La collecte et transmission des donnees personnelles
télécharger 38.63 Kb.
|
| Union des Métiers et des Industries de l’Hôtellerie JURIDIQUE Date : 24/07/09 N° : 37.09 Informatique et libertes **** LA COLLECTE et transmission DEs DONNEES PERSONNELLES : **** Partie 1 - mODE De fonctionnement - oBLIGATION DE DECLARATION La loi "Informatique et Libertés" du 6 janvier 1978 modifiée par la loi du 6 août 2004 encadre la mise en œuvre des fichiers ou des traitements de données à caractère personnel qu’ils soient automatisés ou manuels. Au regard du développement des fichiers informatiques (constitution de fichiers clients, fichiers adhérents etc.), il semble opportun de faire le point sur les règles applicables. Cela nous concerne tous : les adhérents dans le cadre de leurs activités tout comme les structures syndicales de l’UMIH, dès lors que l’on collecte des données personnelles. Les données personnelles : De quoi parle t- on ? Voici les définitions de quatre notions clé de la loi Informatique et Libertés :
I. QUATRE GRANDS PRINCIPES DE LA LOI
Il faut recueillir le consentement de la personne pour utiliser une information qui l’identifie (article 7 de la loi du 6 janvier 1978). Le fait de collecter des données à caractère personnel par un moyen frauduleux, déloyal ou illicite est puni de 5 ans d’emprisonnement et de 300 000€ d’amende (article 226-18 du code pénal). → Comment obtenir le consentement (cf. circulaire 38.09 Partie 2). Nota : Il est interdit de collecter ou de traiter des informations faisant apparaître notamment les origines raciales ou ethniques, les opinions politiques, philosophiques ou religieuses, les appartenances syndicales, la santé ou les mœurs des personnes (sanctionné par l’article L. 226-19 du code pénal).
Les données personnelles ont une date de péremption. Lors de la déclaration, le responsable du fichier fixe une durée de conservation raisonnable en fonction de l’objectif du fichier. Le code pénal sanctionne la conservation des données pour une durée supérieure à celle qui a été déclarée de 5 ans d’emprisonnement et de 300 000€ d’amende (article 226-20 du code pénal).
Tout responsable de traitement informatique de données personnelles doit adopter des mesures de sécurité adaptées à la nature des données et aux risques présentés par le traitement. Le non-respect de l’obligation de sécurité est sanctionné de 5 ans d’emprisonnement et de 300 000€ d’amende (article 226-17 du code pénal).
Seules les personnes autorisées peuvent accéder aux données personnelles contenues dans un fichier. La communication d’informations à des personnes non autorisées est punie de 5 ans d’emprisonnement et de 300 000€ d’amende. La divulgation d’information commise par imprudence ou négligence est punie de 3 ans d’emprisonnement et de 100 000€ d’amende. II. LES DROITS DES PERSONNES FICHEES Une fois le fichier constitué, 5 règles d’or à respecter : 1/ Le droit d’être informé Toute personne a le droit de savoir si elle est fichée et dans quels fichiers elle est recensée. Toute personne qui met en œuvre un fichier de données personnelles doit informer les personnes fichées de : l’identité du responsable du traitement, l’objectif de la collecte d’informations, le caractère obligatoire ou facultatif des réponses, les conséquences de l’absence de réponse, les destinataires des informations, les droits reconnus à la personne, les éventuels transferts de données vers un pays hors de l ’Union Européenne. 2/ Le droit d'opposition Toute personne a la possibilité de s'opposer, pour des motifs légitimes, à figurer dans un fichier (article 38 loi Informatique et Libertés) :
3/ Les droits d'accès et de communication Tout individu dispose d'un droit d'interroger les services mettant en œuvre des traitements automatisés de données personnelles en vue de savoir si ces traitements comportent des données le concernant et, le cas échéant, de se les faire communiquer dans les conditions de l'art. 39 de la loi n°2004-801 du 6 août 2004. Ces droits s'exercent directement auprès du service ou de l'organisme désigné à cet effet par la personne morale ou physique détentrice desdites informations. 4/ Le droit de rectification Toute personne peut, en cas d'inexactitude des informations nominatives la concernant, demander la rectification, la clarification, la mise à jour ou la suppression des dites (article 40 de la même loi). 5) Droit de refuser la transmission de ses données à des tiers Il convient de noter que la CNIL recommande de mettre à la disposition des personnes physiques l'exercice de ce droit lors de la collecte de leurs données, notamment sur les formulaires d'inscription, par une case à cocher ou tout autre moyen (article 29 de la même loi). Le refus ou l’entrave au bon exercice des droits des personnes est puni de 1500€ par infraction constatée et 3000€ en cas de récidive (article 131-13 du pénal). III. LA DECLARATION DES TRAITEMENTS DE DONNEES : Pour qui, comment ?
