CNIL
- Écrit par Super User
- Imprimer
CNIL : Commission Nationale de l'Informatique et des Libertés
Face aux dangers que l'informatique peut faire peser sur les libertés, la CNIL a pour mission essentielle de protéger la vie privée et les libertés individuelles ou publiques. Elle est chargée de veiller au respect de la loi "Informatique et Libertés" qui lui confie 5 missions principales :
Informer
La CNIL informe les personnes de leurs droits et obligations, et propose au gouvernement les mesures législatives ou réglementaires de nature à adapter la protection des libertés et de la vie privée à l'évolution des techniques.
Garantir le droit d'accès.
La CNIL veille à ce que les modalités de mise en oeuvre du droit d'accès aux données contenues dans les traitements n'entravent pas le libre exercice de ce droit.
Recenser les fichiers.
La CNIL donne un avis sur toutes les créations de traitements du secteur public et reçoit les déclarations de traitements du secteur privé. Le non-respect de ces formalités par les responsables de fichiers est pénalement sanctionné. La CNIL tient à la disposition du public le "fichier des fichiers", c'est-à-dire la liste des traitements déclarés et leurs principales caractéristiques.
Contrôler
La CNIL vérifie que la loi est respectée en contrôlant les applications informatiques. La Commission use de ces pouvoirs de vérification et d’investigation pour instruire les plaintes, pour disposer d'une meilleure connaissance de certains fichiers, pour mieux apprécier les conséquences du recours à l'informatique dans certains secteurs, pour assurer un suivi de ses délibérations. La CNIL surveille par ailleurs la sécurité des systèmes d'information en s'assurant que toutes les précautions sont prises pour empêcher que les données ne soient déformées ou communiquées à des personnes non-autorisées.
Réglementer
La CNIL en établit des normes simplifiées, afin que les traitements les plus courants et les moins dangereux pour les libertés fassent l'objet de formalités allégées.
Quels sont vos droits ?
Le droit à l'information
Toute personne a le droit de savoir si elle est fichée et dans quels fichiers elle est recensée.
Le droit d’opposition
Toute personne a la possibilité de s'opposer, pour des motifs légitimes, à figurer dans un fichier. Toute personne peut refuser, sans avoir à se justifier, que les données qui la concernent soient utilisées à des fins de prospection, en particulier commerciale
Le droit d'accès
Toute personne justifiant de son identité a le droit d'interroger le responsable d’un fichier ou d’un traitement pour savoir s’il détient des informations sur elle, et le cas échéant d’en obtenir communication.
Le droit de rectification
Toute personne peut faire rectifier, compléter, actualiser, verrouiller ou effacer des informations qui la concernent lorsque ont été décelées des erreurs, des inexactitudes ou la présence de données dont la collecte, l'utilisation, la communication ou la conservation est interdite.
Quelles sont vos obligations ?
La collecte d'informations
La loi condamne pénalement la collecte déloyale, frauduleuse ou illicite d'informations nominatives. Ce principe se traduit par:
- l'obligation d'informer préalablement les personnes auprès desquelles sont recueillies des données du caractère obligatoire ou facultatif des réponses, des conséquences d'un défaut de réponse, des destinataires des informations ainsi que de l'existence d'un droit d'accès. Les questionnaires de collecte doivent mentionner ces prescriptions.
- l'obligation de recueillir l'accord exprès des personnes avant de collecter des données sensibles (race, religion, opinions politiques …). De même, la loi subordonne l'utilisation du numéro national d'identification (NIR, ou encore n° INSEE, n° de sécurité sociale) à une autorisation par décret en Conseil d'État pris après avis de la CNIL. L'utilisation du NIR sans cette autorisation est sanctionnée pénalement.
- l'interdiction d'enregistrer les condamnations pénales ; la loi réserve aux seules autorités publiques agissant dans le cadre de leurs attributions légales et sous réserve d'un avis conforme de la CNIL, l'enregistrement de ces données. Le non-respect de cette interdiction est sanctionné pénalement.
- l'interdiction d'utiliser comme source d'information, des fichiers constitués à d'autres fins.
La conservation des informations
Les données nominatives ne doivent pas être conservées au-delà de la durée nécessaire aux finalités du traitement pour lequel elles ont été enregistrées. Le code pénal sanctionne la conservation des données pour une durée supérieure à celle qui a été déclarée. Lorsque l'organisme qui détient le fichier a connaissance de l'inexactitude ou du caractère incomplet d'une information, il a l'obligation de procéder à sa mise à jour. En cas de transmission à un tiers, la rectification ou l'annulation d'une information nominative doit être notifiée à ce tiers.
