Bienvenue sur JurisPedia! Vous êtes invités à créer un compte et à contribuer après avoir confirmé votre adresse de courriel. Dès lors, vous pouvez ajouter un article en commençant par lui donner un titre en renseignant ce champ:

Les lecteurs et contributeurs ne doivent pas oublier de consulter les avertissements juridiques. Il y a actuellement 3 533 articles en construction permanente...

Correspondant informatique et libertés dans les entreprises (fr)

Un article de JurisPedia, le droit partagé.
Aller à : Navigation, Rechercher


Cet article est une ébauche relative au droit français, vous pouvez partager vos connaissances juridiques en le modifiant, vous pouvez également faire une recherche dans le moteur...'
'
Recherche en droit français Fr flag.png
Google Custom Search

France > Droit des médias > Droit de l'informatique et de l'internet
Fr flag.png

Sommaire

Historique juridique des données à caractère personnel

La Déclaration Universelle des Droits de l’Homme (1948) [1]

Article 12 - « Nul ne sera l'objet d'immixtions arbitraires dans sa vie privée, sa famille, son domicile ou sa correspondance, ni d'atteintes à son honneur et à sa réputation. Toute personne a droit à la protection de la loi contre de telles immixtions ou de telles atteintes. »

La Convention Européenne des Droits de l’Homme et des Libertés fondamentales (1950) [2]

Article 8 – Droit au respect de la vie privée et familiale

« 1. Toute personne a droit au respect de sa vie privée et familiale, de son domicile et de sa correspondance. 2. Il ne peut y avoir ingérence d'une autorité publique dans l'exercice de ce droit que pour autant que cette ingérence est prévue par la loi et qu'elle constitue une mesure qui, dans une société démocratique, est nécessaire à la sécurité nationale, à la sûreté publique, au bien-être économique du pays, à la défense de l'ordre et à la prévention des infractions pénales, à la protection de la santé ou de la morale, ou à la protection des droits et libertés d'autrui. »

La loi du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés [3]

La loi n°78-17 relative à l'informatique, aux fichiers et aux libertés du 6 janvier 1978 (plus connue sous le nom de « loi Informatique et Libertés de 1978 » est une loi française promulguée à la suite de l'affaire SAFARI, et qui réglemente aujourd'hui notamment la pratique du fichage, manuel ou informatique. Elle institue notamment la Commission Nationale de l’Informatique et des libertés (CNIL) [4], autorité chargée de veiller à la protection des données personnelles et de la vie privée. Dans ce cadre, la CNIL vérifie que la loi est respectée en contrôlant les applications informatiques, prononce des sanctions, établit des normes et propose au gouvernement des mesures législatives ou réglementaires de nature à adapter la protection des libertés et de la vie privée à l'évolution des techniques. Article 1 – « L'informatique doit être au service de chaque citoyen. Son développement doit s'opérer dans le cadre de la coopération internationale. Elle ne doit porter atteinte ni à l'identité humaine, ni aux droits de l'homme, ni à la vie privée, ni aux libertés individuelles ou publiques. »

La Convention 108 du Conseil de l’Europe (25 janvier 1981) [5]

Article 1er – Objet et but « Le but de la présente Convention est de garantir, sur le territoire de chaque Partie, à toute personne physique, quelles que soient sa nationalité ou sa résidence, le respect de ses droits et de ses libertés fondamentales, et notamment de son droit à la vie privée, à l'égard du traitement automatisé des données à caractère personnel la concernant («protection des données»). »

La Directive 95/46/CE du Parlement européen et du Conseil (24 octobre 1995) [6]

C’est la directive relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données. La directive 95/46/CE constitue le texte de référence, au niveau européen, en matière de protection des données à caractère personnel. Elle met en place un cadre réglementaire visant à établir un équilibre entre un niveau élevé de protection de la vie privée des personnes et la libre circulation des données à caractère personnel au sein de l'Union européenne (UE). Pour ce faire, la directive fixe des limites strictes à la collecte et à l'utilisation des données à caractère personnel, et demande la création, dans chaque État membre, d'un organisme national indépendant chargé de la protection de ces données.

La loi du 6 août 2004 relative à la protection des personnes physiques à l'égard des traitements de données à caractère personnel [7]

La loi n° 2004-801 du 6 août 2004, qui transpose dans le droit français les dispositions de la directive 95/46/CE, apporte de nombreuses modifications à la loi Informatique et Libertés. Elle a été complétée par décrets du 20 octobre 2005 et du 25 mars 2007. Grâce à la refonte de la loi Informatique et Libertés a été introduit le correspondant à la protection des données à caractère personnel couramment appelé « Correspondant Informatique et Libertés » (CIL).

