CNIL : vos obligations, vos droits

• Thiébaut Devergranne

La CNIL est la Commission Nationale de l’Informatique et des Libertés. Cet institution veille au respect de la loi informatique et libertés qui s’applique dès lors que vous réalisez des traitement de données personnelles à titre professionnel.

Découvrez 7 étapes pour vous mettre en conformité avec vos obligations (comme la déclaration cnil, dont il faut s’acquitter, sous peine de sanctions pénales. Le non-respect de ces obligations étant sanctionné par 5 ans d’emprisonnement et 300.000€ d’amende).

On détaillera les principales obligations CNIL.

1. Les obligations principales

Voici le schéma de synthèse que vous pouvez librement télécharger et imprimer (au format PDF) – gardez-le à vos côtés si vous travaillez sur ces questions :

 

Pour l’essentiel vous devez :

  1. Informer les personnes de leurs droits (mentions légales CNIL)
  2. Assurer la sécurité des données
  3. Respecter les règles spécifiques aux données sensibles
  4. Respecter les droits des personnes
  5. Déclarer vos fichiers…
  6. Respecter les principes essentiels de la loi (attention, il ne s’agit pas de « grand principes inutiles », au contraire, il s’agit de règles de droit pleinement applicables et qui font l’objet de sanctions pénales – la majorité du temps 5 ans d’emprisonnement et 300.000€ d’amende
  7. Conserver les données au sein de l’UE – ou respecter les dérogations spécifiques

1.1 Déclaration : que faut-il faire exactement ?

Vous devez déclarer vos fichier à la CNIL dès lors que vous réalisez un traitement de données personnelles, c’est-à-dire dès lors que vous collectez un email, un nom, un prénom, une photo, ou toutes données relatives à des personnes. Attention, il ne s’agit pas de déclarer ces données, mais simplement le fait que vous procédez à leur traitement.

Voici des exemples de traitement qu’il est nécessaire de déclarer :

  • Vous mettez en place une badgeuse sur le lieu de travail (avec le détail des employés, leurs horaires de passage…)
  • Un système de vidéo surveillance
  • Vos fichiers marketing (emails, nom, prénom…)
  • Fichiers d’initiés
  • Site e-commerce…

La liste est longue ! En général il est nécessaire de commencer par un audit afin de déterminer l’ensemble des traitements mis en oeuvre au sein d’une organisation, pour ensuite pouvoir les mettre en conformité, un par un (il faudra s’assurer qu’ils sont bien mis en oeuvre conformément à la loi). Une fois que l’organisation a dressé une liste de ses traitements et qu’elle s’est assurée qu’ils sont mis en oeuvre conformément à la loi, il convient de procéder à la réalisation des formalités légales. Il existe globalement deux procédures de déclaration : la déclaration simplifiée, et la déclaration normale. Attention : le traitement de certaines données nécessite parfois une autorisation de la CNIL et non une simple déclaration (ex : traitements de données biométriques – ou en pratique les données dont le traitement comporte le plus de risques). 

 

1.1.1 Déclaration simplifiée : la procédure simple

La CNIL édicte sur son site Internet un formulaire de déclaration simple de conformité à une norme simplifiée. Il est également possible de télécharger le formulaire Cnil de déclaration simplifiée au format pdf et le renvoyé directement.

Vous trouverez également de plus amples détails sur le régime de la déclaration simplifié ici. Personnellement je déconseille de se baser sur les normes simplifiées car en pratique il est rare que le responsable du traitement les maîtrise totalement. Il est fréquent de voir qu’une entreprise adhère à une NS pour se rendre compte ensuite que le traitement qu’elle réalise n’entre pas dans son champ d’application en réalité. Résultat : elle se trouve dans l’illégalité et commet une infraction pénale – ce qu’il est nécessaire d’éviter. Alors qu’une déclaration normale aurait permis d’éliminer ce risque. Voilà l’exemple parfait d’une procédure qui tente de simplifier les choses mais qui en réalité fait courir plus de risques et complexifie plus la situation qu’autre chose…

1.1.2 Déclaration normale : la procédure standard

La déclaration normale est le régime « standard ». Dès lors que vous avez un traitement de données personnelles qui n’entre dans aucune des catégories spécifiques (ex : il n’existe pas de norme simplifiée), il est nécessaire de se reporter à la déclaration normale.

