Voilà une règlementation à prendre très au sérieux !
Mettre en ligne un site internet ou traiter des fichiers contenant des informations personnelles dans le cadre de ton activité professionnelle implique certaines obligations juridiques.
Voici tout ce qu’il y a à savoir sur la déclaration CNIL et ses enjeux.
-
La CNIL, késako ?
La Commission Nationale de l’Informatique et des Libertés, ou CNIL, est une autorité administrative indépendante instituée par la loi du 06 Janvier 1978 relative à l’informatique, aux fichiers et aux libertés. Elle assure le respect des dispositions de cette même loi.
Pour ce faire, elle est investie de 6 missions principales :
- informer les personnes de leurs droits et de leurs obligations en matière d’informatique
- réguler et recenser les fichiers
- protéger les « cyber » citoyens
- contrôler le respect de la loi concernant les traitements informatiques
- sanctionner les manquements à la loi
- anticiper les développements des technologies de l’information
Dans cette optique, la CNIL encadre rigoureusement la pratique du « fichage » manuel ou informatique.
-
Tes obligations en matière de protection des données personnelles
La loi informatique et libertés va trouver à s’appliquer dès lors que tu projettes de réaliser des traitements d’informations à caractère personnel dans le cadre de ton activité professionnelle.
Qu’entend-t-on par « données personnelles » ?
Il s’agit des situations dans lesquelles tu collectes un email, un numéro d’identifiant, un nom, un prénom, une adresse, un numéro de téléphone, une photo, des données familiales, médicales, financières … ou toutes données relatives à des personnes.
Si c’est le cas, tu dois déclarer ces fichiers à la CNIL avant même leur création !
Attention, il n’est pas demandé de déclarer les données que tu détiens, mais il s’agit plutôt de déclarer le fait que tu procèdes à leur traitement.
C’est une formalité entièrement gratuite qui peut se faire directement sur le site de la CNIL ou bien par voie papier, et qui n’a pas à être renouvelée dans le temps !
Il existe 2 types de déclaration :
C’est la procédure « standard », applicable aux traitements qui sont susceptibles de porter atteinte à la vie privée ou aux libertés individuelles des personnes dont les informations sont conservées, et qui ne correspondent pas à une catégorie spécifique (comme les professions de santé par exemple).
C’est la procédure qui s’applique plus rarement lorsque le traitement en question est encadré par une décision de la CNIL (norme simplifiée, autorisation unique ou acte règlementaire unique, méthodologie de référence).
Notre conseil est d’utiliser plutôt la déclaration normale si tu n’es vraiment pas certain que le traitement puisse faire l’objet d’une déclaration simplifiée, car en effet, si tu fais une déclaration simplifiée et que le traitement en question ne rentre pas dans son champ d’application, tu te retrouveras dans l’illégalité en commettant une infraction pénale.
-
L’information des clients et des salariés
La CNIL impose une obligation d’informer les personnes concernées par la conservation de leurs données personnelles, par un document affiché dans les locaux de l’entreprise (qui est à notre sens la voie la moins contraignante) ou bien remis en main propre aux clients, de l’identité du responsable du traitement, de la finalité du traitement, des destinataires des informations traitées, ainsi que des modalités pratiques d’exercice de leurs droits.
-
Les sanctions en cas de défaut de déclaration
Si tu ne respectes pas ces obligations, plusieurs sanctions sont envisageables.
- Par la CNIL :
La CNIL peut décider de sanctions administratives : avertissement, injonction de cesser le traitement, verrouillage de certaines données, sanction pécuniaire de 150 000 € (300 000 € en cas de récidive)
- Par un tribunal :
L’article 226-16 du Code pénal prévoit une peine maximale de 5 ans d’emprisonnement et de 300 000 € d’amende.
Quelques cas de jurisprudence témoignant de l’importance de cette déclaration :
Un salarié refusait d’utiliser une badgeuse pour le calcul de son temps de travail, l’employeur l’a donc licencié, ce que le salarié a contesté devant le Tribunal. La Cour de cassation a jugé que puisque la badgeuse n’avait pas été déclarée à la CNIL, le licenciement avait été prononcé sans cause réelle et sérieuse (Cass. Soc. 6 avril 2004).
Annulation de la vente d’un fichier informatisé contenant des données à caractère personnel n’ayant pas fait l’objet d’une déclaration à la CNIL (Cass. Com., 25 juin 2013).
Constituent un moyen de preuve illicite les informations collectées par un système de traitement automatisé de données personnelles avant sa déclaration à la CNIL (Cass. soc. 8 oct. 2014).
Afin de t’aider à déterminer si ton fichier doit être déclaré ou non et quelle procédure suivre, contacte l’équipe du bistrot des créateurs !
Merci à Clara LAMBERT, stagiaire au service juridique de CAPEC pour la rédaction de cet article