La sécurité des traitements
Toute personne en charge d'un traitement automatisé nominatif doit prendre toutes les précautions utiles afin de préserver l'intégrité des données et d'empêcher toute communication à des tiers non autorisés. Le non-respect de cette obligation de sécurité indispensable compte tenu des multiples risques d'erreurs et de fuites, est pénalement sanctionné.
La communication d'informations
Seuls sont destinataires des informations contenues dans un traitement automatisé les catégories de personnes désignées lors des formalités préalables auprès de la CNIL. Un nombre limité de personnes clairement identifiées est donc habilité à recevoir tout ou partie des informations. Pour les traitements les plus courants, les normes simplifiées désignent les destinataires des informations en précisant parfois les données que chaque catégorie de personnes est habilitée à recevoir. La communication d'informations nominatives est parfois étendue pour des raisons d'intérêt général ou pour l'exercice de certaines prérogatives de contrôle ou de répression par les autorités publiques. Communiquer des informations nominatives à des personnes non-autorisées est pénalement sanctionné. La commercialisation d'informations Les transactions commerciales d'informations nominatives doivent respecter la loi "informatique et liberté" dans son intégralité (déclaration, collecte; information préalable des personnes concernées en cas de cession de données; respect du droit d'opposition à la collecte ou à la cession d'informations, prise en compte des demandes de radiation).
La finalité des traitements
Le principe de finalité est l'un des pilier de la protection. Un traitement d'informations nominatives est créé pour atteindre un certain objectif. Son contenu doit correspondre à cet objectif et ne pas servir à d'autres fins. Le choix des données que l'on décide d'enregistrer, la durée de leur conservation et les catégories de personnes qui peuvent en avoir communication doivent être déterminés en fonction de la finalité du traitement. L'utilisation d'un traitement nominatif à d'autres fins que celles qui ont été déclarées lors des formalités préalables constitue un détournement de finalité pénalement sanctionné.
L’aide à la décision
La loi du 6 janvier 1978 tend à éviter tout automatisme dans la prise de décision. Aucune décision impliquant une appréciation sur un comportement humain ne peut avoir pour seul fondement un traitement automatisé d'informations donnant une définition du profil ou de la personnalité de l'intéressé. Il n'est pas interdit de recourir à la méthode des profils qui consiste à classer des individus au regard de caractéristiques déterminées après des études statistiques, mais cette méthode ne peut être utilisée que comme une aide à la décision c'est-à-dire constituer un élément d'information parmi d'autres, laissant toute sa liberté d'appréciation au décideur humain
Le respect des droits des personnes
Les responsables des fichiers doivent permettre aux personnes figurant dans des traitements d'exercer pleinement leurs droits. Le refus ou l'entrave au bon exercice de ces droits est sanctionné pénalement.
Comment déclarer à la CNIL ?
Le principe : c’est le responsable du traitement qui doit procéder à la déclaration préalablement à la mise en œuvre. Pour effectuer une déclaration à la CNIL, deux voies vous sont offertes.
La déclaration simplifiée :
Vous pouvez effectuer une déclaration simplifiée si votre fichier ou traitement de données personnelles est strictement conforme à des normes que la CNIL a établi pour les traitements les plus courants, c’est-à-dire ceux dont la mise en œuvre n'est pas susceptible de porter atteinte à la vie privée ou aux libertés.
La déclaration normale :
Si votre traitement ne correspond à aucune norme, vous devez effectuer une déclaration normale et compléter des annexes. Les annexes sont des documents destinés à recueillir des informations supplémentaires exigées pour certaines rubriques du formulaire de déclaration marquées d'un astérisque ou des documents qu’il faut joindre à la déclaration, par exemple des textes de loi, des statuts d'association, etc.
Dans quels cas vous devez faire une déclaration à la CNIL ?
Si vous devez mettre en œuvre des fichiers ou des traitements de données à caractère personnel qu’ils soient automatisés ou manuels. Par exemple, pour un site personnel ou professionnel qui va recueillir des informations sur les utilisateurs. Pour un jeu vidéo, nécessitant une inscription des joueurs. Pour une association, lorsque les membres sont inscrits dans un fichier informatique.
Pour plus d’informations…
A partir du site de la CNIL, nous avons voulu extraire de façon résumée, les principales connaissances qu’il faut posséder au sujet de la loi « Informatique et Libertés ». Si vous souhaitez connaître en détail les articles de loi, les procédures à mettre en place ou pour tout complément d’information, le site de la Cnil www.cnil.fr Pour les membres de notre association, il ne faut pas hésiter à nous contacter, nous sommes là pour vous aider.