Article 22 –

« I. - A l'exception de ceux qui relèvent des dispositions prévues aux articles 25, 26 et 27 ou qui sont visés au deuxième alinéa de l'article 36, les traitements automatisés de données à caractère personnel font l'objet d'une déclaration auprès de la Commission nationale de l'informatique et des libertés. II. - Toutefois, ne sont soumis à aucune des formalités préalables prévues au présent chapitre : 1° Les traitements ayant pour seul objet la tenue d'un registre qui, en vertu de dispositions législatives ou réglementaires, est destiné exclusivement à l'information du public et est ouvert à la consultation de celui-ci ou de toute personne justifiant d'un intérêt légitime ; 2° Les traitements mentionnés au 3° du II de l'article 8. III. - Les traitements pour lesquels le responsable a désigné un correspondant à la protection des données à caractère personnel chargé d'assurer, d'une manière indépendante, le respect des obligations prévues dans la présente loi sont dispensés des formalités prévues aux articles 23 et 24, sauf lorsqu'un transfert de données à caractère personnel à destination d'un Etat non membre de la Communauté européenne est envisagé. La désignation du correspondant est notifiée à la Commission nationale de l'informatique et des libertés. Elle est portée à la connaissance des instances représentatives du personnel. Le correspondant est une personne bénéficiant des qualifications requises pour exercer ses missions. Il tient une liste des traitements effectués immédiatement accessible à toute personne en faisant la demande et ne peut faire l'objet d'aucune sanction de la part de l'employeur du fait de l'accomplissement de ses missions. Il peut saisir la Commission nationale de l'informatique et des libertés des difficultés qu'il rencontre dans l'exercice de ses missions. En cas de non-respect des dispositions de la loi, le responsable du traitement est enjoint par la Commission nationale de l'informatique et des libertés de procéder aux formalités prévues aux articles 23 et 24. En cas de manquement constaté à ses devoirs, le correspondant est déchargé de ses fonctions sur demande, ou après consultation, de la Commission nationale de l'informatique et des libertés. IV. - Le responsable d'un traitement de données à caractère personnel qui n'est soumis à aucune des formalités prévues au présent chapitre communique à toute personne qui en fait la demande les informations relatives à ce traitement mentionnées aux 2° à 6° du I de l'article 31. »

Le Décret n° 2005-1309 du 20 octobre 2005 [8]

Le décret n° 2005-1309 du 20 octobre 2005 est le décret d’application de la loi Informatique et Libertés modifiée en 2004.

Article 42 –

« La désignation d'un correspondant à la protection des données à caractère personnel par le responsable de traitements relevant des formalités prévues aux articles 22 à 24 de la loi du 6 janvier 1978 susvisée est notifiée à la Commission nationale de l'informatique et des libertés par lettre recommandée avec demande d'avis de réception ou par remise au secrétariat de la commission contre reçu, ou par voie électronique avec accusé de réception qui peut être adressé par la même voie. »

Le Décret n° 2007-451 du 25 mars 2007 [9]

Le décret n° 2007-451 modifie le décret n° 2005-1309 du 20 octobre 2005 pris pour l’application de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, modifiée par la loi n° 2004-801 du 6 août 2004.

Le Correspondant Informatique et libertés (CIL)

Les raisons de la désignation d'un CIL

La loi Informatique et Libertés et son décret d’application prévoient, pour les entreprises, les collectivités locales, les administrations ou les associations, la possibilité de nommer un Correspondant Informatique et Libertés. La désignation d’un CIL, par le responsable des traitements, a plusieurs avantages : elle permet une meilleure application de la loi, une sécurité juridique, un allègement des formalités et une relation privilégiée avec la CNIL.

Une meilleure application de la loi

La première raison de la désignation d’un CIL au sein d’un organisme est celle de la sécurité juridique. En effet, le CIL permet de garantir la conformité de l’organisme à la loi, notamment la loi « Informatique et Libertés ». Cette désignation permet de mieux assurer les obligations imposées par la loi au responsable des traitements. Cette maîtrise des risques juridiques est d’autant plus importante que certains manquements à la loi du 6 janvier 1978 sont pénalement sanctionnés. Le responsable de traitements est notamment tenu d’assurer le respect des droits des personnes concernées : il doit ainsi leur fournir une information suffisante sur les traitements mis en œuvre. Il doit aussi veiller à ce que les données traitées ne soient utilisées qu’aux seules fins pour lesquelles elles sont collectées. Enfin, il doit faire respecter la sécurité et la confidentialité de ces informations. Le temps libéré du fait de la dispense de déclaration peut donc désormais être consacré à l’application pratique de la loi Informatique et Libertés. Le responsable de traitements dispose en la personne du CIL d’un interlocuteur spécialisé à même de le conseiller dans ses choix.