Les responsables des fichiers ou traitements de données à caractère personnel ont des obligations à respecter, notamment en les déclarant auprès de la CNIL. Au préalable, vérifiez si vous avez une dispense :
- Exonération par la loi (ex : traitements pour des activités personnelles, fichiers de membres de partis politiques, d’églises, d’associations ou de syndicats…). C’est le cas de l’UMIH dans ces relations avec ses adhérents. Toutefois, pour être dispensés de déclaration, ces traitements doivent correspondre à l'objet de l'association ou du syndicat. Les données ne doivent concerner que les membres de l'organisation, voire des personnes en contact régulier dans le cadre de l'activité. Enfin, les données ne peuvent être communiquées à des tiers, sauf si la personne y consent expressément. - Exonération par la CNIL (ex : paie du personnel, gestion des fournisseurs, listes d’adresse, Associations, sites web à des fins d’information et de communication uniquement. - Exonération par la désignation d’un CIL (Correspondant Informatique et Libertés). Le correspondant Informatique et libertés est chargé d’assurer au sein de l’entreprise, d’une manière indépendante, le respect des obligations en matière de protection des données à caractère personnel. Il est l’expert en matière de protection aux données à caractère personnel auprès du responsable du traitement, il assiste dans toutes démarches auprès de la CNIL et notamment les déclarations des traitements de données devant faire l’objet d’un transfert hors de l’EU. A défaut de dispense :
C’est le responsable du traitement qui doit procéder à la déclaration préalablement à la mise en œuvre. Nous profitons de cette circulaire pour rappeler que tous les professionnels de notre secteur (restaurants, hôtels…) qui constituent « des fichiers clients », des fichiers concernant la conservation des données de connexions INTERNET, les fiches de police etc. doivent procéder à la déclaration des données personnelles collectées.
Elle concerne les traitements les plus courants de données à caractère personnel dont la mise en œuvre n’est pas susceptible de porter atteinte à la vie privée et aux libertés ; elle se fait sur la base de formulaires allégés qui permettent de certifier qu’un fichier ou un traitement de données personnelles est conforme à un modèle déjà défini par la CNIL.
C’est la procédure courante à suivre en dehors des déclarations simplifiées.
Pour des fichiers sensibles ou à risques, la loi a prévu des formalités particulières d’autorisation et non plus de simple déclaration ; certaines autorisations sont délivrées directement par la CNIL. D’autres autorisations, qui concernent des traitements sensibles du secteur public exclusivement, sont données par décret en conseil d’Etat ou arrêté, après avis de la CNIL. Traitements soumis à autorisation préalable de la CNIL :
La déclaration peut être adressée à la CNIL par courrier électronique. La CNIL délivre sans délai un récépissé de déclaration qui indique le numéro sous lequel le traitement déclaré est enregistré. Union des Métiers et des Industries de l’Hôtellerie Circulaire juridique 37.09 FICHE PRATIQUE La collecte et la transmission des données personnelles Il faut recueillir le consentement de la personne pour utiliser une information qui l’identifie. Le fait de collecter des données personnelles sans le consentement de la personne et sans procéder à la déclaration CNIL est puni par la loi. Certains fichiers sont dispensés de déclaration (le cas des données personnelles d’un adhérent à un syndicat). A défaut de dispense, dès lors que des données sont collectées (fichiers clients), une déclaration à la CNIL est obligatoire. Droits de la personne fichée : - Droits d'accès et de communication - Droit de rectification - Droit d’information et d'opposition à la collecte d'informations nominatives - Droit de refuser la transmission de ses données à des tiers Pour compléter notre circulaire, vous trouverez en pièce jointe le guide pratique « DECLARER A LA CNIL ». 22 rue d’Anjou 75008 PARIS – Tel : 01 44 94 19 94 – Fax : 01 47 42 15 20 – E-mail : umih@umih.asso.fr |
similaire:
 | «données personnelles» aux termes de la loi fédérale suisse sur la protection des données [«lpd»]) des utilisateurs du présent site... | | ... |
 | | «Transmission des données du rapport annuel d’activité et du registre national des fiv» | |
| ... | | |
| «Informatique et Libertés» du 6 janvier 1978, vous disposez d’un droit d’accès et de rectification aux données personnelles vous... | | «loi Fourcade», est particulièrement simple et économique. IL permet de s’affranchir de la problématique du stockage des données... |
| «Base concours» ont pour finalités la production d’études et de statistiques anonymes ainsi que la réalisation de travaux de recherche... | | Les juridictions statuent sans délai par une décision motivée sur la transmission de la question prioritaire de constitutionnalité... |