Les formalités préalables à la création d un traitement de données. Julien Le Clainche, Allocataire de recherche
Introduction Loi 78/17, dite «Informatique & Libertés», et menace de l Etat : des traitements peu nombreux un contrôle a priori fort Développement de la micro informatique, évolution du droit directive 95/46, loi informatique et Libertés en cours de modification Allègement des formalités préalables et accentuation du contrôle a posteriori.
Principe d autorisation préalable pour les universités. 2 procédures La procédure déclarative : engagement, pas de vérification, recipissé traitements du secteur privé. Procédure d autorisation secteur public Autorisation préalable pour les traitements des universités. Les normes simplifiées
L autorisation préalable La demande d avis ou d autorisation doit préciser : la personne qui présente la demande et celle qui a pouvoir de décider la création du traitement ou, si elle réside à l'étranger, son représentant en France ; les caractéristiques, la finalité et, s'il y a lieu, la dénomination du traitement ; le service ou les services chargés de mettre en oeuvre celui-ci ; le service auprès duquel s'exerce le droit d'accès, ainsi que les mesures prises pour faciliter l'exercice de ce droit ; les catégories de personnes qui, à raison de leurs fonctions ou pour les besoins du service, ont directement accès aux informations enregistrées ; les informations nominatives traitées, leur origine et la durée de leur conservation ainsi que leurs destinataires ou catégories de destinataires habilités à recevoir communication de ces informations ; les rapprochements, interconnexions ou toute autre forme de mise en relation de ces informations ainsi que leur cession à des tiers ; les dispositions prises pour assurer la sécurité des traitements et des informations et la garantie des secrets protégés par la loi ; si le traitement est destiné à l'expédition d'informations nominatives entre le territoire français et l'étranger, sous quelque forme que ce soit, y compris lorsqu'il est l'objet d'opérations partiellement effectuées sur le territoire français à partir d'opérations antérieurement réalisées hors de France.
L autorisation préalable La CNIL doit répondre dans les 2 mois renouvelable une fois. A défaut l avis est réputé favorable L avis est favorable ou l autorisation est accordée le traitement peut être mis en œuvre L avis est défavorable : il ne peut être passé outre que par un décret pris sur avis conforme du Conseil d'état Sanctions : Le fait, y compris par négligence, de procéder ou de faire procéder à des traitements automatisés d'informations nominatives sans qu'aient été respectées les formalités préalables à leur mise en oeuvre prévues par la loi est puni de trois ans d'emprisonnement et de 45000 euros d'amende
Les formalités préalables sous l empire de la loi nouvelle. Principe : généralisation de l obligation de déclaration. La question du «correspondant aux données» dans une université
Restent soumis à autorisation sur le fondement de l article 25 : Les traitements automatisés portant sur des données génétiques (sauf recherche) données relatives aux infractions, condamnations ou mesures de sûreté Les traitements susceptibles d'exclure des personnes du bénéfice d'un droit, d'une prestation ou d'un contrat en l'absence de toute disposition législative ou réglementaire L'interconnexion de fichiers Les traitements comportant le NIR Les traitements automatisés de données comportant des appréciations sur les difficultés sociales des personnes ; Les traitements automatisés comportant des données biométriques
Procédure d autorisation par la CNIL sur le fondement de l article 26 : Les traitements de données à caractère personnel mis en oeuvre pour le compte de l'état qui intéressent la sûreté de l'état, la défense ou la sécurité publique ; Ou qui ont pour objet la prévention, la recherche, la constatation ou la poursuite des infractions pénales, ou l exécution des condamnations pénales ou des mesures de sûreté. Certaines catégories de traitements appellent une plus grande vigilance et leur création est soumise à une autorisation préalable. Il s'agit : - Des traitements portant sur des données sensibles telles que définies à l'article 31 de la loi. - Des traitements portant sur des données génétiques ou biométriques. Il peut également s'agir : - Des traitements dits " d'exclusion " : Liste de mauvais payeurs, outils d'analyses du risque financier, traitements comportant des appréciations sur les difficultés sociales des personnes, fichiers privée de lutte contre la fraude - Des interconnexions entre des fichiers ayant des finalités différentes.
Procédure d autorisation par le Conseil d Etat sur le fondement de l article 27 : Seront soumis à un régime d'autorisation par décret en Conseil d'etat, les traitements mis en œuvre par les services de l'etat : - Portant sur des données sensibles ; - Comportant le NIR ; - Ou qui concernent la totalité ou la quasi-totalité de la population française ainsi que les interconnexions de fichier de cette nature ; l'autorisation par la CNIL n'est alors pas nécessaire, celle-ci se bornant à émettre un avis " motivé et publié ". Ainsi, le projet de loi procède à une " substitution de l'organe décisionnaire " au profit du Conseil d'etat et au détriment de la CNIL. En effet, la loi actuelle exige un double avis conforme à la fois du Conseil d'etat, mais aussi de la CNIL.
L'autorisation par le ministre responsable Le gouvernement n'a pas craint de prévoir que seraient autorisés par simple arrêté ministériel, c'est à dire par le ministre responsable du fichier en cause, - tous les traitements publics de police et de justice ne comportant pas de données sensibles, ainsi que les traitements qui intéressent la sûreté de l'etat - Tous les traitements publics qui nécessitent l'utilisation du numéro de sécurité sociale, ainsi que, - l'ensemble des interconnexions de fichiers publics permettant d'apprécier l'ouverture d'un droit ou l'assiette ou le recouvrement de l'impôt ou l'établissement de statistiques. " La CNIL est renvoyée à un rôle consultatif.