compteurs, listes deroulantes et cases a cocher

REPONSE CAS PRATIQUE 1.1
1) Ce progiciel est un traitement automatique de données à caractère personnel
soumis à la loi « Informatique et liberté ». Il est destiné à contenir des données sensibles :
données relatives à la santé. Ce sont des données interdites, sauf si données recueillies à
des fins statistiques.
Il doit être possible de limiter les fonctionnalités du logiciel à des fins strictement
statistiques ou d’objectiver les informations : ne stocker que des performances
objectivement mesurables (temps de course, vitesse, etc).
2) Pour s’assurer de la légalité, il convient de faire une demande d’autorisation à la
CNIL car il s’agit de données biométriques.
REPONSE CAS PRATIQUE 1.2 :
1) Une donnée à caractère personnel est une information relative à une personne
physique qui peut être identifiée, directement ou indirectement, par référence à un numéro
d'identification ou grâce à un ou plusieurs éléments qui lui sont propres. Pour déterminer si
une personne est identifiable, on relève l'ensemble des moyens
permettant son
identification dont dispose le responsable du traitement ou toute autre personne (loi 78-17
modifiée, art. 2).
Sont visés par la loi du 06 août 2004, les traitements automatisés et non automatisés
(fichiers manuels par exemple) de données à caractère personnel, dont le responsable est
établi ou représenté sur le territoire français.
Sont exclus, les traitements mis en oeuvre pour l'exercice d'activités strictement
personnelles (répertoire par exemple) et les copies temporaires effectuées, en vue du
stockage automatique, intermédiaire et transitoire des données pour permettre à d'autres
destinataires du service le meilleur accès possible aux informations transmises (loi 78-17
modifiée, art. 4).
2) Il est interdit de collecter ou de traiter des données à caractère personnel qui font
apparaître, directement ou indirectement, les origines raciales ou ethniques, les opinions
politiques, philosophiques ou religieuses ou l'appartenance syndicale des personnes, ou
qui sont relatives à la santé ou à la vie sexuelle de celles-ci (loi 78-17 modifiée, art. 8).
Ce principe est assorti d'exceptions (loi 78-17 modifiée, art. 8). Dans la mesure où la
finalité du traitement l'exige pour certaines catégories de données, ne sont notamment pas
soumis à cette interdiction :
- les traitements pour lesquels la personne concernée a donné son consentement
exprès, sauf dans le cas où la loi prévoit que l'interdiction ne peut être levée par le
consentement de la personne concernée,
- les traitements mis en oeuvre par une association ou tout autre organisme à but
non lucratif et à caractère religieux, philosophique, politique ou syndical, sous
certaines conditions.
- les traitements nécessaires à la constatation, l'exercice ou la défense d'un droit en
justice,
- les traitements nécessaires, notamment, pour les besoins de la médecine
préventive ou de la gestion de services de santé et mis en oeuvre par un membre
d'une profession de santé, ou par une autre personne à laquelle s'impose en raison
de ses fonctions l'obligation de secret professionnel.
Projet soutenu par le Conseil Régional
Des Pays de La Loire dans le cadre
de s projets ENRC 2008-2009
DVD-MIAGE mis à disposition selon les
termes de la licence Créative Commons Paternité
Pas d’utilisation commerciale
Pas de modification - 2.0 FRANCE
3) Les données doivent être collectées de manière loyale et licite pour des finalités
déterminées et légitimes. Les traitements ultérieurs ne doivent pas être incompatibles avec
ces finalités (un traitement ultérieur à des fins statistiques est généralement compatible
avec les finalités initiales). Les données doivent être :
- adéquates, pertinentes et non excessives au regard des finalités du traitement,
exactes.
Les données doivent être conservées pendant une durée qui n'excède pas la durée
nécessaire aux finalités pour lesquelles elles sont collectées et traitées.
4) Dans la mesure où la finalité du traitement l'exige, certaines catégories de
données, ne sont pas soumises à cette interdiction :
- les traitements pour lesquels la personne concernée a donné son consentement
exprès,
- les traitements mis en oeuvre par une association ou tout autre organisme à but
non lucratif et à caractère religieux, philosophique, politique ou syndical, sous
certaines conditions,
- les traitements portant sur des données à caractère personnel rendues publiques
par la personne concernée,
- les traitements nécessaires à la constatation, l'exercice ou la défense d'un droit en
justice,
- les traitements nécessaires pour les besoins de la médecine préventive ou de la
gestion de services de santé et mis en oeuvre par un membre d'une profession de
santé, ou par une autre personne à laquelle s'impose en raison de ses fonctions
l'obligation de secret professionnel.
REPONSE CAS PRATIQUE 1.3 :
1) L’entreprise qui nomme un correspondant CNIL est dispensée des formalités
courantes (déclaration par exemple). Ce correspondant est garant de la conformité des
fichiers en matière de protection des données personnelles.
