 | | | |
| | | |
| |
| IV. Informatique et libertés | |
| |
| | | |
| | | |
| Retour
au sommaire | | |
| | | |
| | |
|
|
|
 n° 1489-a - Généralités (Informatique et libertés) |
|
|
| |
|
|
| Le décret d’application du 20 octobre 2005 achève la mise en place d’un dispositif global introduit par la loi du 6 août 2004 modifiant la loi Informatique et libertés. Outre des dispositions ayant trait au fonctionnement et à l’organisation de la Cnil, il comporte des mesures qui présentent un impact direct sur l’application de la loi par les entreprises et organismes publics. Il instaure un seuil à l’intérieur duquel une entreprise ou un organisme peut uniquement désigner un correspondant interne (50 personnes chargées de la mise en oeuvre ou ayant directement accès aux traitements concernés) et au-delà, la possibilité d’optimiser la désignation d’un correspondant externe dans le cadre de groupes de sociétés, d’un GIE ou d’organismes professionnels ou regroupant des responsables de traitements (Décr. n°2005-1309 du 20 octobre 2005 : JO du 22 octobre 2005). |
|
|
| |
|
|
|
|
|
| n° 1489-b - Généralités (Informatique et libertés) |
|
|
| |
|
|
Le décret du 25 mars 2007 modifie et complète celui du 20 octobre 2005 (Décret. n° 2007-451 du 25 mars 2007 : JO 28). Certaines entrent dans le détail de l'organisation, du fonctionnement et des procédures de la Cnil afin de lui permettre de tenir compte de l'accroissement considérable de son activité résultant des nouveaux régimes de formalités préalables introduits par la loi du 6 août 2004 (délai prolongé, assouplissement de l'organisation interne du travail de la Commission , etc.). D'autres dispositions visent à tenir compte de la loi du 23 janvier 2006 contre le terrorisme (restriction des informations appelées à figurer dans les demandes d'avis soumises à la Cnil pour les traitements intéressant la sûreté de l'Etat, la défense ou la sécurité publique, suppression du droit d'accès indirect à ces fichiers) ou encore à modifier certaines obligations incombant aux responsables des traitements (adaptation de l'obligation d'information pour les collectes par téléphone, orale et à distance, n'informer du niveau de protection offert par les pays tiers que lorsque la personne concernée le demande, etc .), y compris en ce qui concerne les formalités préalables incombant aux responsables de traitements envisageant un transfert de données à caractère personnel. Enfin, il introduit une disposition spécifique au secteur public permettant à une personne fichée cherchant à exercer son droit d'accès de saisir le juge administratif d'un référé dit de "mesures utiles" en cas de risque de dissimulation ou de disparition de données par l'Etat, une collectivité territoriale ou toute autre personne publique. | |
|
|
|
|
|
|
|
| |
|
|
| n° 1499 - Missions et pouvoirs de la Commission nationale de l'informatique et des libertés |
|
|
| |
|
|
Les articles 54 (instruction des plaintes) et 63 (faits susceptibles de constituer des manquements à la loi) du règlement intérieur de la Commission nationale de l'informatique et des libertés sont modifiés de manière à traduire les changements apportés par la loi du 6 août 2004 (Délib. n°2004-098 : JO du 9 décembre 2004). |
|
|
| |
|
|
|
|
|
|
| |
|
|
|
n° 1502 - Contrôle des applications de l'informatique
| | |
| | | |
Constitue un délit d’entrave à l’action de la CNIL, le fait d’envoyer volontairement à la CNIL des informations inexactes dans le but d’éluder le contrôle de la commission (Cass. crim. 28 septembre 2004, n° 03-86.604). |
| |
| La lettre de la CNIL accompagnant le récépissé du dépôt de déclaration dans laquelle elle émet de fortes réserves et appelle le responsable du traitement à se conformer à la loi, constitue une mise en demeure susceptible de faire l’objet d’un recours pour excès de pouvoir (CE 28 juillet 2004, 10ème et 9ème sous-sections réunies, n° 262851). |
|
|
| |
|
|
| La Cnil a adopté le 23 mai 2006 un nouveau règlement intérieur dans lequel sont apportées des précisions sur le décret du 20 octobre 2005 (Délib. n°2006-147). Il précise entre autre, la communicabilité des décisions de la Cnil et les règles d’incompatibilité pour les agents amenés à faire des contrôles. |
