Fiche pratique

Obligations en matière de protection des données personnelles

Vérifié le 12 juin 2017 - Direction de l'information légale et administrative (Premier ministre), Ministère chargé de la justice

La création et le traitement de données personnelles (numéro d'identifiant, nom, adresse, numéro de téléphone...) sont soumis à des obligations destinées à protéger la vie privée des personnes fichées et les libertés individuelles. Elles varient selon la nature du fichier et la finalité des informations recueillies : déclaration normale ou simplifiée ou demande d'autorisation. Il existe aussi des obligations de sécurité, de confidentialité et d'information.

Tout fichier ou traitement automatisé contenant des informations à caractère personnel doit être déclaré avant sa création, en ligne ou par courrier adressé à la Commission nationale de l'informatique et des libertés (Cnil) sous forme d'une :

  • déclaration normale pour les fichiers qui concernent la vie privée ou les libertés individuelles des personnes : fichiers de clients, gestion des horaires des salariés, contrôle des accès aux locaux faisant l'objet d'une restriction de circulation, gestion de carrière et de la mobilité des salariés (organisation du travail, formations, annuaire interne, élections professionnelles, etc.), géolocalisation des véhicules utilisés par les salariés (ayant pour finalité le suivi et la facturation d'une prestation de transport, la sécurité des salariés ou des marchandises, le suivi du temps de travail, etc.) ;
  • déclaration simplifiée valant engagement de conformité, pour les fichiers qui ne portent pas atteinte à la vie privée et aux libertés individuelles des personnes.

Par exemple, les sites commerciaux de vente en ligne de biens ou de services, qui collectent des informations nominatives (nom, courriel) et constituent des fichiers de clients et de prospects, doivent effectuer une déclaration simplifiée. En revanche, les traitements de données mis en œuvre à partir d'un site web, qui ne bénéficient ni d'une dispense, ni d'une procédure allégée, doivent faire l'objet d'une déclaration normale.

Pour savoir si un fichier doit être ou non déclaré et quelle procédure appliquer, il existe un service d' aide à la déclaration sur le site de la Cnil.

  À savoir :

les formalités déclaratives doivent être effectuées par la personne responsable du fichier ou du traitement, celle qui en décide de la création et en détermine les finalités, avant la création du fichier.

Ne sont pas soumises à l'obligation de déclaration à la Cnil, les données concernant notamment :

  • des activités exclusivement personnelles (rédaction d'un blog par exemple) ;
  • les membres et contacts d'une association à caractère politique, syndical ou religieux ;
  • l'activité professionnelle d'un artiste (écrivain, cinéaste, éditeur…) ;
  • les opérations courantes de l'entreprise (comptabilité, fichiers de fournisseurs, gestion des paies, registre unique du personnel, déclarations sociales obligatoires, etc.).

Une autorisation préalable de la Cnil est obligatoire pour les fichiers qui présentent des risques particuliers d'atteinte aux droits et aux libertés :

  • les données enregistrées portant sur des informations sensibles (origine, opinions politiques, religieuses, syndicales, etc.), biométriques ou génétiques, notamment ;
  • les fichiers ayant une finalité particulière (études statistiques de l'Insee, traitements de recherche médicale, etc.) ;
  • les transferts de données hors de l'Union européenne (UE).

La demande d'autorisation fait l'objet d'un examen approfondi de la part de la Cnil, qui a 2 mois pour se prononcer. Une fois la délibération prise, la Cnil doit la notifier dans les 8 jours au responsable de traitement.

Si le responsable des données n'effectue par les déclarations auprès de la Cnil, il peut être condamné à 5 ans d'emprisonnement et 300 000 € d'amende.

L'entreprise qui détient des données personnelles doit informer la personne concernée de :

  • l'identité du responsable du fichier ;
  • la finalité du traitement des données ;
  • le caractère obligatoire ou facultatif des réponses ;
  • les droits d'accès, de rectification, d'interrogation et d'opposition ;
  • les transmissions des données.

L'exploitant de données personnelles (un commerçant en ligne par exemple) doit respecter certaines obligations et notamment : recueillir l'accord des clients, les informer de leur droit d'accès, de modification et de suppression des informations collectées, veiller à la sécurité des systèmes d'information, assurer la confidentialité des données, indiquer une durée de conservation des données.

L'objectif de la collecte d'informations doit être précis et les données en accord avec cette finalité.

Le non-respect du droit des personnes est puni de 1500 € par infraction (3000 € en cas de récidive).

Le responsable du traitement des données doit mettre en œuvre les mesures de sécurité des locaux et des systèmes d'information pour empêcher que les fichiers soient déformés, endommagés, ou que des tiers non autorisés y aient accès.

L'accès aux données est réservé uniquement aux personnes désignées ou à des tiers qui détiennent une autorisation spéciale et ponctuelle (service des impôts, police, etc.).

Le responsable des données est aussi tenu de fixer une durée raisonnable de conservation des informations personnelles.

Si l'entreprise ne respecte pas ces obligations, elle encourt 5 ans d'emprisonnement et de 300 000 € d'amende.

Outre les sanctions pénales (amende, emprisonnement), le manquement de l'entreprise aux obligations de protection des données personnelles peut entraîner de la part de la Cnil :

  • un avertissement ;
  • une amende ;
  • le verrouillage des données pendant 3 mois ;
  • une injonction d'arrêter le traitement des données ;
  • un retrait de l’autorisation de la Cnil.