Informatique et libertés
Informatique et libertés : les obligations
1. – Dès lors qu’une organisation traite des données personnelles, c’est-à-dire toute donnée permettant d’identifier directement ou indirectement une personne physique, son responsable est tenu légalement par une série d’obligations qu’il doit mettre en œuvre pour chaque traitement, telles que :
- faire une déclaration à la CNIL ou demander une autorisation, toujours à la CNIL préalablement à la mise en œuvre du traitement (ce sont les formalités préalables, sans aucun doute l’obligation la plus connue).
- S’abstenir de traiter certaines catégories de données sensibles (données de santé, syndicales, religieuses, condamnations, etc.), sauf dans le cadre strict prévu par la loi.
- assurer la sécurité et la protection des données personnelles et respecter une certaine confidentialité quant aux informations traitées.
- Ajouter les mentions légales et informer les personnes dont les données sont traitées de leurs droits.
- Ne pas procéder à des transferts de données personnelles hors UE, encore une fois, sauf cas spécifiques prévus par la loi.
- Respecter une série de principes essentiels imposés par la loi (loyauté, finalité, consentement, temporalité, pertinence, temporalité…). Ces principes permettent de s’assurer de la cohérence des données collectées (qu’elles ne sont pas disproportionnées, qu’elles sont effacées au bout d’un certain temps, etc.).
Les droits
2 – A ce premier bloc, s’ajoute également une série de droits que le responsable doit mettre en œuvre pendant toute la durée du traitement. Cela permet essentiellement aux personnes dont les données sont traitées de faire valoir leurs droits. Le responsable doit leur donner la possibilité :
- de faire opposition au traitement de leurs données ;
- d’être informées de l’étendue du traitement réalisé ;
- d’exercer leurs droits d’accès et de copie ;
- de rectifier les données traitées, le cas échéant.
A noter qu’il existe une diversité d’obligations et de cas particuliers prévus par la loi, mais leur étude dépasse le cadre de cette synthèse (la loi comporte près de 22 pages, et pas loin d’une centaine d’articles).
Les sanctions
3. – La loi informatique et libertés est particulièrement sévère en cas de non-respect de ces dispositions puisqu’un volet pénal a été mis en place (articles 226-16 à 224-24 du Code pénal).
Les sanctions prévues en cas de non respect de la loi sont lourdes.
Le fait de ne pas avoir assuré la protection de ces données, par exemple, est passible d’une amende de 300.000 euros et d’une peine de cinq ans d’emprisonnement (dans les cas les plus graves). Cette responsabilité concerne évidemment les personnes physiques qui participent à la réalisation d’un traitement illicite, mais également les personnes morales (entreprises, organisations), qui subissent pour elles une sanction financière uniquement (la peine d’amende… multipliée par cinq, soit 1.5 million d’euros pour l’infraction précédente !).
Est également sanctionné de cinq ans d’emprisonnement et de 300.000 euros d’amende le fait :
- de ne pas avoir déclaré un traitement, même par négligence ;
- de procéder à une collecte illicite ou déloyale de données personnelles ;
- de traiter des données sensibles sans le consentement exprès des personnes concernées ;
- de conserver les données personnelles au-delà de la durée autorisée ;
- de transférer ces données hors UE, sauf exception permise par la loi.
Publicité des sanctions
4. – Au-delà des sanctions judiciaires, il faut également noter que la CNIL a un pouvoir de sanction financière dont elle use effectivement et régulièrement, et qui est très largement relayé par la presse.
Thiébaut Devergranne
Ils nous ont fait confiance
Automatisez votre conformité RGPD
RGPD (ressources essentielles)
- RGPD le nouveau règlement sur la protection des données
- GDPR les actions indispensables de conformité
- Les 3 registres RGPD que vous devez mettre en place
- Comment mettre Google Analytics en conformité au RGPD
- Comment mettre en place vos mentions légales RGPD
- Comment gérer des données sensibles RGPD
- Tous les posts ...
VOS CGV (gratuites)
- Téléchargez le modèle type de conditions générales de vente