Une sécurité informatique

Une meilleure application de la loi signifie aussi une source de sécurité informatique renforcée au sein de l’organisme. Le CIL doit veiller ainsi à ce que toutes les précautions utiles et nécessaires ont été prises pour préserver la sécurité des données. Il doit notamment empêcher que ces données soient altérées, endommagées ou communiquées à des personnes n’ayant aucune raison de les connaître.

Un allègement des formalités

Comme envisagé un peu plus haut, la désignation d’un CIL est un facteur de simplification des formalités administratives. En principe, les traitements automatisés de données à caractère personnel font l'objet d'une déclaration auprès de la CNIL (art. 23 et 24 de la loi du 6 janvier 1978). La désignation d’un CIL a pour effet d’exonérer les responsables de traitements de l’accomplissement de tout ou partie des formalités préalables leur incombant. L’on peut donc voir en la désignation d’un CIL un allègement considérable des formalités. Ainsi, une fois le CIL désigné, seuls les traitements soumis à autorisation ou avis préalable de la CNIL (traitements comportant des risques manifestes pour les droits des personnes) devront continuer à être déclarés. Les autres traitements devront simplement être référencés dans une liste tenue par le CIL et régulièrement mise à jour par ce dernier. Notons cependant que la désignation d’un CIL n’emporte pas dispense de demander l’autorisation ou l’avis de la CNIL pour les traitements comportant des transferts de données personnelles hors de l’Union Européenne (art. 22 de la loi du 6 janvier 1978).

Une relation privilégiée avec la CNIL

Outre le fait que la désignation du CIL doit être notifiée à la CNIL, le correspondant bénéficie surtout d’une relation privilégiée avec cette dernière: il dispose en effet d’un accès personnalisé aux services l’autorité chargée de veiller à la protection des données personnelles et de la vie privée en France. Le CIL dispose : - d'une ligne téléphonique et d’une adresse électronique dédiées ; - d'un extranet proposant des services exclusifs et notamment des forums de discussion et des outils pratiques. Le CIL devra, par ailleurs, tenir certains documents à la disposition de la CNIL. Considérant le CIL comme un acteur « relais », la CNIL conduit par ailleurs une vaste opération de communication et de pédagogie auprès des acteurs concernés par la désignation d’un CIL.

Les missions d'un CIL

Établir et actualiser une liste des traitements

Le contenu de la liste

La mise à jour de la liste

Tenir cette liste à disposition

Veiller à l’application de la loi Informatique et Libertés

Conseiller et recommander le responsable des traitements

Diffuser « une culture Informatique et Libertés »

Constater les manquements

Rendre compte de son action à l’aide d’un bilan annuel

Autres missions

La désignation d'un CIL

Un salarié ou une personne extérieure

Un CIL interne

Un CIL externe

Les compétences du CIL

Les connaissances du CIL

Les formations du CIL

L’indépendance du CIL

Le correspondant est directement rattaché au responsable des traitements

Le correspondant est indépendant

Le correspondant est protégé

Les incompatibilités de fonctions

Les modalités de désignation d'un CIL

L’information aux instances représentatives du personnel

La notification à la CNIL

La prise d’effet de la désignation

Modification, remplacement ou fin de fonctions

A l’initiative de la CNIL lorsque le CIL manque aux devoirs de sa mission :

A l’initiative du responsable de traitement lorsque le CIL manque aux devoirs de sa mission :

A l’initiative du CIL démissionnaire :

Les pouvoirs de contrôle de la CNIL

L’injonction de procéder aux formalités

Décharge du correspondant en cas de manquement grave du CIL

L'AFCDP

Actualités

Comparaison européenne et internationale

Le correspondant informatique et libertés existe dans d'autres pays comme en Allemagne (Datenschutzbeauftragter (préposé à la protection des données) créé dans les années 1970), aux Pays-Bas (functionaris gegevensbescherming (délégué à la protection des données)), en Suède (personuppgiftsombud (délégué à la protection des données)) ainsi qu’aux États-Unis (Chief Privacy Officer (responsable en chef de la vie privée)).

Voir aussi

Liens externes

Références

Notes

  1. Déclaration Universelle des Droits de l’Homme sur le site de l'Organisation des Nations Unies
  2. Convention Européenne des Droits de l'Homme et des Libertés fondamentales[1]
  3. Loi du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés [2]
  4. Site de la Commission Nationale de l'Informatique et des Libertés [3]
  5. Convention 108 du Conseil de l'Europe [4]
  6. Directive 95/46/CE du Parlement européen et du Conseil[5]
  7. Loi du 6 août 2004 relative à la protection des personnes physiques à l'égard des traitements de données à caractère personnel [6]
  8. Décret n° 2005-1309 du 20 octobre 2005 [7]
  9. Décret n° 2007-451 du 25 mars 2007[8]