|
|
| |
|
|
| | | |
| | |
| |
|
|
|
| n° 1503-a - Pouvoir réglementaire et de sanction administrative |
|
| |
|
Par délibération du 28 juin 2006, la Cnil a condamné le Crédit Lyonnais au paiement d’une amende de 45 000 euros pour entrave à son action et pour avoir inscrit de façon abusive plusieurs clients dans le fichier des « retraits CB » mis en œuvre par la Banque de France. En outre, la Cnil a ordonné l’insertion de sa décision dans le Figaro et La Tribune. Cette sanction a été prise à la suite de plaintes adressées à la Cnil par des clients du Crédit Lyonnais qui contestaient leur inscription dans les fichiers centraux de la Banque de France. L’un d’entre eux avait été maintenu dans le fichier des incidents de remboursement de crédit au particulier alors qu’il avait payé sa dette. D’autres clients avaient été inscrits dans le fichier de centralisation des retraits de carte bancaire en l’absence d’incident lié à l’utilisation de leur carte bancaire. Après un an de démarches et deux contrôles sur place, la Cnil a estimé qu’il y avait eu entrave à son action et inscription abusive dans des fichiers. Elle a sanctionné ces manquements en prononçant pour la première fois une sanction pécuniaire (Délib. 2006-174 du 28-6-2006).
Par délibération du 28 juin 2006, la Cnil a fait application des dispositions des articles 45 et 47 de la loi du 6 janvier 1978 modifiée et a prononcé une sanction pécuniaire d’un montant de 5 000 euros, à l’encontre d’une étude d'huissiers de justice. Saisie d'une plainte attirant son attention sur les pratiques de l’étude qui enregistrait de nombreuses informations dans sa base de données « clients » sans lien direct avec la finalité du traitement, la Cnil a procédé à un contrôle sur place. Elle a ainsi constaté l’existence de nombreux commentaires sur les fiches informatiques des débiteurs, notamment, la référence à l’état de santé des personnes, à leurs traits de caractère ou à l’existence de mesures à caractère pénal comme par exemple : « séropositif depuis 23 ans », « ex policier accusé de vol puis relaxé », « déprime », « opération cancer des intestins », « incarcéré Baumettes attend liberté conditionnée », « tentative de suicide », « odieuse », « connasse », etc. La Cnil a également constaté que le fichier utilisé par les huissiers n’avait pas été déclaré. Elle a par conséquent mis en demeure la SCP se régulariser la situation en janvier 2006. Cette dernière ne s’étant pas conformée à la mise en demeure, la Cnil a décidé de prononcer une sanction pécuniaire (Délib. 2006-173 du 28-6-2006). |
|
| |
|
|
|
| n° 1503-b - Pouvoir réglementaire et de sanction administrative |
|
| |
|
Une procédure de sanction peut être engagée lorsque le responsable d’un traitement ne se conforme pas à la mise en demeure qui lui est adressée. La Cnil a ainsi condamné, au titre de l’article 45 de la loi, une société à 30 000 euros d’amende pour manque de coopération et de transparence (Délib. 2006-281 du 14 décembre 2006). |
|
|
|
|
|
|
|
| n° 1512 - RNIPP |
|
| |
|
| La Cnil fait mention de cinq refus d’autorisation adopté lors de sa séance plénière du 23 février 2006 relatifs à l’utilisation par des organismes de gestion de produits d’épargne, de crédit ou de recouvrement de créances, du numéro d’inscription au répertoire national d’identification des personnes physiques (NIR). Elle réaffirme le principe selon lequel l’utilisation du NIR par un organisme n’intervenant pas dans le secteur de la sécurité sociale, ne pouvait être admise que si elle correspondait à la poursuite d’un besoin d’intérêt général. En effet, permettre l’utilisation d’un tel numéro comme identifiant unique, facilite l’interconnexion des fichiers en possession d’un même organisme ou d’organismes différents et peut ainsi permettre de « tracer les individus dans tous les actes de la vie courante ». Compte tenu de ce risque, le législateur avait modifié la loi Informatique et libertés en 2004 pour soumettre à l’autorisation de la Cnil les traitements des organismes privés portant sur des données parmi lesquelles figure le NIR (art. 25-5). Concernant le projet de mise en place de tels traitements par des organismes de recouvrement de créances et des établissements de crédit, la Cnil considère donc que la lutte contre la fraude, l’homonymie ou la gestion de la relation commerciale ne justifie pas l’utilisation du NIR et qu’un identifiant spécifique doit être créé par les organismes concernés pour chacune de ces fonctions. |