1.2 Les sanctions en cas de non déclaration

La loi informatique et libertés à assorti le non-respect des obligations de nombreuses sanctions pénales. Voici un exemple de sanctions en ce qui concerne le non respect de l’obligation de déclaration CNIL :

Article 226-16 du Code pénal
Le fait, y compris par négligence, de procéder ou de faire procéder à des traitements de données à caractère personnel sans qu’aient été respectées les formalités préalables à leur mise en oeuvre prévues par la loi est puni de cinq ans d’emprisonnement et de 300 000 Euros d’amende.
Est puni des mêmes peines le fait, y compris par négligence, de procéder ou de faire procéder à un traitement qui a fait l’objet de l’une des mesures prévues au 2° du I de l’article 45 de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés.

 

2. Qu’est-ce que la CNIL ?

La CNIL est une autorité administrative indépendante dont la mission est de s’assurer du respect des obligations issues de la loi informatique et libertés.

2.1 Définition

L’acronyme de la CNIL est : Commission Nationale de l’Informatique et des Libertés.

2.2 Adresse et points de contact

L’adresse de la CNIL est 8 Rue Vivienne, 75002 Paris, France. Métro Bourse (ligne 3 et 9), Palais Royal (ligne 1 et 7).

Il est possible de la joindre par téléphone :

  • Tél : 01 53 73 22 22
  • Fax : 01 53 73 22 00

Question fréquentes :

  • Est-ce que la déclaration est payante ? Non !
  • Quels fichiers faut-il déclarer : l’ensemble des traitements de données personnelles que vous réalisez
  • Doit-on déclarer un site web à la CNIL ? La majorité du temps oui !

Commentaires...

Olivier CLEMENCE

Bonjour Thiebaut,

merci pour cet article.

Aurais-tu un article parlant des inscriptions à la newsletter ?

J'avoue que ça n'est pas toujours clair.

Est-ce qu'une personne qui, pour récupérer un élément gratuit (ebook, produits numériques, etc..), s'inscrit à mon site peut être automatiquement ajouté à ma newsletter ?

Cordialement,

Olivier

Jérôme

Bonjour,

J'ai créé il y a 4 ans, en France, un service web qui permettait de mettre en relations différents types de personne. Lorsque j'ai créé ce site, j'étais auto-entrepreneur et j'avais bien fait ma déclaration à la CNIL concernant le traitement des données. Mais il y a un an, j'ai déménagé en Suisse. Ma question est donc la suivante : ma déclaration CNIL reste-t-elle valable ? C'est-à-dire si je modifie mes coordonnées dans la page des mentions légales, est-ce correct ?

La CNIL ne permet pas, en effet, de modifier l'adresse du déposant (pourtant, le fait que je sois résident Suisse ne change pas grand chose : mes données restent hébergées en France).

J'ai cru comprendre parfois que lorsque l'on est résident Suisse, il faut faire appel à un CIL ; mais sur le site de la CNIL, il m'a semblé qu'il suffisait d'avoir un représentant en France pour déposer à la CNIL. Dans ce dernier cas, est-ce qu'un ami pourrait y déposer pour moi et, évidemment, sans que cela représente le moindre risque juridique pour lui !

Merci par avance pour vos réponses détaillées et éclairées.

Eva

Bonjour,

Prenons l'exemple d'une entreprise de prévention qui serait amenée à collecter des données (personnelles donc nominatives) concernant des salariés pouvant potentiellement assister aux ateliers dispensés par ladite entreprise, doit-elle constituer une déclaration CNIL ?

Sachant que cette entreprise effectuerait par la suite des statistiques (non nominatives) sur les résultats obtenus. Une partie des statistiques pourrait alors être communiquée à l'employeur des salariés ayant suivi les ateliers, sans que celui-ci ne soit en mesure de déterminer de quel employé il s'agit.

