La loi « Informatique et libertés

Recherche
avancée

Boutique

Sommaire n° 35

	Ouverture La cohésion sociale au menu
	Circulaire sur la réforme de la négociation collective Contrat de professionnalisation Base de calcul de l'allocation de formation Saisie des rémunérations : ce qui est intouchable Nouvelles zones franches urbaines Modification de l'amplitude de l'horaire de nuit Inaptitude professionnelle : bien consulter les DP Troubles psychologiques liés à une agression Saisie sur rappels de salaire d'un ancien salarié Agenda des obligations Agenda des manifestations
	A la rencontre de Manager par les compétences
	Informatique et libertés La loi « Informatique et libertés » revue et corrigée
	Sécurité sociale Arrêts maladie et travail dissimulé
	Durée du travail Contingent annuel : pour quoi, pour qui, comment
	Retraite Mise à la retraite par l'employeur
	Inaptitude physique Inaptitude à tout emploi : quand même chercher à reclasser
	Libertés individuelles Un salarié peut-il tout dire ?
	Zoom sur arrêt Contester un arrêt maladie
	Relations collectives L'essentiel Licenciement économique Négociation collective cadre et limites Élections professionnelles Les syndicats dans l'entreprise Moyens et protection des RP : florilège
	La réponse de l'Avocat Plan de sauvegarde pour l'emploi
	Courrier Licenciement éco et maternité : timing Délégation unique du personnel Retraite et incapacité Mieux payé le jour que la nuit Accord préélectoral du CHSCT Clause d'objectif Congé payé puis sabbatique Contrat d'adaptation : jouer les prolongations


ARTICLES FAVORIS
	Ajouter cet article
	Voir mes articles


	Plus de sommaires

RF Social - N° 35

Date de parution: 10/2004

Informatique et libertés

L'entreprise et la CNIL

La loi « Informatique et libertés » revue et corrigée

La nouvelle mouture de la loi « Informatique et libertés » concerne aussi les employeurs dans la gestion de leur personnel.

Traitements de données à caractère personnel

Les traitements de données à caractère personnel sont soumis à certaines conditions de validité (loi 78-17 du 6 janvier 1978 modifiée par loi 2004-801 du 6 août 2004, JO du 7).

Collecte et traitements des données.

Les données collectées doivent être collectées et traitées de manière loyale et licite pour des finalités déterminées, explicites et légitimes.

Les traitements ultérieurs ne doivent pas être incompatibles avec ces finalités.

Caractéristiques des données. - Les données collectées doivent être :
- adéquates, pertinentes et non excessives au regard des finalités pour lesquelles elles sont collectées et de leurs traitements ultérieurs ;
- exactes, complètes et, si nécessaire, mises à jour.

Les données inexactes ou incomplètes au regard des finalités pour lesquelles elles sont collectées ou traitées doivent être effacées ou rectifiées.

Durée de conservation. - Les données doivent être conservées sous une forme permettant l'identification des personnes concernées pendant une durée qui n'excède pas celle nécessaire aux finalités pour lesquelles elles sont collectées et traitées.

Entrée en vigueur

La loi 2004-801 du 6 août 2004 modifiant la loi « Informatique et libertés » est immédiatement applicable, sauf pour ses dispositions nécessitant des précisions par décret comme celles sur les correspondants à la protection des données. Les entreprises n'ont donc pas la possibilité, à ce jour, de désigner des correspondants. Elles doivent attendre la publication des décrets (communiqué CNIL du 9 août 2004).

Consentement de la personne concernée. - Un traitement de données à caractère personnel doit avoir reçu le consentement de la personne visée, sauf exceptions limitativement énumérées.

Il n'est pas nécessaire de solliciter le consentement de cette personne si le traitement correspond à la réalisation d'un intérêt légitime sous réserve de ne pas méconnaître son intérêt ou ses droits et libertés fondamentaux. La « réalisation de l'intérêt légitime » n'est pas définie. Néanmoins, on peut penser que sont notamment visées les activités de gestion courante des entreprises (rapport AN n° 1537).

Données dont la collecte est interdite. Il est interdit de collecter ou de traiter des données à caractère personnel qui font apparaître, directement ou indirectement, les origines raciales ou ethniques, les opinions politiques, philosophiques ou religieuses ou l'appartenance syndicale des personnes, ou qui sont relatives à leur santé ou à leur vie sexuelle. Ce principe est néanmoins assorti d'exceptions pour les traitements dont la finalité exige de faire apparaître de telles données. Parmi ces traitements, il s'agit notamment de ceux pour lesquels la personne concernée a donné son consentement exprès, sauf dans le cas où la loi prévoit que l'interdiction ne peut pas être ainsi levée.

Pas de décisions prises sur le fondement d'un traitement automatisé.

Aucune décision de justice impliquant une appréciation sur le comportement d'une personne ne peut avoir pour fondement un traitement automatisé de données à caractère personnel destiné à évaluer certains aspects de sa personnalité. Aucune autre décision produisant des effets juridiques à l'égard d'une personne ne peut être prise sur le seul fondement d'un traitement automatisé de données destiné à définir le profil de l'intéressé ou à évaluer certains aspects de sa personnalité.

Dans le cadre d'un recrutement, la sélection d'une candidature, impliquant une appréciation sur un comportement humain, ne peut avoir pour seul fondement un traitement informatisé (RF Social, Revue d'actualité 13, p. 38).

Toutefois, la loi précise que certaines décisions ne doivent pas être regardées comme prises sur le seul fondement d'un traitement automatisé. Tel est le cas notamment pour celles prises dans le cadre de la conclusion ou de l'exécution d'un contrat et pour lesquelles la personne concernée a été mise à même de présenter ses observations.