|
| |
|
|
|
| |
|
n° 1513 - Infractions, condamnations ou mesures de sûreté |
|
| | |
L’interdiction faite aux personnes privées de diffuser des informations nominatives concernant les condamnations pénales s’applique également aux condamnations civiles comme la condamnation d’un débiteur au paiement d’une créance locative (CE 28 juillet 2004, n° 262851). | |
| |
|
Par décret du 14 octobre 2006, le « système de traitement des infractions constatées » (STIC) est mis en conformité avec la loi du 18 mars 2003 pour la sécurité intérieure. Le fichier STIC a pour finalité de faciliter la constatation des infractions à la loi pénale, le rassemblement des preuves de ces infractions et la recherche de leurs auteurs et l'exploitation des données à des fins de recherche statistique. Les agents des douanes habilités à exercer des missions de police judiciaire sont désormais autorisés à alimenter ce fichier. Ce dernier est placé sous le contrôle du procureur de la République territorialement compétent, qui est tenu de modifier ou d'effacer les données enregistrées dès qu'il constate qu'elles sont inexactes, incomplètes ou périmées (Décetr. n° 2006-1258 du 14-10- 2006 :
JO du 15-10-2006). Enfin parmi les personnes destinataires des données, le décret tient compte de l'avis motivé de la Cnil qui, compte tenu du très grand nombre d'utilisateurs potentiels et de la sensibilité des fichiers concernés, avait demandé que des règles d'habilitation rigoureuses de ces personnels soient définies (Délib. 2005-187 du 8 - 9- 2005 : JO 15). |
|
| |
| |
|
|
| n° 1514 -Communication politique |
|
| |
|
La Cnil a mis à jour les règles qu’elle avait successivement élaborée en 1991 et en 1996 en ce qui concerne la gestion des fichiers internes des élus et partis politiques et l’organisation d’opérations de communication politique et d’opérations de parrainage. Elle applique au domaine politique le principe de l’opt-in posé en matière commerciale par la loi pour la confiance dans l'économie numérique (LCEN) du 21 juin 2004. Elle rappelle également que si les fichiers utilisés à des fins de communication politique doivent être déclarés, ils peuvent faire l’objet d’une formalité allégée d’engagement de conformité à la nouvelle norme 34 adoptée par la Cnil en même temps que sa recommandation (Délib. n°2006-228 et 2006-229 du 05 octobre 2006). |
|
| |
|
|
|
|
|
| n° 1564 -Origine et durée de conservation |
|
| |
|
| La CNIL expose dans une recommandation du 11 octobre 2005, les limites Informatique et liberté à prendre en compte en matière d'archivage électronique des données à caractère personnel dans le " secteur privé " (Délib. n° 2005-213). Elle éclaire la notion complexe de " droit à l'oubli " qui nécessite de déterminer des durées limitées et appropriées de conservation des données. Les mesures de conformité ne peuvent être déterminées qu'au cas par cas, dans le cadre d'un plan d'archivage adapté. |
|
|
|
|
|
| |
|
n° 1578 - Récépissé |
|
| | |
La lettre de la CNIL accompagnant le récépissé du dépôt de déclaration, dans laquelle la commission émet de fortes réserves et appelle le responsable du traitement à ses conformer à la loi, constitue une mise en demeure susceptible de faire l’objet d’un recours pour excès de pouvoir (CE 28 juillet 2004, n° 262851). |
|
| |
|
|
|
|
|
|
|
| n° 1584 - Normes simplifiées |
|
| |
|
La Commission nationale de l'informatique et des libertés (CNIL) a adopté le 7 juin 2005 une nouvelle norme simplifiée relative à la gestion des fichiers de clients et de prospects. Elle inclut désormais la collecte de données par le biais d'Internet ainsi que la prospection par voie électronique (Norme simplifiée n° 48 regroupe et abroge la norme n° 11, la norme n° 17 et la norme n° 25).
