Données personnelles : la CNIL veille et sanctionne

On ne plaisante pas avec le respect de la loi Informatique et Libertés. La CNIL  y veille très régulièrement et n’hésite pas à sanctionner ou à faire sanctionner.

En effet, la Commission Nationale de l’Informatique et des Libertés, dès lors qu’elle découvre une infraction aux dispositions légales relatives à la protection des données personnelles, peut prononcer elle-même certaines sanctions ou saisir l’autorité judiciaire1.

Récemment, c’est le maire d’une commune qui a été sanctionné d’une amende de 1500 € pour collecte illicite de données et détournement de finalité des informations collectées lors des opérations de recensement de la population.

En effet, la mairie a utilisé ces données pour constituer illégalement un « fichier de population », en photocopiant les formulaires destinés au recensement avant leur transmission à l’INSEE.

Si l’histoire ne dit pas dans quel but ce fichier a été constitué, même réalisé de bonne foi dans un objectif purement informatif ou pour la bonne conduite de la politique communale par exemple, un tel fichier reste illégal.

Or, administrations, entreprises ou associations réunissent souvent des informations relatives à leurs administrés, clients, fournisseurs, adhérents etc., certaines de ces informations revêtant un caractère personnel : nom, prénom, adresses postales ou électroniques, numéro de téléphone, identité bancaire… Parfois même sans se rendre compte qu’il s’agit là d’un fichier entrant dans le champ de la loi Informatique et Libertés et nécessitant de ce fait un traitement spécial.

Si certains des fichiers les plus courants bénéficient de dispenses, d’autres doivent néanmoins faire l’objet d’une déclaration auprès de la CNIL, cette déclaration pouvant être normale ou simplifiée.

A noter également que, même si l’obligation de déclaration est remplie, le fichier en question ne peut être utilisé à des fins non autorisées.

En outre, la collecte de certains types d’informations dites sensibles est strictement prohibée : celles concernant les « origines raciales ou ethniques, les opinions politiques, philosophiques ou religieuses, l’appartenance syndicale, l’état de santé ou la vie sexuelle des personnes ».

Le responsable d’un fichier de données à caractère personnel est également tenu d’autres obligations, non pas envers la CNIL, mais envers les personnes dont les données sont ou seront intégrées dans le fichier. Là encore, le non-respect des obligations de confidentialité, sécurité, durée de conservation et information des personnes peut coûter cher.

Or, en 2011, les questions de vie privée, d’identité numérique ou de sécurité informatique occupent plus que jamais une place importante dans la société et les gens n’hésitent plus à signaler les abus, notamment lorsque la possibilité leur est donnée de s’adresser directement à un organisme aussi abordable et réactif que la CNIL.

En conclusion, quelques recommandations à l’attention des responsables de fichiers informatiques :

  • Faites le point sur le type de données que vous collectez : ont-elles un caractère personnel ? Oui ? Dans ce cas, le fichier doit en principe être déclaré à la CNIL. Attention cependant, s’il s’agit de données dites sensibles, le fichier est tout simplement illégal.
  • Quelle est la finalité de votre fichier ? Certaines sont prohibées, d’autres strictement encadrées. Autant en être conscient, surtout des suites pénales qui peuvent en découler !
  • Ce fichier entre-t-il dans les cas de dispense ou de déclaration simplifiée ? La démarche n’en sera que plus rapide, mais tout de même obligatoire.
  • Les mesures de sécurité entourant ce fichier sont-elles suffisantes ? La confidentialité des données est-elle assurée ?
  • La durée de conservation des données que vous prévoyez est-elle raisonnable ? Quels moyens avez-vous mis en place pour supprimer les données qui arrivent à leur date de péremption ?
  • Qui sont les éventuels destinataires des informations collectées ? Ces destinataires se trouvent-ils en dehors de l’Union Européenne ou du « Safe Harbor » ? Dans ce cas leur transfert est en principe interdit, mais il existe des exceptions.
  • Les personnes concernées par les informations détenues dans votre fichier sont-elles informées de leurs droits à connaître votre identité, la finalité de votre fichier, les destinataires des informations ?

Répondre à ces questions n’est pas toujours simple et la juste application des prescriptions de la loi Informatique et Libertés nécessite souvent une bonne connaissance à la fois des dispositions légales et des traitements informatiques opérés par l’établissement.

La gravité des sanctions pénales qui interviennent en cas de non-respect de la loi Informatique et Libertés (jusqu’à 5 ans d’emprisonnement et 300 000 € d’amende selon les cas) devrait inciter à réfléchir sur la conformité des traitements mis en œuvre, sans hésiter à confier la tâche à un professionnel pour les fichiers sensibles.

Sources :

http://www.cnil.fr/nc/la-cnil/actu-cnil/article/article/une-mairie-condamnee-pour-utilisation-detournee-des-donnees-du-recensement/

http://www.secteurpublic.fr/public/article/une-mairie-condamnee-pour-utilisation-detournee-des-donnees-du-recensement.html?id=44592&C5=336

Pour en savoir plus :

http://www.cnil.fr

Loi n° 78-17 du 6 Janvier 1978 relative à l’informatique, aux fichiers et aux libertés

____________

Note :

1 Précision apportée par la CNIL : Depuis la loi du 6 août 2004, la CNIL a le pouvoir de prononcer elle-même des sanctions administratives ou financières. Lors de manquements sérieux au respect de la loi Informatique et libertés, la CNIL se réunit en formation contentieuse (composée de six membres) pour prononcer des sanctions allant de l’avertissement à une amende maximale de 300 000 €. Les sanctions pénales prévues aux articles 226-16 à 226-24 du Code pénal peuvent aussi s’appliquer, la CNIL ayant la possibilité de dénoncer au Procureur de la République les infractions à la loi dont elle a connaissance. Un arrêt du Conseil d’Etat reconnaît à la CNIL la qualité de tribunal dans l’exercice de son pouvoir de sanction, au sens de l’article 6 de la Cour Européenne des Droits de l’Homme. Voir http://www.cnil.fr/vos-responsabilites/les-sanctions-de-a-a-z/

Lien Permanent pour cet article : http://www.voxpi.info/2011/02/03/donnees-personnelles-la-cnil-veille-et-sanctionne/

2 Commentaires

    • Antoine ALEXANDRE sur 3 février 2011 à 17 h 08 min
    • Répondre

    La CNIL n’a pas qu’un simple rôle de contrôle et a le pouvoir de sanctionner directement les contrevenants. (Réforme de 2004 octroyant le caractère de tribunal à la CNIL)

    La CNIL peut directement condamner lourdement les contrevenants.

    1. Merci pour ces précisions. En l’espèce, la sanction a été prononcée par l’autorité judiciaire, saisie par la CNIL. L’article a été clarifié en conséquence.

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée.

 

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.