La loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés prévoit une obligation de déclaration des fichiers comportant des données à caractère personnel.
La loi dite « loi informatique et libertés » vise à protéger les personnes afin de garantir la protection de leur vie privée notamment face à la conservation de leurs données personnelles contenues dans les fichiers informatiques.
C'est dans le cadre de cette protection que les fichiers doivent être déclarés auprès de la CNIL.
I - Définition des notions "traitements de données à caractère personnel" et "fichiers de données à caractère personnel"
Le principe posé par la loi n° 78-17 du 6 janvier 1978 est que l'informatique ne doit porter atteinte ni à l'identité humaine, ni aux droits de l'homme, ni à la vie privée, ni aux libertés individuelles ou publiques.
Ainsi, selon cette loi, les données à caractère personnel sont toutes informations relatives à une personne physique identifiée ou qui peut être identifiée, directement ou indirectement, par référence à un numéro d’identification ou à un ou plusieurs éléments qui lui sont propres.
Pour déterminer si une personne est identifiable, il convient de considérer l’ensemble des moyens en vue de permettre son identification dont dispose ou auxquels peut avoir accès le responsable du traitement ou toute autre personne.
Constitue un traitement de données à caractère personnel toute opération ou tout ensemble d’opérations portant sur de telles données, quel que soit le procédé utilisé, et notamment la collecte, l’enregistrement, l’organisation, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, ainsi que le verrouillage, l’effacement ou la destruction.
Constitue un fichier de données à caractère personnel tout ensemble structuré et stable de données à caractère personnel accessibles selon des critères déterminés.
Le responsable d’un traitement de données à caractère personnel est, sauf désignation expresse par les dispositions législatives ou réglementaires relatives à ce traitement, la personne, l’autorité publique, le service ou l’organisme qui détermine ses finalités et ses moyens.
Le responsable désigne à la Commission nationale de l’informatique et des libertés un représentant établi sur le territoire français, qui se substitue à lui dans l’accomplissement de ses obligations légales ; cette désignation ne fait pas obstacle aux actions qui pourraient être introduites contre lui.
Le destinataire d’un traitement de données à caractère personnel est toute personne habilitée à recevoir communication de ces données autre que la personne concernée, le responsable du traitement, le sous-traitant et les personnes qui, en raison de leurs fonctions, sont chargées de traiter les données.
Les autorités légalement habilitées, dans le cadre d’une mission particulière ou de l’exercice d’un droit de communication, à demander au responsable du traitement de leur communiquer des données à caractère personnel ne constituent pas des destinataires au sens de la loi.
II - Les conditions de licéité des traitements de données à caractère personnel
Les traitements ne peuvent valablement porter que sur des données à caractère personnel qui satisfont aux suivantes :
1° Les données sont collectées et traitées de manière loyale et licite ;
2° Elles sont collectées pour des finalités déterminées, explicites et légitimes et ne sont pas traitées ultérieurement de manière incompatible avec ces finalités.
3° Elles sont adéquates, pertinentes et non excessives au regard des finalités pour lesquelles elles sont collectées et de leurs traitements ultérieurs ;
4° Elles sont exactes, complètes et, si nécessaire, mises à jour ; les mesures appropriées doivent être prises pour que les données inexactes ou incomplètes au regard des finalités pour lesquelles elles sont collectées ou traitées soient effacées ou rectifiées ;
5° Elles sont conservées sous une forme permettant l’identification des personnes concernées pendant une durée qui n’excède pas la durée nécessaire aux finalités pour lesquelles elles sont collectées et traitées.
En outre, un traitement de données à caractère personnel doit avoir reçu le consentement de la personne concernée ou satisfaire à l’une des conditions suivantes :
1° Le respect d’une obligation légale incombant au responsable du traitement ;
2° La sauvegarde de la vie de la personne concernée ;
3° L’exécution d’une mission de service public dont est investi le responsable ou le destinataire du traitement ;
4° L’exécution, soit d’un contrat auquel la personne concernée est partie, soit de mesures précontractuelles prises à la demande de celle-ci ;
5° La réalisation de l’intérêt légitime poursuivi par le responsable du traitement ou par le destinataire, sous réserve de ne pas méconnaître l’intérêt ou les droits et libertés fondamentaux de la personne concernée.
Enfin, il est interdit de collecter ou de traiter des données à caractère personnel qui font apparaître, directement ou indirectement, les origines raciales ou ethniques, les opinions politiques, philosophiques ou religieuses ou l’appartenance syndicale des personnes, ou qui sont relatives à la santé ou à la vie sexuelle de celles-ci.
Les traitements de données à caractère personnel soumis à l’obligation de déclaration auprès de la CNIL sont ceux dont le responsable :
- est établi sur le territoire français. Le responsable d’un traitement qui exerce une activité sur le territoire français dans le cadre d’une installation, quelle que soit sa forme juridique, y est considéré comme établi ;
- sans être établi sur le territoire français ou sur celui d’un autre État membre de la Communauté européenne, recourt à des moyens de traitement situés sur le territoire français, à l’exclusion des traitements qui ne sont utilisés qu’à des fins de transit sur ce territoire ou sur celui d’un autre État membre de la Communauté européenne.