|
|
| |
|
| Deux délibérations modifiant respectivement la norme simplifiée n°46 sur la gestion du personnel et la norme simplifiée n°48 sur la gestion de la clientèle ont été adoptées par la Cnil (Délib. n° 2005-276 et n° 2005-277 du 17 novembre 2005 : JO du 20 décembre 2005). Les principales modifications résident dans la levée de l'interdiction des transferts de données vers des pays non-membres de l'Union européenne n'accordant pas une protection suffisante pour des transferts. Les traitements qui ne pouvaient relever de ces normes du fait de tels transferts, pourront désormais en bénéficier, sans autorisation. |
|
|
|
|
|
|
|
| n° 1586 - Dispense de déclaration |
|
| |
|
| La CNIL a publié deux délibérations décidant la dispense de déclaration des traitements de gestion des rémunérations mis en oeuvre d’une part, par l'Etat, les collectivités locales, les établissements publics et les personnes morales de droit privé gérant un service public et d’autre part, par les personnes morales de droit privé autres que celles gérant un service public (Délib. n°2004-096 et n°2004-096 du 9 décembre 2004 : JO du 6 janvier 2005). |
|
| |
|
La Commission nationale de l'informatique et des libertés publie sa première décision unique d’autorisation au titre des nouvelles dispositions régissant les traitements considérés comme sensibles. Les collectivités locales ou leurs groupements (cadastre et urbanisme) peuvent bénéficier d’une déclaration allégée pour les traitements de données à caractère personnel comportant un système d'information géographique en contrepartie d’un engagement de conformité aux dispositions contenues dans ce texte (Délib. n°2004-105 : JO du 21 janvier 2005). |
|
| |
|
| Les traitements mis en oeuvre par les organismes publics dans le cadre de la dématérialisation des marchés publics peuvent bénéficier d’une dispense de déclaration (Délib. n° 2005-003 : JO du 6 mars 2005). Il en va de même des traitements relatifs à la gestion des fichiers de fournisseurs comportant des personnes physiques (Délib. n° 2005-005 : JO du 6 mars 2005). |
|
| |
|
|
|
|
|
| n° 1587 - Autorisation unique : biométrie |
|
| |
|
Trois autorisations uniques ont été adoptées le 27 avril 2006 par la CNIL pour mieux encadrer les modalités d’utilisation et simplifier les formalités déclaratives des dispositifs biométriques reposant sur le contour de la main pour le contrôle d’accès, la gestion des horaires et de la restauration sur les lieux de travail, l’empreinte digitale exclusivement enregistrée sur un support individuel pour le contrôle de l’accès aux locaux sur les lieux de travail et le contour de la main pour l’accès au restaurant scolaire. Dès lors que les dispositifs biométriques respectent les prescriptions définies dans l’une de ces autorisations, ils peuvent faire l’objet d’une déclaration en ligne sous la forme d’un engagement de conformité à l’autorisation unique adéquate. En revanche, les dispositifs reposant sur un enregistrement de l’empreinte digitale dans une base de données centralisée ou située sur le lecteur restent soumis à la procédure d’autorisation au cas par cas (Délib. n°2006-101, 102, 103 du 27 avril 2006). |
|
|
|
|
|
| |
|
|
|
| n° 1595 - Déclarations simplifiées (liste) |
|
| |
|
Norme n° 46 : délibération n° 2005-02 du 13 janvier 2005 portant adoption d’une norme destinée à simplifier l’obligation de déclaration des traitements mis en oeuvre par les organismes publics et privés pour la gestion de leurs personnels (JO du 17 février 2005).