Déclaration à la CNIL

Déclaration préalable. - Les traitements automatisés de données à caractère personnel doivent faire l'objet d'une déclaration préalable auprès de la CNIL. Cette déclaration est, comme auparavant, établie sur un imprimé spécial à se procurer notamment auprès de la CNIL. Elle peut toujours être faite par voie électronique (www.cnil.fr).

Attention. Certains traitements sont soumis à une autorisation préalable (ex. : traitements portant sur des données génétiques).

Information de la CNIL. - Le responsable d'un traitement déjà déclaré ou autorisé informe sans délai la CNIL :
- de tout changement affectant les informations données lors de la déclaration ;
- de toute suppression du traitement.

Dispense de déclaration

Aucune formalité préalable. - Ne sont soumis à aucune formalité préalable les traitements :
- ayant pour seul objet la tenue d'un registre qui, en vertu de dispositions législatives ou réglementaires, est destiné exclusivement à l'information du public et est ouvert à la consultation de celui-ci ou de toute personne justifiant d'un intérêt légitime,
- ou mis en oeuvre par une association ou tout autre organisme à but non lucratif et à caractère religieux, philosophique, politique ou syndical.

Désignation d'un correspondant. Par ailleurs, l'entreprise pourra aussi désigner un correspondant à la protection des données à caractère personnel chargé d'assurer, d'une manière indépendante, le respect des obligations légales. Elle sera alors dispensée de déclaration préalable. Il n'y aura toutefois pas de dispense lorsqu'un transfert de données à caractère personnel à destination d'un État non membre de l'Union européenne sera envisagé. En cas de non-respect des dispositions légales, la CNIL imposera de procéder aux déclarations requises.

Le correspondant devra avoir les qualifications requises pour exercer ses missions. Il tiendra une liste des traitements effectués immédiatement accessible à toute personne en faisant la demande. En cas de manquement constaté à ses devoirs, il sera déchargé de ses fonctions sur demande, ou après consultation, de la CNIL.

La désignation du correspondant sera notifiée à la CNIL. Elle sera portée à la connaissance des représentants du personnel.

Protection du correspondant. - Il ne pourra pas être sanctionné du fait de l'accomplissement de sa mission. Il pourra saisir la CNIL des difficultés qu'il rencontre.

Dispense de déclaration par la CNIL. Les traitements conformes aux normes simplifiées établies et publiées par la CNIL font l'objet de déclarations simplifiées. La CNIL peut même décider de les dispenser de déclaration.

Gestion du personnel. - Anticipant la réforme, la CNIL a suspendu l'obligation de déclaration simplifiée pour les traitements concernant la gestion de la paie et des déclarations sociales et fiscales obligatoires ainsi que la tenue informatisée des registres obligatoires (ex. : registre unique du personnel) conformes aux normes simplifiées n° 28 ou n° 36 (secteur privé et secteur public). Ainsi, les traitements mis en oeuvre dans le respect de l'une de ces deux normes ne nécessitent plus d'adresser préalablement à la CNIL une déclaration de conformité. La CNIL n'engage donc plus, depuis le 10 juin 2004, aucune action à l'encontre des responsables de fichiers respectant ces normes, du simple fait de leur non-déclaration. Les traitements non conformes restent soumis à déclaration préalable (communiqué CNIL du 10 juin 2004).

Autres dispositions

Responsables de traitements. - Ces responsables sont tenus d'un certain nombre d'obligations (ex. : informer les personnes auprès desquelles sont recueillies des données à caractère personnel sur la finalité poursuivie par le traitement et des personnes utilisatrices des réseaux de communications électroniques sur la finalité de toute action tendant à accéder, par voie de transmission électronique, à des informations stockées dans leur terminal de connexion).

Personnes visées. - Toute personne physique a, vis-à-vis des traitements de données à caractère personnel la concernant, un certain nombre de droits (ex. : droits d'opposition, d'accès et de rectification).

Sanctions. - La CNIL peut, selon les faits reprochés, prononcer des sanctions : avertissement, sanction pécuniaire (pour un premier manquement, maximum de 150 000 €), injonction de cesser le traitement, etc. Les infractions sont aussi passibles de sanctions pénales.

Définitions

Données à caractère personnel. - Informations relatives à une personne physique identifiée ou qui peut être identifiée, directement ou indirectement, par référence à un numéro d'identification ou à un ou plusieurs éléments qui lui sont propres. Pour déterminer si une personne est identifiable, il convient de considérer l'ensemble des moyens en vue de permettre son identification dont dispose, ou auxquels peut avoir accès, le responsable du traitement ou toute autre personne.

Traitement de données à caractère personnel. - Toute opération ou tout ensemble d'opérations portant sur de telles données, quel que soit le procédé utilisé, et notamment la collecte, l'enregistrement, l'organisation, la conservation, l'adaptation ou la modification, l'extraction, la consultation, l'utilisation, la communication par transmission, diffusion ou toute autre forme de mise à disposition, le rapprochement ou l'interconnexion, ainsi que le verrouillage, l'effacement ou la destruction.

Responsable d'un traitement de données à caractère personnel. - Personne, autorité publique, service ou organisme qui détermine les finalités et les moyens de ce traitement, sauf désignation expresse par les dispositions législatives ou réglementaires qui y sont relatives.

Qui sommes-nous? Mentions légales Contact CGV Plan du site Aide

	Grouperf.com

	RevueFiduciaire.com

	RFSocial.com

	Representantspersonnel.com

	RFPaye.com

	RFComptable.com

	RFConseil.com

	InteretsPrives.com

	RFformation.com

Ouverture

A la rencontre de

Informatique et libertés

Sécurité sociale

Durée du travail

Retraite

Inaptitude physique

Libertés individuelles

Zoom sur arrêt

Relations collectives

La réponse de l'Avocat

Courrier