Samedi 29 Avril 2006
Adeline Crépin

La dispense de déclaration et l'exonération légale

Au-delà du principe de notification des traitements, inscrit dans les régimes de la Déclaration et de l'Autorisation, analysés dans nos articles précédents, la loi Informatique et Libertés énumère des cas de dispense de déclaration des fichiers et des traitements de données personnelles. La réforme de 2004 a étendu cette possibilité et confère désormais à la CNIL un pouvoir de dispense de déclaration lorsque des traitements ne présentent aucun danger pour la vie privée. Il existe ainsi plusieurs situations dans lesquelles la loi n'a pas vocation à s'appliquer… et les formalités ne sont pas nécessaires.
On peut ainsi être en conformité avec la loi sans déployer le moindre effort… Explications.


Les exonérations légales

1) Le champ d'application de la loi
La loi Informatique et Libertés exclut explicitement de son champ d'application certains traitements et situations, avec diverses conséquences. Nous les reprenons ci-dessous :

- L'article 2 de la loi précise que le texte du 6 janvier 1978 s'applique aux traitements de données à caractère personnel, « à l'exception des traitements mis en oeuvre pour l'exercice d'activités exclusivement personnelles ».

Que recouvre cette exclusion ? L'esprit de la loi est de protéger la liberté et la vie privée des individus. On considère ainsi que le traitement de données au sein d'un groupe restreint, proche de la notion de « cercle familial », limite tout danger pour la vie privée.

On peut entendre par activités personnelles celles concernant la vie privée ou familiale. La tenue d'un répertoire téléphonique, les correspondances privées, et désormais la tenue d'un site internet personnel sont des traitements entrant dans cette catégorie. Attention toutefois pour de tels sites web : leur accès doit être limité à quelques personnes – l'internet étant un milieu ouvert, la notion d'activité personnelle ne pourra être retenue que si des restrictions d'usage sont actives.
Enfin, la finalité doit être exclusivement personnelle : le carnet d'adresses professionnel n'entre donc pas dans cette catégorie.

- L'article 4 exclut du champ de compétence de la loi les copies informatiques temporaires (ou copies cache) répondant à une triple condition :
. elles doivent être faites dans le cadre d'une activité technique de transmission et de fourniture d'accès à un réseau numériqu
. le but doit être un stockage automatique, intermédiaire et transitoire des données
. la finalité doit être de permettre à d'autres destinataires du service le meilleur accès possible aux informations transmises

Derrière cette formulation complexe, la loi semble viser les serveurs « proxy » utilisés par les fournisseurs d'accès à internet. Les informations transitant sur les réseaux y sont tempo-rairement conservées, ce qui fluidifie les communications (une requête ultérieure auprès du serveur initial est plus rapide). Il faut souligner que cette exonération n'est pas issue de la directive de 1995.

- L'article 5 interprété a contrario livre également une exonération : la loi ne s'applique pas aux responsables de traitements établis hors du territoire français, mais dans la Communauté Européenne : la loi du pays d'établissement est alors compétente. Les traitements de simple transit en France sont également exemptés.

2) Les traitements non soumis à formalité déclarative
L'article 22 exclut deux types de traitements du régime de la Déclaration :

- « Les traitements ayant pour seul objet la tenue d'un registre qui, en vertu de dispositions législatives ou réglementaires, est destiné exclusivement à l'information du public et est ouvert à la consultation de celui-ci ou de toute personne justifiant d'un intérêt légitime »

La CNIL a eu plusieurs fois l'occasion de confirmer la dispense de déclaration d'un tel registre. Il en est ainsi du registre unique du personnel qui est une obligation légale pour toute entreprise. Dans le même ordre d'idée, le fichier des démarcheurs financiers tenu par la Banque de France en vertu du Code monétaire et financier a été reconnu comme étant destiné à l'information du public.

