Fiche pratique

Obligations en matière de protection des données personnelles

Vérifié le 19 février 2018 - Direction de l'information légale et administrative (Premier ministre), Ministère chargé de la justice

La création et le traitement de données personnelles (numéro d'identifiant, nom, adresse, numéro de téléphone) sont soumis à des obligations destinées à protéger la vie privée et les libertés individuelles. Elles varient selon la nature du fichier et la finalité des informations recueillies : déclaration normale ou simplifiée, ou demande d'autorisation. Il existe aussi des droits et des obligations de sécurité, de confidentialité et d'information.

Tout fichier ou traitement automatisé contenant des informations à caractère personnel doit être déclaré avant sa création, en ligne ou par courrier adressé à la Commission nationale de l'informatique et des libertés (Cnil) sous forme :

  • d'une déclaration normale pour les fichiers qui concernent la vie privée ou les libertés individuelles des personnes : fichiers de clients, gestion des horaires des salariés, contrôle des accès aux locaux faisant l'objet d'une restriction de circulation, gestion de carrière et de la mobilité des salariés (organisation du travail, formations, annuaire interne, élections professionnelles par exemple), géolocalisation des véhicules utilisés par les salariés (ayant pour finalité le suivi et la facturation d'une prestation de transport, la sécurité des salariés ou des marchandises, le suivi du temps de travail par exemple) ;
  • ou d'une déclaration simplifiée valant engagement de conformité, pour les fichiers qui ne portent pas atteinte à la vie privée et aux libertés individuelles des personnes.

Par exemple, les sites commerciaux de vente en ligne de biens ou de services qui collectent des informations nominatives (nom, courriel) et constituent des fichiers de clients et de prospects doivent effectuer une déclaration simplifiée. En revanche, les traitements de données mis en œuvre à partir d'un site web, qui ne bénéficient ni d'une dispense ni d'une procédure allégée, doivent faire l'objet d'une déclaration normale.

Pour savoir si un fichier doit être ou non déclaré et quelle procédure appliquer, il existe un service d'aide à la déclaration sur le site de la Cnil.

  À savoir :

les formalités déclaratives doivent être effectuées par la personne responsable du fichier ou du traitement, celle qui en décide de la création et en détermine les finalités, avant la création du fichier.

Ne sont pas soumises à l'obligation de déclaration à la Cnil, les données concernant notamment :

  • des activités exclusivement personnelles (rédaction d'un blog par exemple) ;
  • les membres et contacts d'une association à caractère politique, syndical ou religieux ;
  • l'activité professionnelle d'un artiste (écrivain, cinéaste, éditeurpar exemple) ;
  • les opérations courantes de l'entreprise (comptabilité, fichiers de fournisseurs, gestion des paies, registre unique du personnel, déclarations sociales obligatoires notamment).

Consentement renforcé et transparence

Les utilisateurs doivent être informés et leur accord est nécessaire avant tout traitement de leurs données. Ils peuvent d'ailleurs s'y opposer.

L'information relative au traitement de données du mineurs âgé de moins de 16 ans doit être rédigée en termes clairs et simples.

Le consentement d'un mineur est recueilli auprès du titulaire de l'autorité parentale. A la majorité de l'enfant, celui-ci peut demander le retrait et l'effacement de ses données.

Droit à la portabilité des données

Une personne peut récupérer, sous une forme réutilisable, les données qu'elle a fournies et les transférer ensuite à un tiers.

Une autorisation préalable de la Cnil est obligatoire pour les fichiers qui présentent des risques particuliers d'atteinte aux droits et aux libertés :

  • les données enregistrées portant sur des informations sensibles (origine, opinions politiques, religieuses, syndicales par exemple), biométriques ou génétiques notamment ;
  • les fichiers ayant une finalité particulière (études statistiques de l'Insee, traitements de recherche médicale par exemple) ;
  • les transferts de données hors de l'Union européenne (UE).

La demande d'autorisation fait l'objet d'un examen approfondi de la part de la Cnil, qui a 2 mois pour se prononcer. Une fois la délibération prise, la Cnil doit la notifier dans les 8 jours au responsable de traitement.