2) Certains fichiers sont soumis à l'autorisation de la CNIL et non plus à une simple
déclaration, à partir du moment où leur finalité a pour conséquence d'exclure une personne
du bénéfice d'un droit, d'une prestation ou d'un contrat.
S’il s'agit de fichiers de mauvais payeurs, de listes noires, de fichiers d'indésirables,
dont la finalité est d'exclure certaines personnes d'un contrat, il faut au préalable une
autorisation de la CNIL.
3) Dans le cas d’interconnexions de fichiers ayant des finalités principales
différentes, une autorisation préalable est également nécessaire.
Dans l'hypothèse où le fichier de gestion des adhérents d'un club sportif prévoit une
utilisation à des fins commerciales, les adhérents doivent en être informés et pouvoir s'y
opposer, ou y consentir. Dans ce cas, l'autorisation de la CNIL n'est pas nécessaire
puisqu'il s'agit d'interconnexion entre deux fichiers ayant la même finalité principale. Sinon,
si cette finalité de gestion commerciale n'était pas envisagée au départ, alors
l'interconnexion est soumise à autorisation. Les entreprises doivent donc être très précises
dans leurs déclarations
Projet soutenu par le Conseil Régional
Des Pays de La Loire dans le cadre
de s projets ENRC 2008-2009
DVD-MIAGE mis à disposition selon les
termes de la licence Créative Commons Paternité
Pas d’utilisation commerciale
Pas de modification - 2.0 FRANCE
4) La loi du 21 juin 2004, a amélioré cette information, les personnes inscrites dans
le fichier clients sont averties de l'identité du responsable du traitement, de la finalité
poursuivie par le traitement, du droit de s'opposer à ce que ces informations soient
utilisées à des fins de prospection. Ces informations sont portées à la connaissance du
client au moment de la collecte des données nominatives.
5) Les prospections par fax et par automate d'appel sont interdites si les personnes
physiques démarchées n'ont pas donné leur consentement préalable. La loi du 21 juin 2004
interdit d'adresser aux personnes physiques des messages de nature commerciale par
courrier électronique, par SMS (Short Message Service) ou par MMS (Multimedia Messaging
Services) sans avoir obtenu leur consentement.
Toutefois, une entreprise qui vend des produits ou des services à des personnes
physiques et recueille, leurs coordonnées électroniques peut les prospecter par la suite par
courrier électronique pour des produits analogues. Dans ce cas, l'accord préalable n'est
pas nécessaire.
La prospection des personnes physiques par courrier et par téléphone (avec
intervention humaine par exemple) ne nécessite pas d'accord préalable, mais les
personnes démarchées peuvent s'opposer à cette prospection.
6) L'expression du consentement doit être libre, spécifique et informée. Le recueil de
ce consentement ne peut être dilué dans une acceptation de conditions générales de vente
ou couplé à une demande de bons de réduction. La CNIL recommande que le
consentement soit recueilli par le biais d'une case à cocher (et non par le biais d'une case
précochée).
7) La loi Informatique et Libertés ne s'applique qu'aux personnes physiques. La loi
du 21 juin 2004 précise que seules les personnes physiques bénéficient du principe du
consentement préalable. Le régime du consentement préalable s'applique dès lors que ces
adresses
permettent
l'identification
de
personnes
physiques :
nom.prenom@nomdelasociété.fr par exemple.
REPONSE CAS PRATIQUE 1.4 :
1) L’entreprise est dispensée de déclarer ses fichiers à la CNIL si elle désigne un
correspondant Informatique et Libertés (CIL). Elle peut préférer continuer à déclarer ses
fichiers comme auparavant, en l’absence de correspondant.
Une entreprise a intérêt à désigner un correspondant Informatique et Libertés
lorsqu'elle gère un grand nombre de données nominatives. La désignation d'un CIL est
intéressante pour une PME si elle évolue dans certains domaines d'activité, comme celui de
la prestation de services informatiques, du marketing ou des bases de données. Ce qui
semble être le cas ici.
2) Le CIL ne peut pas être le dirigeant de l'entreprise, le CIL peut être un salarié ou
un prestataire extérieur. Le correspondant ne peut ni recevoir d'instructions, ni subir de
sanctions dans le cadre de cette fonction et il ne peut en être démis sans l'avis de la CNIL.
Projet soutenu par le Conseil Régional
Des Pays de La Loire dans le cadre
de s projets ENRC 2008-2009
DVD-MIAGE mis à disposition selon les
termes de la licence Créative Commons Paternité
Pas d’utilisation commerciale
Pas de modification - 2.0 FRANCE
3) La désignation d'un CIL n'a pas incidence sur les traitements comme la paie, les
déclarations fiscales et sociales, la comptabilité générale ou le registre unique du
personnel. Ces traitements n'ont pas à être déclarés à la CNIL.
