Union des Métiers et des Industries de l Hôtellerie JURIDIQUE Date : 24/07/09 N : 37.09 INFORMATIQUE ET LIBERTES **** LA COLLECTE ET TRANSMISSION DES DONNEES PERSONNELLES : **** PARTIE 1 - MODE DE FONCTIONNEMENT - OBLIGATION DE DECLARATION La loi "Informatique et Libertés" du 6 janvier 1978 modifiée par la loi du 6 août 2004 encadre la mise en œuvre des fichiers ou des traitements de données à caractère personnel qu ils soient automatisés ou manuels. Au regard du développement des fichiers informatiques (constitution de fichiers clients, fichiers adhérents etc.), il semble opportun de faire le point sur les règles applicables. Cela nous concerne tous : les adhérents dans le cadre de leurs activités tout comme les structures syndicales de l UMIH, dès lors que l on collecte des données personnelles. Les données personnelles : De quoi parle t- on? Voici les définitions de quatre notions clé de la loi Informatique et Libertés : - Définition d une donnée personnelle (article 2 de la loi de 1978) : constitue une donnée à caractère personnel, toute information relative à une personne physique identifiée ou qui peut être identifiée, directement ou indirectement, par référence à un numéro d identification ou à un ou plusieurs éléments qui lui sont propres (exemple : nom, adresse, numéro de téléphone etc...). - Notion de traitement automatisé (article 2 de la loi de 1978) : constitue un traitement de données à caractère personnel, toute opération ou tout ensemble d opérations portant sur de telles données, quel que soit le procédé utilisé, et notamment la collecte, l enregistrement, l organisation, la conservation, l adaptation ou la modification, l extraction, la consultation, l utilisation, la communication par transmission, diffusion ou toute autre forme de mise à disposition, le rapprochement ou l interconnexion ainsi que le verrouillage, l effacement ou la destruction (ex : constitution de fichiers clients ou adhérents). 22 rue d Anjou 75008 PARIS Tel : 01 44 94 19 94 Fax : 01 47 42 15 20 E-mail : umih@umih.asso.fr 1
- Responsables de ces fichiers ou traitements : Il s agit de la personne, l autorité, l organisme, le service qui détermine les finalités du traitement et les moyens nécessaires à sa mise en œuvre. Il est établi sur le territoire français et recourt à des moyens de traitement situés sur le territoire français. - Notion de personne concernée par un traitement de données personnelles : Il s agit de celle à laquelle se rapportent les données qui font l objet du traitement (article 12 de la loi de 1978). 22 rue d Anjou 75008 PARIS Tel : 01 44 94 19 94 Fax : 01 47 42 15 20 E-mail : umih@umih.asso.fr 2
I. QUATRE GRANDS PRINCIPES DE LA LOI 1) La collecte Il faut recueillir le consentement de la personne pour utiliser une information qui l identifie (article 7 de la loi du 6 janvier 1978). Le fait de collecter des données à caractère personnel par un moyen frauduleux, déloyal ou illicite est puni de 5 ans d emprisonnement et de 300 000 d amende (article 226-18 du code pénal). Comment obtenir le consentement (cf. circulaire 38.09 Partie 2). Nota : Il est interdit de collecter ou de traiter des informations faisant apparaître notamment les origines raciales ou ethniques, les opinions politiques, philosophiques ou religieuses, les appartenances syndicales, la santé ou les mœurs des personnes (sanctionné par l article L. 226-19 du code pénal). 2) La durée de conservation des informations Les données personnelles ont une date de péremption. Lors de la déclaration, le responsable du fichier fixe une durée de conservation raisonnable en fonction de l objectif du fichier. Le code pénal sanctionne la conservation des données pour une durée supérieure à celle qui a été déclarée de 5 ans d emprisonnement et de 300 000 d amende (article 226-20 du code pénal). 3) La sécurité des fichiers Tout responsable de traitement informatique de données personnelles doit adopter des mesures de sécurité adaptées à la nature des données et aux risques présentés par le traitement. Le non-respect de l obligation de sécurité est sanctionné de 5 ans d emprisonnement et de 300 000 d amende (article 226-17 du code pénal). 