- Les traitements mis en oeuvre par une association ou tout autre organisme à but non lucratif et à caractère religieux, philosophique, politique ou syndical. Toutefois, pour être dispensés de déclaration, ces traitements doivent correspondre à l'objet de l'association ou de l'organisme. Ainsi, l'orientation sexuelle ne peut pas être légitimement demandée aux membres d'une confrérie religieuse. Les données ne doivent concerner que les membres de l'organisation, voire des personnes en contact régulier dans le cadre de l'activité. Enfin, les données ne peuvent être communiquées à des tiers, sauf si la personne y consent expressément.

Il est important de noter ici que le traitement de telles informations est prohibé pour tous les autres acteurs – ainsi, pour une entreprise, ces informations passent par une demande d'Autorisation préalable.

L'article 67 définit l'exonération des traitements de données à caractère personnel mis en oeuvre dans le seul but de l'expression littéraire et artistique ou dans le cadre de l'exercice de l'activité de journaliste.

3) Le Correspondant Informatique et Libertés

La réforme de 2004 a introduit un nouveau régime exonératoire. La désignation d'un Correspondant Informatique et Libertés (CIL) entraîne dispense de Déclaration pour les traitements normalement soumis à ce régime. Ce CIL doit établir un registre de ces traitements et le tenir à disposition de la CNIL ou de toute personne en demandant la consultation.

Les exonérations de la CNIL

La réforme de 2004 a attribué un nouveau pouvoir à la CNIL. L'article 24 I de la loi du 6 janvier 1978 permettait à la Commission d'établir des Normes Simplifiées de Déclarations (cf l'article CILEX sur la Déclaration) ; l'article 24 II permet désormais à la CNIL d'exonérer ces traitements de toute déclaration. A ce jour, cinq des six exemptions faisaient préalablement l'objet d'une norme simplifiée ; l'exemption n°5 (dématérialisation du contrôle de la légalité pour les collectivités locales) ne reposant pas sur une telle exception antérieure.

Depuis l'entrée en vigueur de la réforme, la CNIL a établi 6 dispenses de déclaration :

- Dispense n° 1 : déclaration des traitements de gestion des rémunérations mis en œuvre par l’Etat, les collectivités locales, les établissements publics et les personnes morales de droit privé gérant un service public.
- Dispense n° 2 : déclaration des traitements de gestion des rémunérations mis en œuvre par les personnes morales de droit privé autres que celles gérant un service public.
- Dispense n° 3 : déclaration des traitements mis en œuvre par les organismes publics dans le cadre de la dématérialisation des marchés publics.
- Dispense n° 4 : déclaration des traitements relatifs à la gestion des fichiers de fournisseurs comportant des personnes physiques.
- Dispense n° 5 : déclaration des traitements mis en œuvre par les collectivités territoriales et les services du représentant de l’État dans le cadre de la dématérialisation du contrôle de légalité.
- Dispense n° 6 : déclaration des sites web diffusant ou collectant des données à caractère personnel mis en œuvre par des particuliers dans le cadre d’une activité exclusivement personnelle.

Historiquement, la CNIL avait dès 1980 accordé une dispense de déclaration aux traitements automatisés de comptabilité générale – en recourant à une interprétation extensive de la loi…

Il faut bien retenir ceci : les traitements ne sont exonérés de déclaration que s'ils respectent le cadre directeur donné par la CNIL. Il est donc important de bien analyser les Délibérations de la Commission portant dispense pour être certain que vos traitements répondent bien à la dispense. Si ce n'est pas le cas, le traitement revient dans le régime standard de Déclaration… voire d'Autorisation.

Cédric Crépin est juriste, titulaire d'un DESS - Master II en Droit des Technologies de l'Information et de la Communication à la Faculté de Lille 2. Il a rédigé son Mémoire de fin d'étude : « Le Correspondant Informatique et Libertés : un nouvel outil de régulation pour la protection des données à caractère personnel » dans le cadre d'un stage à la CNIL.

Cédric (cedric.crepin@cabinet-cilex.com) a rejoint le Cabinet Cilex (http://www.cabinet-cilex.com début 2006. Le Cabinet fournit des prestations de Conseil, de Formation et d'externalisation dans le domaine du Correspondant Informatique et Libertés.



Articles similaires