Vous êtes peut-être amenés à collecter des données vous permettant de contacter vos clients et prospects (adresses mails, téléphone, etc), ou d’informations relatives aux services que vous proposez (photos d’un appartement si service de location par exemple).
Ne vous imaginez pas que cette utilisation est libre de droit. Vous avez des obligations vis-à-vis de la CNIL, en particulier de formalités déclaratives et vis à-vis des propriétaires de ces données.
Pour être soumis à ces obligations, avant tout, encore faut-il que vous traitiez des données dites « à caractère personnel » au sens de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés.
Ainsi, « constitue une donnée à caractère personnel toute information relative à une personne physique identifiée ou qui peut être identifiée, directement ou indirectement, par référence à un numéro d’identification ou à un ou plusieurs éléments qui lui sont propres. ».
Les nom, prénom, adresse, numéro de téléphone, données médicales, etc, d’une personne constituent donc des données personnelles protégées par la loi.
Ces données « personnelles » doivent alors être déclarées à la Commission Nationale Informatique et Libertés (CNIL) pour certaines, et une autorisation d’exploitation doit être demandée pour les plus sensibles.
Nous répondons ici à plusieurs questions : (I) exploitez-vous des données personnelles ? ; (II) quelles sont les démarches à effectuer auprès de la CNIL ? ; (iii) quelles sont vos obligations vis à vis du propriétaire des données ? ; (iv) pouvez-vous transférer des données personnelles en dehors de l’Union Européenne et le cas échéant, comment ?
I. Je déclare que ma société exploite des données personnelles…je crois !
Vous pouvez vous trouver face à la difficulté de savoir si les informations que vous traitez sont bel et bien des données personnelles et donc si elles sont soumises à déclaration ou demande d’autorisation auprès de la CNIL.
Si ces données ne peuvent être reliées à une personne physique, ni directement ni indirectement, alors le risque que ces données non publiques soient qualifiées de données personnelles est mineur.
Par exemple la Cour d’appel de Paris, dans deux arrêts des 27 avril et 15 mai 2007, considère que l’adresse IP n’est pas une donnée personnelle car elle ne se rapporte qu’à une machine et non à l’individu qui utilise l’ordinateur, tandis que la CNIL considère pour sa part que l’adresse IP de connexion est bien une donnée à caractère personnel : c’est dire toute la complexité du sujet et la nécessité de le traiter avec précaution.
II. Je déclare ma collecte de données personnelles auprès de la CNIL…ou est-ce une demande d’autorisation ?
Si vous collectez des données à caractère personnel, vous devez les déclarer à la CNIL, via un formulaire énumérant le type des données traitées et le temps de conservation souhaité, et ce avant la création du fichier.
Dans le cas où cette déclaration n’est pas effectuée, la peine encourue est de 5 ans d’emprisonnement et jusque 300 000 € d’amende.
Il y a plusieurs types de démarches à effectuer auprès de la CNIL en fonction de la nature des données personnelles traitées :
- déclaration simplifiée pour les fichiers courants ne portant pas atteinte à la vie privée ou aux libertés individuelles (https://www.formulaires.modernisation.gouv.fr/gf/cerfa_13810.do);
- déclaration dite normale pour les fichiers concernant la vie privée ou les libertés individuelles (par exemple, géolocalisation de véhicule, suivi du temps de travail) (https://www.formulaires.modernisation.gouv.fr/gf/cerfa_13809.do);
- enfin, demande d’autorisation pour les données sensibles (à caractère médical, racial, religieux ou politique, relative à la vie sexuelle numéro de sécurité sociale, etc), il faut effectuer une demande d’autorisation auprès de la CNIL.
III. Je remplis mes obligations vis à vis des propriétaires des données…mais lesquelles ?
Une fois l’autorisation obtenue par la CNIL de traiter des données déclarées, le responsable de traitement doit veiller à respecter les sept principes posés par la loi de 1978 :
- Principe de finalité : ne pas détourner l’usage premier des données personnelles.
- Principe de proportionnalité : ne traiter que d’informations nécessaires à l’activité du responsable de traitement, même lorsque ces données sont traitées en interne uniquement.
- Principe de la pertinence des données : les données doivent être adéquates, pertinentes et non excessives eu égard à l’activité du responsable de traitement. Par exemple, il ne faut pas tracer les actions des utilisateurs, comme leurs heures de connexion, sauf à ce que ce ces données soient anonymisées.
- Le quatrième principe impose d’indiquer une durée limitée de conservation des données, ce qui comprend notamment le droit à l’oubli.
- Le cinquième principe impose de veiller à la sécurité et confidentialité des données collectées (et donc des systèmes d’information).
- Principe de la transparence, qui impose d’informer les personnes concernées de l’identité du responsable du fichier, de la finalité du traitement des données, du caractère obligatoire ou facultatif des réponses, et de la transmission des données.
- Enfin, principe du respect du droit des personnes, imposant au responsable de traitement de recueillir l’accord des clients et de les informer de leur droit d’accès, de rectification et de suppression des informations collectées.
IV. Je transfère mes données en dehors de l’Union Européenne…ou pas ?
Lorsque des données personnelles sont transférées depuis l’Union Européenne vers des pays hors Union Européenne, certaines précautions légales doivent impérativement être prises.
Ce transfert est dans certaines circonstances interdit sous peine d’une sanction pénale de 5 ans d’emprisonnement et 300 000€ d’amende.
Néanmoins, il existe des exceptions à cette interdiction de transfert de données hors UE : consultez les articles 68 et 69 de la Loi du 6 janvier 1978 pour le détail de ces exceptions.
En pratique, certains transferts sont autorisés du fait d’un accord de la Commission européenne et/ou grâce à l’existence de règles internes à l’entreprise permettant d’assurer une protection adéquate au transfert des données.
D’autres autorisations existent au regard du propriétaire des données (transfert nécessaire à la sauvegarde d’une vie ou plus généralement dans l’intérêt de la personne concernée).
Pour un transfert vers les États-Unis, il faut que l’entreprise destinataire ait adhéré au Safe Harbor (à vérifier sur le site internet du Département du Commerce américain (https://safeharbor.export.gov/list.aspx).
Les formalités de déclaration auprès de la CNIL restent applicables, il faudra alors ajouter les conditions particulières d’un transfert des données en dehors de l’Union Européenne.
N’hésitez pas à venir nous rencontrer pour en parler. Vous trouverez un savoir-faire au service de l’esprit d’entreprendre.