4) La confidentialité des données Seules les personnes autorisées peuvent accéder aux données personnelles contenues dans un fichier. La communication d informations à des personnes non autorisées est punie de 5 ans d emprisonnement et de 300 000 d amende. La divulgation d information commise par imprudence ou négligence est punie de 3 ans d emprisonnement et de 100 000 d amende. 22 rue d Anjou 75008 PARIS Tel : 01 44 94 19 94 Fax : 01 47 42 15 20 E-mail : umih@umih.asso.fr 3
II. LES DROITS DES PERSONNES FICHEES Une fois le fichier constitué, 5 règles d or à respecter : 1/ Le droit d être informé Toute personne a le droit de savoir si elle est fichée et dans quels fichiers elle est recensée. Toute personne qui met en œuvre un fichier de données personnelles doit informer les personnes fichées de : l identité du responsable du traitement, l objectif de la collecte d informations, le caractère obligatoire ou facultatif des réponses, les conséquences de l absence de réponse, les destinataires des informations, les droits reconnus à la personne, les éventuels transferts de données vers un pays hors de l Union Européenne. 2/ Le droit d'opposition Toute personne a la possibilité de s'opposer, pour des motifs légitimes, à figurer dans un fichier (article 38 loi Informatique et Libertés) : - Sans avoir à se justifier - Le droit d opposition ne doit occasionner aucun frais à la personne qui l exerce - Le droit d'opposition peut s exprimer par un refus de répondre lors d une collecte non obligatoire de données, ou par le refus de donner l accord écrit obligatoire pour le traitement de données sensibles - la possibilité d'exiger la non-cession ou la non-commercialisation d informations. 3/ Les droits d'accès et de communication Tout individu dispose d'un droit d'interroger les services mettant en œuvre des traitements automatisés de données personnelles en vue de savoir si ces traitements comportent des données le concernant et, le cas échéant, de se les faire communiquer dans les conditions de l'art. 39 de la loi n 2004-801 du 6 août 2004. Ces droits s'exercent directement auprès du service ou de l'organisme désigné à cet effet par la personne morale ou physique détentrice desdites informations. 4/ Le droit de rectification Toute personne peut, en cas d'inexactitude des informations nominatives la concernant, demander la rectification, la clarification, la mise à jour ou la suppression des dites (article 40 de la même loi). 5) Droit de refuser la transmission de ses données à des tiers Il convient de noter que la CNIL recommande de mettre à la disposition des personnes physiques l'exercice de ce droit lors de la collecte de leurs données, notamment sur les formulaires d'inscription, par une case à cocher ou tout autre moyen (article 29 de la même loi). Le refus ou l entrave au bon exercice des droits des personnes est puni de 1500 par infraction constatée et 3000 en cas de récidive (article 131-13 du pénal). 22 rue d Anjou 75008 PARIS Tel : 01 44 94 19 94 Fax : 01 47 42 15 20 E-mail : umih@umih.asso.fr 4
III. LA DECLARATION DES TRAITEMENTS DE DONNEES : Pour qui, comment? A) A qui s impose t- elle? Les responsables des fichiers ou traitements de données à caractère personnel ont des obligations à respecter, notamment en les déclarant auprès de la CNIL. Au préalable, vérifiez si vous avez une dispense : Certains fichiers contenant des données personnelles sont dispensés de déclaration : - Exonération par la loi (ex : traitements pour des activités personnelles, fichiers de membres de partis politiques, d églises, d associations ou de syndicats ). C est le cas de l UMIH dans ces relations avec ses adhérents. Toutefois, pour être dispensés de déclaration, ces traitements doivent correspondre à l'objet de l'association ou du syndicat. Les données ne doivent concerner que les membres de l'organisation, voire des personnes en contact régulier dans le