Qui doit et comment doit-on remplir les formalités applicables aux traitements de données personnelles ?

Publié le 19/11/2007 - CIO Online

Un fichier ou un traitement de données personnelles doit être déclaré par la personne qui en est responsable, c’est-à-dire celle qui décide de sa création, qui en détermine les finalités et les modalités. Les formalités de déclaration doivent être accomplies préalablement à la mise en oeuvre du traitement ou du fichier.

Plusieurs types de déclarations peuvent être mis en oeuvre, selon la nature du traitement en cause.

Les traitements soumis à déclaration

La déclaration normale

Dans l’hypothèse où le traitement de données personnelles que souhaite mettre en oeuvre un responsable de traitement ne correspond à aucune norme simplifiée, ce dernier doit remplir un formulaire « déclaration normale » et les annexes y afférant.

La déclaration simplifiée

La possibilité d’effectuer une déclaration simplifiée auprès de la Cnil est ouverte à tout responsable de traitement, dès lors que le traitement qu’il souhaite mettre en oeuvre est conforme aux normes simplifiées que la Cnil a établies pour les traitements de données personnelles les plus courants, c’est-à-dire ceux dont la mise en oeuvre n’est pas susceptible de porter atteinte à la vie privée ou aux libertés.

Par cette procédure, le responsable de traitement déclare que le traitement de données qu’il entreprend est conforme à la norme simplifiée, édictée par la Cnil, et relative au traitement en question. Dans ce cas, il est possible d’effectuer une télédéclaration simplifiée directement sur le site de la Cnil.

De nombreuses normes simplifiées sont actuellement en vigueur. Parmi les plus récentes, nous pouvons mentionner la norme n° 46, prise par une délibération de la Cnil du 13 janvier 2005, relative aux traitements mis en oeuvre par les organismes publics et privés pour la gestion de leur personnel, la norme n° 47, prise par une délibération du 3 février 2005, relative aux traitements automatisés d’informations nominatives mis en oeuvre dans le cadre de l’utilisation de services de téléphonie fixe et mobile sur les lieux de travail, la norme 48, prise par une délibération du 7 juin 2005, relative à la gestion des fichiers de clients et de prospects ou encore la norme n° 51, prise par une délibération du 16 mars 2006, relative aux traitements automatisés de données à caractère personnel mis en oeuvre par les organismes publics ou privés destinés à géolocaliser les véhicules utilisés par leurs employés.

La déclaration d’un fichier de recherche médicale

Tout fichier de recherche médicale doit être déclaré par le biais du formulaire CERFA n°10769*01 disponible sur simple demande à la Cnil. Il s’agit d’un formulaire spécial de déclaration, réservé aux fichiers de ce type.

Les traitements soumis à autorisation

Certains traitements ou fichiers de données à caractère personnel sensibles ou à risque, énumérés à l’article 25 de la loi « informatique et libertés » doivent être autorisés par la Cnil, par le biais de décisions cadres.

D’autres fichiers ou traitements, à caractère sensible, mis en oeuvre exclusivement par le secteur public et énumérés aux articles 26 et 27 de ladite loi, doivent être autorisés par arrêté du ou des ministres compétents ou par décret en Conseil d’Etat, après avis motivé et publié de la commission nationale de l’informatique et des libertés.

Les déclarations de conformité à une autorisation unique ou à un acte réglementaire unique

Lorsque plusieurs traitements, de même nature, visée par les articles susmentionnés, répondent à une même finalité, portent sur des catégories de données identiques et ont les mêmes destinataires ou catégories de destinataires, ces traitements peuvent faire l’objet d’une décision d’autorisation unique de la commission, ou d’un acte réglementaire unique. Dans ce cas, le responsable de chaque traitement est tenu d’adresser à la commission un engagement de conformité de celui-ci à la description figurant dans l’autorisation ou dans l’acte.

Ainsi, une simple déclaration de conformité à une autorisation unique ou à un acte réglementaire unique paraît suffisante.

Les procédures d’autorisation ou d’avis

Lorsqu’un traitement doit faire l’objet d’une autorisation émanant de la Cnil, ou doit être autorisé par acte réglementaire, suivant un avis motivé et publié de la Cnil, le responsable de ce traitement est tenu, en premier lieu, de remplir une déclaration normale, et de joindre les documents complémentaires spécifiques à la demande d’autorisation ou d’avis. Ces documents annexes peuvent être relatifs aux transferts d’informations hors union européenne, aux échanges de données, à la sécurité, à un projet d’acte réglementaire.

Le cas des sites internet

Alors que la CNIL imposait, depuis 1997, des formalités particulières pour déclarer un site internet contenant des données personnelles, ce formulaire spécifique de déclaration a été supprimé, dans un but de simplification des formalités (Les échos des séances, du 10 juillet 2006). De facto, les traitements de données à caractère personnel, mis en oeuvre à partir d’un site internet, doivent en principe faire l’objet d’une déclaration normale. Toutefois, des tempéraments à cette règle ont été admis : plusieurs décisions, prises par la Cnil, ont pour conséquence de dispenser certains sites web de déclaration, tandis que d’autres les soumettent à des déclarations simplifiées, voire dans certains cas, à un régime d’autorisation.

Les sites web dispensés de formalité déclarative

Certaines catégories de sites internet ont purement et simplement été dispensées de toute déclaration auprès de la Cnil :

– les sites personnels ou blogs : une délibération de la Cnil n°2005-284 du 22 novembre 2005 a décidé de la « dispense de déclaration des sites web diffusant ou collectant des données à caractère personnel mis en oeuvre par des particuliers dans le cadre d’une activité exclusivement personnelle » (dispense n°6). Par une interprétation a contrario de cette délibération, il est possible de déduire que la diffusion et la collecte de données à caractère personnel opérée à partir d’un site web dans le cadre d’activités professionnelles, politiques, ou associatives demeurent soumises à l’accomplissement des formalités préalables prévues par la loi.

– les sites vitrines : Par une délibération n°2006-138 du 9 mai 2006, la Cnil a décidé que seraient dispensés de déclaration les traitements constitués à des fins d’information ou de communication externe. Ainsi, bénéficient de cette dispense les sites des organismes publics ou privés collectant ou diffusant des données personnelles dans un but de communication ou d’information, dits les sites vitrines. Cette dispense est toutefois subordonnée à l’accomplissement d’un certain nombre de conditions.

– les sites des associations : en vertu de la délibération n°2006-130 du 9 mai 2006, sont dispensés de déclaration les traitements relatifs à la gestion des membres et donateurs des associations à but non lucratif régies par la loi du 1er juillet 1901. Ainsi, les fichiers de membres et donateurs d’associations sont dispensés de déclaration. Cette dispense est subordonnée au respect de plusieurs conditions. Toutefois, elle ne s’applique pas aux traitements mis en oeuvre par une association ou tout autre organisme à but non lucratif, à caractère religieux, philosophique, politique ou syndical.

Les sites web assujettis à une déclaration simplifiée

les sites commerciaux de vente de biens ou de services : La norme simplifiée n°48, résultant de la délibération n°2005-112 du 7 juin 2005 simplifiant la déclaration des fichiers de clients et de prospects, a été étendue à l’internet. Ainsi, les sites web collectant des données auprès de clients et prospects peuvent faire l’objet d’une simple déclaration simplifiée.

Les sites web soumis à autorisation :

Les téléservices de l’administration doivent être déclarés selon une procédure de demande d’avis.

Autres publications