III - Sanctions pénales et prononcées par la commission nationale de l’informatique et des libertés pour non respect de la loi informatique et libertés
3.1 - Les sanctions pénales
Les infractions aux dispositions de la loi informatique et libertés sont prévues et réprimées par les articles 226-16 à 226-24 du code pénal.
Est puni d’un an d’emprisonnement et de 15 000 € d’amende le fait d’entraver l’action de la Commission nationale de l’informatique et des libertés :
1° Soit en s’opposant à l’exercice des missions confiées à ses membres ou aux agents habilités par la commission lorsque la visite a été autorisée par le juge ;
2° Soit en refusant de communiquer à ses membres ou aux agents habilités par la commission les renseignements et documents utiles à leur mission, ou en dissimulant lesdits documents ou renseignements, ou en les faisant disparaître ;
3° Soit en communiquant des informations qui ne sont pas conformes au contenu des enregistrements tel qu’il était au moment où la demande a été formulée ou qui ne présentent pas ce contenu sous une forme directement accessible.
La juridiction d’instruction ou de jugement peut appeler le président de la Commission nationale de l’informatique et des libertés ou son représentant à déposer ses observations ou à les développer oralement à l’audience.
3.2 - Les sanctions prononcées par la commission nationale de l’informatique et des libertés pour non respect de la loi informatique et libertés
La formation restreinte de la Commission nationale de l’informatique et des libertés peut prononcer, après une procédure contradictoire, un avertissement à l’égard du responsable d’un traitement qui ne respecte pas les obligations découlant de la loi informatique et libertés.
Cet avertissement a le caractère d’une sanction.
Le président de la commission peut également mettre en demeure ce responsable de faire cesser le manquement constaté dans un délai qu’il fixe. En cas d’urgence, ce délai peut être ramené à cinq jours.
Si le responsable du traitement se conforme à la mise en demeure qui lui est adressée, le président de la commission prononce la clôture de la procédure.
Dans le cas contraire, la formation restreinte peut prononcer à son encontre, après une procédure contradictoire, les sanctions suivantes :
1° Une sanction pécuniaire ;
2° Une injonction de cesser le traitement ou un retrait de l’autorisation accordée.
Lorsque la mise en œuvre d’un traitement ou l’exploitation des données traitées entraîne une violation des droits et libertés, la formation restreinte peut, après une procédure contradictoire, engager une procédure d’urgence afin de :
1° Décider l’interruption de la mise en œuvre du traitement, pour une durée maximale de trois mois ;
2° Prononcer un avertissement ;3° Décider le verrouillage de certaines des données à caractère personnel traitées, pour une durée maximale de trois mois ;
4° Informer le Premier ministre pour qu’il prenne, le cas échéant, les mesures permettant de faire cesser la violation constatée.
En cas d’atteinte grave et immédiate aux droits et libertés, le président de la commission peut demander, par la voie du référé, à la juridiction compétente d’ordonner, le cas échéant sous astreinte, toute mesure de sécurité nécessaire à la sauvegarde de ces droits et libertés.
La formation restreinte peut rendre publiques les sanctions qu’elle prononce.
Elle peut également ordonner leur insertion dans des publications, journaux et supports qu’elle désigne aux frais des personnes sanctionnées.
Les décisions prises par la formation restreinte sont motivées et notifiées au responsable du traitement. Les décisions prononçant une sanction peuvent faire l’objet d’un recours de pleine juridiction devant le Conseil d’État.
Le montant de la sanction pécuniaire est proportionné à la gravité des manquements commis et aux avantages tirés de ce manquement.
Lors du premier manquement, il ne peut excéder 150 000 €.
En cas de manquement réitéré dans les cinq années à compter de la date à laquelle la sanction pécuniaire précédemment prononcée est devenue définitive, il ne peut excéder 300 000 € ou, s’agissant d’une entreprise, 5 % du chiffre d’affaires hors taxes du dernier exercice clos dans la limite de 300 000 €.
Lorsque la formation restreinte a prononcé une sanction pécuniaire devenue définitive avant que le juge pénal ait statué définitivement sur les mêmes faits ou des faits connexes, celui-ci peut ordonner que la sanction pécuniaire s’impute sur l’amende qu’il prononce.
Les sanctions précitées peuvent donc se cumuler entre elles mais se confondent financièrement.
Je suis à votre disposition pour toute information ou action.
PS : Pour une recherche facile et rapide des articles rédigés sur ces thèmes, vous pouvez taper vos "mots clés" dans la barre de recherche du blog en haut à droite, au dessus de la photographie.
Anthony Bem
Avocat à la Cour
27 bd Malesherbes - 75008 Paris
Tel : 01 40 26 25 01
Email : abem@cabinetbem.com