Norme n° 47 : délibération n° 2005-19 de la CNIL du 3 février 2005 portant création d'une norme simplifiée concernant les traitements automatisés de données à caractère personnel mis en oeuvre dans le cadre de l'utilisation de services de téléphonie fixe et mobile sur les lieux de travail et portant abrogation de la norme simplifiée n° 40 (JO du 21 janvier 2005). |
|
|
|
|
|
|
|
| n° 1598 - Collecte et traitement |
|
| |
|
Justifie sa décision, la cour d'appel qui pour déclarer le prévenu coupable du délit prévu par l'article 226-18 du Code pénal dans sa rédaction alors en vigueur et le condamner, énonce qu'il a collecté des adresses électroniques, qui constituent des données nominatives, de façon déloyale en ce qu'elles ont été utilisées sans rapport avec l'objet de leur mise en ligne, que les titulaires des adresses n'ont pas donné leur consentement alors que le droit d'opposition dont ils disposent suppose qu'ils soient avisés, avant tout enregistrement, de ce que les informations nominatives les concernant peuvent faire l'objet d'un traitement. En outre constitue une collecte de données nominatives le fait d'identifier des adresses électroniques et de les utiliser, même sans les enregistrer dans un fichier, pour adresser à leurs titulaires des messages électroniques (Cass. crim. 14 mars 2006 : Gaz. Pal. nos 200-201 du 20 juillet 2006 som. p. 41 note Virginie Bensoussan-Brulé). |
|
|
|
|
|
|
|
| n° 1601 - Obligation de sécurité et de confidentialité |
|
| |
|
La Cnil a adresser un avertissement public à la société Free SAS pour avoir manqué à son obligation de sécurité en transmettant par erreur aux éditeurs d'annuaires et aux services de renseignements téléphoniques, le fichier des abonnés inscrit sur la « liste rouge » (Délib. 2006-208 du 21 septembre 2006).
|
|
|
|
|
|
|
|
| n° 1617 - Niveau de protection suffisant et autorisation préalable |
|
| |
|
Jugé que l’article 95 CE, lu en combinaison avec l’article 25 de la directive, n’est pas susceptible de fonder la compétence de la Communauté pour conclure un accord avec les Etats-Unis d’Amérique sur le traitement et le transfert de données de dossiers passagers (« Passenger Name Records » dit PNR) par des transporteurs aériens au bureau des douanes et de la protection des frontières du ministère américain de la sécurité intérieure.
En conséquence, la décision d’adéquation 2004/496 excédant les compétences conférées à la Commission par l’article 25 de la directive n’a pu être valablement adoptée et doit donc être annulée. L’accord restant applicable pendant le délai de 90 jours à compter de sa dénonciation, il paraît justifié, pour des raisons de sécurité juridique et afin de protéger les personnes concernées, de maintenir les effets de la décision d’adéquation pendant cette même période. Il y a donc lieu de maintenir les effets de la décision d’adéquation jusqu’au 30 septembre 2006, sans toutefois que ces effets soient maintenus au-delà de la date d’extinction de l’accord (CJCE 30 - 5 - 2006, affaires jointes C-317/04 et C-318/04 : Gaz. Pal. nos 291-292 du 18/19 - 10 - 2006 som. p. 26 note Chloé Torres, Virginie Bensoussan-Brulé).
Le 5 octobre 2006, l’Union européenne et les Etats-Unis ont conclu un accord autorisant le transfert aux autorités américaines, des données personnelles des passagers ("Passenger Name Records" dit PNR) par les compagnies aériennes. Il s’agit d’un compromis dans lequel l’UE a concédé que les données collectées par le Département à la sécurité intérieure américain (DHS), puissent être transmises à d’autres agences gouvernementales américaines en charge de la lutte anti-terroriste (FBI, CIA, notamment) en contrepartie d’un engagement de la part de l’administration américaine, à ce que tous les nouveaux destinataires de ces données PNR garantissent les mêmes conditions et niveau de protection des données que l’autorité des douanes américaines. Cet accord doit encore être entériné par les ministres européens de la justice. Il fixera donc le nouveau cadre légal du transferts de telles données. |
|
|
|
|
|
|
|
| n° 1622 - Segmentation |
|
| |
|
La Cnil a adopté le 2 février 2006 une autorisation unique relative au traitement d’analyse des demandes de crédit des personnes physiques (score). Ces traitements sont susceptibles d’être discriminatoires c’est-à-dire d’exclure certaines personnes au bénéfice d’une prestation. Les établissements de crédit, qui s’engagent à respecter les termes de cette autorisation sont dispensés de les décrire de façon complète. Ils peuvent déclarer en ligne sur le site de la Cnil qu’ils se conforment à l’autorisation unique n° AU-005. Cette autorisation prévoit que tout refus d’une demande de crédit devra être suivi d’une information du demandeur sur ses droits. Elle fixe également une liste limitative des informations susceptibles d’être utilisées pour établir le score. Enfin, cette autorisation évoluera afin de prendre en compte les aménagements les plus usuels que sont susceptibles de subir les modèles de score d’octroi. Sous réserve de vérifier l’adéquation du traitement avec la norme d’autorisation n° AU-005, cette dernière aurait vocation à s’appliquer et les établissements de crédit pourront déclarer en ligne leur conformité à ladite norme d’autorisation.
