de listes noires, de fichiers d'indésirables, dont la finalité est d'exclure certaines personnes d'un contrat, il faut au préalable une autorisation de la CNIL. 3) Dans le cas d interconnexions de fichiers ayant des finalités principales différentes, une autorisation préalable est également nécessaire. Dans l'hypothèse où le fichier de gestion des adhérents d'un club sportif prévoit une utilisation à des fins commerciales, les adhérents doivent en être informés et pouvoir s'y opposer, ou y consentir. Dans ce cas, l'autorisation de la CNIL n'est pas nécessaire puisqu'il s'agit d'interconnexion entre deux fichiers ayant la même finalité principale. Sinon, si cette finalité de gestion commerciale n'était pas envisagée au départ, alors l'interconnexion est soumise à autorisation. Les entreprises doivent donc être très précises dans leurs déclarations
4) La loi du 21 juin 2004, a amélioré cette information, les personnes inscrites dans le fichier clients sont averties de l'identité du responsable du traitement, de la finalité poursuivie par le traitement, du droit de s'opposer à ce que ces informations soient utilisées à des fins de prospection. Ces informations sont portées à la connaissance du client au moment de la collecte des données nominatives. 5) Les prospections par fax et par automate d'appel sont interdites si les personnes physiques démarchées n'ont pas donné leur consentement préalable. La loi du 21 juin 2004 interdit d'adresser aux personnes physiques des messages de nature commerciale par courrier électronique, par SMS (Short Message Service) ou par MMS (Multimedia Messaging Services) sans avoir obtenu leur consentement. Toutefois, une entreprise qui vend des produits ou des services à des personnes physiques et recueille, leurs coordonnées électroniques peut les prospecter par la suite par courrier électronique pour des produits analogues. Dans ce cas, l'accord préalable n'est pas nécessaire. La prospection des personnes physiques par courrier et par téléphone (avec intervention humaine par exemple) ne nécessite pas d'accord préalable, mais les personnes démarchées peuvent s'opposer à cette prospection. 6) L'expression du consentement doit être libre, spécifique et informée. Le recueil de ce consentement ne peut être dilué dans une acceptation de conditions générales de vente ou couplé à une demande de bons de réduction. La CNIL recommande que le consentement soit recueilli par le biais d'une case à cocher (et non par le biais d'une case précochée). 7) La loi Informatique et Libertés ne s'applique qu'aux personnes physiques. La loi du 21 juin 2004 précise que seules les personnes physiques bénéficient du principe du consentement préalable. Le régime du consentement préalable s'applique dès lors que ces adresses permettent l'identification de personnes physiques : nom.prenom@nomdelasociété.fr par exemple. REPONSE CAS PRATIQUE 1.4 : 1) L entreprise est dispensée de déclarer ses fichiers à la CNIL si elle désigne un correspondant Informatique et Libertés (CIL). Elle peut préférer continuer à déclarer ses fichiers comme auparavant, en l absence de correspondant. Une entreprise a intérêt à désigner un correspondant Informatique et Libertés lorsqu'elle gère un grand nombre de données nominatives. La désignation d'un CIL est intéressante pour une PME si elle évolue dans certains domaines d'activité, comme celui de la prestation de services informatiques, du marketing ou des bases de données. Ce qui semble être le cas ici. 2) Le CIL ne peut pas être le dirigeant de l'entreprise, le CIL peut être un salarié ou un prestataire extérieur. Le correspondant ne peut ni recevoir d'instructions, ni subir de sanctions dans le cadre de cette fonction et il ne peut en être démis sans l'avis de la CNIL.
