Les outils informatiques ont permis le développement massif des bases de données, qui n’ont pas échappé à l’emprise législative. Le législateur s’est plus particulièrement intéressé aux bases de données à caractère personnel, car l’utilisation de ces données était susceptible de porter gravement atteinte aux libertés fondamentales (droit au respect de la vie privée, mais aussi liberté d’expression, d’opinion, entre autres).
C’est en 1978 que le législateur a encadré les conditions dans lesquelles sont collectées, utilisées, et conservées les données à caractère personnel. La loi dite « Informatique et Libertés » du 6 janvier 1978, partiellement modifiée par la loi du 6 août 2004, a fixé le cadre de l’utilisation des données personnelles.
L’utilisation de ces données à caractère personnel est donc très encadrée. Mais que recouvrent exactement les termes « données à caractère personnel » ?
Ces termes désignent toutes les données qui peuvent permettre, d’une façon ou d’une autre, l’identification des personnes physiques qui en sont titulaires (noms, prénoms, adresses postales, numéros de téléphone, de télécopie, adresses e-mail, numéro de carte bancaire, numéro de carte nationale d’identité, numéro de compte bancaire, voix, empreintes, adresse IP…). La loi les définit comme « toute information relative à une personne physique identifiée ou qui peut être identifiée, directement ou indirectement, par référence à un numéro d’identification ou à un ou plusieurs éléments qui lui sont propres ».
Toutes ces données sont soumises à cette législation spécifique dès l’instant où elles font l’objet d’un traitement manuel ou automatisé.
Attention : le législateur, conscient des enjeux en matière de libertés fondamentales, a décidé que les obligations « Informatique et Libertés » seraient sanctionnées pénalement.
Que vous soyez une société commerciale, un entrepreneur individuel, une collectivité locale, un établissement public, ou un simple particulier, vous devez respecter les règles imposées par le législateur en matière de données à caractère personnel. En voici les grandes lignes.
Les obligations concernant le traitement de données personnelles sont de trois ordres :
une obligation de signalement préalable,
une obligation de sécurisation de ces données,
une obligation d’information à l’égard des personnes dont les données sont collectées.
Il faut préciser que la loi « Informatique et Libertés » impose que le signalement du fichier soit fait préalablement à sa mise en place (L. 6 janv. 1978, mod. L. 6 août 2004, art. 16, al. 1er).
Si votre base de données à caractère personnel est en place depuis longtemps, et n’a pas fait l’objet d’une déclaration ou autorisation préalable, il ne faut, bien entendu, pas continuer dans cette voie, et procéder au signalement le plus rapidement possible.
Soucieuse d’accélérer les procédures de déclaration, la Commission Nationale de l’Informatique et des Libertés (CNIL) a mis en place un certain nombre de déclarations simplifiées pour les traitements de données les plus banaux.
Deux exemples :
Par délibération du 22 avril 1999, la CNIL a créé une norme simplifiée N°09 qui concerne « les traitements automatisés d’informations nominatives relatifs à la gestion des prêts de livres, de supports audio-visuels et d’œuvres artistiques et à la gestion des consultations de documents d’archives publiques ».
Cette déclaration simplifiée n°09 est destinée aux organismes publics et privés (bibliothèque, médiathèque, vidéothèque…), ou à tout service d’archives publiques, ayant pour objet la consultation et le prêt d’œuvres littéraires, audio-visuelles ou artistiques au cours desquels des données personnelles sont collectées.
Par délibération du 7 juin 2005, la CNIL a créé une norme simplifiée n°48 qui concerne « les traitements automatisés de données à caractère personnel relatifs à la gestion des fichiers de clients et de prospects ».
Cette déclaration simplifiée n°48 est donc destinée, en principe, aux activités commerciales (libraires, disquaires, bouquinistes…) au cours desquelles des données personnelles sont collectées.