|
|
| |
|
| |
|
|
|
|
|
| n° 1654 - Droit d'opposition |
|
| |
|
C'est à bon droit, que les juges d'appel ont condamné pénalement des prévenus pour traitement de donnés nominatives malgré l'opposition d’une personne à être maintenu dans les fichiers d’une association, l’exercice du droit d’opposition n’étant subordonné à aucun formalisme particulier et en matière politique, philosophique ou religieuse, la légitimité de l’opposition étant remplie par le seul exercice de la faculté, pour la personne concernée, de s'opposer au traitement de données nominatives (Cass. crim. 28 septembre 2004 n° 03-86.604). |
|
|
|
|
|
|
|
| n° 1660 - La vidéosurveillance |
|
| |
|
La loi du 23 janvier 2006 relative à la lutte contre le terrorisme modifie également la réglementation sur la vidéosurveillance, issue de l’article 10 de la loi du 21 janvier 1995 d’orientation et de programmation relative à la sécurité. Ces dispositions, qui ont pour principal objet de prévenir les faits de délinquance, n’étaient pas adaptées à une utilisation des systèmes de caméras comme outil de prévention des actes de terrorisme. C’est pourquoi désormais, les risques d’actes de terrorisme figurent parmi les motifs légaux pouvant justifier l’installation de caméras filmant la voie publique ou l’intérieur de lieux et établissements ouverts au public. La loi autorise en outre, les personnes morales de droit privé à visionner la voie publique pour assurer la protection de leurs locaux lorsque ces lieux et établissements sont particulièrement exposés à des risques d'agression ou de vol ou sont susceptibles d'être exposés à des actes de terrorisme. Les systèmes de vidéosurveillance installés doivent être conformes à des normes techniques définies par arrêté ministériel, à compter de l'expiration d'un délai de deux ans après la publication de l'acte définissant ces normes. Ces systèmes font l’objet d’une autorisation limitée à cinq ans renouvelable (Loi 2006-64 du 23 janvier 2006). |
|
| |
|
|
|
|
|
| n° 1774 - Contrôle des accès à l'entreprise (biotmétrie) |
|
| |
|
La Chambre sociale de la Cour de cassation réaffirme le principe interdisant la mise en œuvre d’un dispositif de contrôle de l’activité professionnelle n’ayant pas été porté préalablement à la connaissance des salariés mais indique qu’il peut être opposé aux salariés des preuves recueillies par un système de surveillance des locaux auxquels ils n’ont pas accès. S’agissant d’un prestataire, l’employeur n’est pas tenu de divulguer l’existence des procédés installés par les clients de l’entreprise. En l’espèce, la mise en place de la caméra avait été décidée par un client et n’avait pas pour but de contrôler le travail des salariés mais uniquement de surveiller la porte d’accès d’un local dans lequel il ne devait y avoir aucune activité, et que les enregistrements vidéos litigieux constituaient un moyen de preuve tout à fait licite (Cass. soc. 19 avril 2005).
Le Tribunal de grande instance de Paris a rendu la première décision relative à la mise en place par une société d’un système biométrique de reconnaissance par empreintes digitales ayant pour finalité le contrôle du temps de travail de ses salariés. Le tribunal interdit la mise en place d’un tel système sur le fondement d’une absence de finalité adaptée et proportionnée au but recherché au sens de la Directive 95/46/CE (TGI Paris 1e ch. soc. 19 avril 2005 : n°05/00382). |
|
| |
|
|
|
| |
|
| |