cadre de l'activité. Enfin, les données ne peuvent être communiquées à des tiers, sauf si la personne y consent expressément. - Exonération par la CNIL (ex : paie du personnel, gestion des fournisseurs, listes d adresse, Associations, sites web à des fins d information et de communication uniquement. - Exonération par la désignation d un CIL (Correspondant Informatique et Libertés). Le correspondant Informatique et libertés est chargé d assurer au sein de l entreprise, d une manière indépendante, le respect des obligations en matière de protection des données à caractère personnel. Il est l expert en matière de protection aux données à caractère personnel auprès du responsable du traitement, il assiste dans toutes démarches auprès de la CNIL et notamment les déclarations des traitements de données devant faire l objet d un transfert hors de l EU. A défaut de dispense : Les autres fichiers de données à caractère personnel doivent être déclarés à la CNIL : C est le responsable du traitement qui doit procéder à la déclaration préalablement à la mise en œuvre. Nous profitons de cette circulaire pour rappeler que tous les professionnels de notre secteur (restaurants, hôtels ) qui constituent «des fichiers clients», des fichiers concernant la conservation des données de connexions INTERNET, les fiches de police etc. doivent procéder à la déclaration des données personnelles collectées. B) Comment déclarer? La déclaration simplifiée Elle concerne les traitements les plus courants de données à caractère personnel dont la mise en œuvre n est pas susceptible de porter atteinte à la vie privée et aux libertés ; elle se fait sur la base de formulaires allégés qui permettent de certifier qu un fichier ou un traitement de données personnelles est conforme à un modèle déjà défini par la CNIL. 22 rue d Anjou 75008 PARIS Tel : 01 44 94 19 94 Fax : 01 47 42 15 20 E-mail : umih@umih.asso.fr 5
La déclaration normale C est la procédure courante à suivre en dehors des déclarations simplifiées. Les cas particuliers : l autorisation ou l avis de la CNIL Pour des fichiers sensibles ou à risques, la loi a prévu des formalités particulières d autorisation et non plus de simple déclaration ; certaines autorisations sont délivrées directement par la CNIL. D autres autorisations, qui concernent des traitements sensibles du secteur public exclusivement, sont données par décret en conseil d Etat ou arrêté, après avis de la CNIL. Traitements soumis à autorisation préalable de la CNIL : - Les données sensibles : origines raciales ou ethniques, opinions politiques, philosophiques, - religieuses, appartenance syndicale, santé, vie sexuelle, - Les données biométriques La déclaration peut être adressée à la CNIL par courrier électronique. La CNIL délivre sans délai un récépissé de déclaration qui indique le numéro sous lequel le traitement déclaré est enregistré. 22 rue d Anjou 75008 PARIS Tel : 01 44 94 19 94 Fax : 01 47 42 15 20 E-mail : umih@umih.asso.fr 6
Union des Métiers et des Industries de l Hôtellerie Circulaire juridique 37.09 FICHE PRATIQUE La collecte et la transmission des données personnelles Il faut recueillir le consentement de la personne pour utiliser une information qui l identifie. Le fait de collecter des données personnelles sans le consentement de la personne et sans procéder à la déclaration CNIL est puni par la loi. Certains fichiers sont dispensés de déclaration (le cas des données personnelles d un adhérent à un syndicat). A défaut de dispense, dès lors que des données sont collectées (fichiers clients), une déclaration à la CNIL est obligatoire. Droits de la personne fichée : - Droits d'accès et de communication - Droit de rectification - Droit d information et d'opposition à la collecte d'informations nominatives - Droit de refuser la transmission de ses données à des tiers Pour compléter notre circulaire, vous trouverez en pièce jointe le guide pratique «DECLARER A LA CNIL». 22 rue d Anjou 75008 PARIS Tel : 01 44 94 19 94 Fax : 01 47 42 15 20 E-mail : umih@umih.asso.fr 7