Chaque norme simplifiée fixe les données à caractère personnel dont le traitement est autorisé, le mode et la durée de conservation, et la finalité du traitement. Si le traitement que vous envisagez ne correspond pas, en tous points, à celui fixé dans une norme simplifiée, c’est qu’il relève d’une autre norme simplifiée, ou qu’il n’existe pas de norme simplifiée pour ce traitement.
Il faut alors recourir au droit commun de la protection des données à caractère personnel, et étudier, concrètement, si le traitement envisagé relève d’un des six autres régimes de signalement :
l’exonération de signalement
la dispense de signalement
la déclaration normale
l’autorisation simplifiée
l’autorisation par la CNIL
l’autorisation par arrêté ou décret
Attention : les traitements soumis à autorisation sont plus fréquents dans le secteur public que dans le secteur privé.
Dans le cas du régime le plus courant, celui de la déclaration préalable, simplifiée ou non, les formalités sont rapides. Le traitement des données personnelles peut débuter dès que la CNIL envoie le récépissé de la déclaration. L’article 23 de la loi Informatique et Libertés prévoit que la commission délivre ce récépissé « sans délai ».
Il faut ensuite, à compter de la réception du récépissé, respecter toutes les précisions portées dans la déclaration, car la modification des modalités du traitement sans avertissement préalable de la CNIL est un délit.
Le fichier ainsi constitué et déclaré ne pourra pas être utilisé pour un autre but que celui fixé dans la déclaration, et ne pourra être cédé à des tiers, ou exporté au-delà des frontières de l’Union Européenne (attention aux sous-traitants hors UE) qu’à certaines conditions.
Le responsable du traitement, qui est désigné dans la déclaration ou la demande d’autorisation, doit tout mettre en œuvre pour préserver la sécurité des données utilisées, c’est-à-dire qu’elles ne soient ni modifiées, ni altérées, ni copiées, ni supprimées, ni communiquées à des tiers. L’absence de sécurisation spécifique des données soumises aux obligations de la loi Informatique et Libertés est un délit.
Chaque norme simplifiée, et dans tous les autres cas le responsable du traitement lui-même, fixe la durée de conservation des données. La sécurisation des données doit être assurée pendant toute la durée de conservation, et les données doivent être définitivement détruites au terme fixé.
Les données à caractère personnel sont souvent collectées au premier contact, commercial ou non, avec l’usager ou le client. C’est à ce moment qu’il convient d’informer la personne physique, pour la première fois, que les données qu’elle communique sont destinées à être collectées, traitées et conservées. Il faut alors que le responsable du traitement informe la personne de façon complète, et surtout que le formulaire de collecte recueille le consentement de la personne.
La seule exception notable à l’exigence d’un consentement exprès est l’exécution d’une mission de service public, qui dispense l’organisme qui l’exécute d’avoir à recueillir le consentement de l’usager avant de collecter les données personnelles le concernant.
Si l’utilisation des données est de nature commerciale (envoi d’une newsletter par une société commerciale, par exemple), la Loi pour la Confiance dans l’Économie Numérique (LCEN) du 21 juin 2004, a posé les règles de l’envoi de documents commerciaux par voie électronique : ces règles s’ajoutent aux obligations « Informatique et Libertés ».
Même si vous traitez de nombreux fichiers contenant des données à caractère personnel, il convient de les déclarer individuellement. Pour cela, sachez que le législateur a prévu la possibilité de créer un correspondant Informatique et Libertés au sein de votre établissement ou entreprise. Vous pourrez alors, sous certaines conditions, bénéficier de formalités simplifiées.
Enfin, il convient de rappeler que la CNIL publie, sur son site Internet, des dossiers très bien conçus pour vous guider dans vos démarches. Mais si votre activité dépend, totalement ou partiellement, de l’exploitation d’une ou plusieurs bases de données personnelles, il est vivement conseillé de faire appel à un professionnel spécialisé qui adaptera ses recommandations en fonction de votre situation.
Jean-Frédéric Carter, avocat au Barreau de Lille
Accéder au site de la CNIL : http://www.cnil.fr/