Je suis consciente de la complexité de mes questions, cependant et après de nombreuses recherches je ne parviens pas à trouver des réponses précises à mes questions.

PS : Le cas de cette entreprise est fictive, elle est le fruit d'un projet d'étude.

Je vous remercie par avance de l'intérêt que vous pourrez apporter à ma requête.

Veuillez agréer, Monsieur, mes sincères salutations.

Iwona Kaminska

Bonsoir , Comment avoir accès à mes données personnelles si je suppose depuis certain temps que j'étais adoptée? Et il y a beaucoup des secrets surtout après la mort de mon père en 1997 .

Est-ce que vous aidez à faire des démarches nécessaires pour connaitre mon passé dans toutes les domaines en sachant que la plupart de ma vie s'était passé ailleurs (en Pologne)

Iwona Kaminska

Je serai vraiment reconnaissante d'avoir la possibilité de pouvoir consulter mes données personnelles. J'essayerai de les transmettre le plus vite possible . Je suis émue d'avoir découvert ce site . Mes salutations distinguées. Iwona Kaminska.

Adolfini

bonjour

Au sujet des prélèvements bancaires automatiques, un article de loi du 14/03/2016 (Article L224-33) permet aux

fournisseurs d' e-services de modifier les contrats sur une simple information de leur part et donc de ponctionner

le compte du client. Ce dernier ,s'il s'en est aperçu à temps, peut profiter de l'occasion pour résilier sans frais , sachant qu'il devra en prendre un autre et que celui-ci généralement prend en charge les frais de résiliation et qu'il a les mêmes droits que le précédent de changer le contrat .D'autre part ce qui est pris est pris et aucun remboursement de "surfacturation" n'est prévu par la loi. A qui appartient un compte bancaire et surtout l'argent qu'il est sensé abriter? question/réponse :A qui profite cette notion de consentement implicite sous-jacente a cet article de loi ?!

fabienne lacheny

Bonjour

Si je fais de la prospection par email par une plateforme d'envois d'emails, que j'y inclus un lien de désabonnement, combien de temps dois-je maintenir ce lien actif ? Mon routeur d'email ne me le garantit que 15jours, eu égard au fait que l'email a une courte durée de vie..

Existe-t-il un texte de loi, une règle officielle ?

Merci à vous qui voudrez bien me répondre.

boete fabienne

je ne sais pas si je suis sur le bon site mais je l ai trouve en allant consulter la banque de france je suis fichee depuis 2014 quand je suis tombee en invaliditee pour la somme de 1400 euro un debit pas de credits depuis j ai changer de banque mais je tourne en rond car j aimerai payer c est 1400 euro pour pouvoir avancer

gomis daniel

bonjours je suis fiche banque de france ficp par bnp paribas personal finance levallois perret regularise a un huissier depuis un mois et cela na jamais ete leve j aimerai retrouve m ais droit banquaire pouviez vous m aide

gomis daniel

merci svp je suis bloque ds ma vie professionel a cause de cela

Thiébaut Devergranne

Bonjour,

Désolé je ne peux pas vous aider à avancer de ce côté. Les avocats font régulièrement des consultations gratuites au palais de justice et en mairie, vous devriez vous renseigner ils devraient pouvoir vous aider je pense.

David

Mon patron nous a coller des caméras partout sans notre accord et il nous met la pression pour les horaires et la caisse alors qu il y a des vendeurs non déclarés

n importe quoi sérieusement. comment dois je faire je n'en peux plus

David Chiche

Mon patron nous film et nous ne sommes pas déclarés. que faire?

Wallot

Bonsoir,

Je viens d'apprendre lors d'une réunion d'association, que lorsque l'on faisait une demande de données aux personnes pendant une manifestation (pour une loterie) il fallait le déclarer à la CNIL.

Si oui comment ça marche et combien faut-il payer ?

D'avance merci de votre réponse rapidement.


Les commentaires sont fermés
Thiébaut Devergranne

Thiébaut Devergranne est docteur en droit. Il travaille en droit des nouvelles technologies depuis plus de 15 ans, dont 6 passés au sein des services du Premier Ministre. En savoir plus.

formation RGPD

VOS CGV (gratuit)