Les formalités déclaratives pour les fichiers de données personnelles

Publié le 05/10/2007 - CIO Online

Principe : une obligation de déclaration des traitements de données personnelles

Aux termes de l’article 22 de la loi informatique et libertés, tout traitement automatisé de données à caractère personnel doiten principe faire l’objet d’une déclaration auprès de la Commission nationale de l’informatique et des libertés (CNIL) avant sa mise en oeuvre. Le non respect de cette formalité expose à des peines de prison (5 ans) et d’amende (300 000 euros d’amende) (CP, art. 226-16).

Par donnée à caractère personnel, il faut comprendre, au sens de l’article 2 de la loi informatique et libertés, « toute information relative à une personne physique identifiée ou qui peut être identifiée, directement ou indirectement, par référence à un numéro d’identification ou à un ou plusieurs éléments qui lui sont propres ». De plus, « constitue un traitement de données à caractère personnel toute opération ou tout ensemble d’opérations portant sur de telles données, quel que soit le procédé utilisé, et notamment la collecte, l’enregistrement, l’organisation, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, ainsi que le verrouillage, l’effacement ou la destruction ».

Certains traitements sont dispensés de déclaration

Toutefois, la CNIL définit, parmi les catégories les plus courantes de traitements de données à caractère personnel dont la mise en oeuvre n’est pas susceptible de porter atteinte à la vie privée ou aux libertés, celles qui, compte tenu de leurs finalités, de leurs destinataires, des données à caractère personnel traitées, de la durée de conservation de celles-ci et des catégories de personnes concernées, sont dispensées de déclaration. Sont ainsi exonérées des formalités déclaratives les fichiers de fournisseurs comportant des personnes physiques (Dél. n° 2005-005 du 18 janvier 2005), les sites web diffusant ou collectant des données à caractère personnel mis en oeuvre par des particuliers dans le cadre d’une activité exclusivement personnelle (Dél. n° 2005-284 du 22 novembre 2005) ou encore les traitements mis en oeuvre par les comités d’entreprises ou d’établissements, les comités centraux d’entreprises, les comités de groupe ou les comités interentreprises ou les délégués du personnel pour la gestion de leurs activités sociales et culturelles (Dél. n°2006-230 du 17 octobre 2006).

Il est en outre prévu que les traitements pour lesquels le responsable de traitement a désigné un correspondant à la protection des données à caractère personnel chargé d’assurer le respect des obligations prévues dans la présente loi sont dispensés des formalités déclaratives, sauf lorsqu’un transfert de données à caractère personnel à destination d’un Etat non membre de la Communauté Européenne est envisagé.

Plus généralement, l’exigence de déclaration des traitements auprès de la Cnil n’est pas due dans les cas suivants : (i) le responsable de traitement est un particulier agissant dans le cadre d’activités exclusivement personnelles, (ii) le responsable est une église, d’un parti politique, d’un syndicat, d’un organisme ou d’une association à caractère religieux, politique, philosophique ou syndical et que le traitement concerne un fichier de membres, d’adhérents ou de personnes, en contact régulier avec le responsable ; (iii) le responsable est un professionnel dans le domaine artistique et que le traitement concerne des données personnelles utilisées dans le cadre de cette activité ou encore (iv) le responsable de traitement est domicilié dans un autre Etat membre de la Communauté Européenne, ou habite en dehors de la Communauté Européenne et que les données personnelles traitées ne font que transiter par la France.

Les traitements soumis à une autorisation préalable de la CNIL

Certains traitements, en raison de leur spécificité ou de leur caractère particulièrement sensible, doivent être soumis à une autorisation préalable de la CNIL. Les traitements concernés par une telle procédure sont notamment mentionnés à l’article 25 de la loi informatique et libertés. Il s’agit notamment des traitements de données à caractère politique, philosophique… anonymisées, de données à caractère politique, philosophique…, justifiés par l’intérêt public, ou encore de données génétiques (à l’exception de ceux d’entre eux qui sont mis en oeuvre par des médecins ou des biologistes et qui sont nécessaires aux fins de la médecine préventive, des diagnostics médicaux ou de l’administration de soins ou de traitements) de données relatives aux infractions, condamnations ou mesures de sûreté (sauf ceux qui sont mis en oeuvre par des auxiliaires de justice pour les besoins de leurs missions de défense des personnes concernées), de données parmi lesquelles figure le numéro d’inscription des personnes au répertoire national d’identification des personnes physiques, de données comportant des appréciations sur les difficultés sociales des personnes ou encore de données biométriques nécessaires au contrôle de l’identité des personnes.

Les traitements soumis à un avis préalable de la CNIL

La mise en oeuvre des « traitements de données à caractère personnel mis en oeuvre pour le compte de l’Etat et qui intéressent la sûreté de l’Etat, la défense ou la sécurité publique ou qui ont pour objet la prévention, la recherche, la constatation ou la poursuite des infractions pénales ou l’exécution des condamnations pénales ou des mesures de sûreté doivent être autorisés par arrêté du ou des ministres compétents, pris après avis motivé et publié de la Cnil (L. 78, art. 26).

D’autre part, sont subordonnés à une autorisation par décret en Conseil d’Etat pris après avis motivé et publié de la Cnil, les traitements sur des données mentionnées au I de l’article 8 (données à caractère politique, philosophique… santé et vie sexuelle), les traitements mis en oeuvre pour le compte de l’Etat, d’une personne morale de droit public ou d’une personne morale de droit privé gérant un service public, qui portent sur des données parmi lesquelles figure le numéro d’inscription des personnes au répertoire national d’identification des personnes physiques ou encore les traitements de données à caractère personnel mis en oeuvre pour le compte de l’Etat qui portent sur des données biométriques nécessaires à l’authentification ou au contrôle de l’identité des personnes.

Sont également autorisés par arrêté ou, en cas de traitement opéré pour le compte d’un établissement public ou d’une personne morale de droit privé gérant un service public, par décision de l’organe délibérant chargé de leur organisation, pris après avis motivé et publié de la Cnil :
– les traitements mis en oeuvre par l’Etat ou les personnes morales mentionnées précédemment, qui requièrent une consultation du répertoire national d’identification des personnes physiques sans inclure le numéro d’inscription à ce répertoire ;
– les traitements mentionnés précédemment, qui ne comportent aucune des données mentionnées au I de l’article 8 (données à caractère politique, philosophique…santé et vie sexuelle) ou à l’article 9 (infractions), qui ne donnent pas lieu à une interconnexion entre les traitements ou fichiers correspondant à des intérêts publics différents et qui sont mis en oeuvre par des services ayant pour mission, soit de déterminer les conditions d’ouverture ou l’étendue d’un droit des administrés, soit d’établir l’assiette, de contrôler ou de recouvrer des impositions ou taxes de toute nature, soit d’établir des statistiques ;
– les traitements relatifs au recensement de la population, en métropole et dans les collectivités situées outre-mer ;
– et les traitements mis en oeuvre par l’Etat ou les personnes morales mentionnées précédemment aux fins de mettre à la disposition des usagers de l’administration un ou plusieurs téléservices de l’administration électronique, si ces traitements portent sur des données parmi lesquelles figurent le numéro d’inscription des personnes au répertoire national d’identification ou tout autre identifiant des personnes physiques.

Autres publications