Si le responsable des données n'effectue par les déclarations auprès de la Cnil, il peut être condamné à 5 ans d'emprisonnement et 300 000 € d'amende.

L'entreprise qui détient des données personnelles doit informer la personne concernée de :

  • l'identité du responsable du fichier ;
  • la finalité du traitement des données ;
  • le caractère obligatoire ou facultatif des réponses ;
  • les droits d'accès, de rectification, d'interrogation et d'opposition ;
  • les transmissions des données.

L'exploitant de données personnelles (un commerçant en ligne par exemple) doit respecter certaines obligations et notamment : recueillir l'accord des clients, les informer de leur droit d'accès, de modification et de suppression des informations collectées, veiller à la sécurité des systèmes d'information, assurer la confidentialité des données, indiquer une durée de conservation des données.

L'objectif de la collecte d'informations doit être précis et les données en accord avec cette finalité.

Le non-respect du droit des personnes est puni de 1500 € par infraction (3000 € en cas de récidive).

Le responsable du traitement des données doit mettre en œuvre les mesures de sécurité des locaux et des systèmes d'information pour empêcher que les fichiers soient déformés, endommagés ou que des tiers non autorisés y aient accès.

L'accès aux données est réservé uniquement aux personnes désignées ou à des tiers qui détiennent une autorisation spéciale et ponctuelle (service des impôts, police par exemple.).

En cas de violation de données à caractère personnel, le responsable de leur traitement doit le notifier à l'autorité de protection des données dans les 72 heures. L'information des personnes concernées est requise si cette violation est susceptible d'engendrer un risque élevé pour leurs droits et libertés.

Le responsable des données est aussi tenu de fixer une durée raisonnable de conservation des informations personnelles.

Si l'entreprise ne respecte pas ces obligations, elle encourt 5 ans d'emprisonnement et de 300 000 € d'amende.

Le responsables de traitement et le sous-traitants doivent désigner un délégué à la Protection des données :

  • si leur activité fait partie du secteur public ;
  • si leur activité principale amène un suivi régulier et systématique de personnes à grande échelle ;
  • si leur activité principale amène le traitement à grande échelle de données dites sensibles ou relatives à des condamnations pénales et infractions.

Le délégué est chargé :

  • d'informer et de conseiller le responsable de traitement ou le sous-traitant, ainsi que ses employés ;
  • de contrôler le respect du règlement européen et du droit national en matière de protection des données ;
  • de conseiller l'organisme sur la réalisation d'une analyse d'impact (PIA) et d'en vérifier l'exécution ;
  • de coopérer avec l'autorité de contrôle et d'être le point de contact de celle-ci.

La personne pouvant devenir délégué à la protection des données doit avoir les qualités et compétences suivantes :

  • Communiquer efficacement et exercer ses fonctions et missions en toute indépendance (ne pas avoir de de conflit d'intérêts avec ses autres missions) ;
  • Avoir une expertise en matière de législations et pratiques (protection des données), acquise notamment par une formation continue ;
  • Avoir une bonne connaissance du secteur d'activité et de l'organisation de l'organisme (opérations de traitement, systèmes d'information et besoins de l'organisme en matière de protection et de sécurité des données) ;
  • Avoir une position efficace en interne pour faire un rapport au niveau le plus élevé de l'organisme ;
  • Animer un réseau de relais au sein des filiales d'un groupe par exemple et/ou une équipe d'experts en interne (expert informatique, juriste, expert en communication, traducteur, par exemple).

Le délégué peut être une personne issue du domaine technique, juridique ou autre.

Outre les sanctions pénales (amende, emprisonnement), le manquement de l'entreprise aux obligations de protection des données personnelles peut entraîner de la part des autorités de protection des données :

  • un avertissement ;
  • une mise en demeure l'entreprise ;
  • une limitation temporaire ou définitive d'un traitement ;
  • une suspension des flux de données ;
  • de satisfaire aux demandes d'exercice des droits des personnes ;
  • la rectification, la limitation ou l'effacement des données.

  À noter :

les associations actives en matière de protection des données ont la possibilité d'introduire des recours collectifs en matière de protection des données personnelles.