3) La désignation d'un CIL n'a pas incidence sur les traitements comme la paie, les déclarations fiscales et sociales, la comptabilité générale ou le registre unique du personnel. Ces traitements n'ont pas à être déclarés à la CNIL. Les traitements comportant des dispositifs biométriques nécessitent qu en à eux, une autorisation préalable de la CNIL, qu'un CIL ait été désigné ou non. La réduction des formalités concerne les fichiers de gestion des clients et des ressources humaines (badge, téléphone, cybersurveillance). L'entreprise qui désigne un CIL n'a pas à déclarer ces fichiers à la CNIL. 4) La mission de correspondant informatique et liberté ne peut être assurée par le dirigeant. Une personne interne est à même de bien connaître les fichiers, mais peut être génératrice de conflits d'intérêts. La désignation d un CIL extérieur peut permettre une meilleure indépendance. 5) Le CIL est investi d'un véritable devoir de vigilance qui lui impose d'informer le dirigeant des manquements qu'il constate. Le CIL a aussi une obligation de conseil vis-à-vis du dirigeant. Le CIL doit en toute logique refuser d'exercer sa mission pour des traitements pour lesquels il estime que des conflits d'intérêts sont possibles. 6) Le CIL n'est pas un salarié protégé au sens légal du terme, mais bénéficie de mesures protectrices. Le CIL ne peut ni recevoir d'instruction pour l'exercice de sa mission, ni subir de sanction du fait de l'exercice de celle-ci. Le CIL peut être déchargé de sa mission. Mais la procédure fait intervenir à la fois l'employeur et la CNIL. 7) Une fois sa désignation notifiée à la CNIL, le CIL ne peut être considéré comme étant à l'essai. S'il devait être mis un terme à sa mission, c est dans le cadre de la procédure prévue avec des étapes incontournables à franchir avec la CNIL. REPONSE CAS PRATIQUE 1.5 : 1) Les traitements automatisés susceptibles, du fait de leur nature, de leur portée ou de leurs finalités, d'exclure des personnes du bénéfice d'un contrat en l'absence de toute disposition législative ou réglementaire encadrant ce type de traitements ne peuvent en effet être mis en oeuvre qu'après autorisation de la CNIL (loi 78-17 du 6 janvier 1978, art. 25, I, 4 ). - La CNIL considère que ce projet relève de la procédure d'autorisation et non de la simple déclaration puisque, la mise en place de ce système peut conduire l'employeur à décider du licenciement d un salarié. 2) La mise en oeuvre d'un dispositif destiné à organiser auprès des salariés le recueil de données personnelles concernant des faits contraires aux règles de l'entreprise ou à la loi, imputables à leurs collègues, peut conduire à un système organisé de délation professionnelle. - La CNIL a émis une réserve au regard de la loi informatique et libertés. La possibilité de dénoncer anonymement peut renforcer le risque de calomnie.
3) Un employeur ne peut apporter aux droits des personnes et aux libertés individuelles et collectives de restrictions qui ne sont pas justifiées par la nature de la tâche à accomplir ni proportionnées au but recherché (c. trav. art. L. 120-2). - La CNIL estime que le dispositif mis en œuvre est disproportionné au regard des objectifs poursuivis, des risques de dénonciations calomnieuses et de stigmatisation des salariés objets d'un signalement. - La CNIL rappelle que d'autres moyens existent afin de garantir le respect des dispositions légales et des règles fixées par l'entreprise (ex. : actions de sensibilisation par l'information et la formation des personnels, rôle d'audit et d'alerte des commissaires aux comptes en matière financière et comptable, saisine de l'inspection du travail ou des juges). - La CNIL fait référence au respect du principe de proportionnalité 4) Pour être licite, un traitement de données à caractère personnel doit remplir certaines conditions. Il ne peut porter que sur des données collectées et traitées de manière loyale et licite (loi 78-17 du 6 janvier 1978, art. 6). - La CNIL relève que les salariés faisant l objet d'un signalement ne sont pas informés, dès l'enregistrement de données mettant en cause leur intégrité et n'ont pas les moyens de s'opposer à ce traitement de données les concernant. Les modalités de collecte et de traitement de ces données, ne peuvent être considérées comme loyales.