Dimanche 5 Mars 2006
Adeline Crépin

Expertise | La déclaration de traitement : pourquoi, comment ? (Loi Informatique et Libertés)

Après un premier article présentant les notions fondamentales de données personnelles et de traitement, nous abordons dans cet article le régime standard de la déclaration. Nous poursuivrons par le « régime renforcé » des autorisations, applicable aux fichiers « sensibles » (recherche médicale, dispositif biométrique d'accès aux locaux ...) et le « régime allégé » : les textes prévoient quelques cas où les déclarations sont inutiles... Insistons : tout fichier ne relevant ni du régime d'autorisation ni de l'exonération doit être déclaré par le mécanisme de Déclaration.


Dès 1978, la loi Informatique et Libertés organise ce système de Déclaration : concrètement, le Responsable de Traitement informe la CNIL de l'existence et de l'architecture du traitement. La déclaration est un moyen de mettre en conformité le traitement ; elle est aussi un acte d'engagement du respect des dispositions légales de la part du responsable.
Quelques précisions importantes :

1. Déclarer un fichier n'exonère pas le responsable de sa responsabilité, tant civile que pénale. C'est un acte formel d'engagement qui ne préjuge pas de la légalité du traitement.

2. Légalement, un traitement ne peut être mis en oeuvre qu'après réception du récépissé délivré par la CNIL. Si toutefois vous avez des traitements déjà en place, mais que vous n'avez pas procédé aux formalités préalables, inutile de paniquer, ni de rester dans la clandestinité. Le plus important est d'entrer en conformité avec la loi. La CNIL fait preuve de souplesse envers ceux qui réagissent a posteriori, l'objectif de protection de la vie privée supplantant les tracasseries de délai. Le nouveau mécanisme du Correspondant Informatique et Libertés (CIL) encourage et facilite cette mise en conformité.

3. Tous les événéments de la vie des traitements et fichiers doivent être déclarés : la création évidemment, mais aussi les modifications et les suppressions.

La déclaration est le régime de base de la loi Informatique et Libertés : tous les autres régimes sont, sur le plan légal, des exceptions au système de déclaration. Dans les faits, il existe trois types de déclarations :

La déclaration normale (art. 23 I)
Lorsqu'un traitement peut porter atteinte à la vie privée d'une ou plusieurs personnes, il doit faire préalablement à sa mise en oeuvre l'objet d'une déclaration auprès de la CNIL.

Une déclaration normale ne peut être réalisée que sous forme papier (6 pages plus les annexes) ; la remplir prend entre une heure et une journée de travail... principalement selon l'expérience du déclarant.

La déclaration simplifiée (ou norme simplifiée)
Certains traitement ou fichiers ne comportent pas de danger pour la vie privée et les libertés : la CNIL adopte des décisions qui les encadre. Si la mise en oeuvre respecte strictement ces limites, il suffit alors au responsable de s'engager à respecter les normes édictées, au moyen d'une déclaration simplifiée.

A ce jour, 31 normes simplifiées (NS) sont applicables (la liste est consultable sur le site de la CNIL. Il n'est pas inutile d'y jetter un coup d'oeil. Les traitements les plus courants de la vie d'une entreprise y figurent, comme la gestion du personnel (NS n° 46), la gestion d'accès aux locaux et aux services de restauration (NS n° 42) ou la gestion de fichiers des clients et prospects (NS n° 48). Attention : un fichier Client n'est pas automatiquement éligible à la déclaration simplifiée, le responsable du traitement doit vérifier qu'il respecte les règles définies par la norme simplifiée, durant toute la vie de ce fichier.

Pour une déclaration simplifiée, réalisable par internet uniquement, compter 6 écrans et autant de pages d'aide, entre vingt et soixante champs de saisie, une petite heure de travail si c'est votre première télé-déclaration.

La déclaration de site internet
Tout site internet présentant, collectant, traitant... des données à caractère personnel doit être déclaré à la CNIL, avec un bémol récent : cette exigence de déclaration est désormais limitée aux sites destinés à un usage non personnel. Autrement dit, les sites à caractère professionnel, politique, associatif... sont soumis à déclaration (voire à autorisation pour des sites comportant des données sensibles, comme ce fut le cas pour Infobail). Mais l'absence de notification à la CNIL ne dispense pas du respect de la loi Informatique et Libertés qui demeure applicable (comme toutes les autres lois...), précision qui se révèle importante pour les bloggeurs en herbe.

Cette déclaration de site internet ne vous prendra pas plus d'une demi-heure.

Conclusion
Il est important de souligner que le régime de déclaration est la source essentielle de travail du Correspondant Informatique et Libertés (CIL). L'existence de ce dernier dispense des formalités des déclarations, remplacées par la tenue d'une liste des traitements mis en oeuvre. Les avantages sont multiples : mise en conformité légale simplifiée, gain de temps, amélioration de l'image de marque auprès des clients et partenaires, sans parler d'éviter les peines prévues par le Code Pénal (5 ans d'emprisonnement et 300 000 € d'amende pour tous ceux ayant « oublié » de déclarer leurs fichiers).

Cédric Crépin est juriste, titulaire d'un DESS - Master II en Droit des Technologies de l'Information et de la Communication à la Faculté de Lille 2. Il a rédigé son Mémoire de fin d'étude : « Le Correspondant Informatique et Libertés : un nouvel outil de régulation pour la protection des données à caractère personnel » dans le cadre d'un stage à la CNIL.

Cédric a rejoint le Cabinet Cilex début 2006. Le Cabinet fournit des prestations de Conseil, de Formation et d'externalisation dans le domaine du Correspondant Informatique et Libertés.

cedric.crepin@cabinet-cilex.com]
http://www.cabinet-cilex.com]


Articles similaires