Blog

Le régime juridique du traitement des données nominatives, en pleine évolution

Le régime juridique du traitement des données nominatives, en pleine évolution

Le régime juridique du traitement et de l’utilisation des fichiers contenant des données personnelles par les entreprises comme par les collectivités territoriales est en pleine évolution.

Le régime juridique du traitement et de l’utilisation des fichiers contenant des données personnelles par les entreprises comme par les collectivités territoriales est en pleine évolution.

Rappelons que, en France, le cadre légal est fixé par la loi informatiques et libertés, dont la version initiale remonte au 6 janvier 1978, cadre qui a grandement évolué à l’aune des nouvelles technologies comme de l’influence des normes issues de l’Union européenne. Le texte, intégré aujourd’hui au Code pénal, a mis en place un triple régime.

Est ainsi interdite par principe la collecte des informations les plus sensibles, c’est-à-dire celles qui sont relatives à la race, la religion, les opinions philosophiques, politiques ou syndicales. Les seules exceptions possibles concernent des situations très particulières, telles que peut en connaître, par exemple, une organisation religieuse.

Les fichiers plus anodins sont soumis à une autorisation soit législative, soit par règlement de la Commission nationale informatique et libertés (Cnil). Enfin, existe un système de simple déclaration des fichiers qui visent à contenir les informations les plus banales (nom, adresse, etc.).

Droit d'accès et de rectification

Tout individu fiché possède notamment un droit d'accès et de rectification, et doit en être informé. Le premier des plus récents aménagements visant à compléter ce dispositif date du 10 décembre 2015. La Cnil a alors en effet adopté une nouvelle norme simplifiée pour la gestion des affaires scolaires, périscolaires, extrascolaires et de la petite enfance

Cette norme s’inscrit dans le cadre du "programme de simplification des formalités préalables pour les collectivités territoriales", mais s’adresse aussi à toutes les personnes morales de droit public ainsi qu’aux personnes morales de droit privé gérant un service public.     

Sont notamment visés les traitements de données liés à la gestion "de la scolarisation en école maternelle et élémentaire", "de l’accueil et les activités périscolaires et extrascolaires",  "de l’accueil de la petite enfance au sein des établissements", "des services d’accueil des enfants de moins de six ans", à l’exclusion des écoles municipales de musique.

De tels traitements de données doivent désormais faire l’objet d’une déclaration normale, la norme simplifiée listant de façon limitative les données qui peuvent être collectées dans le cadre de ces fichiers.

Deuxième et vaste champ de récents bouleversement: la gestion de la clientèle, des prospects et la vente en ligne…

Ces activités sont au cœur d’une délibération de la Cnil en date du 21 juillet 2016, qui concerne les cookies, les données bancaires, et la durée de conservation des données. Le régime allégé de déclaration est désormais conditionné à des exigences plus strictes. Soulignons que les entreprises ont jusqu’au 14 septembre 2017 pour se conformer au nouveau système.

Nouveau règlement européen
        

Enfin, un nouveau règlement européen, dont les lignes directrices ont été adoptées le 13 décembre 2016 par le G29 –groupe des "Cnil" européennes– précise le statut du "délégué à la protection des données", appelé à remplacer les actuels "Correspondants Informatique et libertés" (CIL), le nouveau cadre juridique devenant applicable en mai 2018 dans toute l’Europe. 

Le règlement européen sur la protection des données pose les règles applicables à la désignation, à la fonction et aux missions du délégué, sous peine de sanctions. Celui-ci est chargé de mettre en œuvre la conformité au règlement européen sur la protection des données au sein de l’organisme qui l’a désigné.

Le processus permet de confier à un expert l’identification et la coordination des actions à mener en matière de protection des données personnelles. Il s’agit "d’informer et de conseiller le responsable de traitement ou le sous-traitant, ainsi que leurs employés", de "contrôler le respect du règlement et du droit national en matière de protection des données", de "conseiller l’organisme sur la réalisation d’une analyse d'impact relative à la protection des données et d’en vérifier l’exécution", de "coopérer avec l’autorité de contrôle" et d’être "le point de contact de celle-ci".

Sa désignation est obligatoire dans certains cas. Un délégué, interne ou externe, peut être désigné pour plusieurs organismes sous conditions. Par exemple, lorsqu’un délégué est désigné pour un groupe d’entreprises, il doit être facilement joignable à partir de chaque lieu d’établissement. Il doit en effet être en mesure de communiquer efficacement avec les personnes concernées et de coopérer avec l’autorité de contrôle.

Une matière complexe

Mentionnons surtout que, si les personnes désignées en tant que correspondant Informatique et Libertés ont vocation à devenir délégués à la protection des données en 2018, la qualité de CIL n’ouvrira pas automatiquement droit à celle de délégué à la protection des données. Les organismes ayant désigné un CIL indiqueront à la CNIL en 2018 si leur CIL deviendra délégué à la protection des données.

Car les lignes directrices du G29 précisent le niveau d’expertise, les qualités professionnelles et les capacités du délégué.

Le droit des fichiers et de l’exploitation des donnée devient donc une matière complexe que les professionnels de la culture se doivent d’appréhender, sous peine de sanctions pénales; et ce en sus des nombreuses compétences extra-littéraires qui leur sont déjà demandées.
26.05 2017

Les dernières
actualités