Inscrivez-vous et recevez gratuitement mes conseils pour comprendre vos obligations CNIL

Les principales obligations légales

by Thiébaut Devergranne on 04/10/2011

L’essentiel : la loi Informatique et Libertés impose six grandes obligations aux organisations traitant des données personnelles, ainsi qu’une série de droits qu’il est nécessaire de garantir aux personnes dont les données sont traitées. Le non-respect de ces obligations fait quasiment l’objet de lourdes sanctions pénales.

 

Les obligations

1. - Dès lors qu’une organisation traite des données personnelles, c’est-à-dire toute donnée permettant d’identifier directement ou indirectement une personne physique, son responsable est tenu légalement par une série d’obligations qu’il doit mettre en œuvre pour chaque traitement, telles que :

  1. faire une déclaration à la CNIL ou demander une autorisation, toujours à la CNIL préalablement à la mise en œuvre du traitement (ce sont les formalités préalables, sans aucun doute l’obligation la plus connue).
  2. S’abstenir de traiter certaines catégories de données sensibles (données de santé, syndicales, religieuses, condamnations, etc.), sauf dans le cadre strict prévu par la loi.
  3. assurer la sécurité et la protection des données personnelles et respecter une certaine confidentialité quant aux informations traitées.
  4. Ajouter les mentions légales et informer les personnes dont les données sont traitées de leurs droits.
  5. Ne pas procéder à des transferts de données personnelles hors UE, encore une fois, sauf cas spécifiques prévus par la loi.
  6. Respecter une série de principes essentiels imposés par la loi (loyauté, finalité, consentement, temporalité, pertinence, temporalité…). Ces principes permettent de s’assurer de la cohérence des données collectées (qu’elles ne sont pas disproportionnées, qu’elles sont effacées au bout d’un certain temps, etc.).

Les droits

2 - A ce premier bloc, s’ajoute également une série de droits que le responsable doit mettre en œuvre pendant toute la durée du traitement. Cela permet essentiellement aux personnes dont les données sont traitées de faire valoir leurs droits. Le responsable doit leur donner la possibilité :

A noter qu’il existe une diversité d’obligations et de cas particuliers prévus par la loi, mais leur étude dépasse le cadre de cette synthèse (la loi comporte près de 22 pages, et pas loin d’une centaine d’articles).

Les sanctions

3. - La loi est particulièrement sévère en cas de non-respect de ces dispositions puisqu’un volet pénal a été mis en place (articles 226-16 à 224-24 du Code pénal).

Les sanctions prévues en cas de non respect de la loi sont lourdes.

Le fait de ne pas avoir assuré la protection de ces données, par exemple, est passible d’une amende de 300.000 euros et d’une peine de cinq ans d’emprisonnement (dans les cas les plus graves). Cette responsabilité concerne évidemment les personnes physiques qui participent à la réalisation d’un traitement illicite, mais également les personnes morales (entreprises, organisations), qui subissent pour elles une sanction financière uniquement (la peine d’amende… multipliée par cinq, soit 1.5 million d’euros pour l’infraction précédente !).

Est également sanctionné de cinq ans d’emprisonnement et de 300.000 euros d’amende le fait :

  • de ne pas avoir déclaré un traitement, même par négligence ;
  • de procéder à une collecte illicite ou déloyale de données personnelles ;
  • de traiter des données sensibles sans le consentement exprès des personnes concernées ;
  • de conserver les données personnelles au-delà de la durée autorisée ;
  • de transférer ces données hors UE, sauf exception permise par la loi.

Publicité des sanctions

4. - Au-delà des sanctions judiciaires, il faut également noter que la CNIL a un pouvoir de sanction financière dont elle use effectivement et régulièrement, et qui est très largement relayé par la presse.

 

{ 0 comments… add one now }

Leave a Comment