Les traitements comportant des dispositifs biométriques nécessitent qu’en à eux,
une autorisation préalable de la CNIL, qu'un CIL ait été désigné ou non.
La réduction des formalités concerne les fichiers de gestion des clients et des
ressources humaines (badge, téléphone, cybersurveillance). L'entreprise qui désigne un
CIL n'a pas à déclarer ces fichiers à la CNIL.
4) La mission de correspondant informatique et liberté ne peut être assurée par le
dirigeant. Une personne interne est à même de bien connaître les fichiers, mais peut être
génératrice de conflits d'intérêts. La désignation d’un CIL extérieur peut permettre une
meilleure indépendance.
5) Le CIL est investi d'un véritable devoir de vigilance qui lui impose d'informer le
dirigeant des manquements qu'il constate. Le CIL a aussi une obligation de conseil vis-à-vis
du dirigeant. Le CIL doit en toute logique refuser d'exercer sa mission pour des traitements
pour lesquels il estime que des conflits d'intérêts sont possibles.
6) Le CIL n'est pas un salarié protégé au sens légal du terme, mais bénéficie de
mesures protectrices. Le CIL ne peut ni recevoir d'instruction pour l'exercice de sa mission,
ni subir de sanction du fait de l'exercice de celle-ci. Le CIL peut être déchargé de sa
mission. Mais la procédure fait intervenir à la fois l'employeur et la CNIL.
7) Une fois sa désignation notifiée à la CNIL, le CIL ne peut être considéré comme
étant à l'essai. S'il devait être mis un terme à sa mission, c’est dans le cadre de la
procédure prévue avec des étapes incontournables à franchir avec la CNIL.
REPONSE CAS PRATIQUE 1.5 :
1) Les traitements automatisés susceptibles, du fait de leur nature, de leur portée ou
de leurs finalités, d'exclure des personnes du bénéfice d'un contrat en l'absence de toute
disposition législative ou réglementaire encadrant ce type de traitements ne peuvent en
effet être mis en oeuvre qu'après autorisation de la CNIL (loi 78-17 du 6 janvier 1978, art. 25,
I, 4°).
- La CNIL considère que ce projet relève de la procédure d'autorisation et non de la
simple déclaration puisque, la mise en place de ce système peut conduire l'employeur à
décider du licenciement d’un salarié.
2) La mise en oeuvre d'un dispositif destiné à organiser auprès des salariés le
recueil de données personnelles concernant des faits contraires aux règles de l'entreprise
ou à la loi, imputables à leurs collègues, peut conduire à un système organisé de délation
professionnelle.
- La CNIL a émis une réserve au regard de la loi informatique et libertés. La
possibilité de dénoncer anonymement peut renforcer le risque de calomnie.
Projet soutenu par le Conseil Régional
Des Pays de La Loire dans le cadre
de s projets ENRC 2008-2009
DVD-MIAGE mis à disposition selon les
termes de la licence Créative Commons Paternité
Pas d’utilisation commerciale
Pas de modification - 2.0 FRANCE
3) Un employeur ne peut apporter aux droits des personnes et aux libertés
individuelles et collectives de restrictions qui ne sont pas justifiées par la nature de la tâche
à accomplir ni proportionnées au but recherché (c. trav. art. L. 120-2).
- La CNIL estime que le dispositif mis en œuvre est disproportionné au regard des
objectifs poursuivis, des risques de dénonciations calomnieuses et de stigmatisation des
salariés objets d'un signalement.
- La CNIL rappelle que d'autres moyens existent afin de garantir le respect des
dispositions légales et des règles fixées par l'entreprise (ex. : actions de sensibilisation par
l'information et la formation des personnels, rôle d'audit et d'alerte des commissaires aux
comptes en matière financière et comptable, saisine de l'inspection du travail ou des juges).
- La CNIL fait référence au respect du principe de proportionnalité
4) Pour être licite, un traitement de données à caractère personnel doit remplir
certaines conditions. Il ne peut porter que sur des données collectées et traitées de
manière loyale et licite (loi 78-17 du 6 janvier 1978, art. 6).
- La CNIL relève que les salariés faisant l’objet d'un signalement ne sont pas
informés, dès l'enregistrement de données mettant en cause leur intégrité et n'ont pas les
moyens de s'opposer à ce traitement de données les concernant. Les modalités de collecte
et de traitement de ces données, ne peuvent être considérées comme loyales.
Projet soutenu par le Conseil Régional
Des Pays de La Loire dans le cadre
de s projets ENRC 2008-2009
DVD-MIAGE mis à disposition selon les
termes de la licence Créative Commons Paternité
Pas d’utilisation commerciale
Pas de modification - 2.0 FRANCE